啓發式引擎

簡化虛擬機和簡化行為判斷引擎的結合

Heuristic(啓發式技術=啓發式掃描+啓發式監控)

重點在於特徵值識別技術上的更新、解決單一特徵碼比對的缺陷。目的不在於檢測所有的未知病毒，只是對特徵值掃描技術的補充。

主要針對：木馬、間諜、後門、下載者、已知病毒(PE病毒)的變種。

傳統反病毒特徵值掃描技術，由反病毒樣本分析專家通過逆向反編譯技術，使用反編譯器（ollydbg、ida、trw等）來檢查可疑樣本文件是否存在惡意代碼，從而判定程序文件是否屬於正常程序或病毒、惡意軟件。在確認程序為病毒、惡意軟件後，不同的安全廠商根據自己的標準對此可疑程序樣本進行特徵提取和樣本命名（不同安全廠商有自己規定的特徵提取點和樣本命名規則）。最後經過測試部門測試通過後，更新到服務器，提供用户的本地病毒庫更新。在用户操作系統正常監控或用户手動掃描後，利用殺毒引擎對系統上的文件自動進行特徵值提取並與病毒庫中已存特徵值比對，條件符合即比對結果為真時，即判斷此文件為病毒庫中記錄的特徵值對應的病毒名稱的病毒（惡意軟件）。

病毒、惡意軟件通常最初的指令是直接讀寫磁盤操作、解碼指令，或獲取系統目錄(GetSystemDirctory)、獲取磁盤類型(GetDriveType)、打開服務管理器(OpenSCManager)等相關操作指令序列。這些都是病毒樣本分析專家分析中得到的經驗。

啓發式技術，在原有的特徵值識別技術基礎上，根據反病毒樣本分析專家總結的分析可疑程序樣本經驗（移植入反病毒程序），在沒有符合特徵值比對時，根據反編譯後程序代碼所調用的win32 API函數情況（特徵組合、出現頻率等）判斷程序的具體目的是否為病毒、惡意軟件，符合判斷條件即報警提示用户發現可疑程序，達到防禦未知病毒、惡意軟件的目的。解決了單一通過特徵值比對存在的缺陷。

例如：一個可疑程序通過反病毒殺毒引擎反編譯後，發現代碼中自動釋放可執行文件駐留系統目錄、偽裝系統文件、註冊win32服務獲取系統管理權限、通過命令行刪除自身文件，調用系統組件svchost.exe來開啓後門服務，隱藏自身進程並嘗試通過OpenSCManagerA、OpenServiceA、ControlService等函數來開啓系統自身的終端服務，以便進一步控制計算機。通過這些條件即可判斷為惡意軟件（後門程序）。