如部分杀毒软件启发式扫描是通过分析指令出现的顺序,或组合情况来决定文件是否感染,每个对象都要检查,这种方式
查毒效果是最高的,但也最可能出现误报。
其实就是分析对象文件与
病毒特征库中的病毒原码进行比较,当二者匹配率大于某一值时(通常这一值较小,所以容易误报),杀毒软件就会将其列为
可疑文件以进行下一步的除理。这就是所谓启发式。
最著名的就是NOD32,好多年前NOD32就是使用的
启发式扫描技术,目前NOD32的
病毒库也很小,但是查杀率极高,这都要归功于启发式扫描。
关于商业反病毒软件只能检测已知的
恶意软件及其变种和亚种的说法可能不再像以前那样普遍了。然而,部分取而代之的是另一种不很流行的说法,即病毒特征码扫描器和启发式扫描器是两种完全不同类型的扫描器。
事实上,我们知道启发式分析的使用已经有十几年之久,而―已知病毒扫描器利用启发式技术,优化病毒处理的历史则更久。启发式分析也在相关的应对措施,如行为拦截器和
监控器,以及完整性检查中占有一席之地。
算法扫描,与其他形式的算法汇编一样,以数学公理为基础.业界所说的算法扫描,通常认为是基于一种算法(而非简单的搜索一个静态字符串,或一种固定的字符串)针对特定目标病毒的检测。
当然,在日常生活中,上面提到的启发式分析也被视为一种更为普遍意义上的算法。但是将算法一词和
病毒特征关联使用(因此有一些误导),在业界已经非常广泛,所以不容忽视。启发式通常指使用分值算法判断被扫描对象恶意与否,而非明确识别界定恶意软件类别的方法。