12/10/09

Tecnicas heuristicas


Los virus cuentan con una serie de patrones de códigos o huellas digitales, que les identifican como virus. El trabajo de todas las aplicaciones que se analizan en estas páginas es precisamente buscar estos patrones y compararlos con todos aquellos que tienen almacenados en su lista (por esto la actualización es tan importante y sin ella la aplicación no vale de nada). Cuando los patrones no aparecen incluso después de haber actualizado su lista,entra en juego la heurística por la que el programa antivirus analiza el código de los programas buscando instrucciones, acciones sospechosas o indicios que delaten la presencia de virus en la computadora, de acuerdo a los patrones habituales empleados por los códigos maliciosos. Este tipo de búsquedas de virus aparecen en el momento que surge la necesidad de crear una detección genérica de los virus (detectar un virus sin haberlo analizado antes y sin estar en la base de datos del programa antivirus). Su funcionamiento es sencillo. Primero analiza cada programa sospechoso sin ejecutar las instrucciones, descompilando el código de máquina para deducir qué haría el programa si se ejecutara. En caso de anomalía, el antivirus avisa de que esa aplicación tiene alguna instrucción que hace algo que no es “normal” en ese programa y da un aviso de posible virus.El problema de estas técnicas es lo que se conoce como falsos positivos, es decir el antivirus te avisade un posible fallo o anomalía, que no lo es. Por tanto todo queda a la interpretación que el usuario realice de ese aviso heurístico. Una vez más tu vuelves a ser el auténtico antivirus de tu equipo.