Heuristická analýza

4. 7. 2005

Sdílet

V dávných dobách, kdy světu dominovaly 3.5" diskety a vznikaly viry, které svým biologickým sourozencům dělaly čest, potřebovala tato havěť na opravdu důkladné rozšíření po celém světě několik měsíců až let.

Antivirové společnosti tak měly spoustu času na vydání
patřičné aktualizace, navíc ji uživatelům zasílali klasickou poštou na disketě
či cédéčku jednou za čtvrt roku. Teoreticky tak mohla nastat situace, kterou by
si jistě každý dnes přál. Uživatel totiž mohl v některých případech „čekat“ na
to, až za několik měsíců po aktualizační disketě či cédéčku dorazí i samotný
virus, který je zmiňovanou aktualizací detekován.
A dnes? Dnes člověk ani nestíhá včas stahovat aktualizace přes rychlý internet.
Dnešní viry, červi a ostatní havěť jsou díky internetu natolik rychlí, že
antivirový systém nemůže klasickou metodou detekce (vyhledávání známé
infiltrace) včas zareagovat a vždy zde vznikne několikaminutová až hodinová
mezera mezi objevením nové infekce a momentem, kdy je tato nová havěť detekována
antivirovým systémem. Další věc souvisí s tím, že ne každá nová havěť může
způsobit globální problém jako např. některé viry, které se šíří elektronickou
poštou. Především různé infiltrace spadající pod nebo se blížící kategorii
„trojský kůň“ (tyto programy se nedokáží šířit samy) mohou představovat pouze
miniaturní problém několika uživatelů po celém světě. Může trvat věčnost (v
lepším případě několik měsíců), než některému z těchto jedinců dojde, že s jeho
PC není něco v pořádku a dodá antivirové společnosti podezřelé soubory k
zajištění detekce do budoucna. V horším případě ani zmiňovaní jedinci nepoznají,
že s jejich PC něco není v pořádku (trojský kůň může např. sloužit pouze jako
„brána“ na odesílání spamu a uživatele nijak trápit nemusí). Toto vysvětluje i
případy, kdy uživatel používal léta antivirus A, později na chvíli vyzkoušel
antivirus B a ten i přes přítomnost antiviru A našel spoustu havěti. Není to v
drtivém množství případů rozhodně způsobeno tím, že by antivirová společnost
produkující antivirus A kašlala na své zákazníky a „spala na vavřínech“, ale
nezodpovědným přístupem uživatele k PC a zároveň skutečností, která byla uvedena
výše. Otázkou je i to, co vlastně antivirus B zachytil. Antivirus nemusí nutně
zachytávat pouze nákazu jako takovou, ale i různé „vtípky“ – Jokes apod., ale i
kategorie, které nemusí být antivirem A vůbec detekovány (nikde není psáno, že
antivirus musí najít i spyware, adware a další software).
Antivirové společnosti se snaží zajistit co možná nejkvalitnější detekci v čase
mezi objevením nové havěti a vydáním patřičné aktualizace pro antivirový systém
– tedy v době, kdy není nová infiltrace klasickým antivirovým „skenerem“
detekována („díra“). Je omylem, že antivirová společnost vydávající aktualizace
několikrát za den (třeba i každou hodinu) musí poskytnout vyšší úroveň
zabezpečení než společnost, která jich produkuje několik za týden. Pokud se
objeví globální problém, dokážou obě společnosti zareagovat stejně rychle a
patřičná aktualizace „jde ven“ v podobném čase. Spíše je důležité, jak často se
o stažení aktualizace pokouší antivirus na straně uživatele. Obecně platí, že
čím častěji, tím lépe. A třeba každých 15 minut není luxusem.
Moderní antivirové systémy se tak snaží soustředit i na detekci dosud neznámé
infiltrace. Výše zmiňovanou „díru“ se snaží vyplnit metody detekce, mezi než
patří především heuristická analýza a generická detekce. Heuristic-
ká analýza je založena na schopnosti „porozumění“ programového kódu ze strany
antiviru a rozumném vyhodnocení získaných informací (může být infikován/je
„čistý“). Generická detekce vychází z toho, že spousta nové havěti je vytvořena
modifikací starších kousků, popř. že je pro některé techniky využíván tentýž
nebo mírně upravený programový kód. O schopnostech těchto metod u jednotlivých
antivirů se lze dočíst v tzv. „Retrospective/Proactive“ srovnávacích testech na
stránkách www.av-comparatives.org. Vzhledem ke všem výše uvedeným skutečnostem
nelze ze slabších výsledků v této kategorii usuzovat na celkovou kvalitu
antivirového systému. Existuje mnoho dalších a velice důležitých měřítek, ale o
tom třeba až někdy příště.

Igor Hák pracuje ve společnosti Eset software.

Autor článku