Co to jest analiza heurystyczna w Kaspersky PURE 3.0?

 

Kaspersky PURE 3.0

 
 
 
 

Co to jest analiza heurystyczna w Kaspersky PURE 3.0?

Powrót do sekcji "Informacje ogólne"
2013 kwi 02 ID artykułu: 9712
 
 
 
 

Analiza heurystyczna (lub po prostu heurystyka) to technologia wykrywania wirusów, które nie mogą zostać wykryte przez antywirusowe bazy danych. Pozwala na wykrywanie obiektów, które są podejrzewane o zainfekowanie nieznanym wirusem lub modyfikacją znanego wirusa. Pliki wykryte przez analizę heurystyczną są uważane za prawdopodobnie zainfekowane.

Analiza rozpoczyna się od skanowania kodu w poszukiwaniu podejrzanych atrybutów (poleceń) charakterystycznych dla szkodliwych programów. Metoda ta jest zwana analizą statyczną. Na przykład, wiele szkodliwych programów wyszukuje pliki wykonywalne, otwiera je i modyfikuje. Heurystyka sprawdza kod aplikacji i jeżeli zawiera on podejrzane polecenia, zwiększa jej “licznik podejrzliwości”. Jeśli wartość licznika po przeanalizowaniu kodu aplikacji przekroczy zdefiniowany próg, wówczas obiekt traktowany jest jako potencjalnie zainfekowany. 

Zaletami tej metody jest łatwość implementacji oraz wysoka wydajność. Jednak współczynnik wykrywania dla nowego szkodliwego kodu jest niski, podczas gdy poziom fałszywych alarmów jest wysoki. 

Dlatego w nowoczesnych programach antywirusowych analiza statyczna jest wykorzystywana w połączeniu z analizą dynamiczną. Zamysłem stojącym za tym złożonym podejściem jest emulacja wykonania aplikacji w bezpiecznym środowisku wirtualnym przed uruchomieniem na komputerze użytkownika. W swoich materiałach marketingowych dostawcy wykorzystują również inny termin "emulacja maszyny wirtualnej". 

Dynamiczna analiza heurystyczna kopiuje fragmenty kodu aplikacji do bufora emulacji programu antywirusowego i wykorzystuje specjalne "triki" do emulowania jej wykonania. Jeśli podczas takiego "pozornego wykonania" wykryte zostaną jakieś podejrzane akcje, obiekt zostanie uznany za szkodliwy, a jego wykonywanie na komputerze zostanie zablokowane. 

Metoda dynamiczna wymaga znacznie więcej zasobów systemu niż metoda statyczna, ponieważ analiza oparta na tej metodzie wiąże się z użyciem chronionego środowiska wirtualnego, a wykonanie aplikacji na komputerze jest opóźnione o czas niezbędny do zakończenia analizy. Metoda dynamiczna oferuje znacznie wyższy współczynnik wykrywalności niż metoda statyczna, która generuje dużo niższy wskaźnik fałszywych alarmów. 

Kaspersky PURE 3.0 następujące komponenty zawierają Analizę heurystyczną:

 
 
 
 
Czy te informacje były pomocne?
Tak Nie
Dziękujemy
 
 
 

Dotyczy:


 

 
 

Jak możemy ulepszyć ten artykuł?

Twoja opinia zostanie wykorzystana tylko w celu udoskonalenia zawartości. Jeśli potrzebujesz pomocy, skontaktuj się z działem pomocy technicznej.

Wyślij Wyślij

Dziękujemy za Twoją opinię!

Twoje sugestie pomogą nam ulepszyć ten artykuł.

OK