Algoritimo de busca VIRAL [heruísticas]

[Kratos]

Algoritimo de busca viral


Pessoal alguém ja parou para pensar como seria o algoritimo que encontra virus em um arquivo ?

Existem dois médotos a busca atravéz de assinaturas e atravéz de heruísticas.

A busca por assinaturas funciona assim :
Todo anti virus possui um banco de dados com assinaturas de virus, que se trata de um trecho do código do próprio virus, uma cadeia strings de tamanho determinado retirado do código do virus.
O anti virus quando vai escanear um arquivo compara o código do arquivo com todos os registros de virus que possui, ou seja se um anti virus possui 200.000 registros de virus ele vai comparar o codigo do arquivo com 200.000 amostras de strings dos virus.

Alguém tem idéia como seria o algoritimo de comparação ?
Se for feita string por string isso demoraria muito tempo !

O método por heruísticas foi desenvolvido a pouco tempo, trata-se de um avançado algoritimo que monitora eventos suspeitos relacionados a criação de arquivos, acesso a interrupções de memória e dispositivos.
Cada anti virus tem um sistema heruístico diferente, se nao for bem implementado pode gerar muitos falsos positivos ( falsos alertas de virus ).

O método heruístico se bem implementado é uma arma muito poderosa na busca de virus desconhecidos e consome menos recursos do sistema, tem alguns AVs no mercado que já estão se destacando pelo desenvolvimento de heruísticas muito eficientes.

Imaginem o Banco de Dados do kaspersky e a  heurística do NOD32 !!!

Quem quiser complementar as informaçoes.....   vlw!!

[Kratos]

[anakim]

Voce sitou :

pelo q eu tenho conhecimento sobre issu, axu q os AV's não procuram String por String e sim pontos caracteristicos de um virus..

Mas Parece nao ter lido:

Todo anti virus possui um banco de dados com assinaturas de virus, que se trata de um trecho do código do próprio virus, uma cadeia strings de tamanho determinado retirado do código do virus.

vlw!