Поиск по базе знаний

Основные сведения об эвристике


Помимо сопоставления потенциально вредоносных программ с известными вирусными сигнатурами, во всех продуктах ESET NOD32 для обнаружения вирусов, троянских программ и прочих угроз используется эвристика.

Эвристика представляет собой метод, в котором для эффективного решения проблемы применяется ряд инструкций или правил. В антивирусном контексте эвристика является набором правил, которые используются для обнаружения действий вредоносных программ без необходимости определения конкретной угрозы, в отличие от классического обнаружения на основе сигнатур.

Преимуществом модели, основанной на эвристике, является возможность обнаружения не только вариантов или измененных форм существующих вредоносных программ, но и неизвестных ранее вирусов. В антивирусе ESET NOD32 и ESET NOD32 Smart Security эвристика используется для обнаружения как известных, так и новых угроз и вредоносных программ. Используются две формы эвристики – пассивная и активная.

Пассивная эвристика


Пассивная эвристика позволяет анализировать потенциальную угрозу во время сканирования. При этом перед передачей кода процессору на исполнение изучаются все инструкции программы. Пассивная эвристика выполняет поиск шаблонов, процедур или обращений к программе, которые указывают на вредоносное поведение. Хотя пассивная эвристика представляет собой важный инструмент, она является лишь частью решения, поскольку если какое-либо действие разрешено законной программе, то оно может быть выполнено и вредоносной программой. Этим объясняется необходимость одновременного использования активной эвристики.

Активная эвристика


Технология активной эвристики ESET создает виртуальный компьютер в ядре сканирования, что позволяет сканеру изучить возможные действия программы, если она будет запущена на реальном компьютере. Это позволяет распознать потенциально вредоносные действия, которые не определяются при помощи других способов обнаружения.