Эвристический анализатор в Антивирусе Касперского

 

Антивирус Касперского

 
 
 

Эвристический анализатор в Антивирусе Касперского

К разделу "Общая информация"
2013 фев 28 ID: 8641
 
 
 
 

Эвристический анализатор (эвристик) — технология обнаружения угроз, неопределяемых с помощью антивирусных баз. Позволяет находить объекты, которые подозреваются на заражение неизвестным вирусом или новой модификацией известного. Файлы, обнаруженные с помощью эвристического анализатора, признаются возможно зараженными.

Работа анализатора, как правило, начинается с поиска в коде подозрительных признаков (команд), характерных для вредоносных программ. Этот метод называется статический анализом. Например, многие вредоносные коды ищут исполняемые программы, открывают найденные файлы и изменяют их. Эвристик просматривает код приложения и, встретив подозрительную команду, увеличивает некий "счетчик подозрительности" для этого приложения. Если после просмотра всего кода значение счетчика превышает заданное пороговое значение, то объект признается возможно зараженным.

В современных антивирусах статический анализ используются в сочетании с динамическим. Идея такого комбинированного подхода состоит в том, чтобы до того, как программа будет запущена на компьютере пользователя, эмулировать ее запуск в безопасном виртуальном окружении, которое называется также буфером эмуляции, или "песочницей". В маркетинговых материалах поставщики используют еще один термин — "эмуляция виртуального компьютера в компьютере".

Итак, динамический эвристический анализатор читает часть кода приложения в буфер эмуляции антивируса и с помощью специальных "трюков" эмулирует его исполнение. Если в процессе этого "псевдоисполнения" обнаруживаются какие-либо подозрительные действия, объект признается вредоносным и его запуск на компьютере пользователя блокируется.

В отличие от статического метода, динамический более требователен к ресурсам ПК, так как для анализа приходится использовать безопасное виртуальное пространство, а запуск программы на компьютере пользователя откладывается на время анализа. Однако и уровень обнаружения вредителей у динамического метода значительно выше статического, а вероятность ложных срабатываний существенно меньше.

В Антивирусе Касперского эвристический анализатор реализован в следующих компонентах:

 
 
 
 
Была ли информация полезна?
Да Нет
Спасибо!
 

 
 

Как мы можем улучшить статью?

Ваш отзыв будет использован только для улучшения этой статьи. Если вам нужна помощь по нашим продуктам, обратитесь в техническую поддержку «Лаборатории Касперского».

Отправить Отправить

Спасибо за отзыв!

Ваши предложения помогут улучшить статью.

OK