Heuristics

Share

|

Рассмотрим ситуацию, в которой вам было поручено выявить всех мирового класса, международных шпионов, которые могут встретиться, но вы не знали, что они на самом деле выглядел. Можно рассматривать этот вызов первой развивающейся матрицу, перечисленных известных шпионских атрибутов и установленных пунктах их основе, как решительно они указывают шпиона. Ваш список может выглядеть примерно так:

• Носит стильную примеру или смокинг (70 баллов).

• Сохранятся катастроф и других невероятных ситуациях (30 баллов).

• Приводы один пятно автомобиля (80 баллов).

• Никогда волосы плохой день (58 баллов).

Этот список можно продолжить, но общая идея ясна. Если сумма всех точек по отдельным превышает определенную сумму, вы, возможно, решите, что он или она, вероятно, шпиона, не видим этого конкретного шпиона раньше. Затем можно попросить, езда в автомобиле пятно.

Понимая ограниченность подписания основе методы обнаружения, антивирус продавцов разработали аналогичный пути, по которым они могут обнаружить невидимый ранее вирусов, которые обнаруживают некоторые поведенческие и структурные характеристики. Symantec, например, называет это особенность его Нортон AntiVirus Блудхунд продукта. А heuristics основе обнаружения двигателя сканирует файл черты часто видели в вирусы, например:

• Попытки доступа загрузочный сектор.

• Попытки найти все документы в текущем каталоге.

• Попытки писать на EXE файл.

• Попытки снять жесткий диск содержимое.

Как heuristics сканера анализирует файл, он обычно присваивается вес каждого вируса - функция, как он сталкивается. Если файл общий вес превышает определенный порог, то он считает, сканер вредоносного кода. Если сканер разработчика устанавливает этот порог слишком низким, то пользователь может переполнять ложных тревог. С другой стороны, если порог установлен слишком высоким, или если вирус, как и функции не определены, то детектор будет не хватать слишком много вирусов. В любом случае, если пользователю ограниченный характер защиты, если чувствительность устанавливается справа.

Этот метод будет не очень полезно, если антивирусное программное обеспечение удалось обнаружить только после вредоносного вируса выставлены вредоносного поведения, таких, как заражение программ или удаление файлов. В этом случае, вы можете получить предупреждение от антивирусное программное обеспечение, что говорит: "Ваша система только что была полностью подорвана вирус! Иметь красивый день. " Хотя это, безусловно, интересной информации, Вам необходимо получить предупреждение до вредоносная программа свой путь с машиной. Задача состоит в том, чтобы проанализировать подозрительных файлов таким образом, что антивирусное программное обеспечение позволяет определить, какие действия будут выполняться, если вирус действительно появится шанс исполнить. Этот анализ должен произойти до кодекс противоречит. Антивирусные программы решает эту цель пытается эмулировать процессор, что будет казнен потенциально вредоносные программы. В случае исполняемых файлов составленные для Intel x86 машинах, этот подход требует подражания основные характеристики архитектур x86 процессоров. В случае VBScript макросы, встроенный в Microsoft офисных документов, такой подход требует подражания основные функциональные возможности VBScript обработки двигателя.

Учитывая трудность достоверно эмулирует процессором, эвристического обнаружения подходы далеко не абсолютную. Это особенно сложным для оценки воздействия макроэкономической основе вирусов, потому что их структура и возможности выполнения потоков гораздо менее предсказуемой, чем составлен исполняемых файлов. В результате, вирус сканерами не полагаться на heuristics качестве единственного подхода для выявления вирусов - они также используют старые добрые подписания, а иногда они также используют метод проверки целостности описаны далее.