Analiza heurystyczna w Kaspersky Anti-Virus

 

Kaspersky Anti-Virus 2013

 
 
 

Analiza heurystyczna w Kaspersky Anti-Virus

Powrót do sekcji "Informacje ogólne"
2012 paź 09 ID artykułu: 8641
 
 
 
 

Informacja dotyczy aplikacji  Kaspersky Anti-Virus

Analiza heurystyczna (lub po prostu heurystyka) to technologia wykrywania wirusów, które nie mogą zostać wykryte przy pomocy antywirusowych baz danych. Pozwala na wykrywanie obiektów, które są podejrzewane o bycie zainfekowanymi nieznanym wirusem lub modyfikacją znanego wirusa. Umożliwia wykrywanie około 92% nowych zagrożeń. Mechanizm ten jest dość efektywny i bardzo rzadko wywołuje fałszywe wykrycia. Pliki odnalezione przez analizę heurystyczną są uważane za podejrzane.

Analiza rozpoczyna się od skanowania kodu w poszukiwaniu podejrzanych atrybutów (poleceń) charakterystycznych dla szkodliwych programów. Metoda ta jest zwana analizą statyczną. Na przykład, wiele szkodliwych programów wyszukuje programy wykonywalne, otwiera odnalezione pliki i modyfikuje je. Heurystyka sprawdza kod aplikacji i zwiększa wartość "licznika podejrzliwości" dla tej aplikacji jeśli napotka podejrzane polecenie. Jeśli wartość licznika po zbadaniu całego kodu aplikacji przekracza zdefiniowany próg, obiekt jest uważany za podejrzany. 

Zaletami tej metody jest łatwość implementacji oraz wysoka wydajność. Jednak współczynnik wykrywania dla nowego szkodliwego kodu jest niski, podczas gdy poziom fałszywych alarmów jest wysoki. 

Dlatego w nowoczesnych programach antywirusowych analiza statyczna jest wykorzystywana w połączeniu z analizą dynamiczną. Zamysłem stojącym za tym złożonym podejściem jest emulacja wykonania aplikacji w bezpiecznym środowisku wirtualnym (co czasami określa się jako bufor emulacji lub "piaskownica") przed właściwym uruchomieniem na komputerze użytkownika. W swoich materiałach marketingowych dostawcy wykorzystują również inny termin "emulacja maszyny wirtualnej". 

Dynamiczna analiza heurystyczna kopiuje fragmenty kodu aplikacji do bufora emulacji programu antywirusowego i wykorzystuje specjalne "triki" do emulowania jej wykonania. Jeśli podczas takiego "pozornego wykonania" wykryte zostaną jakieś podejrzane akcje, obiekt zostanie uznany za szkodliwy, a jego wykonywanie na komputerze zostanie zablokowane. 

Metoda dynamiczna wymaga znacznie więcej zasobów systemu niż metoda statyczna, ponieważ analiza oparta na tej metodzie wiąże się z użyciem chronionego środowiska wirtualnego, a wykonanie aplikacji na komputerze jest opóźnione o czas niezbędny do zakończenia analizy. Metoda dynamiczna pozwala jednak na uzyskanie wyższych współczynników wykrywania szkodliwego oprogramowania niż metoda statyczna, przy mniejszej liczbie fałszywych alarmów. 

Kaspersky Anti-Virus 2013 Analizę heurystyczną zawierają następujące składniki:

 
 
 
 
Czy te informacje były pomocne?
Tak Nie
Dziękujemy
 

 
 

Jak możemy ulepszyć ten artykuł?

Twoja opinia zostanie wykorzystana tylko w celu udoskonalenia zawartości. Jeśli potrzebujesz pomocy, skontaktuj się z działem pomocy technicznej.

Wyślij Wyślij

Dziękujemy za Twoją opinię!

Twoje sugestie pomogą nam ulepszyć ten artykuł.

OK