Heurisztikus szkennelés

A heurisztikus elemzés (heurisztikus vizsgálat) olyan víruskereső funkciók összessége, amelyek célja a vírusadatbázisok számára ismeretlen rosszindulatú programok észlelése . Ugyanakkor ez a kifejezés az egyik konkrét módszerre is utal.

Szinte minden modern víruskereső eszköz a programkód heurisztikus elemzésének technológiáját használja. A heurisztikus elemzést gyakran használják az aláírás-ellenőrzéssel együtt összetett kódolt és polimorf vírusok keresésére . A heurisztikus elemzési technika lehetővé teszi a korábban ismeretlen fertőzések kimutatását, azonban a kezelés ilyen esetekben szinte mindig lehetetlen. Ebben az esetben általában a víruskereső adatbázisok további frissítésére van szükség a legújabb aláírások és kezelési algoritmusok beszerzéséhez, amelyek egy korábban ismeretlen vírussal kapcsolatos információkat tartalmazhatnak. Ellenkező esetben a fájl elemzésre elküldésre kerül a víruskereső elemzőknek vagy a víruskereső programok szerzőinek.

Heurisztikus elemzési technológia

A heurisztikus szkennelési módszerek nem nyújtanak garantált védelmet az új számítógépes vírusok ellen, amelyek nem szerepelnek az aláíráskészletben, ami annak köszönhető, hogy korábban ismert vírusokat használnak az aláírások elemzésének tárgyaként, és az aláírás - polimorfizmus mechanizmusának ismerete, mint heurisztikus ellenőrzési szabály. . Ugyanakkor, mivel ez a keresési módszer empirikus feltételezéseken alapul, nem zárható ki teljesen a hamis pozitív eredmény.

Egyes esetekben a heurisztikus módszerek rendkívül sikeresek, például a nagyon rövid programrészek esetében a rendszerindító szektorban: ha a program az 1. szektorba ír, a 0. sávba, a 0. oldalra, akkor ez a meghajtópartíció változásához vezet. . De az fdisk helper programon kívül ezt a parancsot sehol máshol nem használják, ezért ha váratlanul megjelenik, rendszerindító vírusról beszélünk.

A heurisztikus elemzés során az emulált programot a kódelemző ellenőrzi. Például egy program meg van fertőzve egy polimorf vírussal, amely egy titkosított törzsből és egy dekódolóból áll. A kódemulátor beolvassa az utasításokat a vírusvédelmi pufferbe, utasításokká elemzi és utasításonként végrehajtja, majd a kódelemző kiszámítja az ellenőrző összeget és összehasonlítja az adatbázisban tárolttal. Az emuláció mindaddig folytatódik, amíg a vírusnak az ellenőrző összeg kiszámításához szükséges része vissza nem fejti. Ha az aláírás egyezik, a program definiálva van.

A heurisztikus szkennelés hátrányai

• A heurisztikus elemző túlzott gyanakvása téves pozitív eredményeket okozhat, ha a program olyan kódrészleteket tartalmaz, amelyek műveleteket és/vagy szekvenciákat hajtanak végre, beleértve az egyes vírusokra jellemzőket is. Különösen a (Win)Upack PE csomagolóval csomagolt fájlok kicsomagolója okoz hamis pozitív eredményeket számos víruskereső eszközből, amelyek nem ismerik fel ezt a problémát.

• Egyszerű technikák elérhetősége a heurisztikus analizátor megtévesztésére. Általános szabály, hogy egy rosszindulatú program (vírus) terjesztése előtt annak fejlesztői megvizsgálják a meglévő, széles körben elterjedt vírusirtó termékeket, elkerülve annak észlelését a különféle módszerekkel végzett heurisztikus vizsgálat során. Például a kód módosítása, olyan elemek használata, amelyek végrehajtását nem támogatja ezen antivírusok kódemulátora, a kód egy részének titkosítása stb.
• A vírusirtó fejlesztőinek a heurisztikus mechanizmusok fejlesztésével kapcsolatos nyilatkozatai és brosúrái ellenére a heurisztikus szkennelés hatékonysága messze nem várható.
• Még sikeres azonosítás esetén is szinte mindig lehetetlen egy ismeretlen vírus kezelése. Kivételként egyes termékek egyfajta és számos polimorf, titkosított vírus kezelésére alkalmasak, amelyek nem rendelkeznek állandó vírustesttel, de egyetlen injekciós módszert alkalmaznak. Ebben az esetben több tíz és több száz vírus kezelésére egy bejegyzés lehet a vírusadatbázisban.

Lásd még

• Heurisztikus algoritmus
• Aláírás alapú észlelés

Linkek

• Kód emuláció
• Kódelemzők az antivírusokban
• Heurisztikus elemzők összehasonlító elemzése