Евристичен анализ
Думата евристична идва от гръцкия глагол да се намери. Същността на евристичните методи е, че решението на даден проблем се основава на някои правдоподобни предположения, а не на строги изводи от съществуващи факти и предпоставки. Тъй като подобно определение звучи доста сложно и неразбираемо, по-лесно е да се обясни с помощта на примери за различни евристични методи.
Търсете вируси, подобни на известни
Докато методът на подписване се основава на извличане на характерни признаци на вирус и търсене на тези признаци в сканирани файлове, тогава евристичният анализ се основава на (много правдоподобното) предположение, че новите вируси често се оказват подобни на някой от вече известни. Всъщност това предположение е оправдано от наличието в антивирусните бази данни на подписи за откриване не на един, а на няколко вируса наведнъж. Въз основа на това предположение евристичният метод е да се търсят файлове, които не съвпадат напълно, но много точно съвпадат с подписите на известни вируси.
Положителният ефект от използването на този метод е възможността за откриване на нови вируси, дори преди да са били разпределени подписи за тях. Отрицателни страни:
Вероятността погрешно да се определи наличието на вирус във файл, когато всъщност файлът е чист - такива събития се наричат фалшиви положителни резултати
Невъзможността за лечение - както поради възможни фалшиви положителни резултати, така и поради възможно неточно определяне на вида на вируса, опитът за излекуване може да доведе до по-голяма загуба на информация от самия вирус и това е неприемливо
Ниска ефективност - срещу наистина иновативни вируси, които причиняват най-големите епидемии, този тип евристичен анализ е от малка полза
Сканиране за вируси, които извършват подозрителни действия
Друг базиран на евристика подход предполага, че зловредният софтуер се опитва да навреди на компютъра по един или друг начин. Методът се основава на подчертаване на основните злонамерени действия, като например:
Писане в определени области на регистъра
Отваряне на порт за слушане
Прихващане на данни, въведени от клавиатурата
Предимството на описания метод е възможността за откриване на неизвестни досега злонамерени програми, дори и да не са много подобни на вече познатите. Например, нова злонамерена програма може да използва нова уязвимост, за да проникне в компютър, но след това започва да извършва вече познатите злонамерени действия. Подобна програма може да бъде пропусната от евристичния анализатор от първия тип, но анализаторът от втория тип може да открие.
Отрицателните черти са същите като преди:
Почти всеки антивирус днес използва всички известни методи за откриване на вируси. Но само инструментите за откриване не са достатъчни за успешната работа на антивирус; за да бъдат ефективни чистите антивирусни инструменти, са необходими допълнителни модули, които изпълняват спомагателни функции.
На първо място, всеки антивирус трябва да съдържа модул за актуализация. Това се дължи на факта, че основният метод за откриване на вируси днес е анализът на сигнатурите, който разчита на използването на антивирусна база данни. За да може анализът на подписите ефективно да се справи с най-новите вируси, антивирусните експерти непрекъснато анализират проби от нови вируси и пускат подписи за тях. След това основният проблем става доставката на подписи на компютри на всички потребители, използващи подходящата антивирусна програма.
Именно тази задача решава модулът за актуализация. След като експертите създадат нови подписи, файлове с подписи се поставят на сървърите на антивирусния производител и стават достъпни за изтегляне. Актуализаторът се свързва с тези сървъри, определя наличието на нови файлове, изтегля ги на компютъра на потребителя и инструктира антивирусните модули да използват новите файлове с подписи.