Как работает эвристический анализатор?

[kazoom]

уважаемый товарищ Касперский!

Меня давно мучал этот вопрос

и теперь я хочу узнать ответ на него "из первых уст"

КАК же работает эвристический анализатор?

Строгое предупреждение от модератора Elly

Евгений Касперский не оказывает помощи по продуктам!

[Elly]

Об этом можно прочитать в справке к продукту, например.

[StalkerVik]

  Цитата

Суть метода в анализе активности, которую объект производит в системе. Если активность типична для вредоносных объектов, то с достаточной долей вероятности объект будет признан вредоносным или подозрительным. Следовательно, новые угрозы будут распознаны до того, как их активность станет известна вирусным аналитикам.

 

Технология обнаружения угроз, неопределяемых с помощью баз Антивируса. Позволяет находить объекты, которые подозреваются на заражение неизвестным вирусом или новой модификацией известного.

 

С помощью эвристического анализатора обнаруживаются до 92% новых угроз. Этот механизм достаточно эффективен и очень редко приводит к ложным срабатываниям.

 

Файлы, обнаруженные с помощью эвристического анализатора, признаются подозрительными.

Приложение уведомит вас об обнаружении вредоносного объекта. Следует отреагировать на уведомление выбором действия.

 

Дополнительно вы можете задать уровень детализации проверки. Уровень обеспечивает баланс между тщательностью поиска новых угроз, степенью загрузки ресурсов операционной системы и временем проверки. Чем выше установлен уровень детализации проверки, тем больше ресурсов она потребует и больше времени займет.

[DIMANDUC]

Говоря простым языком, анализатор сам "прожевывает" файлы на компьютере и если замечает какие-то подозрительные отклонения (изменения), то дает знать об этом вам. А дальше уже ваше право, что с ними делать.

 

Есть дргой принцип работы касперского: метод сравнения файлов с антивирусными базами на предмет обнаружения вредоносого кода.

 

У меня такой вопрос: во время полной проверки компьютера работает "эвристический анализатор" или его нужно включать отдельно?

[Yustas]

Работает, причем в настройках можно скорректировать его уровень при проверке (см: настройка /полная проверка /настройки/ вкладка "дополнительно")

Изменено 17 марта, 2009 пользователем Yustas

[StalkerVik]

Мне только не совсем понятно, почему по умолчанию в файловом антивирусе отключен эвристик? Производительность - это понятно, но ведь безопасность важнее. Если компьютер не имеет доступа к интернету, то эвристик остаётся главным спасением. Его то можно включить самому, но обычный пользователь и не заглядывает в настройки. Поэтому настройка по умолчанию является главным приоритетом

[Kapral]

А ХИПС на что?

[StalkerVik]

Он ведь не заменить эвристику в полной мере

[R.S.M.]

  PsychoTron сказал:

Производительность - это понятно, но ведь безопасность важнее.

А это уже очень индивидуально, кому как. Сколько я в нете читал визгов, что Касперский замедляет работу. Производитель же обязан ориентироваться на большинство. А если вам нужно большего - то есть настройки.

[StalkerVik]

Ну согласен. Это правильно.

[tolid]

  Kapral сказал:

А ХИПС на что?

 

про эвристик тут написали, что он определяет до 92% новых угроз (это на максимальных настройках, как я понимаю), а про ХИПС что можно сказать?

Изменено 18 марта, 2009 пользователем tolid

[StalkerVik]

  tolid сказал:

про эвристик тут написали, что он определяет до 92% новых угроз (это на максимальных настройках, как я понимаю), а ХИПС что можно сказать?

 

Может, логичней было бы эти 92% отдать эвристику, а остальные 8% каким-то алгоритмом поставить на базы? Все-таки эвристик самостоятелен, а базы зависимы от интернета. Или это не делается потому, что эвристик слабоват и недошлифован?

Изменено 18 марта, 2009 пользователем PsychoTron

[C. Tantin]

  PsychoTron сказал:

Может, логичней было бы эти 92% отдать эвристику, а остальные 8% каким-то алгоритмом поставить на базы? Все-таки эвристик самостоятелен, а базы зависимы от интернета. Или это не делается потому, что эвристик слабоват и недошлифован?

Не логичней. Это абсолютно разные вещи. Эвристик определяет с какой-то долей вероятности вредоносное ПО. Сигнатурный детект - даёт практически 0% фолсов, в отличие от эвристика. Кроме того, интересно, как выделить эти 8%? Из ещё не обнаруженных (да хоть и обнаруженных) вирусов? Нет, пока это невозможно.

[Alek]

еврестический анализатор очень просто работает.

Он обнаруживает новые и еще неизвестные вредоносные программы такие как вирусы черви трояны в основном по своим действиям,а так же по другим параметрам.

однако в отличии от реактивного метода(БД) 100% защиты этот метод не дает и могут быть ложные срабатывания

[dgena4]

Эвристическое сканирование — метод работы антивирусной программы, основанный на сигнатурах и эвристике, призван улучшить способность сканеров применять сигнатуры и распознавать модифицированные версии вирусов в тех случаях, когда сигнатура совпадает с телом неизвестной программы не на 100 %, но в подозрительной программе налицо более общие признаки вируса. Данная технология, однако, применяется в современных программах очень осторожно, так как может повысить количество ложных срабатываний.

 

У меня вопрос: Тогда что такое поведенческий блокиратор? Это все равно и эвристика или что то другое?