Эвристический анализ что это такое


Эвристический анализ - это... Что такое Эвристический анализ?

Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко используется совместно с сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако, лечение в таких случаях практически всегда оказывается невозможным. В таком случае, как правило, требуется дополнительное обновление антивирусных баз для получения последних сигнатур и алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ.

Технология эвристического анализа

Методы эвристического сканирования не обеспечивают какой-либо гарантированной защиты от новых, отсутствующих в сигнатурном наборе, компьютерных вирусов, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации – знаний о механизме полиморфизма сигнатур. В то же время, этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания нельзя.

В ряде случаев, эвристические методы оказываются чрезвычайно успешными, к примеру, в случае очень коротких программных частей в загрузочном секторе: если, программа производит запись в сектор 1, дорожку 0, сторону 0, то это приводит к изменению раздела накопителя. Но кроме вспомогательной программы FDISK эта команда больше нигде не используется, и потому в случае ее неожиданного появления речь идет о загрузочном вирусе.

В процессе эвристического анализа производится проверка эмулируемой программы анализатором кода. К примеру, программа инфицирована полиморфным вирусом, состоящим из зашифрованного тела и расшифровщика. Эмулятор кода эмулирует работу данного вируса по одной инструкции, после этого анализатор кода подсчитывает контрольную сумму и сверяет ее с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчета контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала - программа идентифицирована.

Другим распространенным методом эвристического анализа, применяемым большой группой антивирусов, является декомпиляция подозрительной программы и анализ ее исходного кода. Исходный код подозрительного файла проходит сверку и сравнение с исходным кодом известных вирусов и образчиков вирусной активности. В случае, если определенный процент исходного кода идентичен коду известного вируса или вирусной активности, файл отмечается как подозрительный, о чем оповещается пользователь.

Недостатки эвристического сканирования

  • Чрезмерная подозрительность эвристического анализатора может вызывать ложные срабатывания при наличии в программе фрагментов кода, выполняющего действия и/или последовательности, в том числе и свойственные некоторым вирусам. В частности, распаковщик в файлах, запакованных PE-упаковщиком (Win)Upack вызывает ложные срабатывания целого ряда антивирусных средств, де-факто не признающих такой проблемы. Другой проблемой анализаторов является ошибочное срабатывание при проверке совершенно безобидного кода.

К примеру, скомпилированный с помощью Delphi 7 или Delphi 2007 код:

program XDC; {$APPTYPE CONSOLE} uses SysUtils; begin if (paramstr(3)='d') then begin FileSetReadOnly(paramstr(2),false); DeleteFile(paramstr(2)); end; end.

Вызывает ложные срабатывания у антивирусов типа Panda (независимо от версии компилятора), Webwasher GateWay (при компиляции Delphi 2007[1]), F-Secure (при компиляции Delphi 7[2]). Как видно из примера, программа абсолютно безопасна и совершенно отсутствуют какие-либо признаки вредоносного кода и вирусного функционала (весь функционал примера: если в качестве третьего параметра указан ключ «d», программа удаляет файл, указанный во втором параметре).

  • Наличие простых методик обмана эвристического анализатора. Как правило, прежде чем распространять вредоносную программу (вирус), ее разработчики исследуют существующие распространенные антивирусные продукты, различными методами избегая ее детектирование при эвристическом сканировании. К примеру, видоизменяя код, используя элементы, выполнение которых не поддерживается эмулятором кода данных антивирусов, используя шифрование части кода и др.

Несмотря на заявления и рекламные проспекты разработчиков антивирусных средств относительно совершенствования эвристических механизмов, эффективность эвристического сканирования на данный момент далека от ожидаемой. Независимые тесты компонентов эвристического анализа показывают, что уровень обнаружения новых вредоносных программ составляет не более чем 40-50% от их числа.[3](англ.)

  • Даже при успешном определении, лечение неизвестного вируса практически всегда является невозможным. Как исключение, некоторыми продуктами возможно лечение однотипных и ряда полиморфных, шифрующихся вирусов, не имеющих постоянного вирусного тела, но использующих единую методику внедрения. В таком случае, для лечения десятков и сотен вирусов может существовать одна запись в вирусной базе, как это реализовано, к примеру, в антивирусе И. Данилова.

См. также

  • Эвристика
  • Антивирус
  • Полиморфизм
  • Обнаружение, основанное на сигнатурах

Ссылки

Внешние ссылки

  • Сравнительный анализ эвристических анализаторов

Wikimedia Foundation. 2010.

dic.academic.ru

Эвристический анализ: достоинства и недостатки метода

Эвристический анализ — это метод обнаружения компьютерных вирусов и вредоносных программ, которых нет в базах (вирусных сигнатурах) путем изучения фрагментов кода и сравнения их с известными вирусными угрозами.

Термин эвристика греческого происхождения обозначает отыскивать или находить. Данная технология основывается на логическом предположении, что новые вирусы частично похожи на знакомые изученные образцы. В подавляющем большинстве случаев данная догадка правдива. Положительной стороной эвристического анализа является практическая способность нахождения новых неизученных вредоносных программ и предотвращение массовых эпидемий. Несовершенство этой гипотезы проявляется в ошибочном определении вирусного кода в безопасных файлах.

Все современные антивирусы оснащены эвристическими анализаторами машинного кода, в первую очередь, для выявления полиморфных вирусов, изменяющих свой программный код после каждого заражения. При нахождении зараженных объектов пользователь получит соответствующее сообщение. Но лечение выполняется только после внесение информации в сигнатурные базы. До этого опасные файлы изолируются в карантинной зоне, откуда, в случае ложной тревоги, можно быстро восстановить на прежнее место. Лечение не применяется из опасения потери информации и нанесения большего вреда, чем само заражение.

Недостатки эвристического сканирования

На практике эвристический анализ оказывается не настолько эффективным как информируют разработчики антивирусных программ в рекламных проспектах. Авторы вирусов, перед их распространением, тестируют на популярных антивирусах, чтобы найти способы обмануть эвристический анализатор и сигнатурное сканирование.

Главный недостаток эвристического анализа — ложные срабатывания, когда безопасные программы по ошибке определяются как зараженные, потому что их отдельные последовательности машинного кода аналогичны вредоносному программному обеспечению.

Даже если вредоносная программа будет успешна обнаружена, лечение зараженных файлов невозможно. Только люди могут создать алгоритм извлечения вредоносного кода без нанесения вреда остальной информации. Единственное, что остаётся – изолировать опасные объекты в защищенной карантинной зоне и ждать, когда вирус будет изучен и создан способ лечения.

Еще эвристическое сканирование бесполезно и бессильно против передовых новаторский вирусных программ, написанных с чистого листа и не похожие на другие компьютерные вирусы, что на практике приводит к массовым вирусным заражениям.

antivirus.co.ua

Эвристическое сканирование - это... Что такое Эвристическое сканирование?

В этой статье не хватает ссылок на источники информации. Информация должна быть проверяема, иначе она может быть поставлена под сомнение и удалена. Вы можете отредактировать эту статью, добавив ссылки на авторитетные источники. Эта отметка установлена 15 мая 2011.

Эвристический анализ (эвристическое сканирование) — это совокупность функций антивируса, нацеленных на обнаружение неизвестных вирусным базам вредоносных программ, но в то же время этот же термин обозначает один из конкретных способов.

Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко используется совместно с сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако, лечение в таких случаях практически всегда оказывается невозможным. В таком случае, как правило, требуется дополнительное обновление антивирусных баз для получения последних сигнатур и алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ.

Технология эвристического анализа

Методы эвристического сканирования не обеспечивают какой-либо гарантированной защиты от новых, отсутствующих в сигнатурном наборе компьютерных вирусов, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации — знаний о механизме полиморфизма сигнатур. В то же время, поскольку этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания нельзя.

В ряде случаев эвристические методы оказываются чрезвычайно успешными, к примеру, в случае очень коротких программных частей в загрузочном секторе: если программа производит запись в сектор 1, дорожку 0, сторону 0, то это приводит к изменению раздела накопителя. Но кроме вспомогательной программы fdisk эта команда больше нигде не используется, и потому в случае её неожиданного появления речь идёт о загрузочном вирусе.

В процессе эвристического анализа производится проверка эмулируемой программы анализатором кода. К примеру, программа инфицирована полиморфным вирусом, состоящим из зашифрованного тела и расшифровщика. Эмулятор кода считывает инструкции в буфер антивируса, разбирает их на инструкции и производит их исполнение по одной инструкции, после этого анализатор кода подсчитывает контрольную сумму и сверяет её с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчета контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала — программа определена.

Недостатки эвристического сканирования

  • Чрезмерная подозрительность эвристического анализатора может вызывать ложные срабатывания при наличии в программе фрагментов кода, выполняющего действия и/или последовательности, в том числе и свойственные некоторым вирусам. В частности, распаковщик в файлах, запакованных PE-упаковщиком (Win)Upack вызывает ложные срабатывания целого ряда антивирусных средств, не признающих такой проблемы.
  • Наличие простых методик обмана эвристического анализатора. Как правило, прежде чем распространять вредоносную программу (вирус), её разработчики исследуют существующие распространенные антивирусные продукты, различными методами избегая её детектирование при эвристическом сканировании. К примеру, видоизменяя код, используя элементы, выполнение которых не поддерживается эмулятором кода данных антивирусов, используя шифрование части кода и др.

Несмотря на заявления и рекламные проспекты разработчиков антивирусных средств относительно совершенствования эвристических механизмов, эффективность эвристического сканирования на данный момент далека от ожидаемой. Независимые тесты компонентов эвристического анализа показывают, что уровень обнаружения новых вредоносных программ составляет не более чем 40-50 % от их числа.[источник не указан 638 дней]

  • Даже при успешном определении, лечение неизвестного вируса практически всегда является невозможным. Как исключение, некоторыми продуктами возможно лечение однотипных и ряда полиморфных, шифрующихся вирусов, не имеющих постоянного вирусного тела, но использующих единую методику внедрения. В таком случае, для лечения десятков и сотен вирусов может существовать одна запись в вирусной базе, как это реализовано, к примеру, в антивирусе И. Данилова.

Примечания

См. также

  • Эвристический алгоритм
  • Обнаружение, основанное на сигнатурах

Ссылки

dic.academic.ru

Эвристический анализ

Эвристический анализ (эвристическое сканирование) -- это совокупность функций антивируса, нацеленных на обнаружение неизвестных вирусным базам вредоносных программ, но в то же время этот же термин обозначает один из конкретных способов.

Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко используется совместно с сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако, лечение в таких случаях практически всегда оказывается невозможным. В таком случае, как правило, требуется дополнительное обновление антивирусных баз для получения последних сигнатур и алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ.

Методы эвристического сканирования не обеспечивают какой-либо гарантированной защиты от новых, отсутствующих в сигнатурном наборе компьютерных вирусов, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации -- знаний о механизме полиморфизма сигнатур. В то же время, поскольку этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания нельзя.

В ряде случаев эвристические методы оказываются чрезвычайно успешными, к примеру, в случае очень коротких программных частей в загрузочном секторе: если программа производит запись в сектор 1, дорожку 0, сторону 0, то это приводит к изменению раздела накопителя. Но кроме вспомогательной программы fdisk эта команда больше нигде не используется, и потому в случае её неожиданного появления речь идёт о загрузочном вирусе.

В процессе эвристического анализа производится проверка эмулируемой программы анализатором кода. К примеру, программа инфицирована полиморфным вирусом, состоящим из зашифрованного тела и расшифровщика. Эмулятор кода считывает инструкции в буфер антивируса, разбирает их на инструкции и производит их исполнение по одной инструкции, после этого анализатор кода подсчитывает контрольную сумму и сверяет её с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчета контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала -- программа определена.

Недостатки эвристического сканирования:

Чрезмерная подозрительность эвристического анализатора может вызывать ложные срабатывания при наличии в программе фрагментов кода, выполняющего действия и/или последовательности, в том числе и свойственные некоторым вирусам. В частности, распаковщик в файлах, запакованных PE-упаковщиком (Win)Upack вызывает ложные срабатывания целого ряда антивирусных средств, не признающих такой проблемы.

Наличие простых методик обмана эвристического анализатора. Как правило, прежде чем распространять вредоносную программу (вирус), её разработчики исследуют существующие распространенные антивирусные продукты, различными методами избегая её детектирование при эвристическом сканировании. К примеру, видоизменяя код, используя элементы, выполнение которых не поддерживается эмулятором кода данных антивирусов, используя шифрование части кода и др.

Несмотря на заявления и рекламные проспекты разработчиков антивирусных средств относительно совершенствования эвристических механизмов, эффективность эвристического сканирования на данный момент далека от ожидаемой. Независимые тесты компонентов эвристического анализа показывают, что уровень обнаружения новых вредоносных программ составляет не более чем 40-50 % от их числа.

Даже при успешном определении, лечение неизвестного вируса практически всегда является невозможным. Как исключение, некоторыми продуктами возможно лечение однотипных и ряда полиморфных, шифрующихся вирусов, не имеющих постоянного вирусного тела, но использующих единую методику внедрения. В таком случае, для лечения десятков и сотен вирусов может существовать одна запись в вирусной базе.

Page 2
< Предыдущая СОДЕРЖАНИЕ Следующая >
   

Перейти к загрузке файла

Постепенно все больше применяются методы логического эвристического анализа, основывающегося на профессиональном суждении, опыте и интуиции специалистов, их индивидуальных или коллективных заключениях. Среди них можно выделить оценочные и оценочно-поисковые методы анализа (рис. 1)

Рис. 1 Классификация эвристических методов анализа

Эвристические методы широко применяются при управлении персоналом, организации управления и выборе организационного поведения.

Условия, предопределяющие необходимость использования эвристических методов:

  • - o качественный характер исходной информации, описываемый с помощью экономических и социальных параметров, отсутствие достаточно представительных и достоверных сведений по характеристикам объекта исследования;
  • - o большая неопределенность исходных данных для анализа;
  • - o отсутствие четкого предметного описания и математической формализации предмета оценки;
  • - o нецелесообразность и недостаток времени и средств для исследования с применением формальных моделей на первых этапах обоснования управленческих решений;
  • - o отсутствие технических средств с соответствующими характеристиками для аналитического моделирования;
  • - o экстремальность анализируемой ситуации.

Эвристические методы анализа представляют собой особую группу приемов сбора и обработки информации, опирающуюся на профессиональное суждение группы специалистов. Их часто называют креативными.

Основой применения эвристических методов являются экспертные оценки рассматриваемых процессов, операций, результатов.

  Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter < Предыдущая СОДЕРЖАНИЕ Следующая >
   

studwood.ru

Эвристический анализ

Основная статья: Эвристическое сканирование

В целом термином «эвристический анализ» сегодня называют совокупность функций антивируса, нацеленных на обнаружение неизвестных вирусным базам вредоносных программ, но в то же время этот же термин обозначает один из конкретных способов.

Эвристическое сканирование в целом схоже с сигнатурным, однако, в отличие от него, ищется не точное совпадение с записью в сигнатуре, а допускается расхождение. Таким образом становится возможным обнаружить разновидность ранее известного вируса без необходимости обновления сигнатур. Также антивирус может использовать универсальные эвристические сигнатуры, в которых заложен общий вид вредоносной программы. В таком случае антивирусная программа может лишь классифицировать вирус, но не дать точного названия.

HIPS

Основная статья: HIPS

HIPS — система мониторинга всех приложений, работающих в системе, с чётким разделением прав для разных приложений. Таким образом HIPS может предотвратить деструктивную деятельность вируса, не дав ему необходимых прав. Приложения делятся на группы, начиная от «Доверенных», права которых не ограничены, заканчивая «Заблокированными», которым HIPS не даст прав даже на запуск.

Недостатки

Ни одна из существующих антивирусных технологий не может обеспечить полной защиты от вирусов.

Антивирусная программа забирает часть вычислительных ресурсов системы, нагружая центральный процессор и жёсткий диск. Особенно это может быть заметно на слабых компьютерах. Замедление в фоновом режиме работы может достигать 380 %[13].

Антивирусные программы могут видеть угрозу там, где её нет (ложные срабатывания)[14].

Антивирусные программы загружают обновления из Интернета, тем самым расходуя трафик.

Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. Однако во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.[8]

Классификация антивирусов

По набору функций и гибкости настроек антивирусы можно разделить на[15]:

Продукты для домашних пользователей:

Собственно антивирусы;

Комбинированные продукты (например, к классическому антивирусу добавлен антиспам, файрвол, антируткит и т. д.);

Корпоративные продукты:

Серверные антивирусы;

Антивирусы на рабочих станциях («endpoint»);

Антивирусы для почтовых серверов;

Антивирусы для шлюзов.

Ложные антивирусы (лже-антивирусы)

В 2009 году различные производители антивирусов стали сообщать о широком распространении нового типа программ — ложных или лже-антивирусов (rogueware). По сути эти программы или вовсе не являются антивирусами (то есть не способны бороться с вредоносным ПО), или даже являются вирусами (воруют данные кредитных карт и т. п.).

Ложные антивирусы используются для вымогательства денег у пользователей путём обмана. Один из способов заражения ПК ложным антивирусом следующий. Пользователь попадает на «инфицированный» сайт, который выдаёт ему предупреждающее сообщение вроде «На вашем компьютере обнаружен вирус» и предлагает скачать бесплатную программу для удаления вируса. После установки такая программа производит сканирование компьютера и якобы обнаруживает ещё массу вирусов. Для удаления вредоносного ПО ложный антивирус предлагает купить платную версию программы. Шокированный пользователь платит (суммы колеблются от $10 до $80) и ложный антивирус очищает ПК от несуществующих вирусов.

Антивирусы, мобильные устройства и инновационные решения

Сейчас стало возможно и заражение мобильных телефонов вирусами, но только для телефонов на базе операционных систем, таких как Symbian, Windows Mobile, Blackberry, iPhone OS. Все больше разработчиков предлагают антивирусные программы для борьбы с вирусами и защиты мобильных телефонов. В мобильных устройствах есть следующие виды борьбы с вирусами:

сигнатурный;

защита от спама по SMS;

шифрование данных.

Page 2

Советы по построению диаграммы Парето

· При практическом построении диаграммы Парето можно рекомендовать следующее

· 1. Воспользуйтесь разными классификациями причин (т. е. произведите стратификацию имеющихся у вас данных) и составьте много диаграмм Парето. Суть проблемы можно уловить, наблюдая явление с разных то чек зрения, поэтому важно опробовать различные пути классификации данных, пока не выявятся немногочисленные существенно важные факторы, что и служит целью анализа Парето.

· 2. Нежелательно, чтобы группа «прочие факторы» составляла большой процент. Если такое происходит, значит объекты наблюдения классифицированы неправильно и слишком много объектов попало в эту группу.В таком случае надо использовать другой принцип классификации.

· 3. Если данные можно представить в денежном выражении, то именно так и надо поступить (лучше всего показать это на вертикальных осях диаграммы Парето). Если нельзя оценить существующую проблему в денежном выражении, само исследование может оказаться неэффективным. Затраты — важный критерий принятия управленческих решений.

· При использовании построенной диаграммы Парето рекомендуется :

· • если нежелательный существенный фактор (причину) можно устранить с помощью простого решения, это надо сделать незамедлительно;

· • в первую очередь следует рассматривать только немногочисленные существенные причины (факторы);

· • если относительно несущественная причина (фактор) устраняется простым путем, то это тоже следует сделать незамедлительно, так как приобретенный опыт и моральное удовлетворение окажут большое воздействие на дальнейшее решение проблемы.

·

После выявления проблемы путем построения диаграммы Парето по результатам важно определить причины ее возникновения. Это необходимо для ее решения. При использовании диаграммы Парето для выявления результатов деятельности и причин наиболее распространенным методом является АВС-анализ.

Сущность АВС-анализа в данном контексте заключается в определении трех групп, имеющих три уровня важности для управления качеством:

1. группа А — наиболее важные, существенные проблемы, причины, дефекты. Относительный процент группы А в общем количестве дефектов (причин) обычно составляет от 60 до 80%. Соответственно устранение причин группы Л имеет большой приоритет, а связанные с этим мероприятия — самую высокую эффективность;

2. группа В — причины, которые в сумме имеют не более 20%;

3. группа С — самые многочисленные, но при этом наименее значимые причины и проблемы.

Пример использования АВС-анализа в рамках диаграммы Парето приведен на рисунке 3.

АВС-анализ позволяет обоснованно определять приоритеты работ по управлению качеством проекта.

Page 3

Gap-анализ

Анализ внутренней среды. SNW-анализ

Анализ микроокружения. Модель пяти сил М. Портера

Рис.5.4. Схема модели пяти сил М. Портера

Рис.5.5. Составляющие SNW-анализа

Анализ разрыва. __________________________________________________________________________________________________________________________________________

_____________________________________________________________________

Рис.5.6. Графическое изображение GAP-анализа

Рис.5.7. Составляющие SWOT-анализа

studopedia.su

Эвристический анализ

Поиск вирусов, похожих на известные Эвристика – значит, «находить». Эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Поэтому в антивирусных базах находятся сигнатуры для определения не одного, а сразу нескольких вирусов. Следовательно, эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.

Преимущества: возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры.

Недостаток:

· вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист – такие события называются ложными срабатываниями;

· невозможность лечения – и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо;

· низкая эффективность – против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден.

Поиск вирусов, выполняющих подозрительные действия Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру, и основан на выделении основных вредоносных действий.

Например:

· удаление файла;

· запись в файл;

· запись в определенные области системного реестра;

· открытие порта на прослушивание;

· перехват данных вводимых с клавиатуры;

· рассылка писем;

Выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Однако, при выполнении программой последовательно нескольких таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа, по меньшей мере, подозрительна. Основанный на этом принципе эвристический анализатор постоянно следит за действиями, которые выполняют программы.

Преимущества: возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные (использование для проникновения на компьютер новую уязвимость, а после этого – выполнять уже привычные вредоносные действия). Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.

Недостатки:

· ложные срабатывания;

· невозможность лечения;

· невысокая эффективность.

Дата добавления: 2015-02-16; просмотров: 20 | Нарушение авторских прав

lektsii.net - Лекции.Нет - 2014-2019 год. (0.009 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав

lektsii.net


Смотрите также