第三章 杀毒软件穷则思变

上述四个问题让杀毒软件在互联网时代极为尴尬，一些新的技术和想法开始出现：

1、启发式扫描的利弊

启发式扫描指的“运用某种方式去判定事物的知识和技能”，是让杀毒软件具有学习能力的一项技术，通过行为判断、文件结构分析等手段，在较少依赖特征库的情况下能够查杀未知的木马病毒。

在各杀毒软件中，小红伞的启发是公认最牛的，在安全论坛上的查毒测试总是无比强悍，但在国内小红伞的用户却非常少，一方面小红伞的知名度在国内较低，另一方面启发式扫描也有着无法回避的问题，就是动辄高达30~40%的误报率。

在实验性样本测试和安全技术爱好者看来，启发式扫描比特征库优越得多，但可以肯定的是，杀毒软件在明处，木马作者在暗处，Windows操作系统都漏洞百出，更何况是杀毒软件，黑客写出的木马要想有买家，一定是能对主流杀软免杀的，而不是在安全论坛上用来测试的样本。

这也是绝大多数杀毒软件仍然坚持特征库杀毒引擎的重要原因。

2、杀毒软件互相“学习”的潜规则

单个杀毒厂商采集样本和分析样本都有着处理能力的瓶颈，于是彼此之间互相学习(更准确的说是“抄袭”)就成了业内公开的潜规则，比如说使用其它杀毒引擎检测样本、逆向分析其它杀毒引擎的脱壳技术等等。

这个潜规则有效地促进了安全行业的“资源共享”，当一款杀毒软件能查杀某个新型木马，大约在两三天内其他杀毒软件都能纷纷跟进，但这也造成杀毒行业陷入同质化发展的局面，区别仅在于各自代码的编写质量，直观表现就是资源占用和扫描速度不同。

穷则思变，杀毒软件需要改变，活跃了20年的特征库杀毒引擎是否会退出历史舞台？用户的需要将决定一切。