Heuristique
Considérez une situation dans laquelle vous avez été chargé avec identifier tous les espions internationaux de monde-classe que vous pourriez rencontrer, mais vous n'avez pas su à ce qu'ont ressemblé réellement elles. Vous pourriez approcher ce défi en développant d'abord une matrice que les attributs connus énumérés d'espion et les points assignés à elles ont basée sur la façon dont fortement ils indiquent un espion. Votre liste pourrait sembler quelque chose comme ceci :
La liste pourrait continuer, mais vous avez l'idée. Si la somme de tous les points pour l'individu dépasse une certaine valeur, vous pourriez décider que lui ou elle est probablement un espion sans voir jamais cet espion particulier avant. Puis, vous pouvez demander un tour en voiture lisse. Réalisant les limitations des méthodes de détection signature-basées, les fournisseurs d'antivirus ont trouvé les moyens semblables dont ils peuvent détecter les virus précédemment invisibles qui montrent certaines caractéristiques comportementales et structurales. Symantec, par exemple, appelle ce dispositif de son Limier de produit de Norton AntiVirus. Un moteur heuristique-basé de détection balaye le dossier pour des dispositifs fréquemment vus dans les virus, de ce type :
Pendant que le module de balayage d'heuristique examine le dossier, il l'assigne habituellement à un poids à chacun virus-comme le dispositif rencontre. Si tout le poids du dossier excède un certain seuil, alors le module de balayage le considère code malveillant. Si le réalisateur du module de balayage place le seuil trop bas, alors l'utilisateur pourrait être accablé avec les alarmes fausses. D'autre part, si le seuil est placé trop haut, ou si virus-comme des dispositifs ne sont pas correctement identifiés, puis le détecteur s'ennuiera de trop de virus. L'une ou l'autre manière, la protection de l'utilisateur est limitée à moins que la sensibilité soit juste juste réglé. Cette technique ne serait pas très utile si le logiciel d'antivirus pouvait détecter le malware seulement après que le virus a montré le comportement malveillant tel que des programmes d'infection ou des dossiers de supprimer. Si c'étaient le cas, vous pourriez obtenir un avertissement du logiciel d'antivirus qui indique, "votre système juste a été complètement miné par un virus ! Ayez un beau jour." Bien que ce soit certainement l'information intéressante, vous devez obtenir l'avertissement avant que le malware ait sa manière avec votre machine. Le tour doit analyser le dossier soupçonneux d'une manière dont permet au logiciel d'antivirus d'estimer quelles actions seraient effectuées si le virus a réellement une chance de s'exécuter. Cette analyse doit se produire avant que le code fonctionne. Le logiciel d'Antivirus accomplit ce but en essayant d'émuler le processeur qui aurait exécuté le programme potentiellement malveillant. Dans le cas des executables compilés pour des machines d'Intel x86, cette approche réclame émuler les dispositifs principaux du processeur x86. Dans le cas des macros de VBScript inclus dans des documents de Microsoft Office, cette approche exige émuler la fonctionnalité de base du VBScript traitant le moteur. Vu la difficulté d'émuler sûrement un processeur, les approches heuristiques de détection sont loin d'indéréglable. Elle est particulièrement provocante pour évaluer les effets des virus macro-basés, parce que leur structure et écoulements possibles d'exécution sont beaucoup moins prévisibles que ceux des executables compilés. En conséquence, les modules de balayage de virus ne se fondent pas sur l'heuristique pendant que l'approche unique à détecter des virus—ils emploient également la bonne vieille technique de signature, et parfois ils utilisent également la méthode de vérification d'intégrité décrite après. c'est un article supplémentaire par Levi D. Johnson
|
|||||
|