Heuristiky či heuristické analýzy (jiné pojmenování téhož) se využívají prakticky ve všech typech antivirových programů, nicméně většina lidí neví, co slovo heuristika vlastně znamená. Vysoce odborné definice jsou pro technicky méně zdatné uživatele jen málo srozumitelné. Jednou z cest, jak toto téma vysvětlit, je použít srozumitelnější příklady.

Co to tedy ona tajemná heuristika či heuristická analýza je? V prostředí počítačů se tak označuje logická analýza kódu testovaného objektu (v našem případě nějakého škodlivého kódu, jenž se poukouší infikovat počítač), která ho posuzuje nikoli podle toho, jak vypadá, ale co v praxi vykonává (tedy o co se snaží). Díky tomu je možné rozpoznat i takové škodlivé kódy, jejichž aktuální podobu ještě nikdo nezná, a tudíž nejsou obsaženy ani v databázi antivirového programu.

Různé typy heuristik

K heuristikám lze přistupovat mnoha různými způsoby:

• generické signatury či detekce,
• pasivní heuristiky a aktivní heuristiky.

Generické signatury nebo detekce

Generická detekce měří, jak podobný je neznámý objekt něčemu, o čem již víme, že je to škodlivé. Pokud je objekt dostatečně podobný v kritických ohledech, pak lze neznámý objekt vyhodnotit jako variantu známé veličiny.

Pro ilustraci můžeme vzít dvojici psů zobrazených níže. Pokud někdo již viděl irského (nebo červeného) setra, ale zatím ještě neviděl anglického setra zobrazeného napravo, pravděpodobně usoudí, že se jedná o nějaký druh setra. Koncepčně je tento postup podobný generické detekci.

Některé typy virů (polymorfní viry) jsou dobrým příkladem pro to, jak heuristické rozpoznávací analýzy fungují. Tyto viry totiž dělají po každé replikaci (zmnožení, zdvojení) totéž, ale vždy vypadají jinak. Tato metoda dokáže překonat klasickou databázi škodlivých kódů v antivirovém programu, ale protože heuristický emulátor sleduje vlastní chování takového viru, nezáleží na tom, jak soubor vypadá, a je i přesto odhalen.

Příklad? Hledám určitou sekvenci, například „5“. Když napíši 5 jako 2 + 3, tak uvádím totéž, ale vypadá to jinak. V podstatě existuje nekonečné množství způsobů, jak „říci 5“, aniž bychom použili konkrétní symbol pro pětku.

1 – 3 + 9*(1037/32*(32/1037)) + (11 – 33) + (10*2) také znamená 5!

Jak účinné heuristiky jsou?

Nic takového jako stříbrná kulka neexistuje. Žádná technologie nás neochrání před všemi myslitelnými hrozbami, nicméně heuristiky jsou velmi užitečnou komponentou antivirových programů chránící před zcela novými a neznámými hrozbami. Antivirové produkty podrobené nezávislému testování dokázaly odhalit až 86 % virů z kategorie „in-the-wild“ (reálně se šířících virů) jen pomocí heuristik.

Je tedy zřejmé, že heuristiky mohou pomoci zabránit napadení zcela novými hrozbami a zásadně zvýšit účinnost antivirového programu. Každý zákazník by se měl zajímat, jak kvalitní heuristiku jeho antivirový program používá – přeci jen každý den vzniká téměř 200 tisíc nových škodlivých kódů připravených kdykoli napadnout nechráněný počítač. Pak se může tento neviditelný inteligentní štít sakramentsky hodit.

ESET ThreatSense ®

ESET pro svoji heuristickou analýzu používá označení ESET ThreatSense. Jedná se o unikátní technologii, která kombinuje různé metody testování založené na heuristické analýze, včetně emulace plně 32-bitového kódu, a exaktních i generických signaturách. Nejsilnější vlastností programů ESET Smart Security a ESET NOD32 Antivirus je možnost paralelní kontroly, čímž je maximalizována účinnost ochrany. Další informace naleznete na www.eset.cz/spolecnost/technologie