Analisi euristica

L’analisi euristica può impiegare una serie di tecniche diverse. Un metodo euristico, noto come analisi euristica statica, comporta la decompilazione di un programma sospetto e l’esame del suo codice sorgente. Questo codice viene poi confrontato con i virus già noti e presenti nel database euristico. Se una particolare percentuale del codice sorgente corrisponde a qualcosa nel database euristico, il codice viene segnalato come una possibile minaccia.

Un altro metodo è noto come euristica dinamica. Quando gli scienziati vogliono analizzare qualcosa di sospetto senza mettere in pericolo le persone, contengono la sostanza in un ambiente controllato come un laboratorio sicuro e conducono dei test. Il processo è simile per l’analisi euristica – ma in un mondo virtuale.

Si isola il programma sospetto o il pezzo di codice all’interno di una macchina virtuale specializzata – o sandbox – e si dà al programma antivirus la possibilità di testare il codice e simulare ciò che accadrebbe se il file sospetto fosse permesso di essere eseguito. Esamina ogni comando quando viene attivato e cerca qualsiasi comportamento sospetto, come l’autoreplicazione, la sovrascrittura di file e altre azioni che sono comuni ai virus.

L’analisi euristica è ideale per identificare nuove minacce, ma per essere efficace l’euristica deve essere attentamente sintonizzata per fornire il miglior rilevamento possibile di nuove minacce, ma senza generare falsi positivi su codice perfettamente innocente.

Per questo motivo, gli strumenti euristici sono spesso in genere solo un’arma in un sofisticato arsenale antivirus. Di solito vengono impiegati insieme ad altri metodi di rilevamento dei virus, come l’analisi delle firme e altre tecnologie proattive.