Меню
Бесплатно
Регистрация
Главная  /  Интернет  /  Эвристический анализ - Heuristic analysis. Что такое эвристический анализатор? Что такое эвристический анализ

Эвристический анализ - Heuristic analysis. Что такое эвристический анализатор? Что такое эвристический анализ

Статья относится к Kaspersky Endpoint Security 10 для Windows:

  • Service Pack 2 Maintenance Release 4 (версия 10.3.3.304);
  • Service Pack 2 Maintenance Release 3 (версия 10.3.3.275);
  • Service Pack 2 Maintenance Release 2 (версия 10.3.0.6294);
  • Service Pack 2 Maintenance Release 1 (версия 10.3.0.6294);
  • Service Pack 2 (версия 10.3.0.6294).

Что такое эвристический анализ

Эвристический анализ - технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз «Лаборатории Касперского». Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.

Эвристический анализатор - это модуль, который работает на основе технологии эвристического анализа.

Статический и Динамический анализ

Статический анализ. Эвристический анализатор сканирует код на подозрительные команды, например, поиск и изменение исполняемых файлов. При наличии подозрительных команд или фрагментов, эвристический анализатор увеличивает «счетчик подозрительности» программы. Если после сканирования всего кода программы значение счетчика превышает заданное пороговое значение, то объект признается подозрительным.

Динамический анализ. Эвристический анализатор эмулирует запуск программы в виртуальном адресном пространстве. Если в процессе эмуляции эвристический анализатор обнаруживает подозрительные действия, то объект признаются вредоносными и его запуск на компьютере пользователя блокируется.

Kaspersky Endpoint Security 10 для Windows использует статический анализ в сочетании с динамическим.

В каких компонентах защиты используется эвристический анализатор

  • Файловый Антивирус. Подробнее в справке .
  • Почтовый Антивирус. Подробнее в справке .
  • Веб-Антивирус. Подробнее в справке .
  • Контроль активности программ. Подробнее в справке .
  • Задачи проверки. Подробнее в справке .

Полная поддержка

Выпуск баз Да
Поддержка Да
Выпуск патчей Да

Последняя версия:

Дата коммерческого релиза:

Релиз последней версии:

Что означает статус?

  • Выпуск баз

    Выпуск обновлений баз, необходимых для обеспечения защиты вашего компьютера/сервера/мобильного устройства.

  • Поддержка

    Оказание технической поддержки по телефону и через веб-форму.

  • Выпуск патчей

    Выпуск пакетов обновлений для программы (для устранения обнаруженных ошибок).

Kaspersky Endpoint Security 10 для Windows (для рабочих станций и файловых серверов)

  • Microsoft Windows Server 2012 R2 Foundation / Essentials / Standard / Datacenter х64.
  • Microsoft Windows Server 2012 Foundation / Essentials / Standard / Datacenter х64.
  • Microsoft Small Business Server 2011 Essentials / Standard х64.
  • Windows MultiPoint Server 2011 x64.
  • Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise / Datacenter х64 SP1.
  • Microsoft Windows Server 2008 Standard / Enterprise / Datacenter х64 SP2.
  • Microsoft Small Business Server 2008 Standard / Premium х64.

Остальные ограничения поддержки серверных платформ смотрите в статье .

  • VMWare ESXi 6.0.0 3620759.
  • Microsoft Hyper-V 3.0.
  • Citrix XenServer 7.0.
  • Citrix XenDesktop 7.13.

статье .

  • Microsoft Windows Server 2008 R2 Standard / Enterprise х64 SP1.
  • Microsoft Windows Server 2008 Standard / Enterprise х64 SP2.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.
  • Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 6.0.0 3620759.
  • Microsoft Hyper-V 3.0.
  • Citrix XenServer 7.0.
  • Citrix XenDesktop 7.13.
  • Citrix Provisioning Services 7.13.

Особенности и ограничения поддержки виртуальных платформ

  • Полнодисковое шифрование (FDE) на виртуальных машинах Hyper-V не поддерживается.
  • Полнодисковое шифрование (FDE) и шифрование файлов и папок (FLE) на виртуальных платформах Citrix не поддерживается.
  • Для поддержки совместимости Kaspersky Endpoint Security для Windows с Citrix PVS необходимо выполнять установку с включенной опцией Обеспечить совместимость с Citrix PVS . Вы можете включить опцию в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать KUD-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.

Прочие особенности поддержки виртуальных платформ смотрите в статье .

Версия 10.2.6.3733: Аппаратные и программные требования

Общие требования

  • 1 ГБ оперативной памяти.

Операционные системы

  • Microsoft Windows 10 Pro / Enterprise x86 / х64.
    Microsoft Windows 8.1 Pro / Enterprise x86 / х64.
  • Microsoft Windows 8 Pro / Enterprise x86 / х64.
  • Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / х64.
  • Microsoft Windows Server 2016 Standard / Essentials х64.
  • Microsoft Small Business Server 2011 Standard х64.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 2718055 Update 2.
  • Citrix XenServer 6.5.
  • Citrix XenDesktop 7.8.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.
  • Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Поддерживаемые виртуальные платформы

  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.

Особенности и ограничения поддержки виртуальных платформ

Версия 10.2.5.3201: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

Программные и аппаратные требования к рабочим станциям

  • Microsoft Windows 10 Pro x86 / х64.
  • Microsoft Windows 10 Enterprise x86 / х64.
  • Microsoft Windows Vista x86 / х64 SP2 и выше.
  • Microsoft Windows XP Professional x86 SP3 и выше.
  • Microsoft Windows Server 2019 х64.
  • Microsoft Windows Server 2016 Standard / Essentials х64.
  • Microsoft Windows Server 2012 R2 Foundation / Standard / Essentials х64.
  • Microsoft Windows Server 2012 Foundation / Standard / Essentials х64.
  • Microsoft Small Business Server 2011 Standard х64.
  • Microsoft Windows MultiPoint Server 2011 х64.
  • Microsoft Small Business Server 2008 Standard / Premium x64.
  • Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise х64 SP1 и выше.
  • Microsoft Windows Server 2008 Foundation / Standard / Enterprise х86 / х64 SP2 и выше.
  • Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2.
  • Microsoft
  • Microsoft
  • Microsoft Windows Embedded Standard 7* x86 / x64 SP1.
  • Microsoft Windows Embedded POSReady 7* x86 / x64.

Особенности и ограничения поддержки встраиваемых операционных систем

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 2718055 Update 2.
  • VMWare ESXi 5.5.0 3568722 Update 3b.
  • VMWare ESXi 5.5.0 2718055 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012 R2).
  • Citrix XenServer 6.5.
  • Citrix XenDesktop 7.8.
  • Citrix Provisioning Server 7.8.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.
  • Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

  • Не поддерживается обновление Windows 8 на 8.1.
  • Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
  • Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 1623387 Update 1.
  • VMWare ESXi 5.5.0 2068190 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

  • Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
  • Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
  • Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Версия 10.2.4.674: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

  • Процессор Intel Pentium 1 ГГц и выше.
  • 2 ГБ свободного места на жестком диске.
  • Microsoft Internet Explorer 7.0 и выше.
  • Microsoft Windows Installer 3.0 и выше.
  • Подключение к интернету для активации программы, обновления баз и программных модулей.

Программные и аппаратные требования

  • Microsoft Windows 10 TH2 Pro версия 1511 x86 / х64.
  • Microsoft Windows 10 TH2 Enterprise версия 1511 x86 / х64.
  • Microsoft Windows 8.1 Pro x86 / х64.
  • Microsoft Windows 8.1 Enterprise x86 / х64.
  • Microsoft Windows 8 Pro x86 / х64.
  • Microsoft Windows 8 Enterprise x86 / х64.
  • Microsoft Windows 7 Professional x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Professional x86 / х64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64.
  • Microsoft Windows Vista x86 / х64 SP2 и выше.
  • Microsoft Windows XP Professional x86 SP3 и выше.
  • Microsoft Windows Server 2012 R2 Standard / Essentials / Enterprise х64.
  • Microsoft Windows Server 2012 Foundation / Standard / Essentials х64.
  • Microsoft Small Business Server 2011 Standard / Essentials х64.
  • Microsoft Windows MultiPoint Server 2011 х64.
  • Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation х64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation х64.
  • Microsoft Windows Server 2008 Standard / Enterprise х86 / х64 SP2 и выше.
  • Microsoft Small Business Server 2008 Standard / Premium x64.
  • Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2 и выше.
  • Microsoft Windows Embedded 8.0 Standard x64.
  • Microsoft Windows Embedded 8.1 Industry Pro x64.
  • Microsoft Windows Embedded Standard 7 x86 / x64 SP1.
  • Microsoft Windows Embedded POSReady 7 x86 / x64.

Особенности и ограничения поддержки встраиваемых операционных систем

  • Операционные системы Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) или Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) рекомендуется использовать на устройствах с оперативной памятью от 2 ГБ.
  • Шифрования файлов (FLE) и жестких дисков (FDE) во встраиваемых операционных системах не поддерживается.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.
  • Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

  • Не поддерживается обновление Windows 8 на 8.1.
  • Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
  • Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 1623387 Update 1.
  • VMWare ESXi 5.5.0 2068190 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

  • Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
  • Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
  • Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Версия 10.2.2.10535MR1: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

  • Процессор Intel Pentium 1 ГГц и выше.
  • 1 ГБ свободной оперативной памяти.
  • 2 ГБ свободного места на жестком диске.
  • Microsoft Internet Explorer 7.0 и выше.
  • Microsoft Windows Installer 3.0 и выше.
  • Подключение к интернету для активации программы, обновления баз и программных модулей.

Операционные системы

  • Microsoft Windows 8.1 Pro x86 / х64.
  • Microsoft Windows 8.1 Enterprise x86 / х64.
  • Microsoft Windows 8 Pro x86 / х64.
  • Microsoft Windows 8 Enterprise x86 / х64.
  • Microsoft Windows 7 Professional x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Professional x86 / х64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64.
  • Microsoft Windows Vista x86 / х64 SP2 и выше.
  • Microsoft Small Business Server 2011 Standard х64.
  • Microsoft Windows Server 2012 R2 Standard х64.
  • Microsoft Windows Server 2012 Foundation / Standard х64.
  • Windows Embedded 8.0 Standard x64.
  • Windows Embedded 8.1 Industry Pro x64.

Особенности и ограничения поддержки встраиваемых операционных систем

  • Операционные системы Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) или Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) рекомендуется использовать на устройствах с оперативной памятью от 2 ГБ.
  • Шифрования файлов (FLE) и жестких дисков (FDE) во встраиваемых операционных системах не поддерживается.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

  • Не поддерживается обновление Windows 8 на 8.1.
  • Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
  • Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 1623387 Update 1.
  • VMWare ESXi 5.5.0 2068190 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

  • Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
  • Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
  • Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Версия 10.2.2.10535: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

  • Процессор Intel Pentium 1 ГГц и выше.
  • 1 ГБ свободной оперативной памяти.
  • 2 ГБ свободного места на жестком диске.
  • Microsoft Internet Explorer 7.0 и выше.
  • Microsoft Windows Installer 3.0 и выше.
  • Подключение к интернету для активации программы, обновления баз и программных модулей.

Операционные системы

  • Microsoft Windows 8.1 Update Pro x86 / х64.
  • Microsoft Windows 8.1 Update Enterprise x86 / х64.
  • Microsoft Windows 8.1 Pro x86 / х64.
  • Microsoft Windows 8.1 Enterprise x86 / х64.
  • Microsoft Windows 8 Pro x86 / х64.
  • Microsoft Windows 8 Enterprise x86 / х64.
  • Microsoft Windows 7 Professional x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Professional x86 / х64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64.
  • Microsoft Windows Vista x86 / х64 SP2 и выше.
  • Microsoft Small Business Server 2011 Essentials х64.
  • Microsoft Small Business Server 2011 Standard х64.
  • Microsoft Small Business Server 2008 Standard x64.
  • Microsoft Small Business Server 2008 Premium x64.
  • Microsoft Windows Server 2012 R2 Standard х64.
  • Microsoft Windows Server 2012 Foundation / Standard х64.
  • Microsoft Windows MultiPoint Server 2011 x64.
  • Microsoft Windows Server 2008 R2 Standard х64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Standard х64.
  • Microsoft Windows Server 2008 R2 Enterprise х64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Enterprise х64.
  • Microsoft Windows Server 2008 R2 Foundation x64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Foundation x64.
  • Microsoft Windows Server 2008 Standard х86 / х64 SP2 и выше.
  • Microsoft Windows Server 2008 Enterprise х86 / х64 SP2 и выше.
  • Microsoft Windows Server 2003 R2 Standard x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 R2 Enterprise x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 Standard x86 / x64 SP2.
  • Microsoft Windows Server 2003 Enterprise x86 / x64 SP2 и выше.
  • Windows Embedded 8.0 Standard x64.
  • Windows Embedded 8.1 Industry Pro x64.
  • Windows Embedded Standard 7 with SP1 x86 / х64.
  • Windows Embedded POSReady 7 x86 / х64.

Особенности и ограничения поддержки встраиваемых операционных систем

  • Операционные системы Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) или Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) рекомендуется использовать на устройствах с оперативной памятью от 2 ГБ.
  • Шифрования файлов (FLE) и жестких дисков (FDE) во встраиваемых операционных системах не поддерживается.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

  • Не поддерживается обновление Windows 8 на 8.1.
  • Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
  • Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 1623387 Update 1.
  • VMWare ESXi 5.5.0 2068190 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

  • Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
  • Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
  • Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Эвристический анализ (эвристическое сканирование) - совокупность функций антивируса, нацеленных на обнаружение неизвестных вирусным базам вредоносных программ. В то же время этот термин обозначает и один из конкретных способов.

Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко используется совместно с сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако, лечение в таких случаях практически всегда оказывается невозможным. В таком случае, как правило, требуется дополнительное обновление антивирусных баз для получения последних сигнатур и алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ.

Технология эвристического анализа

Методы эвристического сканирования не обеспечивают гарантированной защиты от новых, отсутствующих в сигнатурном наборе компьютерных вирусов, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации - знаний о механизме полиморфизма сигнатур. В то же время, поскольку этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания нельзя.

В ряде случаев эвристические методы оказываются чрезвычайно успешными, к примеру, в случае очень коротких программных частей в загрузочном секторе: если программа производит запись в сектор 1, дорожку 0, сторону 0, то это приводит к изменению раздела накопителя. Но кроме вспомогательной программы fdisk эта команда больше нигде не используется, и потому в случае её неожиданного появления речь идёт о загрузочном вирусе.

В процессе эвристического анализа производится проверка эмулируемой программы анализатором кода. К примеру, программа инфицирована полиморфным вирусом, состоящим из зашифрованного тела и расшифровщика. Эмулятор кода считывает инструкции в буфер антивируса, разбирает их на инструкции и производит их исполнение по одной инструкции, после этого анализатор кода подсчитывает контрольную сумму и сверяет её с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчета контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала - программа определена.

Недостатки эвристического сканирования

  • Чрезмерная подозрительность эвристического анализатора может вызывать ложные срабатывания при наличии в программе фрагментов кода, выполняющего действия и/или последовательности, в том числе и свойственные некоторым вирусам. В частности, распаковщик в файлах, запакованных PE-упаковщиком (Win)Upack вызывает ложные срабатывания целого ряда антивирусных средств, не признающих такой проблемы.
  • Наличие простых методик обмана эвристического анализатора. Как правило, прежде чем распространять вредоносную программу (вирус), её разработчики исследуют существующие распространенные антивирусные продукты, различными методами избегая её детектирование при эвристическом сканировании. К примеру, видоизменяя код, используя элементы, выполнение которых не поддерживается эмулятором кода данных антивирусов, используя шифрование части кода и др.
  • Несмотря на заявления и рекламные проспекты разработчиков антивирусных средств относительно совершенствования эвристических механизмов, эффективность эвристического сканирования далека от ожидаемой.
  • Даже при успешном определении, лечение неизвестного вируса практически всегда является невозможным. Как исключение, некоторыми продуктами возможно лечение однотипных и ряда полиморфных, шифрующихся вирусов, не имеющих постоянного вирусного тела, но использующих единую методику внедрения. В таком случае, для лечения десятков и сотен вирусов может существовать одна запись в вирусной базе.

Сканирование

Антивирусная защита.

Основным средством борьбы с вирусами были и остаются антивирусные программы. Можно использовать антивирусные программы (антивирусы), не имея представления о том, как они устроены. Однако без понимания принципов устройства антивирусов, знания типов вирусов, а также способов их распространения, нельзя организовать надежную защиту компьютера. Как результат, компьютер может быть заражен, даже если на нем установлены антивирусы.

Сегодня используется несколько основополагающих методик обнаружения и защиты от вирусов:

· сканирование;

· эвристический анализ;

· использование антивирусных мониторов;

· обнаружение изменений;

· использование антивирусов, встроенных в BIOS компьютера.

Кроме того, практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов. Конечно, если это возможно.

Самая простая методика поиска вирусов заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

Антивирусные программы-сканеры способны найти только уже известные и изученные вирусы, для которых была определена сигнатура. Применение простых программ-сканеров не защищает Ваш компьютер от проникновения новых вирусов.

Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить сигнатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.

Эвристический анализ позволяет обнаруживать ранее неизвестные вирусы, причем для этого не надо предварительно собирать данные о файловой системе, как этого требует, например, рассмотренный ниже метод обнаружения изменений.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы.

Практически все современные антивирусные программы реализуют собственные методы эвристического анализа. На рис. 1 мы показали одну из таких программ - сканер McAffee VirusScan, запущенный вручную для антивирусной проверки диска.

Когда антивирус обнаруживает зараженный файл, он обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале. В зависимости от настроек, антивирус может также направлять сообщение об обнаруженном вирусе администратору сети.

Если это возможно, антивирус вылечивает файл, восстанавливая его содержимое. В противном случае предлагается только одна возможность - удалить зараженный файл и затем восстановить его из резервной копии (если, конечно, она у Вас есть).

Cтраница 1


Эвристический анализ позволяет определять неизвестные вирусы, но при этом не требует предварительного сбора, обработки и хранения информации о файловой системе. Его сущность заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. При обнаружении подозрительных команд в файлах или загрузочных секторах выдается сообщение о возможном заражении.  

Эвристический анализ, как и рассмотренные выше методы прогнозирования, строится на принципах индуктивной логики, поскольку его центральным понятием является достоверность гипотезы, степени ее справедливости. Очевидно, что повысить степень справедливости эвристической гипотезы в отношении прогноза развития научно-технического прогресса в любых его направлениях можно, учитывая при анализе динамику и тенденции развития научных исследований в этих направлениях науки.  

С помощью эвристического анализа можно для выбранного алгоритма техпроцесса установить наиболее целесообразные сочетания функциональных подгрупп, входящих в состав соответствующих функциональных групп: например, технологический и транспортный роторы, не требующие верхней плиты для установки их на станине.  

Этим мы завершаем наш эвристический анализ звездной спекл-интерферометрии.  

Программой предусматривается возможность проведения эвристического анализа па трех уровнях. При этом исследуются файлы и системные области дисков с целью обнаружения неизвестных вирусов по характерным кодовым последовательностям.  

Второй принцип заключается в эвристическом анализе значимости учитываемых факторов, исходя из практического опыта и интуиции.  

В 1998 г. Создана система визуального эвристического анализа числовых матриц Visual HCA под руководством профф. Неоднократно публиковались доклады на конференциях в Мексике (Китай, Бельгия) и статьи в зарубежных и отечественных журналах. В 2000 г. разработана прикладная система визуального мониторинга данных измерений загрязнения Мехико с применением системы визуального эвристического анализа.  

Реализованный в данной антивирусной программе специальный алгоритм эвристического анализа позволяет выявлять также и файлы, зараженные новыми типами вирусов.  

В ряде случаев такая схема упорядоченных детерминированных расчетов, сопровождаемая глубоким эвристическим анализом, позволяет получить достаточно обоснованные решения и тем самым закончить оптимизацию адсорбционной установки при неполной информации. Но иногда полученные решения могут существенно различаться по своим компонентам. Тогда рекомендуется продолжить оптимизационный расчет по схеме, изложенной ниже.  

Так как мы сейчас уже располагаем точной теорией решений игр, мы обязаны после этого предварительного эвристического анализа дать точный анализ, строго основанный на математической теории.  

Следует подчеркнуть, что исследовательская группа, формируемая для решения той или иной задачи организационного управления, должна уметь использовать формальный математический аппарат и обладать способностью к чисто эвристическому анализу реальных ситуаций.  

Маклорена и что деление произойдет, когда растущее отношение т достигнет критического значения ть 0 14 (см. разд. Из этого эвристического анализа следуют два интересных результата. Во-первых, звезды с М 0 8 MQ достигают главной последовательности и перестают сжиматься, прежде чем в их ядре может произойти деление, вызванное вращением.  


Решение задачи построения множества конфликтных вариантов проводится с помощь ППП оптимального проектирования, входящих в математическое обеспечение автоматизированной системы проектирования. Далее, применяя алгоритмы эвристического анализа, ЭВМ вначале производит ранжировку и выбор конечного числа наилучших вариантов проекта АЛ, потом их диагностику или, наоборот, вначале диагностику, потом выбор. Полученные результаты выдаются на терминальные устройства для того, чтобы проектировщик смог провести окончательную их оценку.  

При решении двухкритериальной задачи следует стремиться обеспечить экстремум линейной комбинации критериев или находить множества Парето и принимать окончательное решение исходя из эвристического анализа этих множеств. Иногда поступают следующим образом. На один из критериев накладывают ограничение и добиваются, чтобы второй критерий принял экстремальное значение.  

Название этой группы методов происходит от приписываемого Архимеду знаменитого греческого слова «эврика!» - «нашел!», выражающего радость по поводу сделанного им открытия. Эвристические методы основываются на творческом мышлении и знаниях специалистов - экспертов, практическом опыте хозяйственных руководителей, их интуиции, на индивидуальных и коллективных суждениях. Такие методы считаются качественно-логическими, дополняющими формализованные количественные методы анализа. Необходимость их применения обусловлена сложностью и невозможностью четкого математического моделирования многих социально-экономических процессов (хотя многие из таких методов и предусматривают использование математических процедур для обработки исходной информации и результатов логического экспертного анализа).

Все эвристические методы условно можно разделить на экспертные методы и методы активизации творческого мышления (иногда их называют психологическими).

Экспертные методы, опираясь на знания, суждения и опыт специалистов, позволяют решать две группы аналитических задач:

  • 1) получение информации о конкретных экономических явлениях и их причинах, о требованиях ключевых заинтересованных сторон бизнеса;
  • 2) оценки характерных проявлений устойчивых причинно-следственных связей, прогнозирование возможного развития социально- экономических процессов и обоснование наиболее рациональных для данной ситуации управленческих решений.

Первая группа задач решается при помощи анкетирования, опросов и интервью работников предприятий и представителей других групп стейкхолдеров этих предприятий. Для решения второй группы задач привлекаются высококвалифицированные эксперты-профессионалы. При этом могут использоваться как индивидуальные, так и коллективные методы экспертных оценок.

Индивидуальные методы предполагают использование мнений отобранных специалистов-экспертов, сформулированных каждым из них независимо друг от друга и собранных посредством интервью или анкетирования. Недостаток такого подхода состоит в известной ограниченности знаний отдельных специалистов обо всех аспектах исследуемой проблемы, в приверженности каждого из них какой-то конкретной позиции или научной школе.

Более эффективно применение коллективных методов, основанных на привлечении групп различных экспертов - теоретиков и практиков, хорошо осведомленных о сути проблемы, о специфике смежных отраслей знаний и видов деятельности, имеющих различные точки зрения. Взаимодействие привлекаемых специалистов дает возможность исследовать поставленную проблему с различных сторон. Среди подобных методов наиболее популярен метод комиссий (производственных совещаний, конференций, семинаров и «круглых столов»), позволяющий выработать общую позицию участников с учетом всех обсуждаемых обстоятельств. Недостатком такого метода является то, что принимаемые решения, в силу стремления к компромиссам и психологического давления наиболее авторитетных экспертов, не обязательно отражают их лучшие варианты, предлагаемые отдельными участниками комиссий. Отчасти преодолевается этот недостаток при помощи разделения работы комиссии на два этапа:

  • ? общее обсуждение проблемы и свободное высказывание мнений участников;
  • ? критический анализ всех высказанных предложений и выработка решений.

В еще большей степени позволяет избегать конформизма экспертов метод Дэлъфи, основанный на проводимом в несколько туров заочном анонимном опросе независимых экспертов (часто даже не знающих о существовании друг друга) с последующей статистической обработкой результатов и выработкой окончательного решения группой аналитиков - организаторов опроса.

Широко известны методы коллективного блокнота и банка идей, позволяющие постепенно накапливать выдвигаемые независимыми экспертами идеи и предложения, удачные типовые решения, практические примеры с возможностью их систематизации и оценки.

Методы активизации творческого мышления направлены на создание психологических условий, позволяющих человеку генерировать новые идеи и искать пути решения различных проблем. Среди подобных способов организации творческого процесса при решении задач экономического анализа наибольшее распространение получил метод «мозгового штурма».

«Мозговой штурм» представляет собой эффективный метод групповой организации аналитической деятельности по решению каких- либо проблем, основанный на раскрепощении творческой активности его участников. Обычно он предусматривает три этапа. Первый этап - четкая формулировка проблемы, требующей решения, и отбор участников творческой группы. Состав участников не должен быть большим, но он должен включать не только специалистов по данному вопросу, но и других заинтересованных лиц, не связанных отношениями подчиненности. Второй этап - генерация идей для решения поставленной проблемы. Особенностью этого этапа является создание условий для максимально свободного творчества при полном отсутствии оценок и какой-либо критики высказываемых предложений. При этом не задаются даже направления поиска идей и критерии их оценки. Главная цель - это максимальное количество выдвигаемых предложений и их возможных сочетаний, все они должны быть зафиксированы. Приветствуются даже фантастические и кажущиеся абсурдными идеи. Продолжительность этого этапа не должна превышать полутора часов, так как после этого творческая активность, как правило, начинает затихать. Третий этап - это выполняемые аналитиками - организаторами «штурма» классификация высказанных предложений, отбор, оценка и разработка различных комбинаций наиболее перспективных идей.

Модификацией метода «мозгового штурма» является метод си- нектики. Сам термин «синектика» означает использование для решения творческих задач соединения в единое целое различных, зачастую разнородных элементов, кажущихся несовместимыми. От классического «мозгового штурма» синектика отличается организацией влияния группы на творческую активность ее членов, определением конкретных приемов выработки идей, допущением критического обсуждения и отсеивания выдвигаемых идей непосредственно на стадии их генерирования. При этом в состав группы должны входить не просто профессионалы, а творческие личности, стремящиеся к соревнованию и готовые отстаивать свои позиции, обладающие различными психоэмоциональными характеристиками (энтузиасты, консерваторы, оптимисты, скептики и т.п.). Характерным для синектики является использование различных вербальных приемов активизации мышления: аналогий (нахождение решений на основе анализа уже решенных аналогичных проблем в других областях, поиск решений в фантастике, мифах, сказках), инверсии (поиск решений «от обратного»), эмпатии (отождествление себя с анализируемым объектом и понимание проблемы на основе собственных ощущений), идеализации (исследование с позиций получения идеального результата). Следует отметить, что для синектической группы экспертов очень важны предварительная подготовка, взаимопонимание и сплоченность, иначе нарастающая критичность обсуждений может просто заблокировать генерацию новых идей.

Морфологический метод. Этот метод основывается на оценке внутренней структуры исследуемого объекта и соответствующей декомпозиции рассматриваемой проблемы на отдельные задачи, подборе возможных решений для каждой из этих задач, их систематизации и синтезировании общего решения проблемы путем комбинирования частных решений.

Теория решения изобретательских задач (ТРИЗ). Изначально целью ТРИЗ было исследование принципов развития технических систем и создание практических методов решения изобретательских задач на основе выявления и устранения противоречий в таких системах для достижения идеального конечного результата. Ныне ТРИЗ превратилась в универсальную методологию анализа разнообразных проблем во многих областях, в том числе и в экономике. Активизация творческого мышления при этом достигается структурированием задач анализа и определенной последовательностью их решения:

  • 1) для чего предназначена система, из каких элементов она состоит, каковы их функции и как они взаимодействуют;
  • 2) какие связи элементов системы и их функции являются полезными, какие бесполезными, а какие вредными;
  • 3) какие элементы, функции и связи можно изменять, а какие изменять невозможно;
  • 4) какие возможны варианты изменений элементов системы, их функций и связей;
  • 5) какие изменения обеспечивают улучшение функционирования системы в целом, а какие вызывают противоречия в системе и ослабляют ее;
  • 6) как осуществить улучшающие изменения при одновременном устранении или минимизации возникающих противоречий.

Для стимулирования творческой активности и организации систематической самостоятельной работы экспертов-аналитиков часто прибегают к выполнению своеобразных правил. Правило 24 предписывает, что все 24 часа в сутки аналитик должен думать об исследуемой проблеме. Правило 25 - для успешного решения поставленной задачи необходимо выдвинуть не менее 25 идей. Правило 26 - в английском алфавите 26 букв, и в качестве подсказки самому себе надо думать, на какую букву будет начинаться ключевое для решения проблемы слово.

Эвристические методы анализа

Вы в своей жизни, вероятно, встречали человека, который прежде всего поражал вас тем, что у него чрезвычайно развитое воображение, оригинальные и неожиданные суждения, идеи, которые свойственны высокоразвитому интуитивному мышлению. Такого человека мы, как правило, называем творческой личностью. А способность к генерированию новых идей есть все основания отнести к одному из важнейших признаков творческой личности.

И в школе, и в высших и средних специальных учебных заведениях, к сожалению, развитию интуиции, способностей к генерированию новых идей уделяют недостаточное внимание. Педагоги в основном обращают внимание на логические методы решения задач, в том числе в процессе решения творческих задач.

Расчетные методы оперируют только количественно-определенной информацией, использование которой при анализе систем управления весьма ограничено. Для анализа хозяйственной деятельности большое значение имеет использование эвристических методов, направленных на получение качественных характеристик субъекта хозяйствования. Методы эвристики основываются главным образом на опыте и интуиции специалистов, их индивидуальных или коллективных суждениях. Среди эвристических методов можно выделить оценочные и оценочно-поисковые методы анализа.

Эвристические методы широко излагаются в работах по управлению персоналом, организации управления и организационного поведения.

Условия, предопределяющие необходимость использования эвристических методов, можно охарактеризовать следующим образом:

Качественный характер исходной информации, описываемый с помощью экономических и социальных параметров, отсутствие достаточно представительных и достоверных сведений по характеристикам объекта исследования;

Большая неопределенность исходных данных для анализа;

Отсутствие четкого предметного описания и математической формализации предмета оценки;

Недостаток времени и средств для исследования с применением формальных моделей;

Отсутствие технических средств с соответствующими характеристиками для аналитического моделирования;

Экстремальность анализируемой ситуации.

Эвристические методы анализа представляют собой особую группу приемов сбора и обработки информации, опирающуюся на профессиональное суждение группы специалистов.

Классификация эвристических методов анализа

Эвристические методы оценки

ОЦЕНОЧНО-ПОИСКОВЫЕ МЕТОДЫ

Комиссии и конференции

Мозговой штурм

Коллективный блокнот

Банк идей

Метод активного социологического тестированного анализа и контроля

Деловые игры

Функционально-стоимостной анализ.

Эвристические методы часто называют креативными, так как они опираются на творческое мышление группы людей. Залогом надежности и обоснованности выводов анализа при эвристических методах является правильный подбор экспертов. В зависимости от целей и направленности группа экспертов может быть однородной или включать представителей разных групп связанных специалистов, а иногда и просто заинтересованных лиц. Например, при формировании группы экспертов для анализа технологических разработок в нее включаются технологи, которые профессионально могут оценить техническую новизну решения, экономисты, оценивающие его эффективность, механики, которые могут дать оценку возможности реализации новой технологии на имеющейся производственной базе, рабочие - исполнители новой технологии. При оценке качества продукции и спроса на нее в состав группы экспертов включаются не только товароведы, но и производители и потребители продукции. В то же время при разработке какого-то технического решения на первой стадии в состав группы экспертов включаются только специалисты соответствующего профиля.

На практике сложились достаточно сложные методы формирования группы экспертов:

По формальным критериям, когда учитываются специальность, стаж работы, длительность пребывания в одном коллективе; сюда же относятся психологические оценки личности по данным социологической службы организации (если таковые имеются), например, способность к творческому мышлению, конструктивность мышления и т.п.;

На основе самооценки личности, полученной при анкетировании, в этом случае сам будущий эксперт оценивает свои возможности, включая квалификацию, аналитичность и конструктивность мышления, способность адаптироваться к определенным ситуациям и т.п.; такой отбор экспертов дополняется определением уровня самооценки будущего эксперта - заниженная, завышенная или адекватная, что проводится при специальном

психологическом отборе экспертов;

На основе оценки лиц, связанных с претендентом, когда профессиональные и личностные качества специалиста оцениваются специалистами аналогичного профиля, потребителями услуг, работниками, реализующими решения эксперта;

Методом случайного отбора (выборки), если в качестве экспертов может выступать множество лиц (например, потребителей продукции и услуг).

Достаточно часто при анализе деятельности хозяйствующего субъекта в состав группы экспертов входят руководители разных уровней и работники. Например, так формируется группа экспертов при выборе стратегии развития производства, изменении системы стимулирования, реформировании систем учета и отчетности, перестройке организационных структур.

Таким образом, при отборе экспертов широко используются как формальные, так и психологические методы отбора. В этой связи эвристические методы часто называют психологическими.

(Мелюхова Яна) 1)Метод типологии основывается на ставшей популярной теории позиционирования. Основная идея этой теории заключается в существовании готовой, единой для всех картины стандартных ситуаций и решений. Задача аналитика состоит в выборе позиции, соответствующей объекту анализа по определенным параметрам, и получении стандартного решения, предлагаемого разработчиками метода. Практическими приложениями этой теории являются матрицы ЗКГ, Мак-Кензи и др. Технология реализации метода включает такие этапы, как:

Оценка анализируемого объекта по некоторым заданным параметрам;

Позиционирование объекта в типологической схеме в соответствии со значениями параметров;

схеме типом анализируемого объекта.

При построении типологической схемы можно использовать два параметра и более. Параметры могут отражать как простые свойства, так и комплексные. Примером комплексного свойства служит перспективность рынка, характеризуемая размерами, темпом роста, уровнем удовлетворения потребностей пользователей, конкуренцией, уровнем цен, доходностью и

т.д. Как видно из приведенного примера, параметры могут иметь как количественную, так и качественную оценку. Позиционирование анализируемого объекта (объектов) на типологической сетке возможно в виде той или иной отметины (точек, окружностей и т.д.).

При наличии разработок в конкретных областях использование типологических сеток позволяет определить тип анализируемого объекта и воспользоваться готовыми рекомендациями по его совершенствованию. Однако с методом типологии необходимо быть крайне осторожным. Нужно иметь в виду, что универсальные «рецепты» достаточно соблазнительны своей простатой, контрастирующей с решением творческих задач, но польза от применения полученных рекомендаций весьма ограничена. Лучше знать, как выявить и решить проблемы, чем верить в готовые рецепты успеха. По мнению автора, лишь в сочетании с другими приемами оценки метод типологии позволяет охарактеризовать ситуацию и найти приемлемые варианты прогнозных управленческих решений.

(Киселева Оля) 2)Метод экспертной оценки опирается на выявление обобщенной оценки экспертной группой путем статистической обработки индивидуальных, независимых оценок, вынесенных экспертами. Члены группы в этом случае могут быть равноценными или иметь разный ранг, учитываемый при выведении результатов экспертизы.

При наборе экспертов следует руководствоваться такими требованиями, как:

Высокий уровень общей эрудиции, обладание специальными знаниями в анализируемой области;

Наличие определенного практического и (или) исследовательского опыта по рассматриваемой проблеме;

Способность к адекватной оценке тенденций развития исследуемого объекта;

Отсутствие предвзятости, заинтересованности в конкретном результате оценки.

Благоприятные условия для работы экспертов создаются в результате предварительного инструктирования, обучения методике исследования, предоставления дополнительной информации об объекте анализа.

(Оля Прилепа) 3)Метод экспертной комиссии основан на выявлении единого коллективного мнения специально подобранными экспертами при обсуждении поставленной проблемы и альтернатив ее решения в результате определенных компромиссов.

При использовании метода экспертной комиссии осуществляется не только статистическая обработка результатов индивидуальной балльной оценки всех экспертов, но и обмен мнениями по результатам экспертизы и уточнение оценок. Недостаток такой процедуры состоит в сильном влиянии авторитетов на мнение большинства участников экспертизы.

Вконтакте

Эвристический анализ

Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко используется совместно с сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако, лечение в таких случаях практически всегда оказывается невозможным. В таком случае, как правило, требуется дополнительное обновление антивирусных баз для получения последних сигнатур и алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ.

Технология эвристического анализа

Методы эвристического сканирования не обеспечивают какой-либо гарантированной защиты от новых, отсутствующих в сигнатурном наборе, компьютерных вирусов, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации – знаний о механизме полиморфизма сигнатур. В то же время, этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания нельзя.

В ряде случаев, эвристические методы оказываются чрезвычайно успешными, к примеру, в случае очень коротких программных частей в загрузочном секторе: если, программа производит запись в сектор 1, дорожку 0, сторону 0, то это приводит к изменению раздела накопителя. Но кроме вспомогательной программы FDISK эта команда больше нигде не используется, и потому в случае ее неожиданного появления речь идет о загрузочном вирусе.

В процессе эвристического анализа производится проверка эмулируемой программы анализатором кода. К примеру, программа инфицирована полиморфным вирусом, состоящим из зашифрованного тела и расшифровщика. Эмулятор кода эмулирует работу данного вируса по одной инструкции, после этого анализатор кода подсчитывает контрольную сумму и сверяет ее с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчета контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала - программа идентифицирована.

Другим распространенным методом эвристического анализа, применяемым большой группой антивирусов, является декомпиляция подозрительной программы и анализ ее исходного кода. Исходный код подозрительного файла проходит сверку и сравнение с исходным кодом известных вирусов и образчиков вирусной активности. В случае, если определенный процент исходного кода идентичен коду известного вируса или вирусной активности, файл отмечается как подозрительный, о чем оповещается пользователь.

Недостатки эвристического сканирования

  • Чрезмерная подозрительность эвристического анализатора может вызывать ложные срабатывания при наличии в программе фрагментов кода, выполняющего действия и/или последовательности, в том числе и свойственные некоторым вирусам. В частности, распаковщик в файлах, запакованных PE-упаковщиком (Win)Upack вызывает ложные срабатывания целого ряда антивирусных средств, де-факто не признающих такой проблемы. Другой проблемой анализаторов является ошибочное срабатывание при проверке совершенно безобидного кода.

К примеру, скомпилированный с помощью Delphi 7 или Delphi 2007 код:

Program XDC; {$APPTYPE CONSOLE} uses SysUtils; begin if (paramstr (3 ) ="d" ) then begin FileSetReadOnly (paramstr (2 ) ,false ) ; DeleteFile (paramstr (2 ) ) ; end ; end .

Вызывает ложные срабатывания у антивирусов типа Panda (независимо от версии компилятора), Webwasher GateWay (при компиляции Delphi 2007 ), F-Secure (при компиляции Delphi 7 ). Как видно из примера, программа абсолютно безопасна и совершенно отсутствуют какие-либо признаки вредоносного кода и вирусного функционала (весь функционал примера: если в качестве третьего параметра указан ключ «d», программа удаляет файл, указанный во втором параметре).

  • Наличие простых методик обмана эвристического анализатора. Как правило, прежде чем распространять вредоносную программу (вирус), ее разработчики исследуют существующие распространенные антивирусные продукты, различными методами избегая ее детектирование при эвристическом сканировании. К примеру, видоизменяя код, используя элементы, выполнение которых не поддерживается эмулятором кода данных антивирусов, используя шифрование части кода и др.

Несмотря на заявления и рекламные проспекты разработчиков антивирусных средств относительно совершенствования эвристических механизмов, эффективность эвристического сканирования на данный момент далека от ожидаемой. Независимые тесты компонентов эвристического анализа показывают, что уровень обнаружения новых вредоносных программ составляет не более чем 40-50% от их числа. (англ.)

  • Даже при успешном определении, лечение неизвестного вируса практически всегда является невозможным. Как исключение, некоторыми продуктами возможно лечение однотипных и ряда полиморфных, шифрующихся вирусов, не имеющих постоянного вирусного тела, но использующих единую методику внедрения. В таком случае, для лечения десятков и сотен вирусов может существовать одна запись в вирусной базе, как это реализовано, к примеру, в антивирусе И. Данилова.

См. также

Ссылки

Внешние ссылки

Wikimedia Foundation . 2010 .

Смотреть что такое "Эвристический анализ" в других словарях:

    - (эвристика) алгоритм решения задачи, не имеющий строгого обоснования, но, тем не менее, дающий приемлемое решение задачи в большинстве практически значимых случаев. Содержание 1 Определение 2 Применение … Википедия

    У этого термина существуют и другие значения, см. Полиморфизм. Полиморфизм компьютерного вируса (греч. πολυ много + греч. μορφή форма, внешний вид) специальная техника, используемая авторами вредоносного программного… … Википедия

    Стиль этой статьи неэнциклопедичен или нарушает нормы русского языка. Статью следует исправить согласно стилистическим правилам Википедии … Википедия

    Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а… … Википедия

    Эта статья или раздел грубый перевод статьи на другом языке (см. Проверка переводов). Он мог быть сгенерирован программой переводчиком или сделан человеком со слабыми познаниями в языке оригинала. Вы можете помочь … Википедия

    Разработчик ОС Windows XP/Vista Лицензия Сайт … Википедия

    Скриншот программы Тип … Википедия

    OllyDbg … Википедия

    Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей. Некоторые модели человеческого поведения в общественных науках предполагают, что поведение людей может быть адекватно опи … Википедия

Эта статья о том, антивирусном программном обеспечении. Для применения эвристики в оценке юзабилити см эвристической оценки .

Эвристический анализ представляет собой метод, используемый многими компьютерными антивирусными программами, предназначенными для обнаружения ранее неизвестных компьютерных вирусов , а также новые варианты вирусов уже в «дикой природе».

Эвристический анализ является на основе экспертного анализа, который определяет восприимчивость системы к особой угрозе / риска с использованием различных правил принятия решений или методов взвешивания. Анализ Многокритериальный (MCA), является одним из средств взвешивания. Этот метод отличается от статистического анализа, который опирается на имеющихся данных / статистике.

операция

Большинство антивирусных программ, которые используют эвристический анализ выполнения этой функции, выполнив команды программирования из сомнительной программы или сценария в специализированной виртуальной машине , тем самым позволяя антивирусную программу внутренне имитировать то, что произошло бы, если подозрительный файл должны были быть выполнены при сохранении подозрительный код, выделенный из реального мира машины. Затем он анализирует команды, как они выполняются, мониторинг распространенных вирусных мероприятий, таких как репликация, файл перезаписывает и пытается скрыть существование подозрительного файла. Если один или несколько вирусов, как действия будут обнаружены, подозрительный файл помечен как потенциальный вирус, и пользователь насторожить.

Другой распространенный метод эвристического анализа для антивирусной программы, чтобы декомпилировать подозрительную программу, а затем анализировать машинный код, содержащийся внутри. Исходный код подозрительного файла сравниваются с исходным кодом известных вирусов и вирусоподобной деятельности. Если определенный процент от исходного кода совпадает с кодом известных вирусов или вирусов, как деятельности, файл помечен, и пользователь насторожить.

эффективность

Эвристический анализ позволяет обнаруживать многие ранее неизвестные вирусы и новые варианты текущих вирусов. Тем не менее, эвристический анализ работает на основе опыта (сравнивая подозрительный файл с кодом и функцией известных вирусов). Это означает, что, скорее всего, пропустить новые вирусы, которые содержат ранее неизвестные методы работы не нашли в одном из известных вирусов. Следовательно, эффективность довольно низкая в отношении точности и количества ложных срабатываний .

Поскольку новые вирусы обнаруживаются человеческими исследователями, информация о них добавляется эвристическим анализ двигателя, тем самым обеспечивая двигатель средство для обнаружения новых вирусов.

Что такое эвристический анализ?

Эвристический анализ представляет собой метод обнаружения вирусов путем анализа кода подозрительных свойств.

Традиционные методы обнаружения вирусов вовлекают выявления вредоносных программ путем сравнения кода в программе с кодом известных типов вирусов, которые уже столкнулись, проанализированы и записаны в базе данных - известных как обнаружение подписи.

В то время как полезные и до сих пор используется метод сигнатурного обнаружения также стал более ограниченным, в связи с развитием новых угроз, которые взрывались на рубеже веков и продолжают появляться все время.

Для решения этой проблемы, эвристическая модель была специально разработана, чтобы выявить подозрительные признаки, которые могут быть найдены в неизвестный, новых вирусы и модифицированные версии существующих угроз, а также известных образцов вредоносных программ.

Киберпреступники постоянно разрабатывают новые угрозы, и эвристический анализ является одним из немногих методов, используемых для борьбы с огромным объемом этих новых угроз видели ежедневно.

Эвристический анализ также является одним из немногих методов, способных борьбы полиморфных вирусов - термин для вредоносного кода, который постоянно меняется и адаптируется. Эвристический анализ включены передовые решения безопасности, предлагаемые такими компаниями, как Kaspersky Labs, чтобы обнаружить новые угрозы, прежде чем они причинить вред, без необходимости конкретной подписи.

Какая Эвристический анализ работа?

Эвристический анализ позволяет использовать множество различных методик. Один эвристический метод, известный как статический эвристический анализ, включает в себя декомпиляцию подозрительной программы и рассматривают его исходный код. Этот код сравниваются с вирусами, которые уже известны и находятся в эвристических базах данных. Если какой-то процент от исходного кода совпадает с записью в базе данных эвристических, код помечен как возможная угроза.

Другой метод известен как динамические эвристики. Когда ученые хотят анализировать что-то подозрительное, не подвергая опасности людей, они содержат вещества в контролируемой среде, как защищенной лаборатории и проведение испытаний. Этот процесс аналогичен для эвристического анализа - но и в виртуальном мире.

Она изолирует подозрительные программы или кусок кода внутри специализированной виртуальной машины - или песочницы - и дает антивирусной программе шанс проверить код и симулировать, что произойдет, если подозрительный файл был разрешено работать. Он рассматривает каждую команду, как это срабатывает, и ищет любые подозрительные поведения, например, самовоспроизведению, перезапись файлов, а также другие действия, которые являются общими для вирусов. Потенциальные проблемы

Эвристический анализ идеально подходит для выявления новых угроз, но, чтобы быть эффективными эвристики должны быть тщательно отрегулированы с целью обеспечения наилучшего обнаружения новых угроз, но без генерации ложных срабатываний на совершенно невинный коде.

Сканирование

Антивирусная защита.

Основным средством борьбы с вирусами были и остаются антивирусные программы. Можно использовать антивирусные программы (антивирусы), не имея представления о том, как они устроены. Однако без понимания принципов устройства антивирусов, знания типов вирусов, а также способов их распространения, нельзя организовать надежную защиту компьютера. Как результат, компьютер может быть заражен, даже если на нем установлены антивирусы.

Сегодня используется несколько основополагающих методик обнаружения и защиты от вирусов:

· сканирование;

· эвристический анализ;

· использование антивирусных мониторов;

· обнаружение изменений;

· использование антивирусов, встроенных в BIOS компьютера.

Кроме того, практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов. Конечно, если это возможно.

Самая простая методика поиска вирусов заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

Антивирусные программы-сканеры способны найти только уже известные и изученные вирусы, для которых была определена сигнатура. Применение простых программ-сканеров не защищает Ваш компьютер от проникновения новых вирусов.

Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить сигнатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.

Эвристический анализ позволяет обнаруживать ранее неизвестные вирусы, причем для этого не надо предварительно собирать данные о файловой системе, как этого требует, например, рассмотренный ниже метод обнаружения изменений.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы.

Практически все современные антивирусные программы реализуют собственные методы эвристического анализа. На рис. 1 мы показали одну из таких программ - сканер McAffee VirusScan, запущенный вручную для антивирусной проверки диска.

Когда антивирус обнаруживает зараженный файл, он обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале. В зависимости от настроек, антивирус может также направлять сообщение об обнаруженном вирусе администратору сети.

Если это возможно, антивирус вылечивает файл, восстанавливая его содержимое. В противном случае предлагается только одна возможность - удалить зараженный файл и затем восстановить его из резервной копии (если, конечно, она у Вас есть).