ヒューリスティックベースと動作ベースのウイルススキャンの違いは何ですか？

私に関する限り、ヒューリスティックベースの検出はすべての種類の静的分析の後も静止し、ジャンクコードや一般的ではないAPIの使用などの疑わしいプロパティを見つけるために潜在的なマルウェアが静的にスキャンされますWTHOUTに依存している署名の一致。

動作分析/検出は、特定のレジストリキーの作成、ホストファイルの変更、プロセスの強制終了、コードの解凍などの「一般的でない」アクティビティを識別するために、特定のプログラムの実行方法を調べることに依存しています。

ヒューリスティック検出 はコンピューティングで頻繁に使用されますが、素人は 判断と意思決定で使用されるヒューリスティック を学ぶ方が簡単です。ヒューリスティックは、最初に人間の行動を研究するためにAmos TverskyとDaniel Kahnemanによって使用され、なぜ人間の行動方針が特定の基準に基づいているかを学習します。

簡単に言うと、ヒューリスティックベースとビヘイビアベースのウイルススキャンは同じものです。

予備的なヒューリスティックベースのスキャンは、ファイル/スクリプトの属性/パターンをチェックするため、「動作/アクション」を呼び出して、安全か悪意があるかを判断します。そのため、コードが難読化されている場合、予備のヒューリスティックはそれを逃す可能性があります。そのため、プログラムが実行中に何をするかを観察するために、いくつかのバックグラウンドプロセスが必要です。いくつかの悪い動作を示したら、それを停止します。したがって、これを「動作スキャン/チェック」と呼ぶ人もいます。

実際には、このようなアクティブなファイルの実行は、対応する一連のヒューリスティックに基づいています。ほとんどのマルウェアアナリストは、「静的分析」と「動的分析」という用語を使用して、2つのメカニズムを区別しています。