Virus 版 (精华区)

作  家: zhili (北侠) on board 'virus'
题  目: 关于启发扫描的反病毒技术(5/5)(转寄)
来  源: 哈尔滨紫丁香站
日  期: Sun May 25 09:58:58 1997
出  处: bbs@conger.neu.edu.cn

发信人: bluesea (蓝海), 信区: Virus
标  题: 关于启发扫描的反病毒技术(5/5)
发信站: BBS 水木清华站 (Sat May 24 20:13:40 1997)

关于启发扫描的反病毒技术(5/5)

　　几周之前，我隐约记得好象哪里有一篇文章，顺便找人去试试看能否要
来。不想今天下午从E-mail里面收到了。文章显然是译文，有很多用词的习
惯可能不一样。我大致看了一遍。整理一下就POST上来了。

　　总的来说，这篇文章和前面的虚拟机一文正好互相补充。虚拟机为启发
式扫描的实现提供一个基础，而启发扫描是以虚拟机的分析为基础进行病毒
判定的具体手段。可以说，这基本上是目前比较先进的技术了。但是我们也
看到，启发式扫描对病毒的判定同样不是使用以病毒定义出发的直接标准，
而是一系列间接的准则──甚至可以说是使用的统计方法。正如我们在模式
识别工作中的过程类似，虚拟机解码病毒并提供特征素材，而启发式扫描方
法是进行特征的分类(如前面所说的各种“标志”，最后要进行权衡分析(特
别象模式识别中的距离计算)。

　　可以看出，我们在处理很多问题上都是采用的类似直接与间接方法相配
合的手段。汉字/图象识别、声音识别、病毒处理……， 当直接准则不易于
实现时，往往就采用间接准则。经常还是基于统计的间接准则。从反病毒角
度看，我们当然希望存在一种技术，它能够使用与病毒的定义准则更加接近
的标准。同时，我们在以MS-DOS文件病毒为例进行分析时，别忘了不断新生
的新的病毒，包括Windows病毒、宏病毒等等……

    希望有兴趣的虫虫能把自己的体会多多地说出来。不必担心说错，更不
必保守。大家一起探讨。

--
扫除一切害人虫，全无敌...

m6m※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 202.94.2.152]m

--
※ 来源:·哈尔滨紫丁香站 bbs1.hit.edu.cn·[FROM: bbs@conger.neu.edu.c]