Kaspersky Anti-Virus 2011 for Mac

Die Heuristische Analyse (Heuristik) ist eine Funktion, das den Code des zu überprüfenden Objekts analysiert und auf Grund von indirekten Merkmalen bestimmt, ob ein Objekt schädlich ist oder nicht. Im Gegensatz zu dem Signatur-basierten Ansatz können mit Hilfe der heuristischen Methode sowohl bekannte als auch unbekannte Viren erkannt werden (d.h. Viren, die nach den aktuellsten Datenbanken entwickelt wurden).

Die Analyse sucht in der Regel zunächst im Code nach verdächtigen Merkmalen (Befehlen), die charakteristisch für schädliche Programme sind. Diese Methode nennt man statische Analyse. Zum Beispiel sucht schädlicher Code häufig nach ausführbaren Programmen, öffnet die gefundenen Dateien und verändert diese. Die Heuristische Analyse sichtet den Code der Anwendung und erhöht den "Verdächtigkeitszähler" für die gegebene Anwendung, wenn er auf einen verdächtigen Befehl stößt. Übersteigt der Wert des Zählers nach Durchsicht des gesamten Codes einen vordefinierten Grenzwert, so wird das Objekt als verdächtig eingestuft.
Die Vorteile dieser Methode liegen in der einfachen Umsetzung und der hohen Arbeitsgeschwindigkeit, allerdings ist die Erkennungsrate neuen schädlichen Codes recht gering, die Wahrscheinlichkeit von False-Positives dagegen ist hoch.

Daher wird die statische Analyse in modernen Antiviren-Produkten mit einer dynamischen Analyse kombiniert. Das Prinzip dieses Ansatzes besteht darin, dass - noch bevor die Anwendung auf dem Computer des Benutzers gestartet wird - der Start in einer sicheren virtuellen Umgebung, dem so genannten Emulationspuffer oder auch Sandbox, emuliert wird. Im Marketing wird noch ein weiterer Terminus verwendet: "Emulation eines virtuellen Computers im Computer".
Die dynamische heuristische Analyse liest einen Teil des Codes der Anwendung in der Sandbox des Antiviren-Produkts und emuliert mit Hilfe spezieller "Tricks" deren Ausführung. Werden während dieser "Pseudoausführung" verdächtige Aktionen entdeckt, so wird das Objekt als schädlich eingestuft und dessen Ausführung auf dem Anwendercomputer wird blockiert.

Im Vergleich zur statischen Methode ist die dynamische ressourcenintensiver, da für die Analyse eine sichere virtuelle Umgebung erforderlich ist und der Start der Anwendung auf dem Anwendercomputer so lange aufgeschoben wird, bis die Analyse abgeschlossen ist. Allerdings ist die Erkennungsrate von Schädlingen bei der dynamischen Methode entschieden höher als bei der statischen und die Wahrscheinlichkeit von False-Positives ist wesentlich geringer.

In Kaspersky Anti-Virus 2011 for Mac wurde die heuristische Analyse im Datei-Anti-Virus und in der Virensuche realisiert.