Generalmente los antivirus suelen actualizarse por medio de bases de datos que guardan las firmas de cada ejecutable de un virus común, esta es una de las formas más comunes de prevenir una infección por virus, sin embargo, existen algunas técnicas de programación que implementan las casas de antivirus para que sus aplicaciones puedan detectar automáticamente aplicaciones maliciosas sin que este tenga la necesidad de conectarse a internet para actualizarse.
Algunas técnicas que posee la heurística de cada antivirus son:
- Desensamblado: generalmente se puede desensamblar el código de un ejecutable para que se pueda visualizar su código fuente en lenguaje ensamblador (el lenguaje que mas se asimila al lenguaje de máquina), esto se puede hacer con programas externos, pero los antivirus incorporan su propio desensamblador para analizar el código fuente como tal, y detectar posibles funciones que puedan resultar dañinas para el ordenador.
- Desempaquetado: muchas veces los programadores empaquetan sus aplicaciones para que así puedan ser más difíciles de «crackear«, es decir encriptan el ejecutable, esta técnica también se aplica a los ejecutables de los virus, ya que si un virus es encriptado, muchas veces el antivirus no lo puede reconocer, entonces las casas de antivirus implementan en su aplicación sus propios desempaquetadores, para que así este los «descomprima», y así pueda analizar mejor el ejecutable.
- Firmas genéricas: algunos virus tiene implementado el «polimorfismo«, técnica de programación que les de la facilidad de replicarse a si mismo, pero cada copia tendrá una firma diferente, es decir, como si su código fuente fuera un programa totalmente diferente al original, entonces, la heurística de los antivirus debe ser capaz de detectar las similitudes de estas firmas, lo que hace que el virus y sus demás replicas se conozcan como miembros de una misma familia.
Los desarrolladores de antivirus, cada día están mas centrados en mejorar la heurística de sus aplicaciones antivirales, ya que es la propia inteligencia del programa, pero esta inteligencia se evalúa de forma que el antivirus sin necesidad de conectarse a internet pueda reconocer la mayor parte de las aplicaciones maliciosas, a estas pruebas se les llama evaluaciones retrospectivas, que son lo que verdaderamente hace que el antivirus sea de verdad bueno.
habiliten el lin ahora