В чем разница между традиционным и эвристическим сканированием вирусов?

Я только что разговаривал по телефону с одной из крупных AV-компаний, почему менее известный AV поймал вирус, которого у них не было. Детали этой делимы не важны.

Что привлекло мое внимание в разговоре, когда Техник упомянул :" мы делаем традиционное сканирование, в то время как другие делают эвристическое сканирование". Он все говорил и говорил о том, насколько доказан традиционный метод и тому подобное. Но я не мог получить от него никаких подробностей о том, какая разница?

действительно ли есть такая разница в эффективности, или это просто разница в технике каждая из которых имеет свои плюсы и минусы? Каковы различия?

5
задан Chad Harrison
источник

2 ответов

традиционно антивирусное программное обеспечение полагалось на сигнатуры для идентификации вредоносных программ. Это может быть очень эффективным, но не может защитить от вредоносных программ, если образцы уже получены и созданы сигнатуры. Из-за этого сигнатурные подходы не эффективны против новых, неизвестных вирусов.

эвристический анализ-это экспертный анализ, который определяет восприимчивость системы к конкретной угрозе / риску с использованием различных правил принятия решений или методы взвешивания. Многокритериальный анализ (MCA)является одним из средств взвешивания. Этот метод отличается статистическим анализом, который базируется на имеющихся данных/статистике

в двух словах подпись на основе отлично подходит для существующих угроз, но эвристические будет использовать алгоритмы, чтобы "лучше угадать", если программа является вирусом, что позволяет ему потенциально поймать новые вирусы, которые не распознаются по их сигнатурам. Вы также можете получить много ложных срабатываний от эвристики АВ.

Я поднял справедливый кусок этого от здесь и здесь

5
отвечен Joe Taylor 2012-07-19 13:42:14
источник

традиционное сканирование основано на сигнатурах вирусов. эвристическое сканирование основано на обнаружении подозрительного поведения. Поскольку количество вирусов огромно, становится непрактичным хранить базу данных всех сигнатур. Вот почему алгоритмы сканирования движутся к эвристическому сканированию.

на мой взгляд, традиционное сканирование лучше подходит для обнаружения уже известных вирусов. Он не сможет обнаружить неизвестную угрозу. Эвристическое сканирование способно обнаружить еще не известные угрозы, но не может быть в качестве доказательства вины при работе с известными вирусами, как традиционные сканирования на основе сигнатур вирусов.

3
отвечен AlM 2012-07-19 13:39:23
источник

Другие вопросы anti-virus malware-detection