瑞星研发工程师致用户公开信

renhaizhong

瑞星研发工程师致用户公开信2——启发式扫描的意义在于精准

瑞星2010版的“启发式扫描”针对的是目前网上最活跃的流行木马病毒进行分析，发现未知病毒的能力将比以往软件更加强大。“启发式扫描”技术是根据目前互联网上最流行的多类病毒程序，对这些流行病毒的文件数据进行统计分析并进行数据抽象处理，从而从中提取启发特征，在文件扫描时使用这些启发特征进行匹配，如果发现匹配多条特征并且分值很高时，就可提示用户发现“可疑”文件。目前瑞星2010版已经开始公测，大家可以上网寻找病毒样本，甚至是其他家杀毒软件不报毒的可疑文件，用瑞星2010版进行手动杀毒，看看“启发式扫描”是否提示为可疑。



众所周知，可执行文件需要符合特定的结构，操作系统才能将其正确运行起来，比如：Windows下的PE文件结构。处在这些结构中的数据，不同的字段是有不同含义的，某些字段表示程序的代码、某些字段表示程序运行时需要的字符串。数据抽象处理将会按照文件结构分析数据所在的字段，将数据赋予其在某个字段时特有的含义。

2010版静态启发式检测，对目前更新较为频繁的病毒，并对他们的数据进行抽象统计，以获取它们的静态启发特征。当然由于静态启发特征是根据统计得来的，为了不造成用户使用上的麻烦，并且又能够很好的利用这项技术保护广大用户的信息安全，瑞星在使用这项技术时十分谨慎。

需要强调的是，瑞星对“启发式扫描”技术的应用和其他厂商有一定区别，我们采取了更谨慎的态度。瑞星“启发式扫描”技术仅用于帮助用户检测可能为恶意程序的文件，当“启发式扫描”可识别的文件瑞星不会直接对文件进行处理，只会提示用户，自动将可疑文件上传到“云安全”系统，由瑞星工程师确认后才进行最终处理。



瑞星研发部反病毒分部
2009年6月

G65535

真不错，可惜没有看明白

OraBSD

renhaizhong

这是瑞星研发部对用户们一封公开信。说明启发式扫描精准和功能。觉得说得很详细就转了。

凄美空灵

原帖由 G65535 于 2009-7-5 11:42 发表
真不错，可惜没有看明白

启发扫描就是一旦发现可疑的文件，就上报工程师，一旦是病毒，就会立刻加入病毒库，我们就可疑立刻清除掉，最大程度的保护我们的安全