Эвристическое сканирование
Стиль этой статьи неэнциклопедичен или нарушает нормы литературного русского языка. |
В статье не хватает ссылок на источники (см. рекомендации по поиску). |
Эвристический анализ (эвристическое сканирование) представляет собой совокупность функций антивирусного программного обеспечения, направленных на обнаружение вредоносных программ, которые не зафиксированы в вирусных базах данных. Кроме того, данный термин обозначает конкретные методы, используемые для этой цели.
Современные антивирусные средства обычно применяют технологию эвристического анализа программного кода. Чаще всего эвристическое сканирование используется в сочетании с сигнатурным анализом для выявления сложных, шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет обнаруживать ранее неизвестные компьютерные инфекции; однако в таких случаях лечение зачастую оказывается невозможным.
По мере выявления новой угрозы необходимо обновление антивирусных баз для получения актуальных сигнатур и алгоритмов лечения, которые могут содержать информацию о ранее нераспознанном вирусе. В противном случае файл передается на исследование антивирусным экспертам или разработчикам антивирусного программного обеспечения
Технология эвристического анализа
Методы эвристического сканирования не обеспечивают гарантированной защиты от новых, отсутствующих в сигнатурах компьютерных вирусов, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации — знаний о механизме полиморфизма сигнатур. В то же время, поскольку этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания невозможно.
В ряде случаев эвристические методы оказываются чрезвычайно успешными, к примеру, в случае очень коротких программных частей в загрузочном секторе: если программа производит запись в сектор 1, дорожку 0, сторону 0, то это приводит к изменению раздела накопителя. Но кроме вспомогательной программы fdisk эта команда больше нигде не используется, и потому в случае её неожиданного появления речь идёт о загрузочном вирусе.
В процессе эвристического анализа производится проверка эмулируемой программы анализатором кода. К примеру, программа инфицирована полиморфным вирусом, состоящим из зашифрованного тела и расшифровщика. Эмулятор кода считывает инструкции в буфер антивируса, разбирает их на инструкции и производит их исполнение по одной инструкции, после этого анализатор кода подсчитывает контрольную сумму и сверяет её с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчета контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала — программа определена.
Недостатки эвристического сканирования
- Чрезмерная подозрительность эвристического анализатора может вызывать ложные срабатывания при наличии в программе фрагментов кода, выполняющего действия и/или последовательности, в том числе и свойственные некоторым вирусам. В частности, распаковщик в файлах, запакованных PE-упаковщиком (Win)Upack вызывает ложные срабатывания целого ряда антивирусных средств, не признающих такой проблемы.
- Наличие простых методик обмана эвристического анализатора. Как правило, прежде чем распространять вредоносную программу (вирус), её разработчики исследуют существующие распространенные антивирусные продукты, различными методами избегая её детектирование при эвристическом сканировании. К примеру, видоизменяя код, используя элементы, выполнение которых не поддерживается эмулятором кода данных антивирусов, используя шифрование части кода и др.
- Несмотря на заявления и рекламные проспекты разработчиков антивирусных средств относительно совершенствования эвристических механизмов, эффективность эвристического сканирования далека от ожидаемой.
- Даже при успешном определении, лечение неизвестного вируса практически всегда является невозможным. Как исключение, некоторыми продуктами возможно лечение однотипных и ряда полиморфных, шифрующихся вирусов, не имеющих постоянного вирусного тела, но использующих единую методику внедрения. В таком случае, для лечения десятков и сотен вирусов может существовать одна запись в вирусной базе.
См. также
- Эвристический алгоритм
- Обнаружение, основанное на сигнатурах
Ссылки
- Эмуляция программного кода
- Анализаторы кода в антивирусах
- Сравнительный анализ эвристических анализаторов
Для улучшения этой статьи желательно: |
Википедия, чтение, книга, библиотека, поиск, нажмите, истории, книги, статьи, wikipedia, учить, информация, история, скачать, скачать бесплатно, mp3, видео, mp4, 3gp, jpg, jpeg, gif, png, картинка, музыка, песня, фильм, игра, игры, мобильный, телефон, Android, iOS, apple, мобильный телефон, Samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Сеть, компьютер, Информация о Эвристическое сканирование, Что такое Эвристическое сканирование? Что означает Эвристическое сканирование?
Stil etoj stati neenciklopedichen ili narushaet normy literaturnogo russkogo yazyka Statyu sleduet ispravit soglasno stilisticheskim pravilam Vikipedii 10 sentyabrya 2009 V state ne hvataet ssylok na istochniki sm rekomendacii po poisku Informaciya dolzhna byt proveryaema inache ona mozhet byt udalena Vy mozhete otredaktirovat statyu dobaviv ssylki na avtoritetnye istochniki v vide snosok 15 maya 2011 Evristicheskij analiz evristicheskoe skanirovanie predstavlyaet soboj sovokupnost funkcij antivirusnogo programmnogo obespecheniya napravlennyh na obnaruzhenie vredonosnyh programm kotorye ne zafiksirovany v virusnyh bazah dannyh Krome togo dannyj termin oboznachaet konkretnye metody ispolzuemye dlya etoj celi Sovremennye antivirusnye sredstva obychno primenyayut tehnologiyu evristicheskogo analiza programmnogo koda Chashe vsego evristicheskoe skanirovanie ispolzuetsya v sochetanii s signaturnym analizom dlya vyyavleniya slozhnyh shifruyushihsya i polimorfnyh virusov Metodika evristicheskogo analiza pozvolyaet obnaruzhivat ranee neizvestnye kompyuternye infekcii odnako v takih sluchayah lechenie zachastuyu okazyvaetsya nevozmozhnym Po mere vyyavleniya novoj ugrozy neobhodimo obnovlenie antivirusnyh baz dlya polucheniya aktualnyh signatur i algoritmov lecheniya kotorye mogut soderzhat informaciyu o ranee neraspoznannom viruse V protivnom sluchae fajl peredaetsya na issledovanie antivirusnym ekspertam ili razrabotchikam antivirusnogo programmnogo obespecheniyaTehnologiya evristicheskogo analizaMetody evristicheskogo skanirovaniya ne obespechivayut garantirovannoj zashity ot novyh otsutstvuyushih v signaturah kompyuternyh virusov chto obuslovleno ispolzovaniem v kachestve obekta analiza signatur ranee izvestnyh virusov a v kachestve pravil evristicheskoj verifikacii znanij o mehanizme polimorfizma signatur V to zhe vremya poskolku etot metod poiska baziruetsya na empiricheskih predpolozheniyah polnostyu isklyuchit lozhnye srabatyvaniya nevozmozhno V ryade sluchaev evristicheskie metody okazyvayutsya chrezvychajno uspeshnymi k primeru v sluchae ochen korotkih programmnyh chastej v zagruzochnom sektore esli programma proizvodit zapis v sektor 1 dorozhku 0 storonu 0 to eto privodit k izmeneniyu razdela nakopitelya No krome vspomogatelnoj programmy fdisk eta komanda bolshe nigde ne ispolzuetsya i potomu v sluchae eyo neozhidannogo poyavleniya rech idyot o zagruzochnom viruse V processe evristicheskogo analiza proizvoditsya proverka emuliruemoj programmy analizatorom koda K primeru programma inficirovana polimorfnym virusom sostoyashim iz zashifrovannogo tela i rasshifrovshika Emulyator koda schityvaet instrukcii v bufer antivirusa razbiraet ih na instrukcii i proizvodit ih ispolnenie po odnoj instrukcii posle etogo analizator koda podschityvaet kontrolnuyu summu i sveryaet eyo s toj kotoraya hranitsya v baze Emulyaciya budet prodolzhatsya do teh por poka neobhodimaya dlya podscheta kontrolnoj summy chast virusa ne budet rasshifrovana Esli signatura sovpala programma opredelena Nedostatki evristicheskogo skanirovaniyaChrezmernaya podozritelnost evristicheskogo analizatora mozhet vyzyvat lozhnye srabatyvaniya pri nalichii v programme fragmentov koda vypolnyayushego dejstviya i ili posledovatelnosti v tom chisle i svojstvennye nekotorym virusam V chastnosti raspakovshik v fajlah zapakovannyh PE upakovshikom Win Upack vyzyvaet lozhnye srabatyvaniya celogo ryada antivirusnyh sredstv ne priznayushih takoj problemy Nalichie prostyh metodik obmana evristicheskogo analizatora Kak pravilo prezhde chem rasprostranyat vredonosnuyu programmu virus eyo razrabotchiki issleduyut sushestvuyushie rasprostranennye antivirusnye produkty razlichnymi metodami izbegaya eyo detektirovanie pri evristicheskom skanirovanii K primeru vidoizmenyaya kod ispolzuya elementy vypolnenie kotoryh ne podderzhivaetsya emulyatorom koda dannyh antivirusov ispolzuya shifrovanie chasti koda i dr Nesmotrya na zayavleniya i reklamnye prospekty razrabotchikov antivirusnyh sredstv otnositelno sovershenstvovaniya evristicheskih mehanizmov effektivnost evristicheskogo skanirovaniya daleka ot ozhidaemoj Dazhe pri uspeshnom opredelenii lechenie neizvestnogo virusa prakticheski vsegda yavlyaetsya nevozmozhnym Kak isklyuchenie nekotorymi produktami vozmozhno lechenie odnotipnyh i ryada polimorfnyh shifruyushihsya virusov ne imeyushih postoyannogo virusnogo tela no ispolzuyushih edinuyu metodiku vnedreniya V takom sluchae dlya lecheniya desyatkov i soten virusov mozhet sushestvovat odna zapis v virusnoj baze Sm takzheEvristicheskij algoritm Obnaruzhenie osnovannoe na signaturahSsylkiEmulyaciya programmnogo koda Analizatory koda v antivirusah Sravnitelnyj analiz evristicheskih analizatorovDlya uluchsheniya etoj stati zhelatelno Ispravit statyu soglasno stilisticheskim pravilam Vikipedii Oformit statyu po pravilam Dobavit illyustracii Pozhalujsta posle ispravleniya problemy isklyuchite eyo iz spiska parametrov Posle ustraneniya vseh nedostatkov etot shablon mozhet byt udalyon lyubym uchastnikom
