启发式分析

防病毒扫描程序使用两种技术检测病毒:特征码和启发式分析。病毒特征码是感染病毒的文件中的二进制模式。扫描程序使用其病毒定义 (DAT) 文件中的信息搜索这些模式。此方法不检测新病毒,因为其特征码未知。因此,采用称为启发式分析的技术检测未知病毒。

含有病毒的程序通常具有独特的特点。它们可能尝试未经提示修改文件、调用邮件客户端或使用其他自我传播方式。扫描程序分析程序代码以检测这些类型的计算机指令。扫描程序还扫描合法行为(如采取操作前提示用户),从而避免发出错误警告。

在尝试避免检测时,会对一些病毒进行加密。每个计算机指令都是一个二进制数字,但计算机使用的不都是可用的数字。通过搜索程序文件中的意外数字,扫描程序可以检测加密的病毒。

通过使用这些技术,扫描程序可以检测已知病毒以及许多新病毒及变种。