在一本当地杂志上,我读到了对卡巴斯基实验室的技术顾问 Adrian Porcescu 的采访。
除其他外,他说他们的防病毒软件使用行为主义和启发式控制来检测恶意软件。
我想知道 - 什么是反病毒软件中的行为主义和启发式控制,它是如何工作的?
什么是反病毒软件中的行为主义和启发式控制,它是如何工作的?
信息安全
杀毒软件
反恶意软件
2021-08-15 16:44:04
1个回答
启发式是:
- 学习技巧
- 常识
- 发现
他们的目标是通过分析其代码(不限于)来识别病毒。如果程序被编程为打开某个文件,或者加载/读取某个内存地址。这些方法基于多个标准。他们最终可以在虚拟环境中运行程序来监控已知的病毒方案:复制、隐身等。
行为主义是实时分析。通过分析程序在做什么(文件 I/O、内存 I/O、网络 I/O、在空闲时间使用 PC,...),您可以评估它是否合法。如果一个程序开始在每个端口的 100 个 IP 地址上发送数据包,您可以确定它是病毒,因为这不是程序的正常行为。
我会这样总结:行为主义处理未知行为(当然尝试分析用户行为以检测正常活动的变化),它当然使用启发式。启发式目标是检测未知病毒或变种,但他们正在寻找的方案是众所周知的。
一些参考资料: