我刚刚和一家大型 AV 公司通完电话,询问为什么一家不太知名的 AV 会感染病毒,而他们的却不会。这个困境的细节并不重要。
谈话中引起我注意的是技术人员提到“我们进行传统扫描,而其他人进行启发式扫描”。他滔滔不绝地谈论传统方法如何行之有效等等。但我无法从他那里得到任何细节,了解两者的区别是什么?
效果上真的有区别吗?还是只是技术上的不同,各有优缺点?有什么区别?
答案1
答案2
传统扫描基于病毒签名。启发式扫描基于检测可疑行为。由于病毒数量巨大,保存所有签名的数据库变得不切实际。这就是扫描算法转向启发式扫描的原因。
我认为传统扫描更擅长检测已知病毒。它无法检测任何未知威胁。启发式扫描能够检测未知威胁,但在处理已知病毒时可能不如基于病毒签名的传统扫描那样万无一失。