杀毒软件查杀原理包含启发式扫描技术主动防御技术的原理

包含讲解特征码查杀技术、启发式扫描技术、主动防御技术的原理。网络上现在暂时还没有的资料。 7.7.1启发式扫描 在章节7.1中，我们已经了解了启发式扫描的评分原理。而本节对启发式扫描的讲解将直接针对NOD32这款杀毒软件的启发式扫描。如何躲过NOD32的启发式扫描可以说是免杀技术讨论圈子中讨论的最火热的话题了。现在就让大叔给大家揭开NOD32启发式扫描的神秘面纱。 NOD32启发式扫描的原理十分简单，同其他的启发式扫描一样，也 是一种评分原理。举一个简单的例子，一般的下载者程序都要用到两个API，分别是URLDownloadToFile和ShellExecute。 URLDownloadToFile这个API用于将文件下载到本机。而ShellExecute这个API用于执行某个文件。这两个API结合使用就可以达到某个文件下载到本地计算机并执行的功能了，这也就是下载者的基本功能。 如果一个下载者程序先调用了URLDownloadToFile，而后又调用了ShellExecute。即时ShellExecute。执行的不是URLDownloadToFile下载的文件，NOD32也会将其列为病毒，病毒类型就是Downloader.