Euristica
Consideri una situazione in cui eravate tasked con identificare tutte le spie internazionali del mondo-codice categoria di che potreste venire a contatto, ma non avete conosciuto a che cosa realmente hanno assomigliato. Potreste avvicinarsi a questa sfida in primo luogo sviluppando una tabella che gli attributi conosciuti elencati della spia ed i punti assegnati a loro hanno basato su quanto indicano fortemente una spia. La vostra lista ha potuto osservare qualcosa come questa:
La lista potrebbe accendere, ma ottenete l'idea. Se la somma di tutti i punti per l'individuo eccede certo valore, potreste decidere che lui o lei è probabilmente una spia senza mai vedere questa spia particolare prima. Allora, potete chiedere un giro nell'automobile della chiazza di petrolio. Realizzando le limitazioni dei metodi di rilevazione firma-basati, i fornitori di antivirus hanno inventato i sensi simili in cui possono rilevare i virus precedentemente unseen che esibiscono determinate caratteristiche del comportamento e strutturali. Symantec, per esempio, denomina questa caratteristica del relativo prodotto Bloodhound di Norton AntiVirus. Un motore euristica-basato di rilevazione esamina la lima per le caratteristiche viste frequentemente in virus, come questi:
Mentre il dispositivo d'esplorazione di euristica esamina la lima, solitamente la assegna ad un peso a ciascuno virus-come la caratteristica incontro. Se il peso totale della lima eccede una determinata soglia, allora il dispositivo d'esplorazione la considera codice cattivo. Se lo sviluppatore del dispositivo d'esplorazione regola la soglia troppo bassa, allora l'utente potrebbe essere soprafato con gli allarmi falsi. D'altra parte, se la soglia è regolata troppo alta, o se virus-come le caratteristiche non sono identificati correttamente, quindi il rivelatore mancherà troppi virus. Il uno o il altro senso, la protezione dell'utente è limitato a meno che la sensibilità sia destra giusta regolata. Questa tecnica non sarebbe molto utile se il software di antivirus potesse rilevare il malware solo dopo che il virus ha esibito il comportamento cattivo quali i programmi d'infezione o lime di cancellazione. Se quello fosse il caso, potreste ottenere un avvertimento dal software di antivirus che dice, "il vostro sistema appena completamente siete stati insidiati da un virus! Abbia un giorno piacevole." Anche se questa è certamente le informazioni interessanti, dovete ottenere l'avvertimento prima che il malware abbia relativo senso con la vostra macchina. Il trucco deve analizzare la lima sospettosa in un senso che permette che il software di antivirus valuti che azioni sarebbero realizzate se il virus realmente ha una probabilità eseguire. Questa analisi deve accadere prima che il codice funzioni. Il software di Antivirus compie questo obiettivo tentando di emulare il processor che avrebbe eseguito il programma potenzialmente cattivo. Nella cassa dei executables compilati per le macchine dell'Intel x86, questo metodo richiede emulare le caratteristiche fondamentali del processor x86. Nel caso delle macro di VBScript incluse nei documenti dell'ufficio del Microsoft, questo metodo richiede emulare la funzionalità di base del VBScript che procede il motore. Tenendo conto della difficoltà attendibilmente di emulare un processor, i metodi euristici di rilevazione sono lontano da infallibile. È particolarmente challenging valutare gli effetti dei virus macro-basati, perché la loro struttura e flussi possibili di esecuzione sono molto meno prevedibili che quelle dei executables compilati. Di conseguenza, i dispositivi d'esplorazione del virus non contano sull'euristica mentre il solo metodo a rilevare i virus—inoltre usa la buona vecchia tecnica della firma ed a volte inoltre impiegano il metodo di verifica di integrità descritto dopo. ciò è un articolo aggiunto da Levi D. Johnson
|
|||||
|