Jakie algorytmy stosuje się w wykrywaniu wirusów sygnaturowych i heurystycznych? [Zamknięte]

3

Próbuję napisać artykuł na temat technik wykrywania wirusów. Pobrałem wiele czasopism, artykułów i korzystałem z wielu stron internetowych. Znalazłem definicję poglądową obu tych terminów, ale chciałbym bardziej szczegółowo omówić te tematy.

Na przykład proste konkretne przykłady jednego lub kilku używanych algorytmów?

Dziękuję za wszelką pomoc.

Ed Briscoe
źródło

Odpowiedzi:

3

Prostym przykładem wykrycia wirusa sygnatury jest po prostu mieszanie wirusa z kilkoma różnymi algorytmami. Jeśli plik z tymi sygnaturami zostanie zauważony, najprawdopodobniej jest to (choć nie zdecydowanie, ponieważ kolizje są możliwe, ale bardzo mało prawdopodobne) wirus. Chociaż w praktyce jest to trudne (wirusy polimorficzne sprawiają, że w wielu przypadkach jest to prawie niewykonalne rozwiązanie), teoria jest prosta.

Heurystyka w swojej najbardziej podstawowej formie zasadniczo definiuje „podejrzane zachowanie” lub „podejrzany kod” i działa na tym. Na przykład (ponownie jest to bardzo uproszczone), jeśli program próbuje dodać się do listy programów startowych, nie jest podpisany przez zaufanego wydawcę i próbuje uzyskać dostęp do Internetu, MOŻE to być wirus. Może to być tylko instalator.

Jest to dość prosty przykład tego, dlaczego heurystyka jest bardziej probabilistyczna niż deterministyczna, gdzie podpisy są odwrotnie.

Krótko mówiąc:

Heurystyka: ma fałszywie dodatnie i ujemne, ale generalnie mało obu (najlepiej).
Podpisy: ma fałszywe negatywy, ale prawie nigdy fałszywie pozytywne.

soandos
źródło
Dzięki za te miłe podobne wyjaśnienia. Wiem, że firmy nie opublikują swoich algorytmów, ponieważ na tym zarabiają, ale czy nie istnieją jakieś naprawdę proste, stare algorytmy, które były używane w przeszłości, których mógłbym użyć, aby wykazać głębsze zrozumienie? Próbowałem zrozumieć Aho-Corasicka i Veldmana do wykrywania sygnatur, ale tak naprawdę nie rozumiałem!
Ed Briscoe,
Nie jestem pewien, czy masz pełną edycję, czy nie
Ed Briscoe,