签名和启发式病毒检测使用什么算法?

签名和启发式病毒检测使用什么算法?

我正在尝试撰写一篇有关病毒检测技术的论文。我下载了许多期刊、论文并使用了许多网站。我找到了这两个术语的概述定义,但我想更深入地了解这些主题。

例如所使用的一种或多种算法的简单具体示例?

谢谢你的帮助。

答案1

签名病毒检测的一个简单示例就是使用几种不同的算法对病毒进行哈希处理。如果发现具有这些签名的文件,则它很可能(虽然不是绝对,因为碰撞是可能的,但可能性很小)是病毒。虽然在实践中这很困难(多态病毒在许多情况下使这几乎成为一种不可行的解决方案),但理论很简单。

启发式算法最基本的原理是定义“可疑行为”或“可疑代码”并据此采取行动。例如(这又过于简单化了)如果某个程序试图将自己添加到启动程序列表中,没有经过受信任的发布者的签名,并且试图访问互联网,那么它可能是病毒。但它也可能只是一个安装程序。

这是一个相当简单的例子,说明了为什么启发式方法更具概率性而非确定性,而签名则相反。

做一个简短的比较:

启发式方法:有假阳性和假阴性,但通常两者都较低(理想情况下)。
签名:有假阴性,但几乎从来没有假阳性。

相关内容