瑞星研发工程师致用户公开信2——启发式扫描的意义在于精准
瑞星2010版的“启发式扫描”针对的是目前网上最活跃的流行木马病毒进行分析,发现未知病毒的能力将比以往软件更加强大。“启发式扫描”技术是根据目前互联网上最流行的多类病毒程序,对这些流行病毒的文件数据进行统计分析并进行数据抽象处理,从而从中提取启发特征,在文件扫描时使用这些启发特征进行匹配,如果发现匹配多条特征并且分值很高时,就可提示用户发现“可疑”文件。目前瑞星2010版已经开始公测,大家可以上网寻找病毒样本,甚至是其他家杀毒软件不报毒的可疑文件,用瑞星2010版进行手动杀毒,看看“启发式扫描”是否提示为可疑。
众所周知,可执行文件需要符合特定的结构,操作系统才能将其正确运行起来,比如:Windows下的PE文件结构。处在这些结构中的数据,不同的字段是有不同含义的,某些字段表示程序的代码、某些字段表示程序运行时需要的字符串。数据抽象处理将会按照文件结构分析数据所在的字段,将数据赋予其在某个字段时特有的含义。
2010版静态启发式检测,对目前更新较为频繁的病毒,并对他们的数据进行抽象统计,以获取它们的静态启发特征。当然由于静态启发特征是根据统计得来的,为了不造成用户使用上的麻烦,并且又能够很好的利用这项技术保护广大用户的信息安全,瑞星在使用这项技术时十分谨慎。
需要强调的是,瑞星对“启发式扫描”技术的应用和其他厂商有一定区别,我们采取了更谨慎的态度。瑞星“启发式扫描”技术仅用于帮助用户检测可能为恶意程序的文件,当“启发式扫描”可识别的文件瑞星不会直接对文件进行处理,只会提示用户,自动将可疑文件上传到“云安全”系统,由瑞星工程师确认后才进行最终处理。
瑞星研发部反病毒分部
2009年6月
相关文章:瑞星研发工程师致用户公开信1——上传样本最快1小时反馈用户瑞星杀毒软件2010版功能介绍启发式查杀发现“可疑文件”的说明关于瑞星2010新增功能"应用程序加固"的解释