Heurística
Considere una situación en la cual usted estaba tasked con identificar a todos los espías internacionales de la mundo-clase a que usted puede ser que satisfaga, pero usted no sabía lo que parecían realmente. Usted podría acercar a este desafío primero desarrollando una matriz que las cualidades sabidas mencionadas del espía y los puntos asignados a ellos basaron en cómo indican fuertemente a espía. Su lista pudo mirar algo como esto:
La lista podría encenderse, pero usted consigue la idea. Si la suma de todos los puntos para el individuo excede cierto valor, usted puede ser que decida que él o ella es probablemente espía sin siempre ver a este espía particular antes. Entonces, usted puede pedir un paseo en el coche pulido. Realizando las limitaciones de los métodos de detección firma-basados, los vendedores del antivirus han ideado las maneras similares de las cuales pueden detectar los virus previamente no vistos que exhiben ciertas características del comportamiento y estructurales. Symantec, por ejemplo, llama esta característica de su producto Bloodhound de Norton AntiVirus. Un motor heuri'stica-basado de la detección explora el archivo para las características vistas con frecuencia en virus, tales como éstos:
Mientras que el explorador de la heurística examina el archivo, generalmente la asigna a peso a cada uno virus-como característica encuentro. Si el peso total del archivo excede cierto umbral, entonces el explorador lo considera código malévolo. Si el revelador del explorador fija el umbral demasiado bajo, entonces el usuario podría ser abrumado con los alarmar falsos. Por otra parte, si el umbral se fija demasiado alto, o si virus-como características no se identifican correctamente, después el detector faltará también muchos virus. Cualquier manera, la protección del usuario es limitada a menos que la sensibilidad correcto justo fijado. Esta técnica no sería muy provechosa si el software del antivirus podía detectar el malware solamente después que el virus exhibió comportamiento malévolo tal como programas de infección o los archivos el suprimir. ¡Si ése era el caso, usted puede ser que consiga una advertencia del software del antivirus que dice, "su sistema acaba de ser minado totalmente por un virus! Tenga un día agradable." Aunque ésta es ciertamente información interesante, usted necesita conseguir la advertencia antes de que el malware tenga su manera con su máquina. El truco es analizar el archivo sospechoso de una manera que permita que el software del antivirus estime qué acciones serían realizadas si el virus tiene realmente una ocasión de ejecutarse. Este análisis debe ocurrir antes de que el código funcione. El software de Antivirus logra esta meta procurando emular al procesador que habría ejecutado el programa potencialmente malévolo. En la caja de executables compilados para las máquinas de Intel x86, este acercamiento llama para emular las características dominantes del procesador x86. En el caso de las macros de VBScript encajadas en los documentos de Microsoft Office, este acercamiento requiere la emulación de la funcionalidad básica del VBScript que procesa el motor. En vista de la dificultad confiablemente de emular un procesador, los acercamientos heurísticos de la detección están lejos de a toda prueba. Es especialmente desafiadora determinar los efectos de virus macro-basados, porque su estructura y flujos posibles de la ejecución son mucho menos fiables que las de executables compilados. Consecuentemente, los exploradores del virus no confían en la heurística mientras que el acercamiento único a detectar virus—ellos también utiliza la buena vieja técnica de la firma, y también emplean a veces el método de la verificación de la integridad descrito después. esto es un artículo agregado por Levi D. Johnson
|
|||||
|