Программа, эмулированная на виртуальном компьютере, не запускается напрямую в любом смысле этого слова. Эмулятор программного кода получает команды программы и в целях безопасности имитирует их таким образом, что непосредственное их выполнение происходит на "виртуальном компьютере". Поэтому команды никак не могут повлиять на содержимое реальной памяти, используемой другими программами и AVG в том числе.
Благодаря эмулятору командного кода проблемы комплексного кодирования или непрозрачного кода становятся несущественными. Когда программа производит какие-либо значимые действия на реальном компьютере, эмулятор также выполняет данные действия... С небольшой долей злорадства давайте на минутку представим, как создатели вирусов, месяцами усиленно трудившиеся над созданием очередного "самого совершенного генератора полиморфных циклов декодирования" молчат не в силах вымолвить ни слова — AVG без проблем справляется с данной частью кода и представляет для последующей проверки дешифрованную, устойчивую часть вируса.
Процесс эмуляции кода сопровождается сбором информации о содержании эмулируемого кода. Производя оценку данной информации, AVG пытается определить, является ли активность данной программы типичной для безвредных программ или наоборот — типичной для компьютерного вируса.
3.3. Преимущества и недостатки эвристического анализа.
Главное преимущество эвристического анализа — это способность обнаруживать новые вирусы еще до того Grisoft узнает о них и обновит AVG для их обнаружения. Другой способ обнаружить новые вирусы — это проверка целостности. Однако данный метод, основанный на мониторинге и оценке изменений программ и системных областей компьютера, может обнаружить вирус лишь после его проникновения в защищенный компьютер, но часто это уже слишком поздно. Только эвристический анализ способен обнаружить новый вирус еще до того, как будет нанесен какой-либо вред.
Но в нашем мире за все нужно платить, и эвристический анализ не исключение. Основной недостаток эвристического анализа — частое возникновение ложных тревог, которые происходят, если при эвристическом анализе программа, не содержащая никаких вирусов, помечается как подозрительная. Какой бы маленькой ни была вероятность такого события, его нельзя игнорировать. Тем не менее, мы верим, что данный недостаток компенсируется преимуществами эвристического анализа.
3.4. Ограничения.
Чтобы понять принципы эвристического анализа, необходимо иметь представление о его ограничениях. В первую очередь, эвристический анализ не способен обнаружить вирусы, написанные на языках программирования высокого уровня (C, Pascal, Basic, и т. п.). Загрузочный код и библиотеки, используемые данными языками, обширны, и даже при отсутствии технических препятствий, осложняющих глубокую эмуляцию таких программ, на обработку одного файла может потребоваться несколько часов, что является неприемлемым. Другим ограничением эвристического анализа является возможность обрабатывать лишь особые типы подверженных заражению объектов. Для выполнения эвристического анализа требуется подробная информация о проверяемом объекте. В отношении программ это сведения по всем микропроцессорным инструкциям (включая неописанные в инструкции и официально неподтвержденные производителем), сведения о способе загрузки программы в память при запуске, описание служб, предусмотренных операционной системой (включая недокументированные службы или службы, предназначенные для внутренних потребностей разработчиков операционной системы) и информацию о точном содержании некоторых зарезервированных областей памяти компьютера, используемых BIOS или операционной системой. При появлении нового типа объекта, подверженного заражению, вся приведенная выше информация должна быть собрана, а эвристический анализ должен быть специально модифицирован для анализа такого объекта. В худшем случае (например, при заражении макровирусами), должен быть описан совершенно новый вид анализа.
Следует обратить внимание, что эвристический анализ не позволяет обнаружить 100% всех известных или неизвестных вирусов. Это дополнительный метод, который позволяет значительно улучшить шансы обнаружения нового вируса. Ни больше, ни меньше. Согласно результатам тестов эвристический анализ позволяет обнаружить более 70% существующих файловых вирусов и вирусов сектора начальной загрузки при незначительном количестве сигналов ложной тревоги.
Заключение.
Не так давно в нашем лексиконе появилось слово "эвристика". В наше время оно нашло широкое распространение. "Эвристическое мышление", "Эвристические приемы и методы", "эвристическое свойство" и т.д. Произнося эти слова, мы не всегда задумываемся над тем, какой смысл вкладываем в понятие "эвристика", но в нашем сознании оно всегда связано с творческой деятельностью.
В научной литературе это понятие не имеет единого толкования. В некоторых работах об интенсификации научно-технического творчества эвристика отождествляется с:
психологией научного творчества: "Психология научного творчества - эвристика изучает, как решаются научные задачи, требующие, кроме знаний и умений, также и сообразительности, догадки".
По мнению психологов, эвристика - это отрасль знания, "изучающая формирование новых действий в необычной ситуации", она может стать наукой "в том случае, если эвристические процессы, приводящие к этим новым действиям, найдут наконец свое математическое описание".
Несмотря на большое количество научных трудов, посвященных вопросам эвристики, они, как правило, касаются ее частных проблем и не дают четкого представления ни об объекте, ни о предмете эвристики, ни о ее статусе среди других наук.
Попытка обобщения многочисленных концепций и формулирование на этой основе определения статуса и предмета эвристики изложены в работах Буша Г.Я и Буша К.
Предметом эвристики является "выявление, обработка и упорядочение закономерностей, механизмов и методологических средств антиципации (предвосхищения) и конструирования нового знания и целеустремленных способов деятельности и общения, создаваемых на основе обобщения прежнего опыта и опережающего отражения моделей будущего с целью более полного удовлетворения потребностей людей".
Оценивая попытку авторов, можно сказать, что с точки зрения обобщения частных подходов к эвристике она удалась, но вместе с тем, очевидно, стремление к детерминации общности помешало авторам в данном определении выделить специфические черты именно эвристики, и в результате под это определение можно подвести и другие общенаучные дисциплины, например такие, как прогнозирование или системный подход.
Множество толкований эвристики говорит о разном содержании, которое вкладывают авторы различных концепций в данное понятие. При этом общим и бесспорным является то, что во всех случаях эвристика неразрывно связывается с творческой деятельностью, с творчеством.
Общими звеньями, связывающими в единую цепь понятия "эвристика" и "творчество", являются представления о нетривиальности, неординарности, новизне и уникальности. Применительно к понятию "творчество" такими качествами характеризуется результат творческой деятельности, применительно к эвристике - методы и средства получения этого результата.
Рассмотренные нами эвристические приемы послужили основой для создания эвристических, интуитивно-ассоциативных методов активизации творческого мышления. Такие методы можно рассматривать как совокупность предписаний по выполнению эвристических приемов, с точки зрения же их использования для развития задатков, а также способностей творческой личности - как готовые упражнения для тренировок.
Список использованной литературы.
1. Базаров Т.Ю., Ермина Б.Л., Управление персоналом, М., 2001 г.
2. Гетлянова А.Д., Учебник по логике, М., 2000 г.
3. Джонс Дж. К., Методы проектирования, М., 2000 г.
4. Ладилова М.В., Курс лекций, 2002 г.
5. Немов Р.С., Учебник по психологии 1 ч, М., 2000 г.
6. Стаффорд Б., Мозг фирмы, М., 2005 г.
7. Столяров А.М., Эвристические приемы и метод активизации творческого решения, М., 2001 г.