Эвристический анализ вредоносного ПО работает путём проверки кода на наличие подозрительных свойств. 1

Работа анализатора основывается на наборе эвристик — предположений о характерных признаках вредоносного и безопасного исполняемого кода. 3 Каждый признак кода имеет определённый вес — число, показывающее важность и достоверность этого признака. 3 Вес может быть как положительным, если признак указывает на наличие вредоносного поведения кода, так и отрицательным, если признак не свойственен компьютерным угрозам. 3

На основании суммарного веса, характеризующего содержимое объекта, эвристический анализатор вычисляет вероятность содержания в нём неизвестного вредоносного объекта. 3 Если эта вероятность превышает некоторое пороговое значение, то выдаётся заключение о том, что анализируемый объект является вредоносным. 3

Некоторые методы эвристического анализа:

• Статический эвристический анализ. 1 Включает декомпиляцию подозрительной программы и проверку её исходного кода. 1 Затем этот код сравнивается с уже известными вирусами, находящимися в эвристической базе данных. 1 Если определённый процент исходного кода совпадает с чем-либо в эвристической базе данных, код помечается как возможная угроза. 1
• Динамическая эвристика. 1 Изолирует подозрительную программу или фрагмент кода внутри специализированной виртуальной машины («песочницы») и даёт антивирусной программе возможность протестировать код и смоделировать, что произойдёт, если разрешить запуск подозрительного файла. 1

Эвристический анализ подходит для выявления новых угроз, но может допускать ошибки как первого рода (пропуск неизвестных угроз), так и второго рода (признание безопасной программы вредоносной). 3