Как работает эвристический анализ вредоносного ПО?

Эвристический анализ вредоносного ПО работает путём проверки кода на наличие подозрительных свойств. www.kaspersky.ru

Работа анализатора основывается на наборе эвристик — предположений о характерных признаках вредоносного и безопасного исполняемого кода. download.geo.drweb.com Каждый признак кода имеет определённый вес — число, показывающее важность и достоверность этого признака. download.geo.drweb.com Вес может быть как положительным, если признак указывает на наличие вредоносного поведения кода, так и отрицательным, если признак не свойственен компьютерным угрозам. download.geo.drweb.com

На основании суммарного веса, характеризующего содержимое объекта, эвристический анализатор вычисляет вероятность содержания в нём неизвестного вредоносного объекта. download.geo.drweb.com Если эта вероятность превышает некоторое пороговое значение, то выдаётся заключение о том, что анализируемый объект является вредоносным. download.geo.drweb.com

Некоторые методы эвристического анализа:

• Статический эвристический анализ. www.kaspersky.ru Включает декомпиляцию подозрительной программы и проверку её исходного кода. www.kaspersky.ru Затем этот код сравнивается с уже известными вирусами, находящимися в эвристической базе данных. www.kaspersky.ru Если определённый процент исходного кода совпадает с чем-либо в эвристической базе данных, код помечается как возможная угроза. www.kaspersky.ru
• Динамическая эвристика. www.kaspersky.ru Изолирует подозрительную программу или фрагмент кода внутри специализированной виртуальной машины («песочницы») и даёт антивирусной программе возможность протестировать код и смоделировать, что произойдёт, если разрешить запуск подозрительного файла. www.kaspersky.ru

Эвристический анализ подходит для выявления новых угроз, но может допускать ошибки как первого рода (пропуск неизвестных угроз), так и второго рода (признание безопасной программы вредоносной). download.geo.drweb.com