杀毒的启发机制是目前杀毒软件的主流方向,因为启发机制——直接影响杀毒软件文件监控以及文件扫描对于未知病毒的防杀以及查杀能力。那么说到启发就不得不说下主动防御,主动防御目前也是很多杀毒软件的主流方向。但主动防御虽然固好,但是效率等都不如启发。想知道为什么就往下看吧。
因为主动防御是基于行为规则判断的,一般的杀毒软件都采用内核级hook,而一般的杀毒软件采用内核级hook来拦截NATIVE API(指的就是内核执行体的输出函数),而内核级hook大部分都是采用HOOK SERVICE TABLE(系统服务描述表)。大家可以用一些内核的工具(如IceSword,wSyscheck)查看下。
为了给大家一个更直观的印象,我用IceSword查看了下安装了瑞星杀毒软件的计算机系统的服务描述表情况,如下图
More...
