Эвристический поиск вирусов что это

Эвристический поиск вирусов что это

Методы эвристического сканирования не обеспечивают какой-либо гарантированной защиты от новых, отсутствующих в сигнатурном наборе, компьютерных вирусов, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации – знаний о механизме полиморфизма сигнатур. В то же время, этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания нельзя.

В ряде случаев, эвристические методы оказываются чрезвычайно успешными, к примеру, в случае очень коротких программных частей в загрузочном секторе: если, программа производит запись в сектор 1, дорожку 0, сторону 0, то это приводит к изменению раздела накопителя. Но кроме вспомогательной программы FDISK эта команда больше нигде не используется, и потому в случае ее неожиданного появления речь идет о загрузочном вирусе.

В процессе эвристического анализа производится проверка эмулируемой программы анализатором кода. К примеру, программа инфицирована полиморфным вирусом, состоящим из зашифрованного тела и расшифровщика. Эмулятор кода эмулирует работу данного вируса по одной инструкции, после этого анализатор кода подсчитывает контрольную сумму и сверяет ее с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчета контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала — программа идентифицирована.

Другим распространенным методом эвристического анализа, применяемым большой группой антивирусов, является декомпиляция подозрительной программы и анализ ее исходного кода. Исходный код подозрительного файла проходит сверку и сравнение с исходным кодом известных вирусов и образчиков вирусной активности. В случае, если определенный процент исходного кода идентичен коду известного вируса или вирусной активности, файл отмечается как подозрительный, о чем оповещается пользователь.

Недостатки эвристического сканирования

  • Чрезмерная подозрительность эвристического анализатора может вызывать ложные срабатывания при наличии в программе фрагментов кода, выполняющего действия и/или последовательности, в том числе и свойственные некоторым вирусам. В частности, распаковщик в файлах, запакованных PE-упаковщиком (Win)Upack вызывает ложные срабатывания целого ряда антивирусных средств, де-факто не признающих такой проблемы. Другой проблемой анализаторов является ошибочное срабатывание при проверке совершенно безобидного кода.
Читайте также:  Не удалось подключиться к сессии gta online

К примеру, скомпилированный с помощью Delphi 7 или Delphi 2007 код:

Вызывает ложные срабатывания у антивирусов типа Panda (независимо от версии компилятора), Webwasher GateWay (при компиляции Delphi 2007 [1] ), F-Secure (при компиляции Delphi 7 [2] ). Как видно из примера, программа абсолютно безопасна и совершенно отсутствуют какие-либо признаки вредоносного кода и вирусного функционала (весь функционал примера: если в качестве третьего параметра указан ключ «d», программа удаляет файл, указанный во втором параметре).

  • Наличие простых методик обмана эвристического анализатора. Как правило, прежде чем распространять вредоносную программу (вирус), ее разработчики исследуют существующие распространенные антивирусные продукты, различными методами избегая ее детектирование при эвристическом сканировании. К примеру, видоизменяя код, используя элементы, выполнение которых не поддерживается эмулятором кода данных антивирусов, используя шифрование части кода и др.

Несмотря на заявления и рекламные проспекты разработчиков антивирусных средств относительно совершенствования эвристических механизмов, эффективность эвристического сканирования на данный момент далека от ожидаемой. Независимые тесты компонентов эвристического анализа показывают, что уровень обнаружения новых вредоносных программ составляет не более чем 40-50% от их числа. [3] (англ.)

  • Даже при успешном определении, лечение неизвестного вируса практически всегда является невозможным. Как исключение, некоторыми продуктами возможно лечение однотипных и ряда полиморфных, шифрующихся вирусов, не имеющих постоянного вирусного тела, но использующих единую методику внедрения. В таком случае, для лечения десятков и сотен вирусов может существовать одна запись в вирусной базе, как это реализовано, к примеру, в антивирусе И. Данилова.

Поиск вирусов, похожих на известные

Эвристика — значит, "находить". Эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Поэтому в антивирусных базах находятся сигнатуры для определения не одного, а сразу нескольких вирусов. Следовательно, эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.

Читайте также:  Программа для перевода фото в ворд

Преимущества: возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры.

  • · вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист — такие события называются ложными срабатываниями;
  • · невозможность лечения — и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо;
  • · низкая эффективность — против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден.

Поиск вирусов, выполняющих подозрительные действия

Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру, и основан на выделении основных вредоносных действий.

  • · удаление файла;
  • · запись в файл;
  • · запись в определенные области системного реестра;
  • · открытиепортанапрослушивание;
  • · перехват данных вводимых с клавиатуры;
  • · рассылкаписем;

Выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Однако, при выполнении программой последовательно нескольких таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа, по меньшей мере, подозрительна. Основанный на этом принципе эвристический анализатор постоянно следит за действиями, которые выполняют программы.

Преимущества: возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные (использование для проникновения на компьютер новую уязвимость, а после этого — выполнять уже привычные вредоносные действия). Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.

  • · ложные срабатывания;
  • · невозможность лечения;
  • · не высокая эффективность.

Эвристический анализ — это метод обнаружения компьютерных вирусов и вредоносных программ, которых нет в базах (вирусных сигнатурах) путем изучения фрагментов кода и сравнения их с известными вирусными угрозами.

Читайте также:  Настройка жестких дисков в биосе

Термин эвристика греческого происхождения обозначает отыскивать или находить. Эта технология базируется на логическом предположении, что новые вирусы частично схожи со знакомыми изученными образцами. В подавляющем большинстве случаев эта догадка правдива. Положительной стороной эвристического анализа является практическая способность нахождения новых неизученных вредоносных приложений. Несовершенство этой гипотезы проявляется в ошибочном определении вирусного кода в безопасных файлах.

Все современные антивирусы оснащены эвристическими анализаторами, в первую очередь, для выявления полиморфных вирусов, изменяющих свой программный код после каждого заражения. При нахождении зараженных объектов пользователь получит соответствующее сообщение. Но лечение выполняется только после внесение информации в сигнатурные базы. До этого опасные файлы изолируются в карантинной среде, откуда, в случае ложной тревоги, можно быстро восстановить на прежнее место. Лечение не применяется из опасения потери информации и нанесения большего вреда, чем само заражение.

Недостатки эвристического сканирования

В жизни эвристический анализ оказывается не настолько эффективным как информируют разработчики антивирусных программ в рекламных проспектах. Авторы вирусов, перед их распространением, тестируют на популярных антивирусах, чтобы найти способы обмануть эвристический анализатор и сигнатурное сканирование.

Главный недостаток эвристического анализа — ложные срабатывания, когда безопасные программы по ошибке определяются как зараженные, потому что их отдельные последовательности машинного кода аналогичны вредоносному программному обеспечению.

Даже если вредоносная программа будет успешна обнаружена, лечение зараженных файлов невозможно. Только люди могут создать алгоритм извлечения вредоносного кода без нанесения вреда остальной информации. Единственное, что остаётся – изолировать небезопасные объекты в защищенной карантинной зоне и ждать, когда вирус будет исследован и создан способ лечения.

На практике эвристическое сканирование бессильно против передовых новаторский вирусных программ, написанных с чистого листа и не похожие на другие компьютерные вирусы, что приводит к массовым вирусным заражениям.

Ссылка на основную публикацию
Что случилось с facebook
На форумах и в поисковых запросах часто встречается вопрос, почему не работает Фейсбук сегодня, и что делать в такой ситуации....
Читы для вар тандер на орлы
Данный чит носит название Орлы чит для War Thunder 3.0. Это обновление для игры вышло совсем недавно, но для него...
Что больше мегабит или килобит
В эпоху оптоволокна и накопителей объемом в десятки терабайт считать в битах не принято. Мы бы совсем забыли, чем отличается...
Что смотрят в интернете больше всего
Наверное, многим интересно, что чаще всего запрашивают люди в поисковиках, какие поисковые запросы самые популярные и востребованные. Ошибки и опечатки...
Adblock detector