Entry № 530
启发式检测
启发式检测 是什么?
启发式检测通过经验法则指标(可疑代码模式、加壳器、异常字符串、API 组合等)识别可能是恶意文件的方法,无需精确匹配特征码。
启发式检测在签名之外为文件或其执行行为打分。静态启发式分析 PE 头异常、是否存在已知壳(UPX、Themida)、高熵、代码混淆、可疑导入(如 VirtualAlloc + WriteProcessMemory + CreateRemoteThread)以及风险字符串;动态启发式则在模拟器或轻量沙箱中观察行为。"启发式"一词在 1990 年代初由 Frans Veldman 的 TbScan、Eugene Kaspersky 的 AVP 等工具推广,如今多数 NGAV/EDR 引擎将其作为送入更深的 ML 或云查询之前的快速预过滤。启发式能识别已知家族的未知变体,但误报多于签名,因此厂商会结合信誉、流行度和行为信号进行综合判定。
● 示例
- 01
AV 引擎对一个 UPX 加壳、导入网络 API 并动态解析 WinAPI 的二进制发出告警。
- 02
1993 年的 TbScan 通过识别经典加密循环与磁盘写入模式发现一种全新的病毒。
● 常见问题
启发式检测 是什么?
通过经验法则指标(可疑代码模式、加壳器、异常字符串、API 组合等)识别可能是恶意文件的方法,无需精确匹配特征码。 它属于网络安全的 防御与运营 分类。
启发式检测 是什么意思?
通过经验法则指标(可疑代码模式、加壳器、异常字符串、API 组合等)识别可能是恶意文件的方法,无需精确匹配特征码。
如何防御 启发式检测?
针对 启发式检测 的防御通常结合技术控制与运营实践,详见上方完整定义。
启发式检测 还有哪些其他名称?
常见的别称包括: 启发式, 启发式扫描。