Эвристический анализ — это метод обнаружения вирусов путем проверки кода на наличие подозрительных свойств.
Традиционные методы обнаружения вирусов предполагают идентификацию вредоносного ПО путем сравнения кода в программе с кодом известных типов вирусов, которые уже встречались, анализировались и регистрировались в базе данных, — это называется обнаружением сигнатур.
Несмотря на свою полезность и по-прежнему широкое применение, метод обнаружения сигнатур стал более ограниченным из-за появления новых угроз, которые возникли на рубеже веков и продолжают появляться постоянно.
Для решения этой проблемы была специально разработана эвристическая модель, позволяющая выявлять подозрительные характеристики, которые можно обнаружить в неизвестных новых вирусах и модифицированных версиях существующих угроз, а также в известных образцах вредоносного ПО.
Киберпреступники постоянно разрабатывают новые угрозы, и эвристический анализ — один из немногих методов, используемых для борьбы с огромным объемом этих новых угроз, которые появляются ежедневно.
Эвристический анализ также является одним из немногих методов, способных бороться с полиморфными вирусами — вредоносным кодом, который постоянно изменяется и адаптируется. Эвристический анализ включен в передовые решения по безопасности, предлагаемые такими компаниями, как «Лаборатория Kaspersky» , для обнаружения новых угроз до того, как они нанесут вред, без необходимости использования специальной сигнатуры.
Как работает эвристический анализ?
Эвристический анализ может использовать ряд различных методов. Один из эвристических методов, известный как статический эвристический анализ, включает декомпиляцию подозрительной программы и проверку ее исходного кода. Затем этот код сравнивается с уже известными вирусами, находящимися в эвристической базе данных. Если определенный процент исходного кода совпадает с чем-либо в эвристической базе данных, код помечается как возможная угроза.
Другой метод известен как динамическая эвристика. Когда ученые хотят проанализировать что-то подозрительное, не подвергая опасности людей, они помещают вещество в контролируемую среду, например, в защищенную лабораторию, и проводят испытания. Процесс аналогичен эвристическому анализу, но в виртуальном мире.
Он изолирует подозрительную программу или фрагмент кода внутри специализированной виртуальной машины — или «песочницы» — и дает антивирусной программе возможность протестировать код и смоделировать, что произойдет, если разрешить запуск подозрительного файла. Он проверяет каждую команду при ее активации и ищет любые подозрительные действия, такие как саморепликация, перезапись файлов и другие действия, характерные для вирусов.
Потенциальные проблемы
Эвристический анализ идеально подходит для выявления новых угроз, но для того, чтобы быть эффективным, эвристический анализ должен быть тщательно настроен, чтобы обеспечить наилучшее возможное обнаружение новых угроз, не создавая при этом ложных срабатываний для совершенно безобидного кода.
По этой причине эвристические инструменты зачастую являются лишь одним из видов оружия в арсенале сложного антивируса . Обычно они применяются вместе с другими методами обнаружения вирусов, такими как анализ сигнатур и другие проактивные технологии.
Статьи по теме:
- Что такое рекламное ПО?
- Что такое троянская программа?
- Компьютерные вирусы и зловреды: факты и часто задаваемые вопросы
- Спам и фишинг
