Heuristická analýza

Heuristická analýza je určena pro maximálně detailní kontrolu počítače. Vykonává v podstatě dva kroky – první je totožný s antivirovým testem – s pomocí virové databáze hledá známé viry.

Pokud nebyl nalezen žádný známý virus, zahájí se logická analýza kódu testovaného objektu a posuzuje se, co testovaný kód v praxi znamená. Lze tedy zjistit, že objekt, který se kontroluje obsahuje instrukce, jejichž význam nelze označit za normální či běžné – např. vyhledávání jiných souborů EXE, jejich otevírání pro zápis a kopírování vlastního kódu do těchto souborů, apod.

Rychlost heuristické analýzy je, vzhledem k provádění mnohem složitějších operací, nižší, než je rychlost antivirového testu. Otestování zařízení bude tedy časově náročnější, avšak mnohem důkladnější. Vzhledem ke svému principu je heuristická analýza nezávislá na stavu virové databáze.

Pokud se při analýze kódu testovaného objektu zjistí natolik závažné skutečnosti, že testovaný objekt nelze považovat za normální korektní program, je objekt označen jako napadený virem.

Kromě vyšší časové náročnosti má analýza také další nevýhodu – vzhledem k jejímu principu je vyšší pravděpodobnost mylného hlášení. Existují korektní programy, které jsou však napsány téměř stejně, jako počítačové viry. Takové programy mohou být heuristickou analýzou označeny jako napadené virem. Je nutné si však uvědomit, že v takových případech je posouzení, zda se jedná o virus či nikoliv, složité dokonce pro zkušeného programátora – specialistu na počítačové viry.

Četnost mylných hlášení je minimalizována existencí tzv. validační databáze. Tato databáze obsahuje informace o všech známých mylných hlášeních a potlačuje v konkrétních případech hlášení heuristické analýzy. Validační databázi aktualizuje přímo výrobce systému AVG a je rozesílána v rámci pravidelných aktualizací.

Závažnost hlášení o nalezení neznámého viru posoudí nejlépe uživatel sám:

Ve výše uvedených případech doporučujeme kontaktovat neprodleně výrobce systému AVG a zaslat mu označené objekty k podrobné analýze. Získáte tak jistotu, že posouzení situace bylo správné a umožníte navíc další vývoj systému AVG (v případě skutečného viru, je virus zařazen do virové databáze, v opačném případě dojde k aktualizaci validační databanky).

Nastavení heuristické analýzy

Heuristická analýza má v systému AVG dvě podoby – nastavení.

Standardní nastavení analýzy slouží, jak napovídá název, k běžnému testování. Toto nastavení bylo výrobcem určeno jako optimální po dlouhodobém testování. Bylo zvoleno takové nastavení interních parametrů, aby byl dosažen kompromis mezi rychlostí, spolehlivostí a omezením výskytu mylných hlášení.

Citlivější nastavení má následující význam – analýza v tomto režimu sleduje větší počet instrukcí testovaného objektu, provádí analýzu většího množství možných kombinací a zjištěné informace vyhodnocuje citlivěji. Toto nastavení by mělo být použito pouze tehdy, je–li k tomu závažný důvod – doporučila jej např. hot–line služba výrobce, chování systému je divné, přestože standardní analýza nehlásí žádné podezření. Je možné, že při tomto nastavení dokáže analýza zachytit virus, který by jinak zůstal nezjištěn. Je také zřejmé, že citlivěji nastavená analýza bude náchylnější k mylnému hlášení.