防病毒軟件如何工作：四種病毒偵測技術

基于簽名的偵測技術：使用已檢查過文件的關鍵特征來創建已知惡意軟件的靜態指紋。該簽名可能以文件的一系列字節來表示。它也可能是整個文件或部分文件加密后的哈希值。這個偵測惡意軟件的方法，是防病毒軟件工具誕生以來必要的方面之一。作為許多工具的一部分該技術保留至今，盡管它的重要性在逐漸減弱�；�于簽名的偵測技術的主要局限在于，從它自身來說，這個方法無法標記那些還沒有開發簽名的惡意文件�？紤]到這點，現今的攻擊者們經常通過改變文件的簽名來對病毒進行變異并保留惡意的功能。

基于啟發式的偵測技術：該技術目的在于通過靜態地檢查文件的可疑特征，來一般性地偵測新的惡意軟件而無需精確的簽名匹配。例如，某個防病毒工具可能在被檢查的文件中尋找罕見的指令或花指令（junk code）。該工具還可能模擬運行該文件，以便確認如果執行該文件，它會在不明顯拖慢系統的情況下嘗試做些什么。單獨的可疑屬性可能還不足以把這個文件標記為惡意的。然而好幾個這樣的特征可能會超出期望的風險閾值，導致該工具把該文件劃分為惡意軟件。啟發式方法最大的弊處在于它可能無意地把合法的文件標記為惡意的。

行為偵測技術：該技術觀察程序如何執行，而不是僅僅模擬它的執行。這個方法嘗試通過尋找可疑的行為如解壓惡意代碼、修改主機的文件或是進行鍵盤記錄來辨識惡意軟件。值得注意的是，這樣的操作能夠讓防病毒工具在受保護系統上偵測到事先未見過的惡意軟件。對于啟發式技術來說，這些操作的每一個可能不足以劃分程序為惡意軟件，然而把它們一起考慮的話可能意味著是一個惡意的程序。使用基于行為技術讓防病毒軟件更加接近于主機入侵預防系統（host intrusion prevention systems，HIPS）的類別，后者傳統上以單獨的產品類別存在。

基于云的偵測技術：該技術通過從受保護的計算機上收集數據、同時在服務提供商的基礎設施上分析、而不是在本地進行分析來辨識惡意軟件。這通常是通過捕捉文件的相關細節和在終端上文件執行時的情境來實現，并把這些信息提供給云引擎進行處理。本地的防病毒代理只需進行最小化的處理工作。此外，廠商的云引擎能夠通過關聯來自多個系統的數據獲取與惡意軟件特征和行為相關的模式。相比之下，其它防病毒軟件的組件大多數基于本地觀察到的屬性和行為進行決策�；�于云的引擎能讓使用防病毒軟件的單個用戶從社區的其他成員的經驗中獲益。

盡管根據上述各自的標題列出了這些方法，但各種技術之間的差異往往是模糊不清的。例如，術語“基于啟發式”和“行為偵測”經常被交互地使用。此外，當工具融合基于云的能力時，這些方法——包括簽名偵測技術——趨向于扮演活躍的角色。為了跟上不斷變化的惡意軟件樣本，防病毒軟件廠商們必須在他們的工具中融合多層防御，依賴于單個方法是不可行的。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]