Heuristische Analyse in Kaspersky Anti-Virus 2013

 

Kaspersky Anti-Virus 2013

 
 
 

Heuristische Analyse in Kaspersky Anti-Virus 2013

Zurück zu "Allgemeine Informationen"
2012 Dez 07 Artikel ID: 8641
 
 
 
 

Die Informationen in diesem Artikel beziehen sich auf: Kaspersky Anti-Virus

Die Heuristische Analyse (Heuristik) ist eine Funktion, das den Code des zu überprüfenden Objekts analysiert und auf Grund von indirekten Merkmalen bestimmt, ob ein Objekt schädlich ist oder nicht. Im Gegensatz zu dem Signatur-basierten Ansatz können mit Hilfe der heuristischen Methode sowohl bekannte als auch unbekannte Viren erkannt werden (d.h. Viren, die nach den aktuellsten Datenbanken entwickelt wurden).

Die Analyse sucht in der Regel zunächst im Code nach verdächtigen Merkmalen (Befehlen), die charakteristisch für schädliche Programme sind. Diese Methode nennt man statische Analyse. Zum Beispiel sucht schädlicher Code häufig nach ausführbaren Programmen, öffnet die gefundenen Dateien und verändert diese. Die Heuristische Analyse sichtet den Code der Anwendung und erhöht den "Verdächtigkeitszähler" für die gegebene Anwendung, wenn er auf einen verdächtigen Befehl stößt. Übersteigt der Wert des Zählers nach Durchsicht des gesamten Codes einen vordefinierten Grenzwert, so wird das Objekt als verdächtig eingestuft.
Die Vorteile dieser Methode liegen in der einfachen Umsetzung und der hohen Arbeitsgeschwindigkeit, allerdings ist die Erkennungsrate neuen schädlichen Codes recht gering, die Wahrscheinlichkeit von False-Positives dagegen ist hoch.

Daher wird die statische Analyse in modernen Antiviren-Produkten mit einer dynamischen Analyse kombiniert. Das Prinzip dieses Ansatzes besteht darin, dass - noch bevor die Anwendung auf dem Computer des Benutzers gestartet wird - der Start in einer sicheren virtuellen Umgebung, dem so genannten Emulationspuffer oder auch Sandbox, emuliert wird. Im Marketing wird noch ein weiterer Terminus verwendet: "Emulation eines virtuellen Computers im Computer".
Die dynamische heuristische Analyse liest einen Teil des Codes der Anwendung in der Sandbox des Antiviren-Produkts und emuliert mit Hilfe spezieller "Tricks" deren Ausführung. Werden während dieser "Pseudoausführung"
verdächtige Aktionen entdeckt, so wird das Objekt als schädlich eingestuft und dessen Ausführung auf dem Anwendercomputer wird blockiert.

Im Vergleich zur statischen ist die dynamische Methode ressourcenintensiver, da für die Analyse eine sichere virtuelle Umgebung erforderlich ist und der Start der Anwendung auf dem Anwendercomputer so lange aufgeschoben wird, bis die Analyse abgeschlossen ist. Allerdings ist die Erkennungsrate von Schädlingen bei der dynamischen Methode entschieden höher als bei der statischen und die Wahrscheinlichkeit von False-Positives ist wesentlich geringer.

In Kaspersky Anti-Virus 2013 wurde die heuristische Analyse in folgenden Komponenten realisiert:

 
 
 
 
Waren diese Informationen hilfreich?
Ja Nein
Danke
 

 
 

Wie können wir den Artikel verbessern?

Wir nutzen Ihr Feedback, nur um diesen Artikel zu verbessern. Wenn Sie Hilfe für unsere Produkte brauchen, wenden Sie sich an den technischen Support von Kaspersky.

Senden Senden

Danke für Ihr Feedback!

Ihre Vorschläge helfen uns dabei, den Artikel zu verbessern.

OK