11.08.2009, 19:56
Creer napisał(a):Tak naprawde to zapomnijcie o tej calej heurystyce - czym ona naprawde jest?
Wszystkie programy antywirusowe skanuja dysk na podstawie sygnatur ktore posiadaja w swojej bazie, skanowanie to gdyby mialo przebiegac na podstawie czynnosci ktore wykonuje okreslony plik w systemie - trwaloby wiecznie. A tak, analizowany jest tylko fragment danego pliku w poszukiwaniu kodu binarnego zapisanego w bazach sygnatur AV, ktory jest unikalnym ID danego wirusa.
Heurystyka - to slowo tylko madrze brzmi, w rzeczywistosci cala ta heurystyka przeprowadzana jest podczas skanowania i wyniki porownywane sa z kodem binarnym ktory znajduje sie we wczesniej pobranych sygnaturach antywirusowych. Te ktore sa podobne, zostaja oznaczone przez program AV jako zainfekowane - to jest ta cala heurystyka, inteligentna ochrona proaktywna, etc... jak zwal tak zwał, w rzeczywistosci jest to nadal poleganie na sygnaturach ktore program antywirusowy ma w swojej bazie i liczenie na łut szczescia ze kolejny wirus, byc moze nowo stworzony, chociaz w czesci bedzie podobny pod wzgledem kodu do tych ktore zostaly wprowadzone do bazy sygnatur AV...
Wiecej na temat dzialania AV:
[Aby zobaczyć linki, zarejestruj się tutaj]
Nie do końca jest tak jak piszesz Creer. Testowałem na wielu wirusach Noda i Nortona i szczególnie w przypadku pierwszego AV większość wirusów których nie ma w bazie była wykrywana po kilku sekundach po analizie zachowania. Takich AV jest jednak niewiele a ThreatSense i Sonar są zawodne.