Heuristik

Bookmark and Share this Article Original English article

Betrachten Sie eine Situation, in der Sie tasked mit dem Kennzeichnen aller Welt-Kategorie internationalen Spione waren, die Sie wußten, treffen konnten, aber Sie nicht was sie wirklich wie aussahen. Sie konnten dieser Herausforderung sich nähern, indem Sie zuerst eine Matrix entwickelten, die aufgeführte bekannte Spionattribute und zugewiesene Punkte zu ihnen gründeten auf, wie stark sie einen Spion anzeigen. Ihre Liste konnte etwas so schauen:

  • Trägt einen stilvollen Anzug oder einen Tuxedo (70 Punkte).

  • Überlebt Katastrophen und andere unwahrscheinliche Situationen (30 Punkte).

  • Fährt ein glattes Auto (80 Punkte).

  • Hat nie einen schlechten Haartag (58 Punkte).

Die Liste könnte weitergehen, aber Sie erhalten die Idee. Wenn die Summe aller Punkte für die Einzelperson einen bestimmten Wert übersteigt, konnten Sie entscheiden, daß er oder sie vermutlich ein Spion sind, ohne diesen bestimmten Spion überhaupt vorher zu sehen. Dann können Sie um eine Fahrt im glatten Auto bitten.

Die Beschränkungen der Unterschrift-gegründeten Abfragung Methoden verwirklichend, haben antivirus Verkäufer ähnliche Weisen geplant, in denen sie vorher unseen Viren ermitteln können, die bestimmte Verhaltens- und strukturelle Eigenschaften ausstellen. Symantec zum Beispiel benennt diese Eigenschaft seines Norton AntiVirus Produktes Bloodhound. Eine Heuristik-gegründete Abfragung Maschine lichtet die Akte für die Eigenschaften ab, die häufig in Viren, wie diese gesehen werden:

  • Versuche, den Aufladung Sektor zugänglich zu machen.

  • Versuche, alle Dokumente in einem aktuellen Verzeichnis zu lokalisieren.

  • Versuche, zu einer EXE Akte zu schreiben.

  • Versuche, Festplattenlaufwerkinhalt zu löschen.

Während der Heuristikscanner die Akte überprüft, weist er einem Gewicht jedem Virus-wie Eigenschaft sie normalerweise Treffen zu. Wenn das Gesamtgewicht der Akte eine bestimmte Schwelle übersteigt, dann hält der Scanner sie für böswilligen Code. Wenn der Entwickler des Scanners die Schwelle zu niedrig einstellt, dann könnte der Benutzer mit falschen Warnungen überwältigt werden. Andererseits wenn die Schwelle zu hoch eingestellt wird oder wenn Virus-wie Eigenschaften nicht richtig gekennzeichnet werden, dann der Detektor vermißt zu viele Viren. Jede Weise, der Schutz des Benutzers ist begrenzt, es sei denn die Empfindlichkeit eingestelltes volles Recht ist.

Diese Technik würde nicht sehr nützlich sein, wenn antivirus Software in der LageWAR, malware zu ermitteln, nur nachdem das Virus böswilliges Verhalten wie ansteckende Programme oder Löschakten ausstellte. Wenn der der Fall waren, konnten Sie eine Warnung von der antivirus Software erhalten, die sagt, "Ihr System sind gerade untergraben worden vollständig durch ein Virus! Haben Sie einen schönen Tag." Obgleich dieses zweifellos interessante Informationen ist, müssen Sie die Warnung erhalten, bevor das malware seine Weise mit Ihrer Maschine hat. Der Trick soll die mißtrauische Akte in einer Weise analysieren, die antivirus Software schätzen läßt, welche Tätigkeiten durchgeführt würden, wenn das Virus wirklich eine Wahrscheinlichkeit hat durchzuführen. Diese Analyse muß auftreten, bevor der Code läuft. Antivirus Software erreicht dieses Ziel, indem sie versucht, den Prozessor zu emulieren, der das möglicherweise böswillige Programm durchgeführt haben würde. Im Kasten der executables, die für Intel x86 Maschinen kompiliert werden, verlangt diese Annäherung die Emulierung der Schlüsseleigenschaften des Prozessors x86. Im Fall von den VBScript Makros, die in Microsoft Office Dokumente eingebettet werden, erfordert diese Annäherung die Emulierung der grundlegenden Funktionalität des VBScript, das Maschine verarbeitet.

In Betracht der Schwierigkeit von einen Prozessor zuverlässig emulieren, sind heuristische Abfragung Annäherungen weit von harmloses. Sie ist besonders schwierig, die Effekte der Makro-gegründeten Viren festzusetzen, weil ihre Struktur und möglichen Durchführung Flüsse viel weniger vorhersagbar als die der kompilierten executables sind. Infolgedessen beruhen Virusscanner nicht auf Heuristik, während die alleinige Annäherung an das Ermitteln der Viren—sie auch die gute alte Unterzeichnungtechnik verwenden, und manchmal setzen sie auch die Vollständigkeit Überprüfung Methode ein, die zunächst beschrieben wird.

dieses ist ein Artikel, der durch Levi D. Johnson hinzugefügt wird


Verzicht: Unsere Web site ist nicht zu der Information verantwortlich, die durch diesen Artikel enthalten wird. Dieser Artikel reflektiert keineswegs die Ansichten, die Meinungen, die Gedanken oder den Glauben des Artikelverzeichnisstabes.

Übersetzung Nachricht: Der Artikel "Heuristik" wurde mit einem automatisierten Übersetzungsdienst übersetzt. Wir entschuldigen herzlichst uns für alle mögliche Übersetzung Störungen, die auftraten. Danke für das Verstehen.

  Online: 1314 users browsing the articles directory © 2005-2010 E-articles.info All Rights Reserved.  
The articles and tutorials in the directory are property of their respective owners and authors.