O que é a detecção heurística dos anti-vírus?
- Home
- >
- Fórum
- >
- Windows, Softwa...
- >
- Segurança: deba...
- >
- Detecção Heurística
É a análise do comportamento e das características de determinados arquivos para detectar prováveis infecções sem que tenha uma informação anterior sobre o vírus. 8)
[]'s
Não respondo dúvidas técnicas por MP, meu canal no YouTube, nem Facebook. Grato!
Tipo, ele não consegue detectar um virús num executavel, por exemplo, mas consegue detectar que ele possuia alguma rotina maliciosa?
Sim, basicamente isso. Ele compara o comportamento e a estrutura do arquivo suspeito com o dos vírus que ele possui no banco de dados.
Seria como estudar a genética dos vírus como a gripe e detectar suas variações através dos sintomas que aparecem na pessoa :mrgreen:
Não respondo dúvidas técnicas por MP, meu canal no YouTube, nem Facebook. Grato!
Questões de Vírus e Anti-vírus na sala de Segurança, por favor.
"chmod 777 nunca ajudou ninguém" (c) 2002-2021 JQueiroz/FGdH
Conheça o Blog do Zekke
Basicamente ele verifica o arquivo, identificando o que ele faz (se acessa a internet, se verifica e-mails, se abre portas, o que ele faz no computador, se roda como serviço, se grava alguma coisa em arquivo, etc).
Aí ele junta tudo, bate no liquidificador e analisa com sua base de dados a probabilidade de X arquivo ser um vírus (caso a base de dados do antivírus tenha nenhuma informação sobre a pesquisa).
Se a propabilidade for grande, ele identifica o arquivo como ameaça!
Já viu um antivírus achar WIN32.Trojan.Generic, WORM.Generic ?
Às vezes ele dá o nome de um vírus/malware conhecido e coloca generic (às vezes não, também).
Quando isso acontece (dar o nome de um vírus/malware conhecido) é porque ele se parece muito com algo cadastrado na base de dados e ele identifica como uma variante.
Espero ter esclarecido sua dúvida. :lol:
Valeu pelas explicações de todos, agora já deu pra entender direitinho.
RVR777Valeu pelas explicações de todos, agora já deu pra entender direitinho.
heuristica por si só serve para detectar um virus mesmo que ele ainda não seja reconhecido como um pela empresa anti-virus.
Os doi metodos mais utilizados são dois:
Por Assinatura
Ele busca dentro de um arquivo "trechos" de código que são iguais ou parecidos com a base de dados, usando algoritmos (funções) ele consegue identificar ele.
Veja bem, ele não busca dados "trechos" exatamente iguais com a base de dados, pois dai seria uma "assinatura" do virus, e sim, algo muito parecido...
Por Comportamento
O av cria um "espaço" virtual em seu sistema eexecuta o arquivo nesse espaço sem nenhum tipo de perigo "para/com seu sistema", executando e verificando os passos do arquivo.
Quando o arquivo executa alguma ação parecida com um vírus, então, ele será reconhceido como um.
Bemmmm resumidamente seria assim, não usei dados técnicos pq iria confundir mais do que ajudar.
Porem, sua complexidade é "imensa", programar uma heuristica realmente boa e que não de falso-positivo (arquivo sadio considerado virus) é extremamente complexo.
Ajude a limpar o brasil:
http://www.queromaisbrasil.com.br/
Interessante.
Mas esse tipo de detecção heurística, principalmente essa por comportamento deve deixar o sistema bem pesado...
RVR777Interessante.
Mas esse tipo de detecção heurística, principalmente essa por comportamento deve deixar o sistema be...
não nessesáriamente... o NOD32 tem a melhor heurística dentre os antivirus e ele é bem mais leve que o Kasperky, Norton e outros :wink:
"Life can only be understood backwards, but it must be lived forwards." Soren Kierkegaard
RVR777Interessante.
Mas esse tipo de detecção heurística, principalmente essa por comportamento deve deixar o sistema be...
Não deixaria porque de qualquer forma o antivírus tem de analisar o comportamento e a estrutura para saber se está infectado, usando a heurística ou não.
Não respondo dúvidas técnicas por MP, meu canal no YouTube, nem Facebook. Grato!
RVR777Interessante.
Mas esse tipo de detecção heurística, principalmente essa por comportamento deve deixar o sistema be...
As próprias empresas dizem que o sistema de analise de comportamennte pode defasar uma maquina em até 10%.
Ajude a limpar o brasil:
http://www.queromaisbrasil.com.br/
10% 8O
Por isso que windows é tão pesado.
PS: 10% eles dizem, quero ver na pratica...
()ne()nAs próprias empresas dizem que o sistema de analise de comportamennte pode defasar uma maquina em até 10%.
Onde você viu essa informação?
Não respondo dúvidas técnicas por MP, meu canal no YouTube, nem Facebook. Grato!
walteenOnde você viu essa informação?
A PC MAGAZINE, fez na ultima edição alguns testes com alguns produtos de analise de comportamento.. e foi bem espicifico relatando que as empresas testadas diziam que nesse tipo de programa, o micro perde em até 10% de sua capacidade.
Veja bem, não é a revista e sim as próprias empresas que disseram isso e revista.
Nesse teste o Panda TruPrevent conseguiu pegar todas as 11 variantes do Sobig... sem qualquer assinatura e somente por comportamento.
Ajude a limpar o brasil:
http://www.queromaisbrasil.com.br/