Análisis heurístico

El análisis heurístico puede emplear una serie de técnicas diferentes. Un método heurístico, conocido como análisis heurístico estático, consiste en descompilar un programa sospechoso y examinar su código fuente. A continuación, este código se compara con los virus ya conocidos y que se encuentran en la base de datos heurística. Si un determinado porcentaje del código fuente coincide con algo de la base de datos heurística, el código se marca como una posible amenaza.

Otro método se conoce como heurística dinámica. Cuando los científicos quieren analizar algo sospechoso sin poner en peligro a las personas, contienen la sustancia en un entorno controlado como un laboratorio seguro y realizan pruebas. El proceso es similar para el análisis heurístico – pero en un mundo virtual.

Aísla el programa o fragmento de código sospechoso dentro de una máquina virtual especializada -o sandbox- y da al programa antivirus la oportunidad de probar el código y simular lo que sucedería si se permitiera la ejecución del archivo sospechoso. Examina cada comando a medida que se activa y busca cualquier comportamiento sospechoso, como la autorreplicación, la sobrescritura de archivos y otras acciones comunes a los virus.Los posibles problemas se comunican al usuario.

El análisis heurístico es ideal para identificar nuevas amenazas, pero para ser eficaz la heurística debe ser cuidadosamente ajustada para proporcionar la mejor detección posible de nuevas amenazas pero sin generar falsos positivos en código perfectamente inocente.

Por esta razón, las herramientas heurísticas suelen ser sólo un arma en un sofisticado arsenal antivirus. Normalmente se despliegan junto con otros métodos de detección de virus, como el análisis de firmas y otras tecnologías proactivas.