Heuristisk skanning

Heuristisk analys (heuristisk skanning) är en uppsättning antivirusfunktioner som syftar till att upptäcka skadlig programvara som är okänd för virusdatabaser. Samtidigt hänvisar denna term också till en av de specifika metoderna.

Nästan alla moderna antivirusverktyg använder tekniken för heuristisk analys av programkod. Heuristisk analys används ofta i samband med signaturskanning för att söka efter komplexa kodade och polymorfa virus . Den heuristiska analystekniken gör det möjligt att upptäcka tidigare okända infektioner, dock är behandling i sådana fall nästan alltid omöjlig. I det här fallet krävs som regel en ytterligare uppdatering av antivirusdatabaserna för att få de senaste signaturerna och behandlingsalgoritmerna, som kan innehålla information om ett tidigare okänt virus. Annars skickas filen för analys till antivirusanalytiker eller författare till antivirusprogram.

Heuristisk analysteknik

Heuristiska skanningsmetoder ger inte garanterat skydd mot nya datavirus som inte finns i signaturuppsättningen, vilket beror på användningen av tidigare kända virus som föremål för analys av signaturer, och kunskap om mekanismen för signaturpolymorfism som heuristiska verifieringsregler . Samtidigt, eftersom denna sökmetod bygger på empiriska antaganden, kan falska positiva resultat inte helt uteslutas.

I vissa fall är heuristiska metoder extremt framgångsrika, till exempel när det gäller mycket korta programdelar i bootsektorn: om programmet skriver till sektor 1, spår 0, sida 0, leder detta till en förändring av enhetspartitionen . Men bortsett från hjälpprogrammet fdisk används inte det här kommandot någon annanstans, och därför, om det dyker upp oväntat, talar vi om ett startvirus.

I processen med heuristisk analys kontrolleras det emulerade programmet av kodanalysatorn. Till exempel är ett program infekterat med ett polymorft virus som består av en krypterad kropp och en dekryptering. Kodemulatorn läser in instruktioner i antivirusbufferten, analyserar dem till instruktioner och exekverar dem en instruktion i taget, varefter kodanalysatorn beräknar kontrollsumman och jämför den med den som finns lagrad i databasen. Emuleringen kommer att fortsätta tills den del av viruset som krävs för att beräkna kontrollsumman är dekrypterad. Om signaturen stämmer överens är programmet definierat.

Nackdelar med heuristisk skanning

• Överdriven misstänksamhet hos den heuristiska analysatorn kan orsaka falska positiva resultat om programmet innehåller fragment av kod som utför åtgärder och/eller sekvenser, inklusive de som är karakteristiska för vissa virus. I synnerhet orsakar uppackningsprogrammet i filer packade med (Win)Upack PE-packaren falska positiva resultat från ett antal antivirusverktyg som inte känner igen detta problem.

• Tillgång till enkla tekniker för att lura den heuristiska analysatorn. Som regel, innan de distribuerar ett skadligt program (virus), undersöker dess utvecklare de befintliga utbredda antivirusprodukterna och undviker dess upptäckt under heuristisk skanning med olika metoder. Till exempel, modifiera koden, använda element vars exekvering inte stöds av kodemulatorn för dessa antivirus, använda kryptering av en del av koden, etc.
• Trots uttalanden och broschyrer från antivirusutvecklare om förbättring av heuristiska mekanismer, är effektiviteten av heuristisk skanning långt ifrån förväntad.
• Även med framgångsrik identifiering är behandling av ett okänt virus nästan alltid omöjligt. Som ett undantag kan vissa produkter behandla enkeltyp och ett antal polymorfa, krypterade virus som inte har en permanent viral kropp, utan använder en enda injektionsmetod. I det här fallet, för behandling av tiotals och hundratals virus, kan det finnas en post i virusdatabasen.

Se även

• Heuristisk algoritm
• Signaturbaserad detektion

Länkar

• Kodemulering
• Kodanalysatorer i antivirus
• Jämförande analys av heuristiska analysatorer