Análise heurística

Análise heurística pode empregar uma série de técnicas diferentes. Um método heurístico, conhecido como análise heurística estática, envolve a descompilação de um programa suspeito e o exame de seu código fonte. Este código é então comparado a vírus que já são conhecidos e que estão na base de dados heurística. Se uma determinada percentagem do código-fonte corresponde a qualquer coisa no banco de dados heurístico, o código é marcado como uma possível ameaça.

Um outro método é conhecido como heurística dinâmica. Quando os cientistas querem analisar algo suspeito sem colocar em perigo as pessoas, eles contêm a substância em um ambiente controlado como um laboratório seguro e realizam testes. O processo é similar para análise heurística – mas em um mundo virtual.

Isola o programa ou código suspeito dentro de uma máquina virtual especializada – ou sandbox – e dá ao programa antivírus uma chance de testar o código e simular o que aconteceria se o arquivo suspeito fosse permitido rodar. Ele examina cada comando conforme ele é ativado e procura por quaisquer comportamentos suspeitos, tais como auto-replicação, sobrescrever arquivos e outras ações que são comuns aos vírus.

A análise heurística é ideal para identificar novas ameaças, mas para ser eficaz a heurística deve ser cuidadosamente ajustada para fornecer a melhor detecção possível de novas ameaças, mas sem gerar falsos positivos em código perfeitamente inocente.

Por este motivo, as ferramentas heurísticas são normalmente apenas uma arma em um arsenal antivírus sofisticado. Elas são tipicamente implementadas juntamente com outros métodos de detecção de vírus, tais como análise de assinatura e outras tecnologias proativas.