病毒的特征是千奇百怪的，也许改变几个字符，就是一个新的病毒了，而靠特征码精确比对的传统杀软，它的病毒库必然越来越大，越来越臃肿。

　　而现在的硬盘容量也是与日剧增，而硬盘传输速率却没有质的提高，因此，为了扫描越来越大的硬盘和爆炸般的数据增量，所消耗的时间也必然成倍增加。

　　针对特征码的免杀手段有很多，例如加壳，加花指令，改PE头，跟踪修改特征段等，都是很常规的手段，实现难度都不算高，因此大量“免杀”的病毒变种被人为制造出来，让特征码杀软防不胜防。

　　可以说，依靠传统的特征码扫描的杀软对于现今的病毒木马是处在一种疲于应付的状态，如果没有质的改变，那么传统杀软必然会被淘汰。

　　“病毒走在杀软前面”这是特征码杀软的真实写照，出现新病毒，需要收集样本，提取特征码，更新病毒库，经过以上几个步骤，传统杀软才能查杀最新的病毒，而这时可能有些用户的电脑已经中毒了。这种“过期药”面对日益严峻的病毒形式，怎么能够让人满意？很多人都想用新技术解决传统特征码固有的缺陷，启发式扫描，虚拟机和行为识别就是目前的技术开发方向。

　　启发式属于传统扫描的延续，与传统扫描不同的是，启发式不是严格按照特征码识别病毒的，而是对特征码“模糊化”，只要接近特征库的程序，无论你是加了花指令，还是改了特征，还是加了延迟，都可以被启发式扫描识别。而虚拟机的应用一般分为两种：一种是虚拟机脱壳，也就是给病毒一个可以运行的虚拟环境，病毒运行时需要把自身的壳脱掉。当病毒把自己的壳脱掉的时候，就是它被特征码查杀的时候。另一种是直接完全模拟出系统环境，让用户在模拟环境下操作，这种操作对真实系统没有影响。还有一种系统还原类软件，一旦中毒可以很快恢复到正常的状态。

　　但是，启发式仍然是扫描的一种延续，有着扫描消耗时间长的通病，而且比传统特征码多了一个缺点：误报。而虚拟机脱壳则因为无法完全模拟系统环境，使得某些病毒无法进行自脱壳从而造成漏杀，完整的虚拟系统则无法完全代替实机系统，而且虚拟系统下数据的保存也比较麻烦。可笑的是，可以穿透虚拟机的病毒也不是没有。至于系统还原，就更可笑了，曾经我的一位朋友中了一个包含机器狗和磁碟机特征的病毒，我帮他杀完毒后，需要重启，而他忘了关掉还原软件，重启后他的还原软件把病毒也还原了……

　　而真正超越特征码扫描的反病毒技术，我看也就是行为识别了。有道是“条条大路通罗马”，编写病毒的人，可以通过很多种手段，不同的代码可以达到同样的编写目的，每一种不同的编写方法，就是一种新病毒！但是他的编写目的无非那么几种：键盘记录，远程控制，修改文件数据，注入进程至系统进程，映像劫持等等，只要了解病毒作者的编写目的，针对病毒的“行为”归类总结，并研究出应对方法，就能够以不变应万变。行为识别的优点有：无需扫描，无需升级特征码，对新病毒的查杀率高，加壳，改特征段等常规免杀手段对于行为识别来说是无效的。

　　但是行为识别的难度是很大的，国际上还没有统一的标准。既然要识别病毒的“行为”就需要让病毒运行，如何在病毒造成危害前阻断病毒继续运行也是个大问题。

　　而且行为识别还有着使用难度大的困扰，常见的行为识别类软件如HIPS，会对软件的动作进行预警，但是这就造成频繁报警，让用户无法适从，因为HIPS只告诉用户程序做了什么，是不是病毒要用户自己判断，而真正熟悉病毒行为的人有几个？有能力判断程序行为是不是病毒的又有几个？

　　为了避免频繁报警的问题，HIPS都应用了“规则”，但是规则的定义又很麻烦。定义严了吧，容易造成错误判断，定义松了呢，又无法保证系统的安全性，所以说，HIPS在不同的人手中的效果，是天差地别的，甚至有人说HIPS是高手的玩具。

　　而微点，它是依靠“专家系统”来判断程序行为是否为病毒的一种软件。“专家系统”是人工智能名词，是模拟专家对条件进行判断的一种人工智能程序。它是通过条件的逻辑关系进行判断，其复杂性高于HIPS的规则。

　　因为微点的智能性，它对程序行为的报警频率较HIPS少，而且可以对恶意程序进行判断，分类为“未知病毒，未知木马”等，让用户更直观的了解报警的内容。

　　当然微点离尽善尽美还有很长的一段路要走，第一是误杀，很多程序也有类似于病毒的行为，对于这类软件微 点只能依靠白名单库来杜绝误杀，现在微 点的白名单是越来越大了。第二是回滚操作，因为行为识别需要让病毒程序产生病毒行为才能判断，这时候病毒已经进行了很多步操作，这就需要回滚，将这些操作逆向进行一遍，以恢复初始状态，但是目前微 点的回滚处理并不能100%恢复到原始状态，有极特殊情况下回滚不完全。第三是系统兼容性，微 点为了获得程序行为数据，系统全程监控系统的状态，这就需要和系统完全契合，一旦操作系统更新换代，微 点也必须进行针对性升级，否则就无法运行。当然微 点的不足不止这三点，在此就不一一列举了。

【责任编辑 陈东方】