Heuristická analýza
Heuristická analýza může využívat řadu různých technik. Jedna z heuristických metod, známá jako statická heuristická analýza, zahrnuje dekompilování podezřelého programu a zkoumání jeho zdrojového kódu. Tento kód se pak porovnává s již známými viry, které jsou v heuristické databázi. Pokud se určité procento zdrojového kódu shoduje s něčím v heuristické databázi, je kód označen jako možná hrozba.
Další metoda je známá jako dynamická heuristika. Když chtějí vědci analyzovat něco podezřelého, aniž by ohrozili lidi, umístí látku do kontrolovaného prostředí, například do zabezpečené laboratoře, a provedou testy. U heuristické analýzy je postup podobný – ale ve virtuálním světě.
Podezřelý program nebo část kódu izoluje uvnitř specializovaného virtuálního stroje – neboli sandboxu – a dává antivirovému programu možnost testovat kód a simulovat, co by se stalo, kdyby bylo spuštění podezřelého souboru povoleno. Zkoumá každý příkaz při jeho aktivaci a hledá jakékoli podezřelé chování, například samoreplikaci, přepisování souborů a další akce, které jsou pro viry běžné. potenciální problémy jsou hlášeny uživateli.
Heuristická analýza je ideální pro identifikaci nových hrozeb, ale aby byla účinná, musí být heuristika pečlivě vyladěna tak, aby poskytovala co nejlepší detekci nových hrozeb, ale zároveň negenerovala falešně pozitivní výsledky u zcela nevinného kódu.
Z tohoto důvodu jsou heuristické nástroje často obvykle jen jednou ze zbraní v sofistikovaném antivirovém arzenálu. Obvykle jsou nasazovány spolu s dalšími metodami detekce virů, jako je analýza signatur a další proaktivní technologie.