En una revista local leí una entrevista con Adrian Porcescu, que es un consultor técnico que trabaja para Kaspersky Lab.
Entre otras cosas, dice que su antivirus utiliza el conductismo y el control heurístico para detectar software malicioso.
Me pregunto: ¿qué es el comportamiento y el control heurístico en el software antivirus y cómo funciona?
Las heurísticas son:
Su objetivo es reconocer un virus analizando su código (no limitado a). Si un programa está programado para abrir un determinado archivo, o para cargar / leer cierta dirección de memoria. Estos métodos se basan en múltiples criterios. Eventualmente, pueden ejecutar el programa en un entorno virtual para monitorear los esquemas de virus conocidos: replicación, sigilo, etc.
El conductismo es un análisis en tiempo real. Al analizar lo que hace un programa (E / S de archivos, E / S de memoria, E / S de red, uso de la PC durante el tiempo de inactividad, ...) puede evaluar si es legítimo o no. Si un programa comienza a disparar paquetes en 100 direcciones IP en cada puerto, puede estar seguro de que es un virus, porque no es un comportamiento normal para un programa.
Concluyo diciendo esto: el conductismo trata con comportamientos desconocidos (sin duda, intenta identificar el comportamiento del usuario para detectar cambios en la actividad normal) y ciertamente utiliza la heurística. El objetivo de la heurística es detectar un virus o variante desconocidos, pero el esquema que están buscando es bien conocido.
Algunas referencias:
Lea otras preguntas en las etiquetas antivirus antimalware