[扫盲]关于启发式和主动防御,发现好多人分不清楚他们的区别。。。。
在各大反病毒论坛上都看到不少人把主动防御和启发式混到了一起,认为是一个意思,其实这两者并不是一个意思,但是都有一个共同点,就是可以防御或者查杀未知的病毒,是未来反病毒业界的两个趋势,那么他们到底有什么不同呢?
根据x论坛的定义来看主动防御:
以“程序行为自主分析判定法”为理论基础,其关键是从反病毒领域普遍遵循的计算机病毒的定义出发,采用动态仿真技术,依据专家分析程序行为、判定程序性质的逻辑,模拟专家判定病毒的机理,实现对新病毒提前防御。
根据卡巴官方的定义来看主动防御:
当代反病毒产品使用两种主要方法检测恶意程序码——以病毒码为基准的分析,与主动防御/探索式分析。第一种方法相当简单,将使用者电脑上的物件与已知病毒的范本(例如病毒码)作比较。此种技术牵涉到新型恶意程序的持续追踪,并根据其性质建档,包含于病毒码资料库中。因此,反病毒公司应拥有追踪及分析恶意程序码的有效服务(亦即反病毒实验室)。评估病毒码方法有效程度的主要标准,包括新威胁的回应时间、更新频率及检测率。
以病毒码为基准的方法有几项明显的缺点。主要的缺点就是在应对新威胁上会出现延迟。病毒的出现与病毒码释出之间,必定存在有延迟时间。而当代的病毒可以在非常短的时间内感染数百万台电脑。
因此,主动防御/探索式的病毒检测方法逐渐普及。主动防御方法不需要释出病毒码。相对的,反病毒程序会分析扫描到的物件程序码,及/或启动的应用程序行为,并根据预先设定的规则,判定软件是否为恶意软件。
理论上,此种技术可用于检测未知的恶意程序,因此许多反病毒软件开发者争先恐后的宣传主动防御方法是对付新型恶意软件的万灵丹。但事实不然。如果要评估主动防御方法的有效程度,以及其是否可独立于以病毒码为基准的方法之外单独使用,我们必须先了解主动防御技术所根据的原理。
启发式定义是:启发式扫描是通过分析指令出现的顺序,或组合情况来决定文件是否感染,每个对象都要检查,这种方式查毒效果是最高的,但也最可能出现误报。
其实就是分析对象文件与病毒特征库中的病毒原码进行比较,当二者匹配率大于某一值时(通常这一值较小,所以容易误报),杀毒软件就会将其列为可疑文件以进行下一步的除理。这就是所谓启发式杀毒。
启发式杀毒就是杀病毒库中还没有记录的病毒,有误判的可能性。
如果你仔细分析的话,就会发现两者的一个区别,没错,主动防御是属于防御型的,而启发式杀毒就是就属查杀型的,两者的区别在这里,这个很可能是未来反病毒厂商走的两条路,一条是以x和卡巴为首的主动防御道路,另一条是以NOD32和VBA32为首走的启发式杀毒道路,两者到底谁能笑到最后,还是一个未知数。不过就效果来看,个人更加喜欢启发式杀毒,毕竟现在的技术已经相当成熟,主动防御还是有一定的局限性。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
