啟髮式規則
啟髮式規則
啟髮式規則就是基於啟髮式的規則 首先了解
啟髮式:簡化虛擬機和簡化行為判斷引擎的結合
Heuristic(啟髮式技術=啟髮式掃描+啟髮式監控)
重點在於特徵值識別技術上的更新、解決單一特徵碼比對的缺陷。目的不在於檢測所有的未知病毒,只是對特徵值掃描技術的補充。
啟髮式技術是基於特徵值掃描技術上的升級,與傳統反病毒特徵值掃描技術相比,優點在於對未知病毒的防禦。是特徵值識別技術質的飛躍。
傳統反病毒特徵值掃描技術,由反病毒樣本分析專家通過逆向反編譯技術,使用反編譯器(ollydbg、ida、trw等)來檢查可疑樣本文件是否存在惡意代碼,從而判定程序文件是否屬於正常程序或病毒、惡意軟體。在確認程序為病毒、惡意軟體后,不同的安全廠商根據自己的標準對此可疑程序樣本進行特徵提取和樣本命名(不同安全廠商有自己規定的特徵提取點和樣本命名規則)。最後經過測試部門測試通過後,更新到伺服器,提供用戶的本地病毒庫更新。在用戶操作系統正常監控或用戶手動掃描后,利用殺毒引擎對系統上的文件自動進行特徵值提取並與病毒庫中已存特徵值比對,條件符合即比對結果為真時,即判斷此文件為病毒庫中記錄的特徵值對應的病毒名稱的病毒(惡意軟體)。
病毒、惡意軟體通常最初的指令是直接讀寫磁碟操作、解碼指令,或獲取系統目錄(GetSystemDirctory)、獲取磁碟類型(GetDriveType)、打開服務管理器(OpenSCManager)等相關操作指令序列。這些都是病毒樣本分析專家分析中得到的經驗。
啟髮式技術,在原有的特徵值識別技術基礎上,根據反病毒樣本分析專家總結的分析可疑程序樣本經驗(移植入反病毒程序),在沒有符合特徵值比對時,根據反編譯后程序代碼所調用的win32API函數情況(特徵組合、出現頻率等)判斷程序的具體目的是否為病毒、惡意軟體,符合判斷條件即報警提示用戶發現可疑程序,達到防禦未知病毒、惡意軟體的目的。解決了單一通過特徵值比對存在的缺陷。
例如:一個可疑程序通過反病毒殺毒引擎反編譯后,發現代碼中自動釋放可執行文件駐留系統目錄、偽裝系統文件、註冊win32服務獲取系統管理許可權、通過命令行刪除自身文件,調用系統組件svchost.exe來開啟後門服務,隱藏自身進程並嘗試通過OpenSCManagerA、OpenServiceA、ControlService等函數來開啟系統自身的終端服務,以便進一步控制計算機。通過這些條件即可判斷為惡意軟體(後門程序)。
人機交互領域也是用啟髮式規則
什麼是啟髮式評估?
啟髮式評估是專家評審法的一種,就是讓幾個評審人員根據一些通用的可用性原則和自己的經驗來發現系統內潛在的可用性問題。每一個評審人員可以發現35%的可用性問題,而5個評審人員能找到大約75%的可用性問題。
啟髮式評估該選擇由什麼樣的人來進行?
啟髮式評估是專家評審法的一種,選用具有可用性知識或選用具有和被測試系統相關專業知識的“專家”,具有以上兩種知識的人是最合適人選,他能多發現約20%的可用性問題。
啟髮式評估如何進行?
每一個評審人員進行1-2小時的使用系統,之後提供一份獨立的報告,在報告中應包括可用性問題的描述,問題的嚴重性以及改進的建議。
啟髮式評估的通用準則
·Visibility of system status.可視性原則
·Match between system and real world.系統應符合用戶的真實世界
·User control and freedom.用戶有自由控制權
·Consistency.一致性原則
·Error strategy.有預防用戶出錯的措施
·Recognition rather than recall.要在第一時間讓用戶看到
·Flexibility and efficiency of use.使用起來靈活且高效
·Aesthetics and minimalist design.易讀性
·Help users recognize, diagnose, and recover from errors.給用戶明確的錯誤信息,並協助用戶方便的從錯誤中恢復工作
·Help and Documentation.必要的幫助提示與說明文檔
