Heurisztikus elemzés

A heurisztikus elemzés számos különböző technikát alkalmazhat. Az egyik heurisztikus módszer, az úgynevezett statikus heurisztikus elemzés a gyanús program dekompilálását és forráskódjának vizsgálatát foglalja magában. Ezt a kódot ezután összehasonlítják a már ismert és a heurisztikus adatbázisban szereplő vírusokkal. Ha a forráskód egy bizonyos százaléka megegyezik a heurisztikus adatbázisban találhatóval, akkor a kódot lehetséges fenyegetésként jelölik meg.

A másik módszer az úgynevezett dinamikus heurisztika. Amikor a tudósok valamilyen gyanús dolgot akarnak elemezni anélkül, hogy veszélyeztetnék az embereket, ellenőrzött környezetben, például egy biztonságos laboratóriumban tartják az anyagot, és teszteket végeznek. A folyamat hasonló a heurisztikus elemzéshez – de egy virtuális világban.

A gyanús programot vagy kóddarabot egy speciális virtuális gép – vagy homokozó – belsejében izolálja, és lehetőséget ad a vírusirtó programnak, hogy tesztelje a kódot, és szimulálja, mi történne, ha a gyanús fájl futtatását engedélyeznék. Minden egyes parancsot megvizsgál, amint aktiválódik, és gyanús viselkedést keres, például önreplikációt, fájlok felülírását és más, a vírusokra jellemző műveleteket. a potenciális problémákról a program értesíti a felhasználót.

A heurisztikus elemzés ideális az új fenyegetések azonosítására, de ahhoz, hogy hatékony legyen, a heurisztikát gondosan be kell hangolni, hogy a lehető legjobban felismerje az új fenyegetéseket, de ne generáljon hamis pozitív eredményeket teljesen ártatlan kódokon.

Ezért a heurisztikus eszközök gyakran csak egy fegyvert jelentenek egy kifinomult vírusirtó arzenálban. Általában a vírusfelismerés más módszereivel, például a szignatúraelemzéssel és más proaktív technológiákkal együtt alkalmazzák őket.