Heurística en antivirus

Heurística en antivirus

En los productos antivirus se conoce como heurística a las técnicas que emplean para reconocer códigos maliciosos (virus, gusanos, troyanos, etc.) que no se encuentren en su base de datos (ya sea porque son nuevos, o por no ser muy divulgados). El término general implica funcionalidades como detección a través de firmas genéricas, reconocimiento del código compilado, desensamblado, desempaquetamiento, entre otros.

Su importancia radica en el hecho de ser la única defensa automática posible frente a la aparición de nuevos códigos maliciosos de los que no se posea firmas.

Contenido

Técnicas heurísticas

Lógica Proposicional

Firmas genéricas

Hay muchos códigos maliciosos que son modificados por sus autores para crear nuevas versiones. Usualmente, estas variantes contienen similitudes con los originales, por lo que se catalogan como una familia de virus. Gracias a las similitudes dentro del código del virus, los antivirus pueden llegar a reconocer a todos los miembros de la misma familia a través de una única firma o vacuna genérica. Esto permite que al momento de aparecer una nueva versión de un virus ya conocido, aquellos antivirus que implementan esta técnica puedan detectarlo sin la necesidad de una actualización. Las implementaciones de heurística de algunos antivirus utilizan técnicas para reconocer instrucciones comúnmente aplicadas por los códigos maliciosos, y así poder identificar si un archivo ejecutable puede llegar a ser un código malicioso.

Desensamblado

Todo archivo ejecutable puede ser desensamblado con el objetivo de obtener el código fuente del programa en lenguaje ensamblador. La heurística de algunos antivirus es capaz de analizar el código fuente de los programas sospechosos. De esta forma puede reconocer un posible código malicioso si encuentra técnicas de desarrollo que suelen usarse para programar virus, sin la necesidad de una actualización.

Desempaquetamiento

Los programadores de códigos maliciosos suelen usar empaquetadores de archivos ejecutables como UPX con el fin de modificar la "apariencia" del virus a los ojos del análisis antivirus. Para evitar ser engañados por un código malicioso antiguo y luego reempaquetado, los antivirus incluyen en sus técnicas heurísticas métodos de desempaquetamiento. De esta forma pueden analizar el código real del programa, y no el empaquetado..

Evaluaciones retrospectivas

La heurística es un aspecto muy difícil de probar en los antivirus, dado que se requiere realizar las denominadas evaluaciones retrospectivas.

¿Qué son las evaluaciones retrospectivas?

Para poder analizar correctamente el funcionamiento de las capacidades heurísticas o proactivas de un antivirus, lo que se hace es detener la actualización de firmas del producto durante un período X. En ese lapso, se acumulan muestras de códigos maliciosos nuevos, para que una vez recolectada una cantidad suficiente, se analice si los antivirus las reconocen o no. Al no haber sido actualizados para detectar esas muestras, el antivirus solo podrá reconocer si están infectadas o no a través de sus capacidades heurísticas.

Gracias a estas evaluaciones se puede conocer en detalle el rendimiento de los productos antivirus frente a virus nuevos o desconocidos..

Ejemplos

Existen varios organismos independientes que realizan evaluaciones retrospectivas, como por ejemplo:


Wikimedia foundation. 2010.

Игры ⚽ Нужна курсовая?

Mira otros diccionarios:

  • Heurística — Este artículo o sección necesita referencias que aparezcan en una publicación acreditada, como revistas especializadas, monografías, prensa diaria o páginas de Internet fidedignas. Puedes añadirlas así o avisar …   Wikipedia Español

  • Heurística (informática) — Este artículo trata sobre la heurística en todas las ramas de informática. Para la heurística en los antivirus, véase Heurística en antivirus. En computación, dos objetivos fundamentales son encontrar algoritmos con buenos tiempos de ejecución y… …   Wikipedia Español

  • Antivirus — No debe confundirse con Antiviral. Para un listado de programas antivirus, véase Anexo:Software antivirus. En informática los antivirus son programas cuyo objetivo es detectar y/o eliminar virus informáticos. Nacieron durante la década de 1980.… …   Wikipedia Español

  • Heurística (desambiguación) — El término heurística puede hacer referencia a: En general, se denomina heurística a la capacidad de un sistema para realizar de forma inmediata innovaciones positivas para sus fines. La heurística aplicada a la informática. La heurística en… …   Wikipedia Español

  • Heurística(Antivirus) — Los productos antivirus suelen tener técnicas de reconocimiento inteligente de códigos maliciosos (virus, gusanos, troyanos, etc), las cuales se conocen comúnmente bajo el nombre de Heurística. El término general implica funcionalidades como… …   Enciclopedia Universal

  • Antivirus — ► sustantivo masculino FARMACIA Medicamento usado para dar inmunidad contra algún virus, o para evitar su desarrollo. IRREG. plural antivirus * * * antivirus 1 adj. y n. m. Farm. Se aplica al medicamento que combate los virus. ≃ Antiviral. ⇒… …   Enciclopedia Universal

  • ESET NOD32 Antivirus — ESET NOD32 vale chet Desarrollador ESET Latinoamérica: www.eset la.com Internacional …   Wikipedia Español

  • Falso positivo (informática) — Saltar a navegación, búsqueda Un falso positivo para un antivirus, se refiere a la detección de un archivo como virus (o alguna otra clase de malware) por parte de un antivirus, cuando en realidad no es ningún virus o malware. Estos errores… …   Wikipedia Español

  • Malware — El malware suele ser representado con símbolos de peligro. Malware (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado es un tipo de software que tiene como objetivo infiltrarse… …   Wikipedia Español

  • Norton Internet Security — Este artículo o sección necesita referencias que aparezcan en una publicación acreditada, como revistas especializadas, monografías, prensa diaria o páginas de Internet fidedignas. Puedes añadirlas así o avisar …   Wikipedia Español

Compartir el artículo y extractos

Link directo
Do a right-click on the link above
and select “Copy Link”