Эвристический анализ в современном мире. Основы работы антивирусных программ

Эвристический анализ (эвристическое сканирование) - совокупность функций антивируса, нацеленных на обнаружение неизвестных вирусным базам вредоносных программ. В то же время этот термин обозначает и один из конкретных способов.

Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко используется совместно с сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов . Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако, лечение в таких случаях практически всегда оказывается невозможным. В таком случае, как правило, требуется дополнительное обновление антивирусных баз для получения последних сигнатур и алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ.

Технология эвристического анализа

Методы эвристического сканирования не обеспечивают гарантированной защиты от новых, отсутствующих в сигнатурном наборе компьютерных вирусов, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации - знаний о механизме полиморфизма сигнатур. В то же время, поскольку этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания нельзя.

В ряде случаев эвристические методы оказываются чрезвычайно успешными, к примеру, в случае очень коротких программных частей в загрузочном секторе: если программа производит запись в сектор 1, дорожку 0, сторону 0, то это приводит к изменению раздела накопителя. Но кроме вспомогательной программы fdisk эта команда больше нигде не используется, и потому в случае её неожиданного появления речь идёт о загрузочном вирусе.

В процессе эвристического анализа производится проверка эмулируемой программы анализатором кода. К примеру, программа инфицирована полиморфным вирусом, состоящим из зашифрованного тела и расшифровщика. Эмулятор кода считывает инструкции в буфер антивируса, разбирает их на инструкции и производит их исполнение по одной инструкции, после этого анализатор кода подсчитывает контрольную сумму и сверяет её с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчета контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала - программа определена.

Недостатки эвристического сканирования

• Чрезмерная подозрительность эвристического анализатора может вызывать ложные срабатывания при наличии в программе фрагментов кода, выполняющего действия и/или последовательности, в том числе и свойственные некоторым вирусам. В частности, распаковщик в файлах, запакованных PE-упаковщиком (Win)Upack вызывает ложные срабатывания целого ряда антивирусных средств, не признающих такой проблемы.

• Наличие простых методик обмана эвристического анализатора. Как правило, прежде чем распространять вредоносную программу (вирус), её разработчики исследуют существующие распространенные антивирусные продукты, различными методами избегая её детектирование при эвристическом сканировании. К примеру, видоизменяя код, используя элементы, выполнение которых не поддерживается эмулятором кода данных антивирусов, используя шифрование части кода и др.
• Несмотря на заявления и рекламные проспекты разработчиков антивирусных средств относительно совершенствования эвристических механизмов, эффективность эвристического сканирования далека от ожидаемой.
• Даже при успешном определении, лечение неизвестного вируса практически всегда является невозможным. Как исключение, некоторыми продуктами возможно лечение однотипных и ряда полиморфных, шифрующихся вирусов, не имеющих постоянного вирусного тела, но использующих единую методику внедрения. В таком случае, для лечения десятков и сотен вирусов может существовать одна запись в вирусной базе.

Название этой группы методов происходит от приписываемого Архимеду знаменитого греческого слова «эврика!» - «нашел!», выражающего радость по поводу сделанного им открытия. Эвристические методы основываются на творческом мышлении и знаниях специалистов - экспертов, практическом опыте хозяйственных руководителей, их интуиции, на индивидуальных и коллективных суждениях. Такие методы считаются качественно-логическими, дополняющими формализованные количественные методы анализа. Необходимость их применения обусловлена сложностью и невозможностью четкого математического моделирования многих социально-экономических процессов (хотя многие из таких методов и предусматривают использование математических процедур для обработки исходной информации и результатов логического экспертного анализа).

Все эвристические методы условно можно разделить на экспертные методы и методы активизации творческого мышления (иногда их называют психологическими).

Экспертные методы, опираясь на знания, суждения и опыт специалистов, позволяют решать две группы аналитических задач:

• 1) получение информации о конкретных экономических явлениях и их причинах, о требованиях ключевых заинтересованных сторон бизнеса;
• 2) оценки характерных проявлений устойчивых причинно-следственных связей, прогнозирование возможного развития социально- экономических процессов и обоснование наиболее рациональных для данной ситуации управленческих решений.

Первая группа задач решается при помощи анкетирования, опросов и интервью работников предприятий и представителей других групп стейкхолдеров этих предприятий. Для решения второй группы задач привлекаются высококвалифицированные эксперты-профессионалы. При этом могут использоваться как индивидуальные, так и коллективные методы экспертных оценок.

Индивидуальные методы предполагают использование мнений отобранных специалистов-экспертов, сформулированных каждым из них независимо друг от друга и собранных посредством интервью или анкетирования. Недостаток такого подхода состоит в известной ограниченности знаний отдельных специалистов обо всех аспектах исследуемой проблемы, в приверженности каждого из них какой-то конкретной позиции или научной школе.

Более эффективно применение коллективных методов, основанных на привлечении групп различных экспертов - теоретиков и практиков, хорошо осведомленных о сути проблемы, о специфике смежных отраслей знаний и видов деятельности, имеющих различные точки зрения. Взаимодействие привлекаемых специалистов дает возможность исследовать поставленную проблему с различных сторон. Среди подобных методов наиболее популярен метод комиссий (производственных совещаний, конференций, семинаров и «круглых столов»), позволяющий выработать общую позицию участников с учетом всех обсуждаемых обстоятельств. Недостатком такого метода является то, что принимаемые решения, в силу стремления к компромиссам и психологического давления наиболее авторитетных экспертов, не обязательно отражают их лучшие варианты, предлагаемые отдельными участниками комиссий. Отчасти преодолевается этот недостаток при помощи разделения работы комиссии на два этапа:

• ? общее обсуждение проблемы и свободное высказывание мнений участников;
• ? критический анализ всех высказанных предложений и выработка решений.

В еще большей степени позволяет избегать конформизма экспертов метод Дэлъфи, основанный на проводимом в несколько туров заочном анонимном опросе независимых экспертов (часто даже не знающих о существовании друг друга) с последующей статистической обработкой результатов и выработкой окончательного решения группой аналитиков - организаторов опроса.

Широко известны методы коллективного блокнота и банка идей, позволяющие постепенно накапливать выдвигаемые независимыми экспертами идеи и предложения, удачные типовые решения, практические примеры с возможностью их систематизации и оценки.

Методы активизации творческого мышления направлены на создание психологических условий, позволяющих человеку генерировать новые идеи и искать пути решения различных проблем. Среди подобных способов организации творческого процесса при решении задач экономического анализа наибольшее распространение получил метод «мозгового штурма».

«Мозговой штурм» представляет собой эффективный метод групповой организации аналитической деятельности по решению каких- либо проблем, основанный на раскрепощении творческой активности его участников. Обычно он предусматривает три этапа. Первый этап - четкая формулировка проблемы, требующей решения, и отбор участников творческой группы. Состав участников не должен быть большим, но он должен включать не только специалистов по данному вопросу, но и других заинтересованных лиц, не связанных отношениями подчиненности. Второй этап - генерация идей для решения поставленной проблемы. Особенностью этого этапа является создание условий для максимально свободного творчества при полном отсутствии оценок и какой-либо критики высказываемых предложений. При этом не задаются даже направления поиска идей и критерии их оценки. Главная цель - это максимальное количество выдвигаемых предложений и их возможных сочетаний, все они должны быть зафиксированы. Приветствуются даже фантастические и кажущиеся абсурдными идеи. Продолжительность этого этапа не должна превышать полутора часов, так как после этого творческая активность, как правило, начинает затихать. Третий этап - это выполняемые аналитиками - организаторами «штурма» классификация высказанных предложений, отбор, оценка и разработка различных комбинаций наиболее перспективных идей.

Модификацией метода «мозгового штурма» является метод си- нектики. Сам термин «синектика» означает использование для решения творческих задач соединения в единое целое различных, зачастую разнородных элементов, кажущихся несовместимыми. От классического «мозгового штурма» синектика отличается организацией влияния группы на творческую активность ее членов, определением конкретных приемов выработки идей, допущением критического обсуждения и отсеивания выдвигаемых идей непосредственно на стадии их генерирования. При этом в состав группы должны входить не просто профессионалы, а творческие личности, стремящиеся к соревнованию и готовые отстаивать свои позиции, обладающие различными психоэмоциональными характеристиками (энтузиасты, консерваторы, оптимисты, скептики и т.п.). Характерным для синектики является использование различных вербальных приемов активизации мышления: аналогий (нахождение решений на основе анализа уже решенных аналогичных проблем в других областях, поиск решений в фантастике, мифах, сказках), инверсии (поиск решений «от обратного»), эмпатии (отождествление себя с анализируемым объектом и понимание проблемы на основе собственных ощущений), идеализации (исследование с позиций получения идеального результата). Следует отметить, что для синектической группы экспертов очень важны предварительная подготовка, взаимопонимание и сплоченность, иначе нарастающая критичность обсуждений может просто заблокировать генерацию новых идей.

Морфологический метод. Этот метод основывается на оценке внутренней структуры исследуемого объекта и соответствующей декомпозиции рассматриваемой проблемы на отдельные задачи, подборе возможных решений для каждой из этих задач, их систематизации и синтезировании общего решения проблемы путем комбинирования частных решений.

Теория решения изобретательских задач (ТРИЗ). Изначально целью ТРИЗ было исследование принципов развития технических систем и создание практических методов решения изобретательских задач на основе выявления и устранения противоречий в таких системах для достижения идеального конечного результата. Ныне ТРИЗ превратилась в универсальную методологию анализа разнообразных проблем во многих областях, в том числе и в экономике. Активизация творческого мышления при этом достигается структурированием задач анализа и определенной последовательностью их решения:

• 1) для чего предназначена система, из каких элементов она состоит, каковы их функции и как они взаимодействуют;
• 2) какие связи элементов системы и их функции являются полезными, какие бесполезными, а какие вредными;
• 3) какие элементы, функции и связи можно изменять, а какие изменять невозможно;
• 4) какие возможны варианты изменений элементов системы, их функций и связей;
• 5) какие изменения обеспечивают улучшение функционирования системы в целом, а какие вызывают противоречия в системе и ослабляют ее;
• 6) как осуществить улучшающие изменения при одновременном устранении или минимизации возникающих противоречий.

Для стимулирования творческой активности и организации систематической самостоятельной работы экспертов-аналитиков часто прибегают к выполнению своеобразных правил. Правило 24 предписывает, что все 24 часа в сутки аналитик должен думать об исследуемой проблеме. Правило 25 - для успешного решения поставленной задачи необходимо выдвинуть не менее 25 идей. Правило 26 - в английском алфавите 26 букв, и в качестве подсказки самому себе надо думать, на какую букву будет начинаться ключевое для решения проблемы слово.

Эвристический анализ

Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко используется совместно с сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако, лечение в таких случаях практически всегда оказывается невозможным. В таком случае, как правило, требуется дополнительное обновление антивирусных баз для получения последних сигнатур и алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ.

Технология эвристического анализа

Методы эвристического сканирования не обеспечивают какой-либо гарантированной защиты от новых, отсутствующих в сигнатурном наборе, компьютерных вирусов, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации – знаний о механизме полиморфизма сигнатур. В то же время, этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания нельзя.

В ряде случаев, эвристические методы оказываются чрезвычайно успешными, к примеру, в случае очень коротких программных частей в загрузочном секторе: если, программа производит запись в сектор 1, дорожку 0, сторону 0, то это приводит к изменению раздела накопителя. Но кроме вспомогательной программы FDISK эта команда больше нигде не используется, и потому в случае ее неожиданного появления речь идет о загрузочном вирусе.

В процессе эвристического анализа производится проверка эмулируемой программы анализатором кода. К примеру, программа инфицирована полиморфным вирусом, состоящим из зашифрованного тела и расшифровщика. Эмулятор кода эмулирует работу данного вируса по одной инструкции, после этого анализатор кода подсчитывает контрольную сумму и сверяет ее с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчета контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала - программа идентифицирована.

Другим распространенным методом эвристического анализа, применяемым большой группой антивирусов, является декомпиляция подозрительной программы и анализ ее исходного кода. Исходный код подозрительного файла проходит сверку и сравнение с исходным кодом известных вирусов и образчиков вирусной активности. В случае, если определенный процент исходного кода идентичен коду известного вируса или вирусной активности, файл отмечается как подозрительный, о чем оповещается пользователь.

Недостатки эвристического сканирования

• Чрезмерная подозрительность эвристического анализатора может вызывать ложные срабатывания при наличии в программе фрагментов кода, выполняющего действия и/или последовательности, в том числе и свойственные некоторым вирусам. В частности, распаковщик в файлах, запакованных PE-упаковщиком (Win)Upack вызывает ложные срабатывания целого ряда антивирусных средств, де-факто не признающих такой проблемы. Другой проблемой анализаторов является ошибочное срабатывание при проверке совершенно безобидного кода.

К примеру, скомпилированный с помощью Delphi 7 или Delphi 2007 код:

Program XDC; {$APPTYPE CONSOLE} uses SysUtils; begin if (paramstr (3 ) ="d" ) then begin FileSetReadOnly (paramstr (2 ) ,false ) ; DeleteFile (paramstr (2 ) ) ; end ; end .

Вызывает ложные срабатывания у антивирусов типа Panda (независимо от версии компилятора), Webwasher GateWay (при компиляции Delphi 2007 ), F-Secure (при компиляции Delphi 7 ). Как видно из примера, программа абсолютно безопасна и совершенно отсутствуют какие-либо признаки вредоносного кода и вирусного функционала (весь функционал примера: если в качестве третьего параметра указан ключ «d», программа удаляет файл, указанный во втором параметре).

• Наличие простых методик обмана эвристического анализатора. Как правило, прежде чем распространять вредоносную программу (вирус), ее разработчики исследуют существующие распространенные антивирусные продукты, различными методами избегая ее детектирование при эвристическом сканировании. К примеру, видоизменяя код, используя элементы, выполнение которых не поддерживается эмулятором кода данных антивирусов, используя шифрование части кода и др.

Несмотря на заявления и рекламные проспекты разработчиков антивирусных средств относительно совершенствования эвристических механизмов, эффективность эвристического сканирования на данный момент далека от ожидаемой. Независимые тесты компонентов эвристического анализа показывают, что уровень обнаружения новых вредоносных программ составляет не более чем 40-50% от их числа. (англ.)

• Даже при успешном определении, лечение неизвестного вируса практически всегда является невозможным. Как исключение, некоторыми продуктами возможно лечение однотипных и ряда полиморфных, шифрующихся вирусов, не имеющих постоянного вирусного тела, но использующих единую методику внедрения. В таком случае, для лечения десятков и сотен вирусов может существовать одна запись в вирусной базе, как это реализовано, к примеру, в антивирусе И. Данилова.

См. также

Ссылки

Внешние ссылки

Wikimedia Foundation . 2010 .

Смотреть что такое "Эвристический анализ" в других словарях:

- (эвристика) алгоритм решения задачи, не имеющий строгого обоснования, но, тем не менее, дающий приемлемое решение задачи в большинстве практически значимых случаев. Содержание 1 Определение 2 Применение … Википедия

У этого термина существуют и другие значения, см. Полиморфизм. Полиморфизм компьютерного вируса (греч. πολυ много + греч. μορφή форма, внешний вид) специальная техника, используемая авторами вредоносного программного… … Википедия

Стиль этой статьи неэнциклопедичен или нарушает нормы русского языка. Статью следует исправить согласно стилистическим правилам Википедии … Википедия

Проактивные технологии – совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а… … Википедия

Эта статья или раздел грубый перевод статьи на другом языке (см. Проверка переводов). Он мог быть сгенерирован программой переводчиком или сделан человеком со слабыми познаниями в языке оригинала. Вы можете помочь … Википедия

Разработчик ОС Windows XP/Vista Лицензия Сайт … Википедия

Скриншот программы Тип … Википедия

OllyDbg … Википедия

Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей. Некоторые модели человеческого поведения в общественных науках предполагают, что поведение людей может быть адекватно опи … Википедия

Эвристические методы анализа

Вы в своей жизни, вероятно, встречали человека, который прежде всего поражал вас тем, что у него чрезвычайно развитое воображение, оригинальные и неожиданные суждения, идеи, которые свойственны высокоразвитому интуитивному мышлению. Такого человека мы, как правило, называем творческой личностью. А способность к генерированию новых идей есть все основания отнести к одному из важнейших признаков творческой личности.

И в школе, и в высших и средних специальных учебных заведениях, к сожалению, развитию интуиции, способностей к генерированию новых идей уделяют недостаточное внимание. Педагоги в основном обращают внимание на логические методы решения задач, в том числе в процессе решения творческих задач.

Расчетные методы оперируют только количественно-определенной информацией, использование которой при анализе систем управления весьма ограничено. Для анализа хозяйственной деятельности большое значение имеет использование эвристических методов, направленных на получение качественных характеристик субъекта хозяйствования. Методы эвристики основываются главным образом на опыте и интуиции специалистов, их индивидуальных или коллективных суждениях. Среди эвристических методов можно выделить оценочные и оценочно-поисковые методы анализа.

Эвристические методы широко излагаются в работах по управлению персоналом, организации управления и организационного поведения.

Условия, предопределяющие необходимость использования эвристических методов, можно охарактеризовать следующим образом:

Качественный характер исходной информации, описываемый с помощью экономических и социальных параметров, отсутствие достаточно представительных и достоверных сведений по характеристикам объекта исследования;

Большая неопределенность исходных данных для анализа;

Отсутствие четкого предметного описания и математической формализации предмета оценки;

Недостаток времени и средств для исследования с применением формальных моделей;

Отсутствие технических средств с соответствующими характеристиками для аналитического моделирования;

Экстремальность анализируемой ситуации.

Эвристические методы анализа представляют собой особую группу приемов сбора и обработки информации, опирающуюся на профессиональное суждение группы специалистов.

Классификация эвристических методов анализа

Эвристические методы оценки

ОЦЕНОЧНО-ПОИСКОВЫЕ МЕТОДЫ

Комиссии и конференции

Мозговой штурм

Коллективный блокнот

Банк идей

Метод активного социологического тестированного анализа и контроля

Деловые игры

Функционально-стоимостной анализ.

Эвристические методы часто называют креативными, так как они опираются на творческое мышление группы людей. Залогом надежности и обоснованности выводов анализа при эвристических методах является правильный подбор экспертов. В зависимости от целей и направленности группа экспертов может быть однородной или включать представителей разных групп связанных специалистов, а иногда и просто заинтересованных лиц. Например, при формировании группы экспертов для анализа технологических разработок в нее включаются технологи, которые профессионально могут оценить техническую новизну решения, экономисты, оценивающие его эффективность, механики, которые могут дать оценку возможности реализации новой технологии на имеющейся производственной базе, рабочие - исполнители новой технологии. При оценке качества продукции и спроса на нее в состав группы экспертов включаются не только товароведы, но и производители и потребители продукции. В то же время при разработке какого-то технического решения на первой стадии в состав группы экспертов включаются только специалисты соответствующего профиля.

На практике сложились достаточно сложные методы формирования группы экспертов:

По формальным критериям, когда учитываются специальность, стаж работы, длительность пребывания в одном коллективе; сюда же относятся психологические оценки личности по данным социологической службы организации (если таковые имеются), например, способность к творческому мышлению, конструктивность мышления и т.п.;

На основе самооценки личности, полученной при анкетировании, в этом случае сам будущий эксперт оценивает свои возможности, включая квалификацию, аналитичность и конструктивность мышления, способность адаптироваться к определенным ситуациям и т.п.; такой отбор экспертов дополняется определением уровня самооценки будущего эксперта - заниженная, завышенная или адекватная, что проводится при специальном

психологическом отборе экспертов;

На основе оценки лиц, связанных с претендентом, когда профессиональные и личностные качества специалиста оцениваются специалистами аналогичного профиля, потребителями услуг, работниками, реализующими решения эксперта;

Методом случайного отбора (выборки), если в качестве экспертов может выступать множество лиц (например, потребителей продукции и услуг).

Достаточно часто при анализе деятельности хозяйствующего субъекта в состав группы экспертов входят руководители разных уровней и работники. Например, так формируется группа экспертов при выборе стратегии развития производства, изменении системы стимулирования, реформировании систем учета и отчетности, перестройке организационных структур.

Таким образом, при отборе экспертов широко используются как формальные, так и психологические методы отбора. В этой связи эвристические методы часто называют психологическими.

(Мелюхова Яна) 1)Метод типологии основывается на ставшей популярной теории позиционирования. Основная идея этой теории заключается в существовании готовой, единой для всех картины стандартных ситуаций и решений. Задача аналитика состоит в выборе позиции, соответствующей объекту анализа по определенным параметрам, и получении стандартного решения, предлагаемого разработчиками метода. Практическими приложениями этой теории являются матрицы ЗКГ, Мак-Кензи и др. Технология реализации метода включает такие этапы, как:

Оценка анализируемого объекта по некоторым заданным параметрам;

Позиционирование объекта в типологической схеме в соответствии со значениями параметров;

схеме типом анализируемого объекта.

При построении типологической схемы можно использовать два параметра и более. Параметры могут отражать как простые свойства, так и комплексные. Примером комплексного свойства служит перспективность рынка, характеризуемая размерами, темпом роста, уровнем удовлетворения потребностей пользователей, конкуренцией, уровнем цен, доходностью и

т.д. Как видно из приведенного примера, параметры могут иметь как количественную, так и качественную оценку. Позиционирование анализируемого объекта (объектов) на типологической сетке возможно в виде той или иной отметины (точек, окружностей и т.д.).

При наличии разработок в конкретных областях использование типологических сеток позволяет определить тип анализируемого объекта и воспользоваться готовыми рекомендациями по его совершенствованию. Однако с методом типологии необходимо быть крайне осторожным. Нужно иметь в виду, что универсальные «рецепты» достаточно соблазнительны своей простатой, контрастирующей с решением творческих задач, но польза от применения полученных рекомендаций весьма ограничена. Лучше знать, как выявить и решить проблемы, чем верить в готовые рецепты успеха. По мнению автора, лишь в сочетании с другими приемами оценки метод типологии позволяет охарактеризовать ситуацию и найти приемлемые варианты прогнозных управленческих решений.

(Киселева Оля) 2)Метод экспертной оценки опирается на выявление обобщенной оценки экспертной группой путем статистической обработки индивидуальных, независимых оценок, вынесенных экспертами. Члены группы в этом случае могут быть равноценными или иметь разный ранг, учитываемый при выведении результатов экспертизы.

При наборе экспертов следует руководствоваться такими требованиями, как:

Высокий уровень общей эрудиции, обладание специальными знаниями в анализируемой области;

Наличие определенного практического и (или) исследовательского опыта по рассматриваемой проблеме;

Способность к адекватной оценке тенденций развития исследуемого объекта;

Отсутствие предвзятости, заинтересованности в конкретном результате оценки.

Благоприятные условия для работы экспертов создаются в результате предварительного инструктирования, обучения методике исследования, предоставления дополнительной информации об объекте анализа.

(Оля Прилепа) 3)Метод экспертной комиссии основан на выявлении единого коллективного мнения специально подобранными экспертами при обсуждении поставленной проблемы и альтернатив ее решения в результате определенных компромиссов.

При использовании метода экспертной комиссии осуществляется не только статистическая обработка результатов индивидуальной балльной оценки всех экспертов, но и обмен мнениями по результатам экспертизы и уточнение оценок. Недостаток такой процедуры состоит в сильном влиянии авторитетов на мнение большинства участников экспертизы.

Что такое эвристический анализатор?

1. Эвристический метод, в отличие от сигнатурного метода, нацелен на обнаружение не сигнатур вредоносного кода, а типичных последовательностей операций, позволяющих сделать вывод о природе файла с достаточной долей вероятности. Преимуществом эвристического анализа является то, что для его работы не требуется наличие предварительно составленных баз. За счет этого новые угрозы распознаются до того, как их активность становится известна вирусным аналитикам.
2. просьба если узнаешь напиши мне
3. Эвристическое сканирование метод работы антивирусной программы, основанный на сигнатурах и эвристике, призван улучшить способность сканеров применять сигнатуры и распознавать модифицированные версии вирусов в тех случаях, когда сигнатура совпадает с телом неизвестной программы не на 100 %, но в подозрительной программе налицо более общие признаки вируса. Данная технология, однако, применяется в современных программах очень осторожно, так как может повысить количество ложных срабатываний.
4. Эвристический анализатор (эвристик) это антивирусный модуль, который анализирует код исполняемого файла и определяет, инфицирован ли проверяемый объект.
   Во время эвристического анализа не используются стандартные сигнатуры. Напротив, эвристик принимает решение на основе заранее в него заложенных, иногда не совсем четких правил.

   Для большей наглядности такой подход можно сравнить с искусственным интеллектом, самостоятельно проводящим анализ и принимающим решения. Тем не менее такая аналогия отражает суть лишь отчасти, поскольку эвристик не умеет учиться и, к сожалению, обладает низкой эффективностью. По оценкам антивирусных экспертов, даже самые современные анализаторы не способны остановить более 30% вредоносных кодов. Еще одна проблема ложные срабатывания, когда легитимная программа определяется как инфицированная.

   Однако, несмотря на все недостатки, эвристические методы по-прежнему используются в антивирусных продуктах. Дело в том, что комбинация различных подходов позволяет повысить итоговую эффективность сканера. Сегодня эвристиками снабжены продукты всех основных игроков на рынке: Symantec, Лаборатории Касперского, Panda, Trend Micro и McAfee.
   В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Наиболее популярной эвристической технологией является проверка содержимого файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы.
   Эвристический анализ применяется для обнаружения неизвестных вирусов, и, как следствие, не предполагает лечения.
   Данная технология не способна на 100% определить вирус перед ней или нет, и как любой вероятностный алгоритм грешит ложными срабатываниями.

   Любые вопросы - будут решены мной, обращайтесь, поможем, чем сможем

5. Эвристический анализатор суммитует тенденции программного кода по обращениям к системным прерываниям, экстраполируя уровень возможной вредоносности. Тем самым осуществляется сбалансированная защита операционной системы.
   Ну все вроде объяснил, понятно?;))
6. это типа искусственного интелекта. в реале эта технология недоступна, какие-то приблежения к ней имеются, как будто антивирус сам анализирует прогу и решает вирус она или нет