來源:互聯(lián)網(wǎng)
啟發(fā)式規(guī)則是一種基于啟發(fā)式方法的技術(shù),旨在增強(qiáng)特征值識(shí)別能力,以彌補(bǔ)傳統(tǒng)特征碼比對(duì)技術(shù)的局限性。
簡(jiǎn)介
啟發(fā)式規(guī)則的應(yīng)用主要集中在木馬、間諜、后門、下載者以及已知病毒(如PE病毒)的變種。它代表了特征值識(shí)別技術(shù)的一次重大提升,特別是在抵御未知病毒方面。傳統(tǒng)的反病毒特征值掃描技術(shù)依賴于反病毒樣本分析專家的專業(yè)技能,他們通過逆向反編譯技術(shù)來確定程序文件是否包含惡意代碼。一旦確認(rèn)為病毒或流氓軟件,安全廠商會(huì)對(duì)其進(jìn)行特征提取和命名,并最終將其更新至服務(wù)器供用戶下載。然而,啟發(fā)式技術(shù)則在此基礎(chǔ)上增加了對(duì)win32 API函數(shù)調(diào)用情況的分析,以更有效地識(shí)別潛在的惡意軟件。例如,當(dāng)一個(gè)可疑程序表現(xiàn)出一系列特定的行為模式,如釋放可執(zhí)行文件、偽裝系統(tǒng)文件、注冊(cè)服務(wù)等,啟發(fā)式技術(shù)能夠據(jù)此判斷其為惡意軟件并發(fā)出警報(bào)。
參考資料 >
啟發(fā)式規(guī)則算法 .百度文庫.2024-10-25
啟發(fā)式規(guī)則 .百度文庫.2024-10-25
啟發(fā)式規(guī)則 .百度文庫.2024-10-25