Heuristisk scanning

Heuristisk analyse (heuristisk scanning) er et sæt antivirusfunktioner , der har til formål at opdage malware, der er ukendt for virusdatabaser. Samtidig refererer dette udtryk også til en af ​​de specifikke metoder.

Næsten alle moderne antivirusværktøjer bruger teknologien til heuristisk analyse af programkode. Heuristisk analyse bruges ofte i forbindelse med signaturscanning til at søge efter komplekse krypterede og polymorfe vira . Den heuristiske analyseteknik gør det muligt at opdage hidtil ukendte infektioner, dog er behandling i sådanne tilfælde næsten altid umulig. I dette tilfælde kræves der som udgangspunkt en yderligere opdatering af antivirusdatabaserne for at få de seneste signaturer og behandlingsalgoritmer, som kan indeholde information om en hidtil ukendt virus. Ellers sendes filen til analyse til antivirusanalytikere eller forfattere af antivirusprogrammer.

Heuristisk analyseteknologi

Heuristiske scanningsmetoder giver ikke garanteret beskyttelse mod nye computervirus, der ikke er i signatursættet, hvilket skyldes brugen af ​​tidligere kendte vira som genstand for analyse af signaturer, og viden om mekanismen for signaturpolymorfi som heuristiske verifikationsregler . Samtidig, da denne søgemetode er baseret på empiriske antagelser, kan falske positiver ikke helt udelukkes.

I nogle tilfælde er heuristiske metoder yderst vellykkede, for eksempel i tilfælde af meget korte programdele i opstartssektoren: hvis programmet skriver til sektor 1, spor 0, side 0, fører dette til en ændring i drevpartitionen . Men bortset fra fdisk -hjælperprogrammet bruges denne kommando ikke andre steder, og derfor, hvis den dukker op uventet, taler vi om en boot-virus.

I processen med heuristisk analyse kontrolleres det emulerede program af kodeanalysatoren. For eksempel er et program inficeret med en polymorf virus bestående af en krypteret krop og en dekryptering. Kodemulatoren læser instruktioner ind i antivirusbufferen, parser dem til instruktioner og udfører dem en instruktion ad gangen, hvorefter kodeanalysatoren beregner kontrolsummen og sammenligner den med den, der er gemt i databasen. Emulering fortsætter, indtil den del af virussen, der er nødvendig for at beregne kontrolsummen, er dekrypteret. Hvis signaturen matcher, er programmet defineret.

Ulemper ved heuristisk scanning

• Overdreven mistænksomhed af den heuristiske analysator kan forårsage falske positiver, hvis programmet indeholder fragmenter af kode, der udfører handlinger og/eller sekvenser, inklusive dem, der er karakteristiske for nogle vira. Især udpakkeren i filer pakket med (Win)Upack PE-pakkeren forårsager falske positiver fra en række antivirusværktøjer, der ikke genkender dette problem.

• Tilgængelighed af simple teknikker til at bedrage den heuristiske analysator. Som regel, før de distribuerer et ondsindet program (virus), undersøger dets udviklere de eksisterende udbredte antivirusprodukter og undgår dets påvisning under heuristisk scanning med forskellige metoder. For eksempel ændring af koden, brug af elementer, hvis udførelse ikke understøttes af kodeemulatoren af ​​disse antivirus, brug af kryptering af en del af koden osv.
• På trods af udtalelser og brochurer fra antivirusudviklere om forbedring af heuristiske mekanismer, er effektiviteten af ​​heuristisk scanning langt fra forventet.
• Selv med vellykket identifikation er behandling af en ukendt virus næsten altid umulig. Som en undtagelse kan nogle produkter behandle enkelt-type og en række polymorfe, krypterede vira, der ikke har en permanent viral krop, men bruger en enkelt injektionsmetode. I dette tilfælde, til behandling af titusinder og hundredvis af vira, kan der være én indgang i virusdatabasen.

Se også

• Heuristisk algoritme
• Signaturbaseret detektion

Links

• Kode emulering
• Kodeanalysatorer i antivirus
• Komparativ analyse af heuristiske analysatorer