1.

Úvod

2.	Virová databáze

2.1	Detekční informace

3.	Dynamická emulace kódu

4.	Heuristická analýza

4.1	Statická heuristická analýza

4.2	Run-time heuristická analýza

4.3	Dynamická heuristická analýza

5.	Kontrola integrity

5.1	Způsoby napadání viry

6.	Generická detekce

7.

Sandbox

8.

Závěr

9.	Seznam použité literatury

"2. Dynamická emulace kódu
Jak už slovo dynamická v názvu nadpisu napovídá, půjde o způsob proměnlivé diagnostiky. Jedná se o techniku sloužící k detekci složitějších a nejsložitějších typů infiltrací.
Ty mohou být zakódované různými modifikovanými způsoby. Na tomto základě pak není možné takovéto viry rozeznat pomocí statických signatur a nastává čas pro dynamické emulátory kódu. Jde o složité detekční metody, jež nám jednoduše řečeno simulují vykonávání programu procesorem počítače (musí simulovat část funkce procesoru). Výhodou, kterou oproti polymorfním (proměnlivě zakódované statické tělo s proměnlivým dekodérem) a metamorfním (vlastní proměnlivě generovaný kód s proměnlivým dekryptorem nebo bez něj) virům tato technika disponuje, je možnost nechat virus simulovaně (tedy nikoliv skutečně, ale jenom "jako") běžet do doby, než se začne sám projevovat. Například do okamžiku, než se jeho proměnlivá část dekóduje do statické podoby, kdy je možné provést detekci na základě signatur. Některé antivirové systémy obsahují interprety skriptů, které umožňují detekovat i složitě zakódované skriptové viry.

3. Heuristická analýza
V posledních letech se stala Heuristická anyalýza často skloňovaným pojmem na poli boje s virovou infiltrací. Funkční mechanismus dokáže odhalit nebezpečný vir ještě před tím, než byl vůbec kdy zaznamenán. Dlouhou dobu byla předmětem vášnivých diskusí z důvodu její počáteční nízké rychlosti a velmi častého hlášení, které se spuštělo mylně. Časem však odpůrců heuristické analýzy postupně ubývalo stejně tak, jak vzrůstala nutnost bránit se proti novým formám virů. Vývojem se heuristická analýza natolik zdokonalila, že dnešní otázka rychlosti zůstává naprosto bezpředmětná a mylná hlášení byla téměř odstraněna.

3.1 Statická heuristická analýza
Dalo by se říct, že je to jistá forma doplňku dynamické heuristiky. Jejím smyslem je provést tzv. prvotní ohledání. Statická heuristika v sobě neobsahuje databázi prvků nebezpečných signatur, ale pouze jisté obecné shluky podezřelých aktivit, na základě kterých rozpoznává doposud neznámé modifikace či formy virů. Používá se ještě před spuštěním dynamické heuristické analýzy a stanoví přesnější specifika dalšího postupu.

3.2 Run-time heuristická analýza
Jinými slovy se jedná o heuristickou analýzu běžící v reálném čase. Tato metoda se zabývá analýzou obsahu, který je vyhodnocován v průběhu kontroly diskového pole či konkrétních souborů. Ještě než dojde ke spuštění statické nebo dynamické heuristiky, se jádro zeptá, jestli podobný soubor již nebyl v uplynulém časovém rozmezí run-time heuristikou detekován. Jestli-že ano, pak ještě záleží na určitém množství stanovených výskytů, které když přesáhne onu stanovenou mez, začnou se soubory automaticky detekovat jako podezřelé. Tato technika se nedoporučuje provozovat pro kontrulu celých diskových polí z důvodu značného zpomalení celého systému, ovšem na poštovních serverech dokáže včasně zastavit velkou virovou epidemii naprosto neznámého původu."

Univerzita Tomáše Bati ve Zlíně, fakulta aplikované informatiky.