|
Информация из статьи применима к следующим продуктам:
Антивирус Касперского 7.0/2009
Kaspersky Internet Security 7.0/2009
Эвристический анализатор (эвристик) - это программа, которая анализирует код проверяемого объекта и по косвенным признакам определяет, является ли объект вредоносным. Причем в отличие от сигнатурного метода эвристик может детектировать как известные, так и неизвестные вирусы (то есть те, которые были созданы после эвристика).
Работа анализатора, как правило, начинается с поиска в коде подозрительных признаков (команд), характерных для вредоносных программ. Этот метод называется статичным анализом. Например, многие вредоносные коды ищут исполняемые программы, открывают найденные файлы и изменяют их. Эвристик просматривает код приложения и, встретив подозрительную команду, увеличивает некий "счетчик подозрительности" для данного приложения. Если после просмотра всего кода значение счетчика превышает заданное пороговое значение, то объект признается подозрительным.
Преимуществом этого метода является простота реализации и высокая скорость работы, однако уровень обнаружения новых вредоносных кодов остается довольно низким, а вероятность ложных срабатываний высокой.
Поэтому в современных антивирусах статический анализ используются в сочетании с динамическим. Идея такого комбинированного подхода состоит в том, чтобы до того как приложение будет запущено на компьютере пользователя, эмулировать его запуск в безопасном виртуальном окружении, которое называется также буфером эмуляции, или "песочницей". В маркетинговых материалах поставщики используют еще один термин - "эмуляция виртуального компьютера в компьютере".
Итак, динамический эвристический анализатор читает часть кода приложения в буфер эмуляции антивируса и с помощью специальных "трюков" эмулирует его исполнение. Если в процессе этого "псевдоисполнения" обнаруживаются какие-либо подозрительные действия, объект признается вредоносным и его запуск на компьютере пользователя блокируется.
В отличие от статического метода, динамический более требователен к ресурсам ПК, так как для анализа приходится использовать безопасное виртуальное пространство, а запуск приложения на компьютере пользователя откладывается на время анализа. Однако и уровень обнаружения вредителей у динамического метода значительно выше статического, а вероятность ложных срабатываний существенно меньше.
В продуктах Лаборатории Касперского версии 2009 эвристический анализатор был улучшен:
- добавлена возможность создания специалистами Лаборатории Касперского "поведенческих" сигнатур для generic-детектирования вариантов одной и той же вредоносной программы
- добавлено вычисление "рейтинга опасности" программы с помощью эвристических правил
- добавлено использование аппаратного ускорения эмуляции (безопасное выполнение участков кода непосредственно на процессоре)
Кроме того, одним из основных преимуществ Эвристического анализатора в продуктах Лаборатории Касперского версии 7.0 и 2009 является единый эвристик, который работает как на основе данных эмуляции, так и в модуле Проактивной защиты.
| 
Статьи по продукту
Информация о продукте 
Системные требования
65 
17.08.2009 13:45
