启发式规则

启发式规则就是基于启发式的规则，重点在于特征值识别技术上的更新、解决单一特征码比对的缺陷。目的不在于检测所有的未知病毒，只是对特征值扫描技术的补充。

启发式规则就是基于启发式的规则 首先了解

启发式：简化虚拟机和简化行为判断引擎的结合

Heuristic(启发式技术=启发式扫描+启发式监控)

重点在于特征值识别技术上的更新、解决单一特征码比对的缺陷。目的不在于检测所有的未知病毒，只是对特征值扫描技术的补充。

主要针对：木马、间谍、后门、下载者、已知病毒(PE病毒)的变种。

启发式技术是基于特征值扫描技术上的升级，与传统反病毒特征值扫描技术相比，优点在于对未知病毒的防御。是特征值识别技术质的飞跃。

传统反病毒特征值扫描技术，由反病毒样本分析专家通过逆向反编译技术，使用反编译器（ollydbg、ida、trw等）来检查可疑样本文件是否存在恶意代码，从而判定程序文件是否属于正常程序或病毒、恶意软件。在确认程序为病毒、恶意软件后，不同的安全厂商根据自己的标准对此可疑程序样本进行特征提取和样本命名（不同安全厂商有自己规定的特征提取点和样本命名规则）。最后经过测试部门测试通过后，更新到服务器，提供用户的本地病毒库更新。在用户操作系统正常监控或用户手动扫描后，利用杀毒引擎对系统上的文件自动进行特征值提取并与病毒库中已存特征值比对，条件符合即比对结果为真时，即判断此文件为病毒库中记录的特征值对应的病毒名称的病毒（恶意软件）。

病毒、恶意软件通常最初的指令是直接读写磁盘操作、解码指令，或获取系统目录(GetSystemDirctory)、获取磁盘类型(GetDriveType)、打开服务管理器(OpenSCManager)等相关操作指令序列。这些都是病毒样本分析专家分析中得到的经验。

启发式技术，在原有的特征值识别技术基础上，根据反病毒样本分析专家总结的分析可疑程序样本经验（移植入反病毒程序），在没有符合特征值比对时，根据反编译后程序代码所调用的win32API函数情况（特征组合、出现频率等）判断程序的具体目的是否为病毒、恶意软件，符合判断条件即报警提示用户发现可疑程序，达到防御未知病毒、恶意软件的目的。解决了单一通过特征值比对存在的缺陷。

例如：一个可疑程序通过反病毒杀毒引擎反编译后，发现代码中自动释放可执行文件驻留系统目录、伪装系统文件、注册win32服务获取系统管理权限、通过命令行删除自身文件，调用系统组件svchost.exe来开启后门服务，隐藏自身进程并尝试通过OpenSCManagerA、OpenServiceA、ControlService等函数来开启系统自身的终端服务，以便进一步控制计算机。通过这些条件即可判断为恶意软件（后门程序）。

人机交互领域也是用启发式规则

什么是启发式评估？

启发式评估是专家评审法的一种，就是让几个评审人员根据一些通用的可用性原则和自己的经验来发现系统内潜在的可用性问题。每一个评审人员可以发现35%的可用性问题，而5个评审人员能找到大约75%的可用性问题。

启发式评估该选择由什么样的人来进行？

启发式评估是专家评审法的一种，选用具有可用性知识或选用具有和被测试系统相关专业知识的“专家”，具有以上两种知识的人是最合适人选，他能多发现约20%的可用性问题。

启发式评估如何进行？

每一个评审人员进行1-2小时的使用系统，之后提供一份独立的报告，在报告中应包括可用性问题的描述，问题的严重性以及改进的建议。

启发式评估的通用准则

Visibility of system status.可视性原则

Match between system and real world.系统应符合用户的真实世界

User control and freedom.用户有自由控制权

Consistency.一致性原则

Error strategy.有预防用户出错的措施

Recognition rather than recall.要在第一时间让用户看到

Flexibility and efficiency of use.使用起来灵活且高效

Aesthetics and minialist design.易读性

Help users recognize, diagnose, and recover from errors.给用户明确的错误信息，并协助用户方便的从错误中恢复工作

Help and Documentation.必要的帮助提示与说明文档