反病毒技术揭秘——一场关于互联网安全的博弈.doc

这是很关键的技术！ 实际上， \o ESET ESET?NOD32拥有专利的ThreatSense技术包含两层含义， 即ThreatSense引擎和ThreatSense.Net 预警系统。 ThreatSense引擎中又主要包含了两项技术，普遍特征检测+高级启发技术。 以前，杀毒软件都是主要通过病毒库里的病毒特征来对照，把合乎条件的病毒查出来。各防毒软件不断进行病毒库更新，壮大自己的病毒库，在最短时间内把最新的病毒特征收进去。现在不少产品依旧如此，甚至为了提高查杀率缩短入库时间，而粗略检验，导致误报频频 所谓普遍特征，就是指同一病毒族群中的不同变种，多半含有相同的病毒特征，从各变种中找出共同之处，包括一些非连续的程序代码，以此制作出通用的病毒普遍特征数据。 对照工序大大缩短时间。 同时，对于由同一病毒源头变化出来的新变种，只要吻合该族群的普遍特征条件，不更新病毒数据库也很有可能成功进行拦截。 但即使采用普遍特征检测技术，若遇上新病毒，也就是说病毒库内并无有关特征数据，防毒软件还是无法将新病毒辨认与进行拦截。 针对这种状况， \o ESET ESET?NOD32的 ThreatSense 引擎又加入了高级 \o 启发式 启发式技术 (Advanced Heuristics Technology)。它是一种主动防御(Proactive Protection) 技术，不依靠任何特征数据库，而是在扫描时主动地拆解与分析执行码，并在虚拟的仿真系统环境里执行它，观察是否包含任何具危险性的恶意行为。  最近发现其实很多人还是对于ESET的高级启发式分析即高启扫描表示一头雾水的，或许有的人觉得了解不了解无关紧要，不过首先我们应该认识到，对于一款软件的使用，一定要做到心里有数，如果稀里糊涂、不明就里的使用出了问题也只能是怨天尤人，抱怨该款软件了，所以我个人还是建议各位花点时间了解下经常使用的软件的信息，这样在出现状况时及时的处理和应对，也能更好的提升自己的工作效率。闲话不多说了，切入正题，希望各位能够在百忙之中抽出一点时间看看，感谢各位的支持。高级启发是ESET的强项，也是卖点（ESET可是高启的鼻祖啊，虽然后来小红伞将高启发扬光大。独家消息：官人表示ESET5.0也不会加入主防，因为ESET坚持的路线是坚持高启发式扫描不动摇，其他的都是浮云，所以大家还是多关注ESET的高启吧，其他的对ESET基本都不是最主要的开发项目，这也更好的回应了为什么ESET的病毒库小，安装包小，因为病毒库里主要是收录一些典型病毒和木马的特征码，而不是整个病毒和木马，因此比较小，爆料到这里，继续。），所谓高级启发，说简单点就是很智能，很聪明得测试和发现病毒。用官方的话说，就是能在进行文件扫描之际，主动分析文件的代码和结构，透过目前防病毒软件当中最先进的虚拟机器技术，模拟程式的运行环境，分析该程式是否为有害程序，进而提早加以拦截，经过测试，ESET可在无须依赖病毒资料库的情况下，侦测近90天内75%的新型未知病毒（自己测试的时候基本可以达到这个标准，卡饭也有测试的帖子，有兴趣的童鞋自己动手吧，毕竟自己动手丰衣足食）。特别告诉大家一点关于ESET的高启：高级启发式扫描具有一种独特的启发式扫描算法，该算法由 ESET 开发，它使用高级编程语言编写而成，用于提高恶意软件的检测率。高级启发式通过前摄性的分析程序代码，或者通过构建虚拟环境让代码在其中运行以分析其动作，能够有效的检测未知恶意软件。ESET的高级启发式检测技术被命名为ThreatSense技术，该技术的优势就在于平衡了检测率和误报率，因此ThreatSense技术在提高检测率的同时极少产生误报。所以开启高级启发式扫描容易误杀的说法是不正确的。我也建议您开启高级启发式扫描，以得到有效保护。病毒和正常程序的区别可以体现在许多方面，比较常见的如通常一个应用程序在最初的指令是检查命令行输入有无参数项，清屏和保存原来屏幕显示等，而病毒程序则从来不会这样做，它通常最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现。因此，在这里，启发式指的“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现的动态高度器或反编译器，通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。例如，如果一段程序以如下序列开始：MOV AH ,5/INT,13h， 即调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉，尤其是假如这段指令之前不存在取得命