Die heuristische Analyse ist eine Methode zur Erkennung von Viren, indem ein Code auf verdächtige Eigenschaften geprüft wird.
Die traditionellen Methoden der Erkennung eines Virus beinhalten die Identifizierung von Malware durch den Vergleich von Code in einem Programm mit dem Code bekannter Virenarten, die bereits aufgetreten sind, analysiert und in einer Datenbank erfasst wurden. Dies wird als Signaturerkennung bezeichnet.
Die Signaturerkennung ist zwar nützlich und wird noch immer verwendet, aber sie ist aufgrund der Entwicklung neuer Bedrohungen, die um die Jahrhundertwende explodierten und auch weiterhin andauernd auftauchen, auch immer stärker beschränkt.
Um diesem Problem zu begegnen, wurde das heuristische Modell speziell so konzipiert, dass es verdächtige Merkmale erkennt, die sich in unbekannten, neuen Viren und modifizierten Versionen bestehender Bedrohungen sowie bekannter Malware-Proben finden lassen.
Cyberkriminelle entwickeln ständig neue Bedrohungen und die heuristische Analyse ist eine der wenigen Methoden, um mit dem großen Volumen dieser neuen Bedrohungen fertig zu werden, die tagtäglich auftreten.
Die heuristische Analyse ist auch eine der wenigen Methoden, die zur Bekämpfung von polymorphen Viren fähig ist, der Begriff für böswilligen Code, der sich ständig verändert und anpasst. Die heuristische Analyse ist in erweiterte Sicherheitslösung von Unternehmen wie Kaspersky Labs integriert, um neue Bedrohungen zu erkennen, bevor sie Schaden anrichten können, ohne dass eine bestimmte Signatur erforderlich ist.
Wie funktioniert die heuristische Analyse?
Die heuristische Analyse kann eine Reihe unterschiedlicher Techniken nutzen. Eine heuristische Methode, die als statische heuristische Analyse bezeichnet wird, beinhaltet die Dekompilierung eines verdächtigen Programms und die Untersuchung des Quellcodes. Dieser Code wird dann mit Viren verglichen, die bereits bekannt sind und sich in der heuristischen Datenbank befinden. Wenn ein bestimmter Prozentsatz des Quellcodes mit Informationen in der heuristischen Datenbank übereinstimmt, wird der Code als mögliche Bedrohung gekennzeichnet.
Eine andere Methode ist als dynamische Heuristik bekannt. Wenn Wissenschaftler etwas Verdächtiges ohne Gefährdung von Personen analysieren möchten, dämmen sie die Substanz in einer kontrollierten Umgebung ein, wie einem sicheren Labor, und führen Tests durch. Das Verfahren ähnelt der heuristischen Analyse, aber in einer virtuellen Welt.
Es isoliert das verdächtige Programm oder den Codeteil in einer speziellen virtuellen Maschine (oder Sandbox) und gibt dem Antivirenprogramm die Chance, den Code zu testen und zu simulieren, was passieren würde, wenn die verdächtige Datei ausgeführt werden dürfte. Es untersucht jeden Befehl, wenn er aktiviert wird, und sucht nach verdächtigem Verhalten, wie Selbstreplikation, das Überschreiben von Dateien und andere Aktionen, die häufig bei Viren auftreten.
Potentielle Probleme
Die heuristische Analyse ist ideal für die Identifizierung neuer Bedrohungen, aber um effektiv zu sein, muss die Heuristik sorgfältig abgestimmt werden, um die bestmögliche Erkennung neuer Bedrohungen zu bieten, aber ohne einen Fehlalarm für völlig unschuldigen Code zu generieren.
Aus diesem Grund sind heuristische Tools oft nur eine Waffe in einem anspruchsvollen Antivirus-Arsenal. Sie werden in der Regel zusammen mit anderen Methoden der Virenerkennung eingesetzt, wie der Signaturanalyse und anderen proaktiven Technologien.
Weitere Artikel:
Weitere Produkte: