启发式综述系列之基础理论介绍——CHAPTER ONE

这是很关键的技术！

实际上，ESET NOD32拥有专利的ThreatSense技术包含两层含义，

即ThreatSense引擎和ThreatSense.Net 预警系统。

ThreatSense引擎中又主要包含了两项技术，普遍特征检测+高级启发技术。

以前，杀毒软件都是主要通过病毒库里的病毒特征来对照，把合乎条件的病毒查出来。各防毒软件不断进行病毒库更新，壮大自己的病毒库，在最短时间内把最新的病毒特征收进去。现在不少产品依旧如此，甚至为了提高查杀率缩短入库时间，而粗略检验，导致误报频频

所谓普遍特征，就是指同一病毒族群中的不同变种，多半含有相同的病毒特征，从各变种中找出共同之处，包括一些非连续的程序代码，以此制作出通用的病毒普遍特征数据。

对照工序大大缩短时间。

同时，对于由同一病毒源头变化出来的新变种，只要吻合该族群的普遍特征条件，不更新病毒数据库也很有可能成功进行拦截。

但即使采用普遍特征检测技术，若遇上新病毒，也就是说病毒库内并无有关特征数据，防毒软件还是无法将新病毒辨认与进行拦截。

针对这种状况，ESET NOD32的 ThreatSense 引擎又加入了高级启发式技术 (Advanced Heuristics Technology)。它是一种主动防御(Proactive Protection) 技术，不依靠任何特征数据库，而是在扫描时主动地拆解与分析执行码，并在虚拟的仿真系统环境里执行它，观察是否包含任何具危险性的恶意行为。