传统病毒扫描和启发式病毒扫描有何区别?

传统病毒扫描和启发式病毒扫描有何区别?

我刚刚和一家大型 AV 公司通完电话,询问为什么一家不太知名的 AV 会感染病毒,而他们的却不会。这个困境的细节并不重要。

谈话中引起我注意的是技术人员提到“我们进行传统扫描,而其他人进行启发式扫描”。他滔滔不绝地谈论传统方法如何行之有效等等。但我无法从他那里得到任何细节,了解两者的区别是什么?

效果上真的有区别吗?还是只是技术上的不同,各有优缺点?有什么区别?

答案1

传统上,防病毒软件严重依赖签名来识别恶意软件。这可能非常有效,但除非已经获取样本并创建签名,否则无法防御恶意软件。因此,基于签名的方法对新的未知病毒无效。

启发式分析是一种基于专家的分析,使用各种决策规则或加权方法确定系统对特定威胁/风险的敏感性。多标准分析 (MCA) 是加权方法之一。这种方法不同于统计分析,后者基于可用的数据/统计数据

简而言之,基于签名的病毒防护非常适合现有威胁,但启发式病毒防护会使用算法来“最佳猜测”某个程序是否是病毒,因此它有可能捕获签名无法识别的新病毒。启发式病毒防护也可能会得到很多误报。

我从这里这里

答案2

传统扫描基于病毒签名。启发式扫描基于检测可疑行为。由于病毒数量巨大,保存所有签名的数据库变得不切实际。这就是扫描算法转向启发式扫描的原因。

我认为传统扫描更擅长检测已知病毒。它无法检测任何未知威胁。启发式扫描能够检测未知威胁,但在处理已知病毒时可能不如基于病毒签名的传统扫描那样万无一失。

相关内容