Несколько по-иному работают антивирусные средства, основанные на анализе процессов. "Эвристические анализаторы", так же как и вышеописанные, анализируют данные (на диске, в канале, в памяти и т.п.). Принципиальное отличие состоит в том, что анализ проводится в предположении, что анализируемый код - это не данные, а команды (в компьютерах с фон-неймановской архитектурой данные и команды неразличимы, в связи с этим при анализе и приходится выдвигать то или иное предположение.)
"Эвристический анализатор" выделяет последовательность операций, каждой из них присваивает некоторую оценку "опасности" и по совокупности "опасности" принимает решение о том, является ли данная последовательность операций частью вредоносного кода. Сам код при этом не выполняется.
Другим видом антивирусных средств, основанных на анализе процессов, являются "поведенческие блокираторы". В этом случае подозрительный код выполняется поэтапно до тех пор, пока совокупность инициируемых кодом действий не будет оценена как "опасное" (либо "безопасное") поведение. Код при этом выполняется частично, так как завершение вредоносного кода можно будет обнаружить более простыми методами анализа данных.
Следующая страница>>
<<Предыдущая страница
<Главная>