[KB127] Jak działa heurystyka

Rozwiązanie

Oprócz porównywania potencjalnych zagrożeń ze znanymi sygnaturami wirusów, wszystkie produkty ESET stosują heurystyki w wykrywaniu wirusów, trojanów i innych zagrożeń.

Heurystyka jest techniką, która stosuje wytyczne lub przepisy mające na celu skuteczne rozwiązywanie problemu. W ramach programu antywirusowego, heurystyka to zestaw zasad stosowanych w celu wykrycia szkodliwego działania programu bez potrzeby jednoznacznej identyfikacji danego zagrożenia, co jest wymagane przez klasyczne wykrywanie zagrożeń oparte na sygnaturach.

Podstawową zaletą modelu opartego na heurystyce jest nie tylko jego zdolność do wykrywania wariantów lub zmodyfikowanych form istniejących szkodliwych programów, ale także wykrywanie nowych wcześniej nieznanych szkodliwych programów. ESET Smart Security oraz ESET NOD32 Antivirus używają heurystyki do wykrywania zarówno znanych jak i nieznanych zagrożeń oraz złośliwego oprogramowania. Używane są dwie formy heurystyki: pasywna oraz aktywna.

Pasywna heurystyka
Pasywna heurystyka analizuje potencjalne zagrożenie podczas wykonywania instrukcji w programie jeszcze przed przekazaniem kodu do realizacji przez procesor. Pasywna heurystyka szuka wzorów, procedur lub wywoływania programu, które wykazują podejrzane zachowanie. Choć jest to ważne narzędzie, pasywna heurystyka to tylko część rozwiązania, każda taka czynność może być również wywołana przez normalny program. Dlatego tak ważne jest aby równocześnie używać także aktywnej heurystyki.

Aktywna heurystyka
Technologia aktywnej heurystyki w programach ESET polega na tworzeniu wirtualnego komputera wyposażonego w silnik skanujący, który pozwala obserwować co dany program może zrobić, jeżeli zostałby uruchomiony na prawdziwym komputerze. Dzięki temu można wykryć potencjalnie szkodliwe zachowanie, którego nie można wykryć innymi technikami.

Dodatkowa pomoc