Analizator heurystyczny (lub prościej, heurystyka) jest technologią wykrywania wirusów, które nie mogą być wykrywane na podstawie sygnatur znajdujących się w antywirusowej bazie danych.Pozwala ona na wykrywanie obiektów, które podejrzane są o infekcję przez nieznane lub nową modyfikację znanych wirusów. Pozwala to na wykrywanie około 92% nowych zagrożeń. Mechanizm ten jest dość skuteczny i bardzo rzadko generuje fałszywe alarmy. Pliki, które zostały znalezione przez analizator heurystycznego są traktowane jako podejrzane.
Analiza zazwyczaj zaczyna się od skanowania kodu na obecność podejrzanych atrybutów (poleceń) charakteryzujących złośliwe oprogramowanie. Metoda ta zwana jest analizą statystyczną. Na przykład, wiele złośliwych programów wyszukuje pliki wykonywalne, otwiera je i modyfikuje. Heurystyka sprawdza kod danej aplikacji i jeśli zawiera podejrzane polecenia zwiększa jej “licznik podejrzliwości”. Jeśli wartość licznika po przeanalizowaniu kodu aplikacji przekroczy predefiniowany próg, wówczas obiekt traktowany jest jako podejrzany.
Zaletą tej metody jest łatwość wykonania i wysoka wydajność. Jednak, wskaźnik wykrywalności nowego złośliwego kodu jest niski, natomiast fałszywych alarmów wysoki.
Dzięki czemu, dzisiejsze programy antywirusowe, wykorzystują analizę statystyczną w połączeniu z analizą dynamiczną. Ideą tego połączenia jest emulacja działania danej aplikacji w bezpiecznym wirtualnym środowisku (które zwane jest również buforem emulacji lub “sandbox”) zanim zostanie ona uruchomiona na komputerze użytkownika. W materiałach marketingowych, producenci używają również innego określenia - “virtual PC emulation”.
Dynamiczny analizator heurystyczny kopiuje część kodu aplikacji do bufora emulacji programu antywirusowego i używa określonych “sztuczek” do emulacji jego działania. Jeśli podczas tego “quasi-działania” wykryte zostanie złośliwe zachowanie, obiekt uznany zostanie za złośliwy jego uruchomienie zostanie zablokowane.
Metoda dynamiczna wymaga znacznie więcej zasobów systemowych niż metoda statyczna, ponieważ analiza oparta na tej metodzie polega na używaniu chronionego wirtualnego środowiska, uruchamiającego na komputerze aplikację z opóźnieniem zależnym od czasu wymaganego do wykonania analizy. W tym samym czasie, metoda dynamiczna oferuje znacznie wyższy współczynnik wykrywalności niż metoda statyczna, która generuje dużo niższy wskaźnik fałszywych alarmów.
W produkcie Kaspersky Internet Security 2010 następujące moduły zawierają Analizator heurystyczny:
W produkcie Kaspersky Anti-Virus 2010 następujące moduły podczas skanowania wykorzystują Analizator heurystyczny:
