Эвристический анализатор кода

Опубликовано в Эвристический анализатор

Эвристический анализатор кода. В рамках данной категории сайта мы попытаемся выяснить, действительно ли даже три антивируса могут дать сбой в поимке «хитрого» кода, и как с этим связано такое качество антивирусного продукта, как эвристика.

Как работает эвристический анализатор кода и почему даже два антивируса в системе могут стать бесполезными

Эвристический анализатор кода

В роли испытуемых антивирусов были выбраны следующие популярные продукты:

1. «Антивирус Касперского»;

2. ESET NOD32;

Напомним, что качество эвристики определяется способностью антивируса распознавать модифицированный вредоносный код. Фактически, эвристика предполагает обнаружение вируса, которого нет в базах: по специальным алгоритмам и некоторым признакам антивирус сам должен «домыслить», что проверяемый код является вирусным.

Как вы уже поняли, задача не из легких. Для наибольшей объективности теста мы возьмем максимально широкий перечень инструментов, применяемых в подобных случаях. Помимо упаковщиков, генераторов вирусов и утилит для обфускации, мы включим в наш тест самописный вирус, а также воспользуемся полиморфным образцом Virus.Win32.Zombie, который известен оригинальной технологией декриптования для обхода эвристических анализаторов.

Подобная методология, включающая комплексное тестирование, широко применяется в сертифицированных тестовых лабораториях и позволяет минимизировать возможные погрешности, сделав результат теста максимально объективным.

«Свежесть» баз всех трех антивирусов одинакова. Уровень настроек эвристики в обоих случаях аналогичен и приравнен к средним.

1.  Nod32  – обнаружил;

2. «Антивирус Касперского» – обнаружил;

Испытуемые антивирусные программы справились с заданием.

0