¿Cuál es la diferencia entre la detección de virus basada en Heurística y basada en Comportamiento?

En lo que a mí respecta, la detección basada en heurísticas aún después de todo un tipo de análisis estático, el malware potencial se analiza de forma estática para descubrir propiedades sospechosas como el código basura o el uso de API poco comunes, WTHOUT confiando en cualquier coincidencia de firma .

El análisis / detección de comportamiento se basa en examinar cómo se ejecuta un programa determinado para identificar también actividades "poco comunes" como crear claves de registro específicas, alterar el archivo HOST, matar el proceso o desempaquetar el código ...

Aunque Detección heurística se usa mucho en computación, es más fácil aprender al lego heurística utilizada en el juicio y la toma de decisiones . Amos Tversky y Daniel Kahneman utilizan por primera vez la heurística para estudiar el comportamiento humano, para aprender por qué el curso de acción humano se basa en criterios particulares.

En términos simples, la exploración de virus basada en Heurística y basada en Comportamiento es lo mismo.

El escaneo basado en heurística preliminar verificará los archivos / atributos de guión / patrón o llamará "comportamiento / acciones" para decidir si es seguro o malicioso. Entonces, si el código está ofuscado, la heurística preliminar puede pasarlo por alto. Por lo tanto, se requiere un proceso en segundo plano para observar lo que hará el programa durante la ejecución, detenerlo cuando muestre algún mal comportamiento. Así que algunas personas lo llaman "análisis / comprobación de comportamiento".

Aunque, de hecho, dicha ejecución de archivos activos todavía se basa en un conjunto de heurísticas para reaccionar. La mayoría de los analistas de malware solo usan el término "análisis estático" y "análisis dinámico" para diferenciar los dos mecanismos.