主题：【原创】反病毒软件——我的道听途说 [0] -- 钢爪

启发，启发你个头

反病毒软件看起来如此神秘，都要归功于传说中的启发式扫描。这种伴随反病毒软件成长起来的技术，号称能检测各种未知病毒。

现在不少反病毒软件的启发，不过是一堆歪门邪道的组合体，基本的设计思想也就是“猫论”。当然有些反病毒软件自带小型虚拟机，虚拟机给出的结果也许会靠谱一些。但众所周知虚拟机是很慢的，于是也就同样需要一个前置的启发式扫描流程来过滤掉一些看起来不可疑的程序。

这是怎么做到的呢？

比如各个编译器生成的可执行文件头是不一样的。那么收集常见的可执行文件头信息，其余的都是可疑。基址不对？可疑。对齐长度不常见？可疑。代码长度太小？可疑。没有版本信息？可疑。

而反病毒软件最喜欢的就是可执行文件的导入表了。从文件头定位到导入表之后开始逐一检查。总共没几个API，其中有个还是URLDownloadToFile？你就是木马下载器。OpenProcess + TerminateProcess？你就是杀软终结者。

这启发当然更少不了字符串了。你敢在程序里写上反病毒软件的进程名和官网域名吗？有本事你还去读取一下 hosts 文件？杀你没商量。

把所有的这类高精尖技术的判定结果根据经验算一下权重，说不定高兴了再乘上一个随机数，就是传说中的启发式扫描的结果了。

这也就是现代巫医的跳大神技术。