Analyse heuristique
L’analyse heuristique peut employer un certain nombre de techniques différentes. Une méthode heuristique, appelée analyse heuristique statique, consiste à décompiler un programme suspect et à examiner son code source. Ce code est ensuite comparé à des virus déjà connus et figurant dans la base de données heuristique. Si un pourcentage particulier du code source correspond à quelque chose dans la base de données heuristique, le code est signalé comme une menace possible.
Une autre méthode est connue sous le nom d’heuristique dynamique. Lorsque les scientifiques veulent analyser quelque chose de suspect sans mettre en danger les gens, ils contiennent la substance dans un environnement contrôlé comme un laboratoire sécurisé et effectuent des tests. Le processus est similaire pour l’analyse heuristique – mais dans un monde virtuel.
Il isole le programme ou le morceau de code suspect à l’intérieur d’une machine virtuelle spécialisée – ou sandbox – et donne au programme antivirus une chance de tester le code et de simuler ce qui se passerait si le fichier suspect était autorisé à s’exécuter. Il examine chaque commande au fur et à mesure qu’elle est activée et recherche tout comportement suspect, comme l’auto-réplication, l’écrasement de fichiers et d’autres actions communes aux virus.Les problèmes potentiels sont signalés à l’utilisateur.
L’analyse heuristique est idéale pour identifier les nouvelles menaces, mais pour être efficace, l’heuristique doit être soigneusement réglée pour fournir la meilleure détection possible des nouvelles menaces mais sans générer de faux positifs sur du code parfaitement innocent.
Pour cette raison, les outils heuristiques ne sont souvent typiquement qu’une arme dans un arsenal antivirus sophistiqué. Ils sont généralement déployés avec d’autres méthodes de détection des virus, comme l’analyse des signatures et d’autres technologies proactives.