基于行为的恶意代码检测技术基于行为的恶意代码检测技术 传统的特征码检测技术静态识别技术静态识别技术从病毒体内提取的原始数从病毒体内提取的原始数据片断,以及该片断的位据片断,以及该片断的位置信息置信息全浮动(无位置描述)更多的位置描述(格式分析,代码分析)更灵活的数据片断表示(?,*,RE)在现在这个时代,越来越吃力了!在现在这个时代,越来越吃力了!变化和改进变化和改进提取自病毒体,滞后于病毒出现抗“特征”变化性有限优点缺点精确,误报少快速,静态分析u人类社会的“特征码”技术指纹u初犯,截取指纹,入档案。u再犯,查对指纹,就可确定谁是犯人。人类社会的“特征码”技术人类社会如何判罪?我们可以给程序判罪吗?把程序看成“人”制定适用于这些“人”的“法律”监视这个“人”的动作 整理、归纳收集到的信息 根据“法律”来判定“人”的好坏 行为分析就这样出现了!行为分析的简单介绍将一系列已经规定好的恶意行为做为规范,根据这些将一系列已经规定好的恶意行为做为规范,根据这些将一系列已经规定好的恶意行为做为规范,根据这些规范,去监视程序做了什么,再结合这个规范来判定规范,去监视程序做了什么,再结合这个规范来
