Эвристическое сканирование. Эвристический анализ. Способы защиты от вирусов Что такое эвристический анализ антивирусной программы

Статья относится к Kaspersky Endpoint Security 10 для Windows:

  • Service Pack 2 Maintenance Release 4 (версия 10.3.3.304);
  • Service Pack 2 Maintenance Release 3 (версия 10.3.3.275);
  • Service Pack 2 Maintenance Release 2 (версия 10.3.0.6294);
  • Service Pack 2 Maintenance Release 1 (версия 10.3.0.6294);
  • Service Pack 2 (версия 10.3.0.6294).

Что такое эвристический анализ

Эвристический анализ - технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз «Лаборатории Касперского». Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.

Эвристический анализатор - это модуль, который работает на основе технологии эвристического анализа.

Статический и Динамический анализ

Статический анализ. Эвристический анализатор сканирует код на подозрительные команды, например, поиск и изменение исполняемых файлов. При наличии подозрительных команд или фрагментов, эвристический анализатор увеличивает «счетчик подозрительности» программы. Если после сканирования всего кода программы значение счетчика превышает заданное пороговое значение, то объект признается подозрительным.

Динамический анализ. Эвристический анализатор эмулирует запуск программы в виртуальном адресном пространстве. Если в процессе эмуляции эвристический анализатор обнаруживает подозрительные действия, то объект признаются вредоносными и его запуск на компьютере пользователя блокируется.

Kaspersky Endpoint Security 10 для Windows использует статический анализ в сочетании с динамическим.

В каких компонентах защиты используется эвристический анализатор

  • Файловый Антивирус. Подробнее в справке .
  • Почтовый Антивирус. Подробнее в справке .
  • Веб-Антивирус. Подробнее в справке .
  • Контроль активности программ. Подробнее в справке .
  • Задачи проверки. Подробнее в справке .

Полная поддержка

Выпуск баз Да
Поддержка Да
Выпуск патчей Да

Последняя версия:

Дата коммерческого релиза:

Релиз последней версии:

Что означает статус?

  • Выпуск баз

    Выпуск обновлений баз, необходимых для обеспечения защиты вашего компьютера/сервера/мобильного устройства.

  • Поддержка

    Оказание технической поддержки по телефону и через веб-форму.

  • Выпуск патчей

    Выпуск пакетов обновлений для программы (для устранения обнаруженных ошибок).

Kaspersky Endpoint Security 10 для Windows (для рабочих станций и файловых серверов)

  • Microsoft Windows Server 2012 R2 Foundation / Essentials / Standard / Datacenter х64.
  • Microsoft Windows Server 2012 Foundation / Essentials / Standard / Datacenter х64.
  • Microsoft Small Business Server 2011 Essentials / Standard х64.
  • Windows MultiPoint Server 2011 x64.
  • Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise / Datacenter х64 SP1.
  • Microsoft Windows Server 2008 Standard / Enterprise / Datacenter х64 SP2.
  • Microsoft Small Business Server 2008 Standard / Premium х64.

Остальные ограничения поддержки серверных платформ смотрите в статье .

  • VMWare ESXi 6.0.0 3620759.
  • Microsoft Hyper-V 3.0.
  • Citrix XenServer 7.0.
  • Citrix XenDesktop 7.13.

статье .

  • Microsoft Windows Server 2008 R2 Standard / Enterprise х64 SP1.
  • Microsoft Windows Server 2008 Standard / Enterprise х64 SP2.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.
  • Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 6.0.0 3620759.
  • Microsoft Hyper-V 3.0.
  • Citrix XenServer 7.0.
  • Citrix XenDesktop 7.13.
  • Citrix Provisioning Services 7.13.

Особенности и ограничения поддержки виртуальных платформ

  • Полнодисковое шифрование (FDE) на виртуальных машинах Hyper-V не поддерживается.
  • Полнодисковое шифрование (FDE) и шифрование файлов и папок (FLE) на виртуальных платформах Citrix не поддерживается.
  • Для поддержки совместимости Kaspersky Endpoint Security для Windows с Citrix PVS необходимо выполнять установку с включенной опцией Обеспечить совместимость с Citrix PVS . Вы можете включить опцию в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать KUD-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.

Прочие особенности поддержки виртуальных платформ смотрите в статье .

Версия 10.2.6.3733: Аппаратные и программные требования

Общие требования

  • 1 ГБ оперативной памяти.

Операционные системы

  • Microsoft Windows 10 Pro / Enterprise x86 / х64.
    Microsoft Windows 8.1 Pro / Enterprise x86 / х64.
  • Microsoft Windows 8 Pro / Enterprise x86 / х64.
  • Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / х64.
  • Microsoft Windows Server 2016 Standard / Essentials х64.
  • Microsoft Small Business Server 2011 Standard х64.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 2718055 Update 2.
  • Citrix XenServer 6.5.
  • Citrix XenDesktop 7.8.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.
  • Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Поддерживаемые виртуальные платформы

  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.

Особенности и ограничения поддержки виртуальных платформ

Версия 10.2.5.3201: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

  • Процессор Intel Pentium 1 ГГц и выше.
  • 1 ГБ оперативной памяти.
  • 2 ГБ свободного места на жестком диске.

Программные и аппаратные требования к рабочим станциям

  • Microsoft Windows 10 Pro x86 / х64.
  • Microsoft Windows 10 Enterprise x86 / х64.
  • Microsoft Windows Vista x86 / х64 SP2 и выше.
  • Microsoft Windows XP Professional x86 SP3 и выше.
  • Microsoft Windows Server 2019 х64.
  • Microsoft Windows Server 2016 Standard / Essentials х64.
  • Microsoft Windows Server 2012 R2 Foundation / Standard / Essentials х64.
  • Microsoft Windows Server 2012 Foundation / Standard / Essentials х64.
  • Microsoft Small Business Server 2011 Standard х64.
  • Microsoft Windows MultiPoint Server 2011 х64.
  • Microsoft Small Business Server 2008 Standard / Premium x64.
  • Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise х64 SP1 и выше.
  • Microsoft Windows Server 2008 Foundation / Standard / Enterprise х86 / х64 SP2 и выше.
  • Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2.
  • Microsoft
  • Microsoft
  • Microsoft Windows Embedded Standard 7* x86 / x64 SP1.
  • Microsoft Windows Embedded POSReady 7* x86 / x64.

Особенности и ограничения поддержки встраиваемых операционных систем

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 2718055 Update 2.
  • VMWare ESXi 5.5.0 3568722 Update 3b.
  • VMWare ESXi 5.5.0 2718055 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012 R2).
  • Citrix XenServer 6.5.
  • Citrix XenDesktop 7.8.
  • Citrix Provisioning Server 7.8.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.
  • Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

  • Не поддерживается обновление Windows 8 на 8.1.
  • Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
  • Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 1623387 Update 1.
  • VMWare ESXi 5.5.0 2068190 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

  • Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
  • Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
  • Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Версия 10.2.4.674: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

  • Процессор Intel Pentium 1 ГГц и выше.
  • 2 ГБ свободного места на жестком диске.
  • Microsoft Internet Explorer 7.0 и выше.
  • Microsoft Windows Installer 3.0 и выше.
  • Подключение к интернету для активации программы, обновления баз и программных модулей.

Программные и аппаратные требования

  • Microsoft Windows 10 TH2 Pro версия 1511 x86 / х64.
  • Microsoft Windows 10 TH2 Enterprise версия 1511 x86 / х64.
  • Microsoft Windows 8.1 Pro x86 / х64.
  • Microsoft Windows 8.1 Enterprise x86 / х64.
  • Microsoft Windows 8 Pro x86 / х64.
  • Microsoft Windows 8 Enterprise x86 / х64.
  • Microsoft Windows 7 Professional x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Professional x86 / х64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64.
  • Microsoft Windows Vista x86 / х64 SP2 и выше.
  • Microsoft Windows XP Professional x86 SP3 и выше.
  • Microsoft Windows Server 2012 R2 Standard / Essentials / Enterprise х64.
  • Microsoft Windows Server 2012 Foundation / Standard / Essentials х64.
  • Microsoft Small Business Server 2011 Standard / Essentials х64.
  • Microsoft Windows MultiPoint Server 2011 х64.
  • Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation х64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation х64.
  • Microsoft Windows Server 2008 Standard / Enterprise х86 / х64 SP2 и выше.
  • Microsoft Small Business Server 2008 Standard / Premium x64.
  • Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2 и выше.
  • Microsoft Windows Embedded 8.0 Standard x64.
  • Microsoft Windows Embedded 8.1 Industry Pro x64.
  • Microsoft Windows Embedded Standard 7 x86 / x64 SP1.
  • Microsoft Windows Embedded POSReady 7 x86 / x64.

Особенности и ограничения поддержки встраиваемых операционных систем

  • Операционные системы Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) или Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) рекомендуется использовать на устройствах с оперативной памятью от 2 ГБ.
  • Шифрования файлов (FLE) и жестких дисков (FDE) во встраиваемых операционных системах не поддерживается.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.
  • Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

  • Не поддерживается обновление Windows 8 на 8.1.
  • Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
  • Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 1623387 Update 1.
  • VMWare ESXi 5.5.0 2068190 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

  • Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
  • Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
  • Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Версия 10.2.2.10535MR1: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

  • Процессор Intel Pentium 1 ГГц и выше.
  • 1 ГБ свободной оперативной памяти.
  • 2 ГБ свободного места на жестком диске.
  • Microsoft Internet Explorer 7.0 и выше.
  • Microsoft Windows Installer 3.0 и выше.
  • Подключение к интернету для активации программы, обновления баз и программных модулей.

Операционные системы

  • Microsoft Windows 8.1 Pro x86 / х64.
  • Microsoft Windows 8.1 Enterprise x86 / х64.
  • Microsoft Windows 8 Pro x86 / х64.
  • Microsoft Windows 8 Enterprise x86 / х64.
  • Microsoft Windows 7 Professional x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Professional x86 / х64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64.
  • Microsoft Windows Vista x86 / х64 SP2 и выше.
  • Microsoft Small Business Server 2011 Standard х64.
  • Microsoft Windows Server 2012 R2 Standard х64.
  • Microsoft Windows Server 2012 Foundation / Standard х64.
  • Windows Embedded 8.0 Standard x64.
  • Windows Embedded 8.1 Industry Pro x64.

Особенности и ограничения поддержки встраиваемых операционных систем

  • Операционные системы Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) или Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) рекомендуется использовать на устройствах с оперативной памятью от 2 ГБ.
  • Шифрования файлов (FLE) и жестких дисков (FDE) во встраиваемых операционных системах не поддерживается.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

  • Не поддерживается обновление Windows 8 на 8.1.
  • Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
  • Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 1623387 Update 1.
  • VMWare ESXi 5.5.0 2068190 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

  • Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
  • Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
  • Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Версия 10.2.2.10535: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

  • Процессор Intel Pentium 1 ГГц и выше.
  • 1 ГБ свободной оперативной памяти.
  • 2 ГБ свободного места на жестком диске.
  • Microsoft Internet Explorer 7.0 и выше.
  • Microsoft Windows Installer 3.0 и выше.
  • Подключение к интернету для активации программы, обновления баз и программных модулей.

Операционные системы

  • Microsoft Windows 8.1 Update Pro x86 / х64.
  • Microsoft Windows 8.1 Update Enterprise x86 / х64.
  • Microsoft Windows 8.1 Pro x86 / х64.
  • Microsoft Windows 8.1 Enterprise x86 / х64.
  • Microsoft Windows 8 Pro x86 / х64.
  • Microsoft Windows 8 Enterprise x86 / х64.
  • Microsoft Windows 7 Professional x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Professional x86 / х64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64.
  • Microsoft Windows Vista x86 / х64 SP2 и выше.
  • Microsoft Small Business Server 2011 Essentials х64.
  • Microsoft Small Business Server 2011 Standard х64.
  • Microsoft Small Business Server 2008 Standard x64.
  • Microsoft Small Business Server 2008 Premium x64.
  • Microsoft Windows Server 2012 R2 Standard х64.
  • Microsoft Windows Server 2012 Foundation / Standard х64.
  • Microsoft Windows MultiPoint Server 2011 x64.
  • Microsoft Windows Server 2008 R2 Standard х64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Standard х64.
  • Microsoft Windows Server 2008 R2 Enterprise х64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Enterprise х64.
  • Microsoft Windows Server 2008 R2 Foundation x64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Foundation x64.
  • Microsoft Windows Server 2008 Standard х86 / х64 SP2 и выше.
  • Microsoft Windows Server 2008 Enterprise х86 / х64 SP2 и выше.
  • Microsoft Windows Server 2003 R2 Standard x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 R2 Enterprise x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 Standard x86 / x64 SP2.
  • Microsoft Windows Server 2003 Enterprise x86 / x64 SP2 и выше.
  • Windows Embedded 8.0 Standard x64.
  • Windows Embedded 8.1 Industry Pro x64.
  • Windows Embedded Standard 7 with SP1 x86 / х64.
  • Windows Embedded POSReady 7 x86 / х64.

Особенности и ограничения поддержки встраиваемых операционных систем

  • Операционные системы Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) или Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) рекомендуется использовать на устройствах с оперативной памятью от 2 ГБ.
  • Шифрования файлов (FLE) и жестких дисков (FDE) во встраиваемых операционных системах не поддерживается.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

  • Не поддерживается обновление Windows 8 на 8.1.
  • Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
  • Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 1623387 Update 1.
  • VMWare ESXi 5.5.0 2068190 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

  • Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
  • Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
  • Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Антивирусная программа производит поиск вирусов и вредоносных объектов на основании сравнения исследуемой программы со своей базой данных с описаниями вирусов. При обнаружении соответствия антивирус может производить лечение найденного вируса, причем правила и методики лечения обычно хранятся в той же базе данных.

Однако эта база данных становится уязвимым местом антивируса - он может обнаруживать только вирусы, описанные в его базе данных. Частично устранить эту проблему позволяет эвристический анализатор - специальная подсистема антивируса, которая пытается обнаружить новые разновидности вирусов, не описанные в базе данных. Кроме вирусов эвристический анализатор AVZ пытается обнаружить шпионское ПО, Hijacker и троянские программы.

Работа эвристического анализатора основана на поиске характерных для вирусов и шпионских программ особенностей (фрагментов программного кода, определенных ключей реестра, файлов и процессов). Кроме того, эвристический анализатор пытается оценить степень похожести исследуемого объекта на известные вирусы.

Для поиска шпионского ПО, RootKit и Hijacker наиболее эффективен эвристический анализ не отдельно взятых файлов на диске, а всей системы в целом. При этом анализируется совокупность данных в реестре, файлов на диске, процессов и библиотек в памяти, прослушиваемых TCP и UDP портов, активных сервисов и загруженных драйверов.

Особенностью эвристического анализа является достаточно высокий процент ошибок - эвристик может сообщить об обнаружении подозрительных объектов, но эта информация нуждается в проверке специалистами-вирусологами. В результате проверки объект признается вредоносным и включается в базы или фиксируется ложное срабатывание и в алгоритмы эвристического анализатора вводится поправка.

В большинстве антивирусов (в том числе и в AVZ) имеется возможность регулировки чувствительности эвристического анализатора. При этом всегда возникает противоречие - чем выше чувствительность, тем выше вероятность обнаружения эвристикой неизвестного вредоносного объекта. Но при увеличении чувствительности возрастает вероятность ложных срабатываний, поэтому нужно искать некую "золотую середину".

Эвристический анализатор имеет несколько ступеней чувствительности и два особых режима:

блокировка работы эвристического анализатора. При этом анализатор полностью выключается из работы. В AVZ кроме регулировки уровня чувствительности эвристического анализатора есть возможность включать и выключать эвристический анализ системы;

"параноидальный" режим - в этом режиме включается максимально возможная чувствительность и предупреждения выводятся при малейшем подозрении. Этот режим естественно неприемлем из-за очень высокого количества ложных срабатываний, но он иногда полезен.

Основные сообщения эвристического анализатора AVZ приведены в следующем списке:

"Имя файла >>> подозрение на имя_вируса (краткие данные об объекте) " Подобное сообщение выдается при обнаружении объекта, который по мнению AVZ похож на известный вредоносный объект. Данные в скобках позволяют разработчику найти в базе антивируса запись, которая привела к выдаче данного сообщения;

"Имя файла >>> PE файл с нестандартным расширением " - это означает, что обнаружен программный файл, но вместо типичного расширения EXE, DLL, SYS он имеет другое, нестандартное расширение. Это не опасно, но многие вирусы маскируют свои PE файлы, давая им расширения PIF, COM. Данное сообщение выводится в любом уровне эвристики для PE файлов с расширением PIF, COM , для остальных - только при максимальном уровне эвристики;

"Имя файла >>> В имени файла больше 5 пробелов " - множество пробелов в имени файла - это редкость, однако многие вирусы применяют пробелы для маскировки реального расширения, создавая файлы с именами типа "photo.jpeg .exe";

"Имя файла >>> Обнаружена маскировка расширения " - аналогично предыдущему сообщению, но выдается при обнаружении более 15 пробелов в имени;

"Имя файла >>> файл не имеет видимого имени " - выдается для файлов, не имеющих имени (т.е. имя файла имеет вид ".exe" или ".pif");

"Процесс Имя файла может работать с сетью " - выводится для процессов, которые используют библиотеки типа wininet.dll, rasapi32.dll, ws2_32.dll - т.е. системные библиотеки, содержащие функции для работы с сетью или управления процессом набора номера и установления соединения. Данная проверка производится только при максимальном уровне эвристики. Факт использования сетевых библиотек естественно не является признаком вредоносности программы, но обратить внимание на непонятные процессы в этом списке стоит;

После сообщения может выводиться цифра, которая представляет собой степень опасности в процентах. На файлы, для которых выдана степень опасности более 30, следует обратить особое внимание.

Сканирование

Способы защиты от вирусов

Самая простая методика поиска вирусов, заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

Определение сигнатуры вируса довольно сложная задача. Сигнатура не должна содержаться в нормальных программах, не зараженных данным вирусом. В противном случае возможны ложные срабатывания, когда вирус обнаруживается в совершенно нормальной, не зараженной программе.

Конечно, программам-сканерам не обязательно хранить в себе сигнатуры всех известных вирусов. Они могут, например, хранить только контрольные суммы сигнатур.

Антивирусные программы-сканеры, которые могут удалить обнаруженные вирусы, обычно называются полифагами. Самой известной программой-сканером является Aidstest Дмитрия Лозинского. Aidstest выполняет поиск вирусов по их сигнатурам. Поэтому он обнаруживает только простейшие полиморфные вирусы.

В первой главе мы рассказывали о так называемых шифрующихся и полиморфных вирусах. Полиморфные вирусы полностью изменяют свой код при заражении новой программы или загрузочного сектора. Если вы выделите два экземпляра одного и того же полиморфного вириуса, то они могут не совпадать ни в одном байте. Как следствие, для таких вирусов невозможно определить сигнатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.

Антивирусные программы-сканеры могут обнаружить только уже известные вирусы, которые были предварительно изучены и для которых была определена сигнатура. Таким образом, использование программ-сканеров не защищает ваш компьютер от проникновения новых вирусов.

Для эффективного использования антивирусных программ, реализующих метод сканирования, необходимо постоянно обновлять их, получая самые последние версии.

Эвристический анализ является относительно новым методом в обнаружении вирусов. Он позволяет обнаруживать ранее неизвестные вирусы, причем для этого не надо предварительно собирать данные о файловой системе, как этого требует метод обнаружения изменений.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Так например, эвристический анализатор может обнаружить, что в проверяемой программе присутствует код, устанавливающий резидентный модуль в памяти.

Антивирусная программа Doctor Web, входящая в состав комплекта AO “ДиалогНаука”, имеет мощный эвристический анализатор, позволяющий обнаружить большое количество новых вирусов.

Если эвристический анализатор сообщает, что файл или загрузочный сектор возможно заражен вирусом, вы должны отнестись к этому с большим вниманием. Желательно исследовать такие файлы с помощью самых последних версий антивирусных программ или направить их для детального изучения в АО “ДиалогНаука”.

В комплект IBM AntiVirus входит специальный модуль, ориентированный на обнаружение вирусов в загрузочных секторах. Этот модуль использует запатентованную технологию (patent-pending neural network technology from IBM) эвристического анализа и позволяет определить, заражен ли загрузочный сектор вирусом.

Эвристический анализ

Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко используется совместно с сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако, лечение в таких случаях практически всегда оказывается невозможным. В таком случае, как правило, требуется дополнительное обновление антивирусных баз для получения последних сигнатур и алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ.

Технология эвристического анализа

Методы эвристического сканирования не обеспечивают какой-либо гарантированной защиты от новых, отсутствующих в сигнатурном наборе, компьютерных вирусов, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации – знаний о механизме полиморфизма сигнатур. В то же время, этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания нельзя.

В ряде случаев, эвристические методы оказываются чрезвычайно успешными, к примеру, в случае очень коротких программных частей в загрузочном секторе: если, программа производит запись в сектор 1, дорожку 0, сторону 0, то это приводит к изменению раздела накопителя. Но кроме вспомогательной программы FDISK эта команда больше нигде не используется, и потому в случае ее неожиданного появления речь идет о загрузочном вирусе.

В процессе эвристического анализа производится проверка эмулируемой программы анализатором кода. К примеру, программа инфицирована полиморфным вирусом, состоящим из зашифрованного тела и расшифровщика. Эмулятор кода эмулирует работу данного вируса по одной инструкции, после этого анализатор кода подсчитывает контрольную сумму и сверяет ее с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчета контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала - программа идентифицирована.

Другим распространенным методом эвристического анализа, применяемым большой группой антивирусов, является декомпиляция подозрительной программы и анализ ее исходного кода. Исходный код подозрительного файла проходит сверку и сравнение с исходным кодом известных вирусов и образчиков вирусной активности. В случае, если определенный процент исходного кода идентичен коду известного вируса или вирусной активности, файл отмечается как подозрительный, о чем оповещается пользователь.

Недостатки эвристического сканирования

  • Чрезмерная подозрительность эвристического анализатора может вызывать ложные срабатывания при наличии в программе фрагментов кода, выполняющего действия и/или последовательности, в том числе и свойственные некоторым вирусам. В частности, распаковщик в файлах, запакованных PE-упаковщиком (Win)Upack вызывает ложные срабатывания целого ряда антивирусных средств, де-факто не признающих такой проблемы. Другой проблемой анализаторов является ошибочное срабатывание при проверке совершенно безобидного кода.

К примеру, скомпилированный с помощью Delphi 7 или Delphi 2007 код:

Program XDC; {$APPTYPE CONSOLE} uses SysUtils; begin if (paramstr (3 ) ="d" ) then begin FileSetReadOnly (paramstr (2 ) ,false ) ; DeleteFile (paramstr (2 ) ) ; end ; end .

Вызывает ложные срабатывания у антивирусов типа Panda (независимо от версии компилятора), Webwasher GateWay (при компиляции Delphi 2007 ), F-Secure (при компиляции Delphi 7 ). Как видно из примера, программа абсолютно безопасна и совершенно отсутствуют какие-либо признаки вредоносного кода и вирусного функционала (весь функционал примера: если в качестве третьего параметра указан ключ «d», программа удаляет файл, указанный во втором параметре).

  • Наличие простых методик обмана эвристического анализатора. Как правило, прежде чем распространять вредоносную программу (вирус), ее разработчики исследуют существующие распространенные антивирусные продукты, различными методами избегая ее детектирование при эвристическом сканировании. К примеру, видоизменяя код, используя элементы, выполнение которых не поддерживается эмулятором кода данных антивирусов, используя шифрование части кода и др.

Несмотря на заявления и рекламные проспекты разработчиков антивирусных средств относительно совершенствования эвристических механизмов, эффективность эвристического сканирования на данный момент далека от ожидаемой. Независимые тесты компонентов эвристического анализа показывают, что уровень обнаружения новых вредоносных программ составляет не более чем 40-50% от их числа. (англ.)

  • Даже при успешном определении, лечение неизвестного вируса практически всегда является невозможным. Как исключение, некоторыми продуктами возможно лечение однотипных и ряда полиморфных, шифрующихся вирусов, не имеющих постоянного вирусного тела, но использующих единую методику внедрения. В таком случае, для лечения десятков и сотен вирусов может существовать одна запись в вирусной базе, как это реализовано, к примеру, в антивирусе И. Данилова.

См. также

Ссылки

Внешние ссылки

Wikimedia Foundation . 2010 .

Смотреть что такое "Эвристический анализ" в других словарях:

    - (эвристика) алгоритм решения задачи, не имеющий строгого обоснования, но, тем не менее, дающий приемлемое решение задачи в большинстве практически значимых случаев. Содержание 1 Определение 2 Применение … Википедия

    У этого термина существуют и другие значения, см. Полиморфизм. Полиморфизм компьютерного вируса (греч. πολυ много + греч. μορφή форма, внешний вид) специальная техника, используемая авторами вредоносного программного… … Википедия

    Стиль этой статьи неэнциклопедичен или нарушает нормы русского языка. Статью следует исправить согласно стилистическим правилам Википедии … Википедия

    Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а… … Википедия

    Эта статья или раздел грубый перевод статьи на другом языке (см. Проверка переводов). Он мог быть сгенерирован программой переводчиком или сделан человеком со слабыми познаниями в языке оригинала. Вы можете помочь … Википедия

    Разработчик ОС Windows XP/Vista Лицензия Сайт … Википедия

    Скриншот программы Тип … Википедия

    OllyDbg … Википедия

    Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей. Некоторые модели человеческого поведения в общественных науках предполагают, что поведение людей может быть адекватно опи … Википедия

Сканирование

Антивирусная защита.

Основным средством борьбы с вирусами были и остаются антивирусные программы. Можно использовать антивирусные программы (антивирусы), не имея представления о том, как они устроены. Однако без понимания принципов устройства антивирусов, знания типов вирусов, а также способов их распространения, нельзя организовать надежную защиту компьютера. Как результат, компьютер может быть заражен, даже если на нем установлены антивирусы.

Сегодня используется несколько основополагающих методик обнаружения и защиты от вирусов:

· сканирование;

· эвристический анализ;

· использование антивирусных мониторов;

· обнаружение изменений;

· использование антивирусов, встроенных в BIOS компьютера.

Кроме того, практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов. Конечно, если это возможно.

Самая простая методика поиска вирусов заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

Антивирусные программы-сканеры способны найти только уже известные и изученные вирусы, для которых была определена сигнатура. Применение простых программ-сканеров не защищает Ваш компьютер от проникновения новых вирусов.

Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить сигнатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.

Эвристический анализ позволяет обнаруживать ранее неизвестные вирусы, причем для этого не надо предварительно собирать данные о файловой системе, как этого требует, например, рассмотренный ниже метод обнаружения изменений.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы.

Практически все современные антивирусные программы реализуют собственные методы эвристического анализа. На рис. 1 мы показали одну из таких программ - сканер McAffee VirusScan, запущенный вручную для антивирусной проверки диска.

Когда антивирус обнаруживает зараженный файл, он обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале. В зависимости от настроек, антивирус может также направлять сообщение об обнаруженном вирусе администратору сети.

Если это возможно, антивирус вылечивает файл, восстанавливая его содержимое. В противном случае предлагается только одна возможность - удалить зараженный файл и затем восстановить его из резервной копии (если, конечно, она у Вас есть).