SCANNING HEURISTIK
Salah satu yang paling memakan waktu tugas yang dihadapi seorang peneliti virus adalah pemeriksaan file. Orang sering mengirim file ke para peneliti karena mereka percaya file yang terinfeksi oleh virus baru. Terkadang file-file ini memang terinfeksi, kadang-kadang tidak. Setiap peneliti dapat menentukan dengan cepat apa yang terjadi dengan memuat file yang dicurigai ke dalam debugger.
FLAGS HEURISTIK
Beberapa scanner menetapkan bendera untuk masing-masing diduga kemampuan yang telah ditemukan dalam file yang dianalisis . Hal ini membuat lebih mudah untuk menjelaskan kepada pengguna apa yang telah ditemukan .
TbScan misalnya mengakui banyak dicurigai urutan instruksi . Setiap urutan instruksi yang diduga memiliki bendera yang ditugaskan untuk itu :
FLAG DESCRIPTION
F = akses file mencurigakan . Mungkin bisa menginfeksi file .
R = Relocator . Kode program akan direlokasi dengan cara yang mencurigakan .
A = Memory Mencurigakan Alokasi . Program ini menggunakan cara non-standar untuk mencari , dan / atau mengalokasikan memori .
N = ekstensi nama salah . Perpanjangan bertentangan dengan struktur program .
S = Berisi rutin untuk mencari executable ( COM . Atau . EXE ) file .
# = Ditemukan sebuah dekripsi rutin instruksi . Hal ini umum untuk virus tetapi juga untuk beberapa perangkat lunak yang dilindungi .
E = Fleksibel Entry- point. Kode tampaknya dirancang untuk dihubungkan pada setiap lokasi dalam file eksekusi . Umum untuk virus .
L = Program perangkap pemuatan perangkat lunak . Mungkin virus yang memotong beban program untuk menginfeksi perangkat lunak.
D = Disk akses tulis . Program ini menulis ke disk tanpa menggunakan DOS .
M = kode Memory penduduk . Program ini dirancang untuk tinggal di memori .
! = Opcode tidak valid ( petunjuk non - 8088 ) atau out-of -range cabang .
T = timestamp salah . Beberapa virus menggunakan ini untuk menandai file yang terinfeksi .
J = Mencurigakan melompat membangun . Entry point via melompat dirantai atau tidak langsung . Ini tidak biasa untuk perangkat lunak yang normal tetapi umum untuk virus .
? = Tidak konsisten exe header . Mungkin virus tetapi juga bisa menjadi bug .
G = Sampah petunjuk . Berisi kode yang tampaknya tidak memiliki tujuan lain selain enkripsi atau menghindari pengakuan oleh virus scanner .
U = berdokumen panggilan interrupt / DOS . Program ini mungkin hanya rumit tetapi juga bisa menjadi virus menggunakan cara non-standar untuk mendeteksi sendiri .
Z = EXE / COM tekad . Program ini mencoba untuk memeriksa apakah file adalah COM atau file EXE . Virus perlu melakukan ini untuk menginfeksi sebuah program .
O = Ditemukan kode yang dapat digunakan untuk menimpa / memindahkan program di memori .
B = Kembali ke titik masuk . Berisi kode untuk memulai kembali program setelah modifikasi pada entry- point dibuat . Sangat biasa untuk virus .
K = Unusual stack. Program ini memiliki tumpukan yang mencurigakan atau tumpukan aneh .
TbScan akan misalnya output flag berikut :
FLAGS VIRUS HEURISTIK
Yerusalem/PLO FRLMUZ
Backfont FRALDMUZK
Minsk_Ghost FELDTGUZB
Murphy FSLDMTUZO
Ninja FEDMTUZOBK
Tolbuhin ASEDMUOB
Yankee_Doodle FN#ELMUZB
Semakin banyak bendera yang dipicu oleh sebuah file , semakin besar kemungkinan adalah bahwa file tersebut terinfeksi oleh virus . Program yang normal jarang memicu satu bendera , sementara setidaknya dua bendera yang diperlukan untuk memicu alarm .
POSITIF SALAH
Sama seperti semua teknik deteksi generik lainnya , scanner heuristik terkadang menyalahkan program yang tidak bersalah untuk yang terkontaminasi oleh virus . Hal ini disebut "positif palsu " atau " False Alarm " .
Alasan untuk ini adalah sederhana . Beberapa program kebetulan memiliki beberapa kemampuan yang dicurigai . Misalnya , file LOADHI.COM dari QEMM memiliki kemampuan yang dicurigai sebagai berikut (menurut versi lama dan belum usang TbScan ) :
A = Memory Mencurigakan Alokasi . Program ini menggunakan cara non-standar untuk mencari , dan / atau mengalokasikan memori .
M = kode Memory penduduk . Program ini mungkin TSR tetapi juga virus .
U = berdokumen panggilan interrupt / DOS . Program ini mungkin hanya rumit tetapi juga bisa menjadi virus menggunakan cara non-standar untuk mendeteksi sendiri .
Z = EXE / COM tekad . Program ini mencoba untuk memeriksa apakah file adalah COM atau file EXE . Virus perlu melakukan ini untuk menginfeksi sebuah program .
O = Ditemukan kode yang dapat digunakan untuk menimpa / memindahkan program di memori .
Semua kemampuan ini tersedia dalam LoadHi , dan bendera yang cukup untuk memicu alarm heuristik . Sebagai LoadHi seharusnya mengalokasikan memori atas , memuat program menetap di memori , memindahkan mereka ke memori atas , dll, semua diduga kemampuan ini dapat dengan mudah dijelaskan dan diverifikasi . Namun, scanner tidak dapat mengetahui tujuan yang telah ditetapkan program , dan karena sebagian besar tersangka kemampuan sering ditemukan dalam virus , itu hanya menjelaskan program LoadHi sebagai " virus mungkin" .
Thank's for reading the articelHeuristic Antivirus .If You want to copy paste your website please tag my link Heuristic Antivirus Intro My Website.
0 comments:
Post a Comment