In una rivista locale ho letto un'intervista con Adrian Porcescu, che è un consulente tecnico che lavora per Kaspersky Lab.
Tra le altre cose, dice che il loro anti-virus usa il comportamentismo e il controllo euristico per rilevare software dannoso.
Mi chiedo: che cos'è il comportamentismo e il controllo euristico nei software antivirus e come funziona?
L'euristica è:
Il loro obiettivo è riconoscere un virus analizzando il suo codice (non limitato a). Se un programma è programmato per aprire un determinato file o per caricare / leggere determinati indirizzi di memoria. Questi metodi si basano su più criteri. Alla fine possono eseguire il programma in ambiente virtuale per monitorare gli schemi di virus noti: replicazione, furtività ecc.
Il comportamentismo è un'analisi in tempo reale. Analizzando cosa sta facendo un programma (I / O di file, I / O di memoria, I / O di rete, uso del PC durante il tempo di inattività, ...) è possibile valutare se è legittimo o meno. Se un programma inizia a inviare pacchetti su 100 indirizzi IP su ciascuna porta, puoi essere certo che si tratta di un virus, perché non è un comportamento normale per un programma.
Vorrei concludere dicendo questo: il comportamentismo si occupa di comportamenti sconosciuti (certamente prova a profilare il comportamento dell'utente per rilevare i cambiamenti nella normale attività) e certamente usa l'euristica. L'obiettivo euristico è quello di rilevare un virus sconosciuto o una variante, ma lo schema che stanno cercando è ben noto.
Alcuni riferimenti:
Leggi altre domande sui tag antivirus antimalware