啓發式殺毒

病毒和正常程序的區別可以體現在許多方面，比較常見的如：通常一個應用程序在最初的指令，是檢查命令行輸入有無參數項、清屏和保存原來屏幕顯示等，而病毒程序則沒有會這樣做的，通常它最初的指令是直接寫盤操作、解碼指令，或搜索某路徑下的可執行程序等相關操作指令序列。這些顯著的不同之處，一個熟練的程序員在調試狀態下只需一瞥便可一目瞭然。啓發式代碼掃描技術實際上就是把這種經驗和知識移植到一個查病毒軟件中的具體程序體現。

啓發式分析是一種通過檢查代碼中可疑屬性來檢測病毒的方法。

傳統的病毒檢測方法涉及通過將程序中的代碼與已經遇到，分析和記錄在數據庫中的已知病毒類型的代碼進行比較來識別惡意軟件，這就是簽名檢測。儘管有用且仍在使用，但由於新威脅的出現，簽名檢測方法也受到了越來越多的限制，這種新威脅在世紀之交爆發，並一直持續出現。

為了解決這個問題，啓發式模型專門用於發現可疑特徵，這些特徵可在未知，新病毒和現有威脅的修改版本以及已知的惡意軟件樣本中找到。

網絡犯罪分子正在不斷髮展新的威脅，啓發式分析是用於應對每天見到的大量新威脅的唯一方法之一。

啓發式分析也是少數能夠抵抗多態病毒的方法之一-惡意代碼是指不斷變化和適應的術語。許多網絡安全公司提供的高級安全解決方案中集成了啓發式分析功能，可在新威脅造成危害之前檢測出新威脅，而無需特定的簽名。

啓發式指的“自我發現的能力”或“運用某種方式或方法去判定事物的知識和技能。”一個運用啓發式掃描技術的病毒檢測軟件，實際上就是以特定方式實現的動態高度器或反編譯器，通過對有關指令序列的反編譯逐步理解和確定其藴藏的真正動機。例如，如果一段程序以如下序列開始：MOV AH ,5/INT,13h，即調用格式化盤操作的BIOS指令功能，那麼這段程序就高度可疑值得引起警覺，尤其是假如這段指令之前不存在取得命令行關於執行的參數選項，又沒有要求用户交互性輸入繼續進行的操作指令時，就可以有把握地認為這是一個病毒或惡意破壞的程序。

啓發式殺毒代表着未來反病毒技術發展的必然趨勢，具備某種人工智能特點的反毒技術，向我們展示了一種通用的、不需升級(較省需要升級或不依賴於升級)的病毒檢測技術和產品的可能性。由於諸多傳統技術無法企及的強大優勢，必將得到普遍的應用和迅速的發展。在新病毒、新變種層出不窮，病毒數量不斷激增的今天，這種新技術的產生和應用更具有特殊的重要意義。