标签: malware malware-detection halting-problem
暂停问题表明,一个程序无法预测另一个程序的输出,或者它是否会终止。
这让我思考......基于启发式扫描程序的扫描程序如何决定给定的可执行程序的指令是否“类似病毒”,因为这完全涉及预测程序将要执行的操作?
答案 0 :(得分:1)
通常病毒在其代码中使用某种“模式”,例如打开一些特殊的注册表项或执行罕见的使用过的系统函数,或者自我修改代码,因此分析器可以“看到”这些操作并将此类程序标记为可能病毒,当然它有一定比例的误报