El análisis heurístico (escaneo heurístico) es un conjunto de funciones antivirus destinadas a detectar malware desconocido para las bases de datos de virus. Al mismo tiempo, este término también se refiere a uno de los métodos específicos.
Casi todas las herramientas antivirus modernas utilizan la tecnología de análisis heurístico del código del programa. El análisis heurístico se utiliza a menudo junto con el análisis de firmas para buscar virus complejos codificados y polimórficos . La técnica de análisis heurístico permite detectar infecciones previamente desconocidas, sin embargo, el tratamiento en estos casos es casi siempre imposible. En este caso, por regla general, se requiere una actualización adicional de las bases de datos antivirus para obtener las últimas firmas y algoritmos de tratamiento, que pueden contener información sobre un virus previamente desconocido. De lo contrario, el archivo se envía para su análisis a analistas antivirus o autores de programas antivirus.
Los métodos de escaneo heurístico no brindan protección garantizada contra nuevos virus informáticos que no están en el conjunto de firmas, lo que se debe al uso de virus previamente conocidos como objeto de análisis de firmas y al conocimiento sobre el mecanismo de polimorfismo de firma como reglas de verificación heurística. . Al mismo tiempo, dado que este método de búsqueda se basa en suposiciones empíricas, los falsos positivos no pueden excluirse por completo.
En algunos casos, los métodos heurísticos son extremadamente exitosos, por ejemplo, en el caso de partes de programa muy cortas en el sector de arranque: si el programa escribe en el sector 1, pista 0, lado 0, esto conduce a un cambio en la partición de la unidad. . Pero aparte del programa de ayuda fdisk , este comando no se usa en ningún otro lugar y, por lo tanto, si aparece inesperadamente, estamos hablando de un virus de arranque.
En el proceso de análisis heurístico, el analizador de código verifica el programa emulado. Por ejemplo, un programa está infectado con un virus polimórfico que consta de un cuerpo cifrado y un descifrador. El emulador de código lee las instrucciones en el búfer antivirus, las analiza en instrucciones y las ejecuta una instrucción a la vez, después de lo cual el analizador de código calcula la suma de verificación y la compara con la almacenada en la base de datos. La emulación continuará hasta que se descifre la parte del virus necesaria para calcular la suma de comprobación. Si la firma coincide, el programa está definido.