Computer Forum voor al uw vragen en problemen.

Register een gratis account om van alle functies op het forum gebruik te kunnen maken.

Problemen met uw computer, of heeft u advies nodig? PC Web Plus helpt u graag verder.

Welkom op PC Web Plus, op dit computerforum kunt u terecht voor gratis hulp bij computerproblemen en allerhande vragen over software, hardware en computerbeveiliging.

Als gast kunt u alleen het forum bekijken en meelezen met de verschillende discussies. U kunt echter geen reacties of commentaar geven op bestaande discussies, of nieuwe onderwerpen op het forum starten met uw vraag of probleem.

Klik op de onderstaande link om geheel gratis een gebruikersaccount op ons forum te registreren. Vanaf dat moment kunt u deelnemen aan de diverse discussies op het forum.

Klik hier om een gratis account te registreren! - of lees onze Welkomstgids door voor meer informatie over het gebruik van het forum.

 
Gebruikersavatar
Maxstar
Administrator
Administrator
Onderwerp Auteur
Berichten: 41271
Lid geworden op: za 27 sep, 2008 10:18:07
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Internet Security
Contacteer:

False Positives & heuristiek

do 23 sep, 2010 15:37:19

False Positives bij anti malware scanners.
Een false positive is een bestand dat onterecht als 'kwaadaardig' word aangezien door aan antivirus of anti-malware programma, dit heeft vooral te maken met het feit dat er gescand word op basis van 'signatures', indien deze niet in de gebruikte AV (antivirus) MW (malware) database zijn opgenomen kan een bepaald bestand aangezien worden als een bedreiging.
Het scannen en analyseren op basis van 'signatures' heeft als voordeel dat niet het volledige bestand geanalyseerd hoeft te worden.
Deze methode van scannen heeft in de basis te maken met 'snelheid', als een antivirus of anti-malware programma elk bestand compleet zou moeten analyseren is het scannen van de gemiddelde computer monnikenwerk en zeer tijdrovend, vandaar dat antivirus of anti-malware programma gebruik maken van een 'virusdefinitie database' met handtekeningen (signatures), waardoor bestanden snel geanalyseerd kunnen worden.
Maar soms gaat dit fout en geeft het antivirus of anti-malware programma de melding dat er een kwaadaardig bestand is gedetecteerd.

Als extra controle kunt u het bestand natuurlijk online laten scannen op b.v. de onderstaande websites.

Belangrijk!!!

De bestanden die u hier (online) laat scannen worden verstuurd naar de bedrijven van de gebruikte virusscanners, dus als u privacy gevoelige bestanden wilt laten scannen kunt u dit beter niet doen.



Omgekeerd is dit natuurlijk ook van toepassing als er bijvoorbeeld een 'kwaadaardig' bestand niet gedetecteerd word door de scanner, in dit geval word er gesproken van een "False Negative".


Heuristisch scannen (heuristiek)
Naast de gewone scan methode om potentiële malware op te sporen en te detecteren, word er ook vaak gebruik gemaakt van een heuristische detectie methode, op deze manier kan potentiële malware opgespoord en gedetecteerd worden voordat deze malware varianten zijn opgenomen in de virusdefinitie database's.
De heuristische detectie werkt op basis van een set richtlijnen wat eigenlijk het makkelijkst is te omschrijven als een detectie op basis van gedrag, een van de voordelen van deze manier van malware detecteren en opsporen is dat nieuwe en gewijzigde 'malware' varianten sneller gedetecteerd worden.

Het scannen op basis van gedrag kunt u als simpel voorbeeld vergelijken met het controleren van uw mail-berichten, indien er hier vreemde afzenders en onderwerpen tussen staan vraagt u zich af of dit wel te vertrouwen is, dit is het menselijk gedrag in dit geval.
Maar deze vorm van detecteren (bekijken) is er ook digitaal, echter is dit moeilijk te omschrijven in duidelijke taal, maar beknopt omschreven werkt dit op basis van de onderstaande methode.

De heuristische detectie methode is onder te verdelen in twee varianten.

  • Passieve heuristiek
Het passief heuristisch analyseren van een mogelijke potentiële bedreiging gebeurt op basis van patronen de voor ingestelde (set richtlijnen) en gebruikte routines, in principe word er door middel van deze methode niets meer gedaan dan alleen analyseren van een eventueel kwaadaardig iets.

  • Actieve heuristiek
Deze methode is eigenlijk onlosmakelijk verbonden met de 'passieve heuristiek', bij deze methode vind er een observatie plaats van de heuristische detectie met als doel de eventueel kwaadaardige activiteiten te identificeren.

Het heuristisch scannen is dan ook een zeer goede methode voor het opsporen van malware, alleen het scannen op basis van zogenaamde 'signatures' is dan ook niet meer afdoende.
Deze methode word niet alleen gebruikt om te detecteren, maar natuurlijk ook om te neutraliseren.
Maar aan het heuristisch scannen zitten soms ook nadelen, zodat er bijvoorbeeld legitieme bestanden als kwaadaardig worden aangezien, zeg maar de 'false positives', wat inhoud dat een bestand onterecht als 'kwaadaardig' zowel gevaarlijk word bestempeld, en in het slechtste geval in quarantaine word geplaatst of geheel verwijderd.
Met vriendelijke groet,

Maxstar


Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast