主动防御/启发式查毒：杀软技术新主流

　　这样一来，同一种病毒的变种病毒大量增加，杀毒软件单纯依靠病毒库和特征码技术已经不能适应如今的网络安全。于是，便出现了广谱特征码的概念，这个技术在一段时间内，对于处理某些变形的病毒提供了一种方法，但是也使误报率大大增加，所以采用广谱特征码的技术目前也不能有效的对新病毒和未知病毒进行查杀，那么，现如今种类繁多的杀毒软件都有哪些新技术和新特征来适应当前的病毒威胁，又是如何实现的呢？

主动防御技术

　　由于传统的基于病毒库扫描的反病毒软件都是很被动的，只能在新病毒出现之后才能有应付措施，一个病毒制造者所编写的病毒很有可能在被杀毒软件厂商截获并添加到产品病毒库之前进入用户电脑。

　　此时，由于该病毒的特征码还未添加到杀毒软件病毒库中，杀毒软件会将病毒认为是正常文件而放过，使得用户电脑被病毒所感染。因此，业界将能够主动检测和拦截未知威胁的防御方法称为“主动防御”。

　　杀毒软件具有滞后性，这是业界公认的一个杀毒软件弊端，而主动防御却很好的解决了这个问题。主动防御技术主要是针对未知病毒提出来的病毒防杀技术，在没有病毒样本的情况下，对病毒进行全面而有效的全面防护，阻止病毒的运作，从技术层面上有效应对未知病毒的肆虐，一是在未知病毒和未知程序方面，通过“行为判断”技术识别大部分未被截获的未知病毒和变种。

　　另一方面，通过对漏洞攻击行为进行监测，这样可防止病毒利用系统漏洞对其它计算机进行攻击，从而阻止病毒的爆发。

　　然而由于主动防御概念，各厂商技术水平不同，其效果悬殊也较大，最显著的弊端就是常常出现大量的误报或误杀，或是将行为监控和病毒特征码监测结合的方式等同于主动防御，虽然病毒运行时其行为监控有警报提示，但就算用户选择“拒绝”操作也无法阻止病毒的运行。

　　在《c′t》杂志对全球17款主要杀毒软件进行了测试中表明，在新病毒查杀方面，杀毒软件的平均检测率只有20%～30%，甚至低于去年的40%～50%。相比之下，只有ESET NOD32和BitDefender表现较好，查杀率分别为68%和41%。值得一提的是， ESET NOD32采用世界领先的高级启发式ThreatSense@引擎，可同时支持基因码，虚拟机，以及代码分析这三种启发式防毒技术，在查杀大部分未知病毒的同时只产生了极少的误报，为业界最低，因此ESET NOD32的ThreatSense技术被公认为主动防御技术成熟和稳定的集大成者。

启发式查毒技术

　　说到主动防御，不得不提起启发式查毒技术，启发式查毒技术属于主动防御的一种，是当前对付未知病毒的主要手段，从工作原理上可分为静态启发和动态启发两种。

　　启发式指 “自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能”， 是杀毒软件能够分析文件代码的逻辑结构是否含有恶意程序特征，或者通过在一个虚拟的安全环境中前摄性的执行代码来判断其是否有恶意行为。在业界前者被称为静态代码分析，后者被成为动态虚拟机。

　　静态启发技术指的是在静止状态下通过病毒的典型指令特征识别病毒的方法，是对传统特征码扫描的一种补充。由于病毒程序与正常的应用程序在启动时有很多区别，通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则通常是最初的指令是直接写盘操作、解码指令，或搜索某