Эвристический анализ — это метод обнаружения компьютерных вирусов и вредоносных программ, которых нет в базах (вирусных сигнатурах) путем изучения фрагментов кода и сравнения их с известными вирусными угрозами.
Термин «эвристика» греческого происхождения значит отыскивать или находить. Технология основывается на гипотетическом предположение, что новые вирусы частично схожи со знакомыми изученными образцами. В большинстве случаев эта догадка правдива. Положительная сторона эвристического анализа — практическая способность нахождения новых неизученных вредоносных приложений. Несовершенство этой гипотезы – в ошибочном определении вирусного кода в безопасных файлах (ложных срабатываниях).
Эвристический анализ – один из пяти методов проактивной защиты для поиска неизвестного вредоносного программного обеспечения и блокирования потенциально опасной активности приложений.
Возможности эвристического анализа
Современные антивирусы оснащены эвристическими анализаторами, в первую очередь, для выявления полиморфных вирусов, изменяющих свой программный код после каждого заражения. При нахождении зараженных объектов пользователь информируется об этом. А вот вылечить зараженные файлы станет возможно только после изучения зловреда, внесение информации в сигнатурные базы и разработки способа лечения. До этого опасные файлы изолируются в карантине, откуда, в случае ложной тревоги, их можно будет восстановить на прежнее место. Лечение не применяется из опасения потери информации или нанесения большего вреда, чем само заражение.
Недостатки эвристического сканирования
На практике эвристический анализ оказывается не столь эффективным как утверждают разработчики антивирусных программ в рекламных проспектах. Авторы вирусов, перед распространением, тестируют их на популярных антивирусах, чтобы найти способы обмануть эвристику и сигнатурное сканирование.
Главный недостаток эвристического анализа — ложные срабатывания, когда безопасные программы по ошибке определяются как зараженные, потому, что их части машинного кода аналогичны вредоносному программному обеспечению.
Даже если вредоносная программа будет успешна обнаружена, лечение зараженных файлов невозможно. Только люди могут создать алгоритм изъятия вредоносного кода без нанесения вреда остальной информации. Остаётся только изолировать небезопасные объекты в защищенной карантинной зоне и ждать, пока вирус изучат и появится безопасный способ лечения.
Эвристическое сканирование бессильно против передовых новаторский вирусных программ, написанных с чистого листа и не похожих на другие компьютерные вирусы (угрозы нулевого дня).
Вывод: эвристика не утратила актуальности. По мере исследования новых типов вирусных угроз специалистами, информация о них добавляется в алгоритм обнаружения новейших угроз, повышая эффективность и совершенствуя метод.