行为杀毒

条目

行为杀毒技术自2006年起开始流行，它能够监测系统内的各种事件，并在必要时恢复系统至未受感染状态。这种技术的优势在于能够发现未知病毒，并且能相对准确地预测大多数未知病毒的行为^[1]。行为杀毒技术的优点包括能够检测未知病毒以及较为准确地预测未知病毒的行为。然而，它的缺点也显而易见，可能会产生误报，无法明确识别病毒的名称，并且在实现过程中存在一定难度。目前，微点公司的主动防御功能已经将行为杀毒技术提升到了新的高度。

技术原理

行为杀毒技术通过分析应用程序在运行过程中的行为来判断是否存在潜在威胁。与启发式杀毒技术尤其是使用虚拟机的启发式技术不同，行为杀毒技术是在真实的系统环境下运行，因此几乎不可能被病毒感染所欺骗。现代的行为杀毒技术不仅可以记录系统配置和程序的所有变化，还可以建立详细的行为白名单。当应用程序出现可疑操作时，行为杀毒模块会向用户发出警告，说明该操作的风险，并阻止其继续执行。此外，拦截工具还能防止DLL注入和其他进程的行为，并检测Rootkit的存在^[2]。

从逻辑上看，特征码查杀是一种精确匹配的方法，类似于人类的指纹识别。每个病毒都有独特的特征码，就像每个人的指纹一样，这些特征码用于识别特定的病毒。然而，行为杀毒则采用了一种模糊匹配的方式，它关注的是病毒或木马的设计理念和方法。由于一种病毒设计思想可以衍生出无数个变种，因此一条行为规则理论上可以应对无限多的病毒变种。这也是行为杀毒相对于特征码查杀的优势所在^[3]。