Heuristics
Considere uma situação em que você estava tasked com identificar todos os espiões internacionais da mundo-classe que você pôde se encontrar com, mas você não soube o que olharam realmente como. Você poderia aproximar este desafio primeiramente desenvolvendo uma matriz que os atributos sabidos listados do espião e os pontos atribuídos a eles baseassem em como fortemente indicam um espião. Sua lista pôde olhar algo como esta:
A lista poderia ir sobre, mas você começa a idéia. Se a soma de todos os pontos para o indivíduo excedesse algum valor, você pôde decidir-se que ou são provavelmente um espião sem sempre ver este espião particular antes. Então, você pode pedir um passeio no carro liso. Realizando as limitações de métodos de deteção assinatura-baseados, os vendedores do antivirus planejaram as maneiras similares em que podem detectar os vírus previamente despercebidos que exibem determinadas características behavioral e estruturais. Symantec, por exemplo, chama esta característica de seu produto Bloodhound de Norton AntiVirus. Um motor heuristics-baseado da deteção faz a varredura da lima para as características vistas freqüentemente nos vírus, tais como estes:
Enquanto o varredor do heuristics examina a lima, atribui-a geralmente a um peso a cada um vírus-como a característica encontro. Se o peso total da lima exceder um determinado ponto inicial, então o varredor considera-o código malicioso. Se o colaborador do varredor ajustasse o ponto inicial demasiado baixo, então o usuário poderia ser oprimido com os alarmes falsos. Na outra mão, se o ponto inicial estiver ajustado demasiado elevado, ou se vírus-como características não estiverem identificados corretamente, então o detetor faltará demasiado muitos vírus. Uma ou outra maneira, a proteção do usuário é limitada a menos que a sensibilidade for direita justa ajustada. Esta técnica não seria muito útil se o software do antivirus pudesse detectar o malware somente depois que o vírus exibiu o comportamento malicioso tal como programas infecting ou limas suprimir. Se aquele fosse o caso, você pôde começar um aviso do software do antivirus que diz, "seu sistema apenas undermined completamente por um vírus! Tenha um dia agradável." Embora esta seja certamente informação interessante, você necessita começar o aviso antes que o malware tenha sua maneira com sua máquina. O truque deve analisar gramaticalmente a lima suspicious em uma maneira que permita que o software do antivirus estime que ações seriam executadas se o vírus tiver realmente uma possibilidade executar. Esta análise deve ocorrer antes que o código funcione. O software de Antivirus realiza este objetivo tentando emular o processador que executaria o programa potencial malicioso. Na caixa dos executables compilados para máquinas de Intel x86, esta aproximação chama-se emulando as características chaves do processador x86. No exemplo dos macros de VBScript encaixados em originais do escritório de Microsoft, esta aproximação requer emular a funcionalidade básica do VBScript que processa o motor. Considerando a dificuldade confiantemente de emular um processador, as aproximações heurísticas da deteção são longe de foolproof. É especial challenging avaliar os efeitos de vírus macro-baseados, porque seus estrutura e fluxos possíveis da execução são muito mais menos predictable do que aquelas de executables compilados. Em conseqüência, os varredores do vírus não confiam no heuristics enquanto a única aproximação a detectar vírus—eles usa também a técnica velha boa da assinatura, e às vezes empregam também o método da verificação da integridade descrito em seguida. este é um artigo adicionado por Levi D. Johnson
|
|||||
|