Qual è la differenza tra la scansione antivirus basata su euristica e sul comportamento?

Per quanto mi riguarda, il rilevamento basato sull'euristica è ancora una sorta di analisi statica, il potenziale malware viene scansionato staticamente per scoprire proprietà sospette come il junk code o l'uso di API non comuni, WTHOUT basandosi su qualsiasi corrispondenza di firma .

L'analisi del comportamento / rilevazione si basa sull'esame di come un determinato programma viene eseguito per identificare anche attività "non comuni" come la creazione di chiavi di registro specifiche, alterazione del file HOST, processo di uccisione o decompressione del codice.

Anche se rilevamento euristico è molto utilizzato nell'informatica, è più facile imparare il laico uristico utilizzato nel giudizio e nel processo decisionale . L'euristica viene utilizzata per la prima volta da Amos Tversky e Daniel Kahneman per studiare il comportamento umano, per capire perché il corso d'azione umano si basa su criteri particolari.

In parole povere, la scansione antivirus basata su euristica e comportamentale è la stessa cosa.

La scansione euristica preliminare controlla i file / gli attributi / pattern dello script o chiama "comportamento / azioni" per decidere se è sicuro o dannoso. Quindi, se il codice viene offuscato, l'euristica preliminare può mancare. Quindi è necessario un processo in background per osservare cosa farà il programma durante l'esecuzione, interromperlo quando mostrerà un cattivo comportamento. Alcuni lo chiamano "scansione / controllo del comportamento".

Mentre in effetti, tale esecuzione di file attiva si basa ancora su un set di euristica per reagire. La maggior parte degli analisti di malware usa semplicemente il termine "analisi statica" e "analisi dinamica" per differenziare i due meccanismi.