绕过启发式引擎-Storm-of-Internet的专栏

绕过启发式引擎

2018-02-24 19:17:30栏目：Hacker IP属地：IP未知

反病毒软件中最常见的不依赖与特定特征码进行检测的模块是启发式引擎。与通用侦测程序或基于特征码的常见病毒扫描侦测方案不同，启发式引擎一局文件通用行为做出判断。

1.绕过静态启发式引擎

静态启发式引擎依据部署目标的不同，执行方式也有所不同。比如，一种常见的情况是使用基于机器学习算法（例如贝叶斯神经网络算法或通用学习算法）的启发式引擎，因为它们需要针对有集群工具包创建的最大的恶意软件家族，找出不同变种间的相似性。启发式引擎的实验室开发内测版扫描效果相对于桌面正式版更好，因为内测版误报率高，内存资源消耗大，这对实验室开发版来说是可接受的