Próbuję napisać artykuł na temat technik wykrywania wirusów. Pobrałem wiele czasopism, artykułów i korzystałem z wielu stron internetowych. Znalazłem definicję poglądową obu tych terminów, ale chciałbym bardziej szczegółowo omówić te tematy.
Na przykład proste konkretne przykłady jednego lub kilku używanych algorytmów?
Dziękuję za wszelką pomoc.
Odpowiedzi:
Prostym przykładem wykrycia wirusa sygnatury jest po prostu mieszanie wirusa z kilkoma różnymi algorytmami. Jeśli plik z tymi sygnaturami zostanie zauważony, najprawdopodobniej jest to (choć nie zdecydowanie, ponieważ kolizje są możliwe, ale bardzo mało prawdopodobne) wirus. Chociaż w praktyce jest to trudne (wirusy polimorficzne sprawiają, że w wielu przypadkach jest to prawie niewykonalne rozwiązanie), teoria jest prosta.
Heurystyka w swojej najbardziej podstawowej formie zasadniczo definiuje „podejrzane zachowanie” lub „podejrzany kod” i działa na tym. Na przykład (ponownie jest to bardzo uproszczone), jeśli program próbuje dodać się do listy programów startowych, nie jest podpisany przez zaufanego wydawcę i próbuje uzyskać dostęp do Internetu, MOŻE to być wirus. Może to być tylko instalator.
Jest to dość prosty przykład tego, dlaczego heurystyka jest bardziej probabilistyczna niż deterministyczna, gdzie podpisy są odwrotnie.
Krótko mówiąc:
Heurystyka: ma fałszywie dodatnie i ujemne, ale generalnie mało obu (najlepiej).
Podpisy: ma fałszywe negatywy, ale prawie nigdy fałszywie pozytywne.