图5 强大的主动防御,不过KAV7.0取消了原有的Office保护
这就意味着,KAV7.0拥有了包括以特征码为基础的传统抵御在内的三层防护措施,对各种已知和未知的恶意程序进行更加彻底地智能查杀,这无疑又将成为未来各大杀软的发展方向。许多人听到这里可能还一头雾水,究竟什么是启发式扫描技术呢?笔者有必要给大家进行简单的解释:
病毒和正常程序的区别可以体现在许多方面,比较常见的如:通常一个正常程序在最初的指令是检查命令行输入有无参数项,清屏和保存原来屏幕显示等,而病毒程序则不会这样做,它通常最初的指令是直接写盘操作、解码指令,或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处,一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式扫描技术实际上就是把这种经验和知识移植到一个杀软中的具体程序体现,通过启发式技术对有关指令序列 进行反编译,从而逐步理解和确定应用程序蕴藏的真正动机。
启发式这个概念其实在几年前就提出并实现了,现在已经发展到一个相当成熟的阶段,因此KAV7.0将启发式全面加入到扫描引擎中。在卡巴传统的“文件反病毒”、“邮件反病毒”、“Web反病毒”、“扫描”等设置选项中均有关于“启发式分析器的设置。
图6 “文件反病毒”中启发式设置
KAV7.0将启发式分为低、中、高三个扫描级别,级别越高分析越透彻,但资源占用会非常高,扫描速度也会有所下降。因此默认情况下,文件反病毒(即原来的文件实时保护)中启发式是关闭的,扫描中也只开启了低级别的启发式分析。在图5中,可以看到窗口下方新增了电脑性能的显示,若你的电脑性能足够强劲,笔者强烈建议你将所有项目的启发式分析器都开启,并设置为高级别,这样对未知病毒防范效果非常理想。
