Я пытаюсь написать статью о методах обнаружения вирусов. Я скачал много журналов, статей и использовал много сайтов. Я нашел общее определение для обоих этих терминов, но я хотел бы углубиться в эти темы.
Например, простые конкретные примеры одного или нескольких используемых алгоритмов?
Спасибо за любую помощь.
Простой пример обнаружения сигнатурного вируса - просто хеширование вируса несколькими различными алгоритмами. Если файл с этими сигнатурами обнаружен, то это, скорее всего (хотя и не обязательно, поскольку возможны коллизии, но крайне маловероятно) вирус. Хотя на практике это сложно (полиморфные вирусы делают это практически неосуществимым решением во многих случаях), теория проста.
Эвристика в своей основной форме в основном определяет "подозрительное поведение" или "подозрительный код" и воздействует на него. Так, например (это снова очень упрощенно), если программа пытается добавить себя в список запускаемых программ, не подписана доверенным издателем и пытается получить доступ к Интернету, она МОЖЕТ быть вирусом. Это может быть просто установщик, хотя.
Это довольно простой пример того, почему эвристика является более вероятностной, чем детерминистской, в то время как сигнатуры - наоборот.
Так же, как краткое сравнение:
Эвристика: имеет ложные положительные и отрицательные стороны, но, как правило, низкий на обоих (в идеале).
Подписи: имеет ложные отрицания, но почти никогда не ложные.
