不可承受的零时差攻击

核心提示： 启发式与基于行为的病毒分析或许能够结束这一场猫鼠游戏，这两种病毒分析方式依靠运算法则，不可承受的零时差攻击(7)，而不是病毒定义文件，去查找反常的行为或者文件，还修改用户帐号的权限，这样程序就无法对系统做出深层的改变，启发式查毒检查潜在的恶意软件是靠分析文件是否有值得怀疑的行为，比如与内存

启发式与基于行为的病毒分析或许能够结束这一场猫鼠游戏。这两种病毒分析方式依靠运算法则，而不是病毒定义文件，去查找反常的行为或者文件。启发式查毒检查潜在的恶意软件是靠分析文件是否有值得怀疑的行为，比如与内存有关的可疑行为。而另一方面，基于行为的病毒分析，观察程序是否有典型的恶意软件的行为(比如启动Email传播垃圾邮件)，它鉴定程序是否有害是看它们做什么而不是包含什么。

现在大多数主流的反病毒软件都拥有一种或者同时拥有这两种分析方式。去年，PC World测试过使用一个月未更新的病毒库成功识别出20%到50%的病毒。

不过启发式与基于行为的病毒分析容易引起误报。安全软件或许无法分辨出键盘记录程序与通过直接敲击键盘来减短响应时间的游戏之间的区别。结果就是，软件不停地跳出许多不必要的弹出式警告与操作询问，让用户烦恼不已。

BlackHat的Jeff Moss估计这两种病毒检测方式在五年内不会被单独应用，通过病毒定义文件来查毒目前依然是最可靠的。“它们的误报与漏报率太高了。每个人对于检测失误都有自己奇怪的解决方法，但只要他们试着进行部署，用户就会开始抱怨。”

其它解决方法

其它种类的安全产品试着藉由改变用户的电脑环境来抵抗新的未知威胁，并限制着攻击者成功入侵后带来的伤害。有些(比如GreenBorder Pro)为常常成为攻击目标的软件，比如网络浏览器与电邮客户端，创建出一个“沙盒”，或者称虚拟的被隔绝的环境。举个例子来说，攻击者也许可以攻破IE浏览器，但安装间谍软件或者进行其它恶意篡改的举动都无法冲破沙盒的阻拦。

其它一些程序，除了创建虚拟环境以外，还修改用户帐号的权限，这样程序就无法对系统做出深层的改变。这类工具包括微软提供的免费的DropMyRights小程序。