Analiza heurystyczna - Analiza heurystyczna. Uwaga: wirusy komputerowe Czym jest heurystyczna kontrola systemu
Program antywirusowy wyszukuje wirusy i szkodliwe obiekty, porównując badany program z bazą danych opisów wirusów. Jeśli zostanie znalezione dopasowanie, program antywirusowy może leczyć znalezionego wirusa, a zasady i metody leczenia są zwykle przechowywane w tej samej bazie danych.
Jednak ta baza danych staje się słabym punktem programu antywirusowego - może wykrywać tylko wirusy opisane w swojej bazie danych. Problem ten może częściowo wyeliminować analizator heurystyczny - specjalny podsystem antywirusowy, który próbuje wykryć nowe typy wirusów, które nie są opisane w bazie danych. Oprócz wirusów analizator heurystyczny AVZ próbuje wykryć oprogramowanie szpiegujące, porywacza i trojany.
Działanie analizatora heurystycznego opiera się na wyszukiwaniu typowych wirusów i programy szpiegujące elementy (fragmenty kod programu, określone klucze rejestru, pliki i procesy). Ponadto analizator heurystyczny podejmuje próbę oceny stopnia podobieństwa badanego obiektu do znanych wirusów.
Aby wyszukać spyware, RootKit i Hijacker, najskuteczniejszą analizą heurystyczną nie są pojedyncze pliki na dysku, ale cały system jako całość. Analizuje całość danych w rejestrze, pliki na dysku, procesy i biblioteki w pamięci, nasłuchuje portów TCP i UDP, aktywne usługi i załadowane sterowniki.
Cechą analizy heurystycznej jest dość wysoki odsetek błędów - heurystyka może zgłaszać wykrycie podejrzanych obiektów, ale informacja ta musi zostać zweryfikowana przez wirusologów. W wyniku sprawdzenia obiekt jest rozpoznawany jako złośliwy i umieszczany w bazach danych lub rejestrowany jest fałszywy alarm i wprowadzana jest poprawka do algorytmów analizatora heurystycznego.
Większość programów antywirusowych (w tym AVZ) ma możliwość dostosowania czułości analizatora heurystycznego. W tym przypadku zawsze pojawia się sprzeczność – im wyższa czułość, tym większe prawdopodobieństwo wykrycia przez heurystykę nieznanego szkodliwego obiektu. Ale wraz ze wzrostem czułości wzrasta prawdopodobieństwo fałszywych trafień, więc trzeba szukać jakiegoś „złotego środka”.
Analizator heurystyczny posiada kilka poziomów czułości oraz dwa tryby specjalne:
blokowanie analizatora heurystycznego. W takim przypadku analizator jest całkowicie wyłączony z pracy. W AVZ oprócz regulacji poziomu czułości analizatora heurystycznego istnieje możliwość włączania i wyłączania analizy heurystycznej systemu;
tryb „paranoiczny” - w tym trybie włączana jest maksymalna możliwa czułość i wyświetlane są ostrzeżenia przy najmniejszym podejrzeniu. Tryb ten jest oczywiście niedopuszczalny ze względu na bardzo dużą liczbę fałszywych alarmów, ale czasami jest przydatny.
Główne komunikaty analizatora heurystycznego AVZ przedstawiono na poniższej liście:
"Nazwa pliku >>> podejrzana nazwa_wirusa (krótka informacja o obiekcie)„Podobny komunikat jest wysyłany, gdy wykryty zostanie obiekt, który według AVZ jest podobny do znanego złośliwego obiektu. Dane w nawiasach pozwalają programiście znaleźć wpis w antywirusowej bazie danych, który doprowadził do wystawienia tego komunikatu;
"Nazwa pliku >>> Plik PE z niestandardowym rozszerzeniem"- oznacza to, że został wykryty plik programu, ale zamiast typowego EXE rozszerzenia, DLL, SYS ma inne, niestandardowe rozszerzenie. Nie jest to niebezpieczne, ale wiele wirusów maskuje swoje pliki PE, nadając im rozszerzenia PIF, COM. Ten komunikat jest wyświetlany na dowolnym poziomie heurystycznym dla plików PE z rozszerzeniami PIF, COM, dla pozostałych - tylko na maksymalnym poziomie heurystycznym;
"Nazwa pliku >>> W nazwie pliku jest więcej niż 5 spacji" - dużo spacji w nazwie pliku - zdarza się to rzadko, ale wiele wirusów używa spacji do maskowania prawdziwego rozszerzenia, tworząc pliki o nazwach takich jak "photo.jpeg .exe";
"Nazwa pliku >>> Wykryto maskowanie rozszerzenia" - podobny do poprzedniego komunikatu, ale wydawany, gdy w nazwie znajdzie się więcej niż 15 spacji;
"Nazwa pliku >>> plik nie ma widocznej nazwy" - wydawane dla plików, które nie mają nazwy (tzn. nazwa pliku wygląda jak ".exe" lub ".pif");
"Nazwa pliku procesu może współpracować z siecią" - wyświetlana dla procesów korzystających z bibliotek typu wininet.dll, rasapi32.dll, ws2_32.dll - czyli bibliotek systemowych zawierających funkcje do pracy z siecią lub kontrolowania procesu wybierania numeru i nawiązywania połączenia. Sprawdzenie to przeprowadzane jest tylko przy maksymalnym poziom heurystyki Fakt korzystania z bibliotek sieciowych nie jest oczywiście oznaką złośliwości programu, ale warto zwrócić uwagę na niezrozumiałe procesy w tym zestawieniu;
Po komunikacie może zostać wyświetlona liczba, która reprezentuje stopień zagrożenia w procentach. Szczególną uwagę należy zwrócić na pliki, dla których nadano poziom istotności większy niż 30.
Artykuł dotyczy Kaspersky Endpoint Security 10 for Windows:
- Service Pack 2 Maintenance Release 4 (wersja 10.3.3.304);
- Service Pack 2 Maintenance Release 3 (wersja 10.3.3.275);
- Service Pack 2 Maintenance Release 2 (wersja 10.3.0.6294);
- Service Pack 2 Maintenance Release 1 (wersja 10.3.0.6294);
- Dodatek Service Pack 2 (wersja 10.3.0.6294).
Co to jest analiza heurystyczna
Analiza heurystyczna to technologia wykrywania zagrożeń, których nie można wykryć przy użyciu aktualnej wersji baz danych firmy Kaspersky Lab. Umożliwia znalezienie plików, które mogą zawierać nieznanego wirusa lub nową modyfikację znanego wirusa.
Analizator heurystyczny to moduł działający w oparciu o technologię analizy heurystycznej.
Analiza statyczna i dynamiczna
Analiza statyczna. Analizator heurystyczny skanuje kod w poszukiwaniu podejrzanych poleceń, takich jak wyszukiwanie i modyfikowanie plików wykonywalnych. W przypadku podejrzanych poleceń lub fragmentów analizator heurystyczny zwiększa „licznik podejrzeń” programu. Jeśli po zeskanowaniu całego kodu aplikacji wartość licznika przekroczy określoną wartość progową, wówczas obiekt zostanie uznany za podejrzany.
Analiza dynamiczna. Analizator heurystyczny emuluje działanie programu w wirtualnej przestrzeni adresowej. Jeśli analizator heurystyczny wykryje podejrzane działania podczas procesu emulacji, obiekt zostanie rozpoznany jako szkodliwy, a jego uruchomienie na komputerze użytkownika zostanie zablokowane.
Kaspersky Endpoint Security 10 for Windows używa analiza statyczna połączona z dynamiką.
Które składniki ochrony korzystają z analizatora heurystycznego
- Ochrona plików. Więcej szczegółów w pomocy.
- Antywirus poczty. Więcej szczegółów w pomocy.
- Ochrona WWW. Więcej szczegółów w pomocy.
- Kontrola aktywności aplikacji. Więcej szczegółów w pomocy.
- Sprawdzanie zadań. Więcej szczegółów w pomocy.
Pełne wsparcie
Wydanie bazowe | Tak |
Wsparcie | Tak |
Wydanie patchy | Tak |
Ostatnia wersja:
Data premiery komercyjnej:
Uwolnienie Ostatnia wersja:
Co oznacza status?
Wydanie bazowe
Wydanie aktualizacji bazy danych niezbędnych do ochrony komputera/serwera/urządzenia mobilnego.
Wsparcie
Udzielanie wsparcia technicznego przez telefon i formularz internetowy.
Wydanie patchy
Wydanie pakietów aktualizacyjnych dla programu (w celu naprawy wykrytych błędów).
Kaspersky Endpoint Security 10 for Windows (dla stacji roboczych i serwerów plików)
- Microsoft Windows Server 2012 R2 Foundation / Essentials / Standard / Datacenter x64.
- Microsoftu serwer Windowsa 2012 Foundation / Essentials / Standard / Datacenter x64.
- Microsoft Small Business Server 2011 Essentials / Standard x64.
- Windows MultiPoint Server 2011 x64.
- Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise / Datacenter x64 SP1.
- Microsoft Windows Server 2008 Standard / Enterprise / Datacenter x64 SP2.
- Microsoft Small Business Server 2008 Standard / Premium x64.
Zobacz artykuł, aby zapoznać się z innymi ograniczeniami obsługi platformy serwerowej.
- VMWare ESXi 6.0.0 3620759.
- Microsoft Hyper-V 3.0.
- CitrixXenServer 7.0.
- Citrix XenDesktop 7.13.
artykuł.
- Microsoft Windows Server 2008 R2 Standard / Enterprise x64 SP1.
- Microsoft Windows Server 2008 Standard / Enterprise x64 SP2.
Ograniczenia obsługi platformy serwerowej
- System plików ReFS jest obsługiwany z ograniczeniami.
- Konfiguracje Server Core i Cluster Mode nie są obsługiwane.
- Szyfrowanie dysku (Kaspersky FDE) i szyfrowanie plików nie są obsługiwane na platformach serwerowych.
Obsługiwane platformy wirtualne
- VMWare ESXi 6.0.0 3620759.
- Microsoft Hyper-V 3.0.
- CitrixXenServer 7.0.
- Citrix XenDesktop 7.13.
- Usługi udostępniania Citrix 7.13.
Funkcje i ograniczenia obsługi platformy wirtualnej
- Szyfrowanie całego dysku (FDE) włączone wirtualne maszyny Funkcja Hyper-V nie jest obsługiwana.
- Włącz szyfrowanie całego dysku (FDE) oraz szyfrowanie plików i folderów (FLE). platformy wirtualne ach Citrix nie jest obsługiwany.
- Aby zapewnić kompatybilność Kaspersky Endpoint Security for Windows z Citrix PVS, musisz zainstalować z włączoną opcją Zapewnij kompatybilność z Citrix PVS. Możesz włączyć tę opcję w kreatorze instalacji lub za pomocą opcji wiersz poleceń/pZGODNOŚĆ Z CITRIX=1. W przypadku instalacji zdalnej należy zmodyfikować plik KUD, dodając do niego opcję /pCITRIXCOMPATIBILITY=1.
Zobacz artykuł, aby zapoznać się z innymi funkcjami obsługi platformy wirtualnej.
Wersja 10.2.6.3733: Wymagania dotyczące sprzętu i oprogramowania
Ogólne wymagania
- 1 GB pamięci RAM.
system operacyjny
- Microsoft Windows 10 Pro / Enterprise x86 / x64.
Microsoft Windows 8.1 Pro / Enterprise x86 / x64. - Microsoft Windows 8 Pro / Enterprise x86 / x64.
- Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / x64 SP1 i nowszy.
- Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / x64.
- Microsoft Windows Server 2016 Standard / Essentials x64.
- Microsoft Small Business Server 2011 Standard x64.
Obsługiwane platformy wirtualne
- VMWare ESXi 5.5.0 2718055 Aktualizacja 2.
- CitrixXenServer 6.5.
- Citrix XenDesktop 7.8.
Ograniczenia obsługi platformy serwerowej
- System plików ReFS jest obsługiwany z ograniczeniami.
- Konfiguracje Server Core i Cluster Mode nie są obsługiwane.
- Szyfrowanie dysku (Kaspersky FDE) i szyfrowanie plików nie są obsługiwane na platformach serwerowych.
Obsługiwane platformy wirtualne
- CitrixXenServer 6.2.
- Citrix XenDesktop 7.5.
Funkcje i ograniczenia obsługi platformy wirtualnej
Wersja 10.2.5.3201: Wymagania sprzętowe i programowe
Do normalnego działania Kaspersky Endpoint Security 10 for komputer z windowsem musi spełniać następujące wymagania:
Ogólne wymagania
- Procesor Intel Pentium 1 GHz lub szybszy.
- 1 GB pamięci RAM.
- 2 GB wolna przestrzeń na dysku twardym.
Wymagania programowe i sprzętowe dla stacji roboczych
- Microsoft Windows 10 Pro x86 / x64.
- Microsoft Windows 10 Enterprise x86 / x64.
- Microsoftu Windows Vista x86 / x64 SP2 i nowsze.
- Microsoft Windows XP Professional x86 SP3 lub nowszy.
- Microsoft Windows Server 2019 x64.
- Microsoft Windows Server 2016 Standard / Essentials x64.
- Microsoft Windows Server 2012 R2 Foundation / Standard / Essentials x64.
- Microsoft Windows Server 2012 Foundation / Standard / Essentials x64.
- Microsoft Small Business Server 2011 Standard x64.
- Microsoft Windows MultiPoint Server 2011 x64.
- Microsoft Small Business Server 2008 Standard / Premium x64.
- Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise x64 SP1 i nowszy.
- Microsoft Windows Server 2008 Foundation / Standard / Enterprise x86 / x64 SP2 i nowszy.
- Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 lub nowszy.
- Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2.
- Microsoftu
- Microsoftu
- Microsoft Windows Embedded Standard 7* x86 / x64 SP1.
- Microsoft Windows Embedded POSReady 7* x86 / x64.
Funkcje i ograniczenia obsługi wbudowanych systemów operacyjnych
- Operacyjny systemy Microsoftu Windows Embedded 8.0 Standard x64 (Standard 8) lub Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) są zalecane dla Baran od 2 GB.
- Szyfrowanie plików (FLE) i dyski twarde(FDE) nie jest obsługiwane we wbudowanych systemach operacyjnych.
Obsługiwane platformy wirtualne
- VMWare ESXi 5.5.0 2718055 Aktualizacja 2.
- VMWare ESXi 5.5.0 3568722 Aktualizacja 3b.
- VMWare ESXi 5.5.0 2718055 Aktualizacja 2.
- Microsoft Hyper-V 3.0 (Windows Server 2012 R2).
- CitrixXenServer 6.5.
- Citrix XenDesktop 7.8.
- Citrix Provisioning Server 7.8.
Ograniczenia obsługi platformy serwerowej
- System plików ReFS jest obsługiwany z ograniczeniami.
- Konfiguracje Server Core i Cluster Mode nie są obsługiwane.
- Szyfrowanie dysku (Kaspersky FDE) i szyfrowanie plików nie są obsługiwane na platformach serwerowych.
Ograniczenia obsługi systemu Microsoft Windows 8.1
- Nieobsługiwany Aktualizacja systemu Windows 8 do 8,1.
- Ograniczona obsługa ReFS dla technologii iSwift / iChecker.
- Funkcja ukrywania Kaspersky Endpoint Security 10 w menu startowym nie jest obsługiwana.
Obsługiwane platformy wirtualne
- VMWare ESXi 5.5.0 1623387 Aktualizacja 1.
- VMWare ESXi 5.5.0 2068190 Aktualizacja 2.
- Microsoft Hyper-V 3.0 (Windows Server 2012).
- CitrixXenServer 6.2.
- Citrix XenDesktop 7.5.
- Citrix Provisioning Server 7.1.
Funkcje i ograniczenia obsługi platformy wirtualnej
- Aby zachować kompatybilność Kaspersky Endpoint Security z Citrix PVS, musisz zainstalować z włączoną opcją „Zapewnij kompatybilność z Citrix PVS”. Opcję można włączyć w kreatorze instalacji lub za pomocą opcji wiersza polecenia /pCITRIXCOMPATIBILITY=1. W przypadku instalacji zdalnej zmodyfikuj plik kud, tak aby zawierał opcję /pCITRIXCOMPATIBILITY=1.
- Instalacja na komputerze nie jest obsługiwana. Zarządzanie Microsoftem Windows XP działający na Citrix XenDesktop.
- Obrazowanie przy użyciu urządzenia docelowego z komputerów z systemem Microsoft Windows XP i Microsoft Windows Vista nie jest obsługiwane. zainstalowany przez Kaspersky'ego Endpoint Security 10 z dodatkiem Service Pack 1.
Wersja 10.2.4.674: Wymagania dotyczące sprzętu i oprogramowania
Do normalnego działania Kaspersky Endpoint Security 10 for Windows komputer musi spełniać następujące wymagania:
Ogólne wymagania
- Procesor Intel Pentium 1 GHz lub szybszy.
- 2 GB wolnego miejsca na dysku twardym.
- Microsoftu Internet Explorera 7.0 i nowsze.
- Microsoftu instalator Windows 3.0 i nowsze.
- Połączenie z Internetem w celu aktywacji programu, aktualizacji baz danych i modułów programu.
Wymagania dotyczące oprogramowania i sprzętu
- Microsoft Windows 10 TH2 Wersja profesjonalna 1511 x86 / x64.
- Microsoft Windows 10 TH2 Enterprise wersja 1511 x86 / x64.
- Microsoft Windows 8.1 Pro x86 / x64.
- Microsoft Windows 8.1 Enterprise x86 / x64.
- Microsoft Windows 8 Pro x86 / x64.
- Microsoft Windows 8 Enterprise x86 / x64.
- Microsoft Windows 7 Professional x86 / x64 SP1 i nowszy.
- Microsoft Windows 7 Enterprise / Ultimate x86 / x64 SP1 i nowszy.
- Microsoft Windows 7 Professional x86/x64.
- Microsoft Windows 7 Enterprise / Ultimate x86 / x64.
- Microsoft Windows Vista x86 / x64 SP2 i nowszy.
- Microsoft Windows XP Professional x86 SP3 lub nowszy.
- Microsoft Windows Server 2012 R2 Standard / Essentials / Enterprise x64.
- Microsoft Windows Server 2012 Foundation / Standard / Essentials x64.
- Microsoft Small Business Server 2011 Standard / Essentials x64.
- Microsoft Windows MultiPoint Server 2011 x64.
- Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation x64 SP1 i nowszy.
- Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation x64.
- Microsoft Windows Server 2008 Standard / Enterprise x86 / x64 SP2 i nowszy.
- Microsoft Small Business Server 2008 Standard / Premium x64.
- Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 lub nowszy.
- Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2 lub nowszy.
- Microsoft Windows Embedded 8.0 Standard x64.
- Microsoft Windows Embedded 8.1 Industry Pro x64.
- Microsoft Windows Embedded Standard 7 x86 / x64 SP1.
- Microsoft Windows Embedded POSReady 7 x86 / x64.
Funkcje i ograniczenia obsługi wbudowanych systemów operacyjnych
- Systemy operacyjne Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) lub Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) są zalecane do użytku na urządzeniach z co najmniej 2 GB pamięci RAM.
- Szyfrowanie plików (FLE) i szyfrowanie dysku twardego (FDE) nie są obsługiwane we wbudowanych systemach operacyjnych.
Ograniczenia obsługi platformy serwerowej
- System plików ReFS jest obsługiwany z ograniczeniami.
- Konfiguracje Server Core i Cluster Mode nie są obsługiwane.
- Szyfrowanie dysku (Kaspersky FDE) i szyfrowanie plików nie są obsługiwane na platformach serwerowych.
Ograniczenia obsługi systemu Microsoft Windows 8.1
- Aktualizacja systemu Windows 8 do wersji 8.1 nie jest obsługiwana.
- Ograniczona obsługa ReFS dla technologii iSwift / iChecker.
- Funkcja ukrywania Kaspersky Endpoint Security 10 w menu startowym nie jest obsługiwana.
Obsługiwane platformy wirtualne
- VMWare ESXi 5.5.0 1623387 Aktualizacja 1.
- VMWare ESXi 5.5.0 2068190 Aktualizacja 2.
- Microsoft Hyper-V 3.0 (Windows Server 2012).
- CitrixXenServer 6.2.
- Citrix XenDesktop 7.5.
- Citrix Provisioning Server 7.1.
Funkcje i ograniczenia obsługi platformy wirtualnej
- Aby zachować kompatybilność Kaspersky Endpoint Security z Citrix PVS, musisz zainstalować z włączoną opcją „Zapewnij kompatybilność z Citrix PVS”. Opcję można włączyć w kreatorze instalacji lub za pomocą opcji wiersza polecenia /pCITRIXCOMPATIBILITY=1. W przypadku instalacji zdalnej zmodyfikuj plik kud, tak aby zawierał opcję /pCITRIXCOMPATIBILITY=1.
- Instalacja na komputerze z systemem Microsoft Windows XP działającym na Citrix XenDesktop nie jest obsługiwana.
- Obrazowanie przy użyciu Urządzenia docelowego z komputerów z systemem Microsoft Windows XP i Microsoft Windows Vista z zainstalowanym Kaspersky Endpoint Security 10 Service Pack 1 nie jest obsługiwane.
Wersja 10.2.2.10535MR1: Wymagania dotyczące sprzętu i oprogramowania
Do normalnego działania Kaspersky Endpoint Security 10 for Windows komputer musi spełniać następujące wymagania:
Ogólne wymagania
- Procesor Intel Pentium 1 GHz lub szybszy.
- 1 GB wolnej pamięci RAM.
- 2 GB wolnego miejsca na dysku twardym.
- Microsoft Internet Explorer 7.0 i nowsze.
- Instalator Microsoft Windows 3.0 i nowszy.
- Połączenie z Internetem w celu aktywacji programu, aktualizacji baz danych i modułów programu.
system operacyjny
- Microsoft Windows 8.1 Pro x86 / x64.
- Microsoft Windows 8.1 Enterprise x86 / x64.
- Microsoft Windows 8 Pro x86 / x64.
- Microsoft Windows 8 Enterprise x86 / x64.
- Microsoft Windows 7 Professional x86 / x64 SP1 i nowszy.
- Microsoft Windows 7 Enterprise / Ultimate x86 / x64 SP1 i nowszy.
- Microsoft Windows 7 Professional x86/x64.
- Microsoft Windows 7 Enterprise / Ultimate x86 / x64.
- Microsoft Windows Vista x86 / x64 SP2 i nowszy.
- Microsoft Small Business Server 2011 Standard x64.
- Microsoft Windows Server 2012 R2 Standard x64.
- Microsoft Windows Server 2012 Foundation / Standard x64.
- Windows Embedded 8.0 Standard x64.
- Windows Embedded 8.1 Industry Pro x64.
Funkcje i ograniczenia obsługi wbudowanych systemów operacyjnych
- Systemy operacyjne Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) lub Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) są zalecane do użytku na urządzeniach z co najmniej 2 GB pamięci RAM.
- Szyfrowanie plików (FLE) i szyfrowanie dysku twardego (FDE) nie są obsługiwane we wbudowanych systemach operacyjnych.
Ograniczenia obsługi platformy serwerowej
- System plików ReFS jest obsługiwany z ograniczeniami.
- Konfiguracje Server Core i Cluster Mode nie są obsługiwane.
Ograniczenia obsługi systemu Microsoft Windows 8.1
- Aktualizacja systemu Windows 8 do wersji 8.1 nie jest obsługiwana.
- Ograniczona obsługa ReFS dla technologii iSwift / iChecker.
- Funkcja ukrywania Kaspersky Endpoint Security 10 w menu startowym nie jest obsługiwana.
Obsługiwane platformy wirtualne
- VMWare ESXi 5.5.0 1623387 Aktualizacja 1.
- VMWare ESXi 5.5.0 2068190 Aktualizacja 2.
- Microsoft Hyper-V 3.0 (Windows Server 2012).
- CitrixXenServer 6.2.
- Citrix XenDesktop 7.5.
- Citrix Provisioning Server 7.1.
Funkcje i ograniczenia obsługi platformy wirtualnej
- Aby zachować kompatybilność Kaspersky Endpoint Security z Citrix PVS, musisz zainstalować z włączoną opcją „Zapewnij kompatybilność z Citrix PVS”. Opcję można włączyć w kreatorze instalacji lub za pomocą opcji wiersza polecenia /pCITRIXCOMPATIBILITY=1. W przypadku instalacji zdalnej zmodyfikuj plik kud, tak aby zawierał opcję /pCITRIXCOMPATIBILITY=1.
- Instalacja na komputerze z systemem Microsoft Windows XP działającym na Citrix XenDesktop nie jest obsługiwana.
- Obrazowanie przy użyciu Urządzenia docelowego z komputerów z systemem Microsoft Windows XP i Microsoft Windows Vista z zainstalowanym Kaspersky Endpoint Security 10 Service Pack 1 nie jest obsługiwane.
Wersja 10.2.2.10535: Wymagania dotyczące sprzętu i oprogramowania
Do normalnego działania Kaspersky Endpoint Security 10 for Windows komputer musi spełniać następujące wymagania:
Ogólne wymagania
- Procesor Intel Pentium 1 GHz lub szybszy.
- 1 GB wolnej pamięci RAM.
- 2 GB wolnego miejsca na dysku twardym.
- Microsoft Internet Explorer 7.0 i nowsze.
- Instalator Microsoft Windows 3.0 i nowszy.
- Połączenie z Internetem w celu aktywacji programu, aktualizacji baz danych i modułów programu.
system operacyjny
- Microsoft Windows 8.1 Update Pro x86 / x64.
- Aktualizacja Microsoft Windows 8.1 Enterprise x86 / x64.
- Microsoft Windows 8.1 Pro x86 / x64.
- Microsoft Windows 8.1 Enterprise x86 / x64.
- Microsoft Windows 8 Pro x86 / x64.
- Microsoft Windows 8 Enterprise x86 / x64.
- Microsoft Windows 7 Professional x86 / x64 SP1 i nowszy.
- Microsoft Windows 7 Enterprise / Ultimate x86 / x64 SP1 i nowszy.
- Microsoft Windows 7 Professional x86/x64.
- Microsoft Windows 7 Enterprise / Ultimate x86 / x64.
- Microsoft Windows Vista x86 / x64 SP2 i nowszy.
- Microsoft Small Business Server 2011 Essentials x64.
- Microsoft Small Business Server 2011 Standard x64.
- Microsoft Small Business Server 2008 Standard x64.
- Microsoft Small Business Server 2008 Premium x64.
- Microsoft Windows Server 2012 R2 Standard x64.
- Microsoft Windows Server 2012 Foundation / Standard x64.
- Microsoft Windows MultiPoint Server 2011 x64.
- Microsoft Windows Server 2008 R2 Standard x64 SP1 i nowszy.
- Microsoft Windows Server 2008 R2 Standard x64.
- Microsoft Windows Server 2008 R2 Enterprise x64 SP1 i nowszy.
- Microsoft Windows Server 2008 R2 Enterprise x64.
- Microsoft Windows Server 2008 R2 Foundation x64 SP1 lub nowszy.
- Microsoft Windows Server 2008 R2 Foundation x64.
- Microsoft Windows Server 2008 Standard x86 / x64 SP2 i nowszy.
- Microsoft Windows Server 2008 Enterprise x86 / x64 SP2 i nowszy.
- Microsoft Windows Server 2003 R2 Standard x86 / x64 SP2 lub nowszy.
- Microsoft Windows Server 2003 R2 Enterprise x86 / x64 SP2 i nowszy.
- Microsoft Windows Server 2003 Standard x86 / x64 SP2.
- Microsoft Windows Server 2003 Enterprise x86 / x64 SP2 lub nowszy.
- Windows Embedded 8.0 Standard x64.
- Windows Embedded 8.1 Industry Pro x64.
- Windows Embedded Standard 7 z SP1 x86 / x64.
- Windows Embedded POSReady 7 x86 / x64.
Funkcje i ograniczenia obsługi wbudowanych systemów operacyjnych
- Systemy operacyjne Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) lub Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) są zalecane do użytku na urządzeniach z co najmniej 2 GB pamięci RAM.
- Szyfrowanie plików (FLE) i szyfrowanie dysku twardego (FDE) nie są obsługiwane we wbudowanych systemach operacyjnych.
Ograniczenia obsługi platformy serwerowej
- System plików ReFS jest obsługiwany z ograniczeniami.
- Konfiguracje Server Core i Cluster Mode nie są obsługiwane.
Ograniczenia obsługi systemu Microsoft Windows 8.1
- Aktualizacja systemu Windows 8 do wersji 8.1 nie jest obsługiwana.
- Ograniczona obsługa ReFS dla technologii iSwift / iChecker.
- Funkcja ukrywania Kaspersky Endpoint Security 10 w menu startowym nie jest obsługiwana.
Obsługiwane platformy wirtualne
- VMWare ESXi 5.5.0 1623387 Aktualizacja 1.
- VMWare ESXi 5.5.0 2068190 Aktualizacja 2.
- Microsoft Hyper-V 3.0 (Windows Server 2012).
- CitrixXenServer 6.2.
- Citrix XenDesktop 7.5.
- Citrix Provisioning Server 7.1.
Funkcje i ograniczenia obsługi platformy wirtualnej
- Aby zachować kompatybilność Kaspersky Endpoint Security z Citrix PVS, musisz zainstalować z włączoną opcją „Zapewnij kompatybilność z Citrix PVS”. Opcję można włączyć w kreatorze instalacji lub za pomocą opcji wiersza polecenia /pCITRIXCOMPATIBILITY=1. W przypadku instalacji zdalnej zmodyfikuj plik kud, tak aby zawierał opcję /pCITRIXCOMPATIBILITY=1.
- Instalacja na komputerze z systemem Microsoft Windows XP działającym na Citrix XenDesktop nie jest obsługiwana.
- Obrazowanie przy użyciu Urządzenia docelowego z komputerów z systemem Microsoft Windows XP i Microsoft Windows Vista z zainstalowanym Kaspersky Endpoint Security 10 Service Pack 1 nie jest obsługiwane.
Programy antywirusowe to programy, których głównym zadaniem jest ochrona przed wirusami, a dokładniej przed złośliwym oprogramowaniem.
Teoretycznie metody i zasady ochrony nie mają szczególnego znaczenia, najważniejsze jest to, aby miały na celu zwalczanie złośliwego oprogramowania. Ale w praktyce sytuacja jest nieco inna: prawie każdy program antywirusowy łączy w różnych proporcjach wszystkie technologie i metody ochrony przed wirusami, które zostały stworzone do tej pory.
Spośród wszystkich metod ochrony antywirusowej można wyróżnić dwie główne grupy:
- Metody podpisu- dokładne metody wykrywania wirusów oparte na porównaniu plików ze znanymi próbkami wirusów
- Metody heurystyczne- przybliżone metody wykrywania, które pozwalają z pewnym prawdopodobieństwem założyć, że plik jest zainfekowany
analiza podpisu
Podpis słowny jest w tym przypadku kalką kreślarską dla podpisu angielskiego, co oznacza „podpis” lub w sensie przenośnym „charakterystyczną cechę, która coś identyfikuje”. Właściwie to mówi wszystko. analiza podpisu polega na identyfikowaniu charakterystycznych cech identyfikujących każdego wirusa i wyszukiwaniu wirusów poprzez porównywanie plików ze zidentyfikowanymi cechami.
Podpis wirusa będą uważane za zestaw funkcji, które pozwalają jednoznacznie zidentyfikować obecność wirusa w pliku (w tym przypadki, w których cały plik jest wirusem). Razem sygnatury znanych wirusów tworzą antywirusową bazę danych.
Zadanie wyodrębniania sygnatur z reguły rozwiązują ludzie - eksperci w dziedzinie wirusologii komputerowej, którzy są w stanie wyodrębnić kod wirusa z kodu programu i sformułować jego charakterystyczne cechy w formie najwygodniejszej do wyszukiwania. Z reguły, ponieważ w najprostszych przypadkach można użyć specjalnych automatycznych narzędzi do ekstrakcji podpisów. Na przykład w przypadku prostych trojanów lub robaków, które nie infekują innych programów, ale są całkowicie szkodliwymi programami.
Prawie każda firma antywirusowa ma własną grupę ekspertów, którzy analizują nowe wirusy i aktualizują antywirusową bazę danych o nowe sygnatury. Z tego powodu antywirusowe bazy danych w różnych programach antywirusowych różnią się. Niemniej jednak istnieje porozumienie między firmami antywirusowymi w sprawie wymiany próbek wirusów, co oznacza, że prędzej czy później sygnatura nowego wirusa trafia do antywirusowych baz danych prawie wszystkich programów antywirusowych. Najlepszym antywirusem będzie ten, dla którego sygnatura nowego wirusa została opublikowana przed kimkolwiek innym.
Jednym z powszechnych błędnych przekonań dotyczących sygnatur jest to, że każda sygnatura odpowiada dokładnie jednemu wirusowi lub złośliwemu oprogramowaniu. W rezultacie antywirusowa baza danych z dużą liczbą sygnatur pozwala wykryć więcej wirusów. Właściwie tak nie jest. Bardzo często jedna sygnatura służy do wykrywania rodziny podobnych wirusów, dlatego nie można już zakładać, że liczba sygnatur jest równa liczbie wykrytych wirusów.
Stosunek liczby sygnatur do liczby znanych wirusów dla każdej antywirusowej bazy danych jest inny i może się okazać, że baza z mniejszą liczbą sygnatur rzeczywiście zawiera informacje o więcej wirusy. Jeśli przypomnimy sobie, że firmy antywirusowe wymieniają się próbkami wirusów, możemy z dużą dozą pewności założyć, że antywirusowe bazy danych najsłynniejszych programów antywirusowych są równoważne.
Ważną dodatkową cechą sygnatur jest precyzyjne i gwarantowane wykrywanie typu wirusa. Ta właściwość pozwala dodawać do bazy danych nie tylko same sygnatury, ale także metody leczenia wirusa. Jeśli analiza podpisu udzielił tylko odpowiedzi na pytanie czy wirus istnieje czy nie, ale nie udzielił odpowiedzi jaki to wirus, oczywiście leczenie nie byłoby możliwe – ryzyko wykonania niewłaściwych działań byłoby zbyt duże i zamiast tego leczenia, aby uzyskać dodatkową utratę informacji.
Inną ważną, ale już negatywną właściwością jest to, że aby uzyskać sygnaturę, musisz mieć próbkę wirusa. Stąd, metoda podpisu nie nadaje się do ochrony przed nowymi wirusami, ponieważ dopóki wirus nie zostanie przeanalizowany przez ekspertów, niemożliwe jest stworzenie jego sygnatury. Dlatego wszystkie największe epidemie są wywoływane przez nowe wirusy. Od momentu pojawienia się wirusa w Internecie do wypuszczenia pierwszych sygnatur mija zwykle kilka godzin iw tym czasie wirus jest w stanie niemal bez przeszkód infekować komputery. Prawie - ponieważ omówione wcześniej dodatkowe narzędzia ochronne, a także metody heurystyczne stosowane w programach antywirusowych pomagają chronić przed nowymi wirusami.
Analiza heurystyczna
Słowo „heurystyka” pochodzi od greckiego czasownika „znaleźć”. Istota metod heurystycznych polega na tym, że rozwiązanie problemu opiera się na pewnych prawdopodobnych założeniach, a nie na ścisłych wnioskach z dostępnych faktów i przesłanek. Ponieważ taka definicja brzmi dość skomplikowanie i niezrozumiale, łatwiej ją wyjaśnić na przykładach różnych metod heurystycznych.
Jeśli metoda sygnatur opiera się na identyfikowaniu charakterystycznych cech wirusa i wyszukiwaniu tych cech w skanowanych plikach, to analiza heurystyczna opiera się na (bardzo prawdopodobnym) założeniu, że nowe wirusy często okazują się podobne do niektórych już znane. W końcu takie założenie jest uzasadnione obecnością w antywirusowych bazach danych sygnatur do wykrywania nie jednego, ale kilku wirusów jednocześnie. Oparta na tym założeniu metoda heurystyczna polega na wyszukiwaniu plików, które nie do końca, ale bardzo ściśle odpowiadają sygnaturom znanych wirusów.
Pozytywnym efektem stosowania tej metody jest możliwość wykrywania nowych wirusów jeszcze przed przydzieleniem im sygnatur. Negatywne strony:
- Szansa na omyłkowe wykrycie wirusa w pliku, gdy plik jest faktycznie czysty — takie zdarzenia nazywane są fałszywymi alarmami
- Niemożność leczenia – zarówno ze względu na możliwe fałszywe alarmy, jak i ze względu na możliwe niedokładne określenie rodzaju wirusa, próba leczenia może prowadzić do większej utraty informacji niż sam wirus, a to jest niedopuszczalne
- Niska skuteczność – w przypadku naprawdę innowacyjnych wirusów, które powodują najbardziej rozpowszechnione epidemie, tego rodzaju analiza heurystyczna jest mało przydatna
Szukaj wirusów, które wykonują podejrzane działania
Inna metoda, oparta na heurystyce, opiera się na założeniu, że złośliwe oprogramowanie w jakiś sposób stara się zaszkodzić komputerowi. Metoda opiera się na identyfikacji głównych szkodliwych działań, takich jak np.:
- Usuwanie pliku
- Napisz do pliku
- Zapisywanie do określonych obszarów rejestru systemowego
- Otwieranie portu nasłuchu
- Przechwytywanie danych wprowadzanych z klawiatury
- Wysyłka listów
- Itd.
Oczywiste jest, że wykonanie każdego takiego działania z osobna nie jest powodem do uznania programu za szkodliwy. Ale jeśli program wykonuje sekwencyjnie kilka takich działań, na przykład zapisuje własne uruchomienie do klucza autorun rejestru systemowego, przechwytuje dane wprowadzone z klawiatury i wysyła te dane na jakiś adres internetowy z określoną częstotliwością, to ten program jest w najmniej podejrzane. Analizator heurystyczny oparty na tej zasadzie musi stale monitorować działania, które wykonują programy.
Zaletą opisywanej metody jest możliwość wykrywania nieznanych wcześniej szkodliwych programów, nawet jeśli nie są one bardzo podobne do już znanych. Na przykład nowe złośliwe oprogramowanie może wykorzystać nową lukę w celu przeniknięcia do komputera, ale potem zaczyna wykonywać swoje zwykłe szkodliwe działania. Taki program może zostać pominięty przez analizator heurystyczny pierwszego typu, ale może zostać wykryty przez analizator drugiego typu.
Negatywne cechy są takie same jak poprzednio:
- Fałszywe alarmy
- Niemożność leczenia
- Słaba efektywność
Analiza heurystyczna
Prawie wszystkie nowoczesne narzędzia antywirusowe wykorzystują technologię analizy heurystycznej kodu programu. Analiza heurystyczna jest często używana w połączeniu ze skanowaniem sygnatur w celu znalezienia złożonych zaszyfrowanych i wirusy polimorficzne. Technika analizy heurystycznej umożliwia wykrycie nieznanych wcześniej infekcji, jednak leczenie w takich przypadkach jest prawie zawsze niemożliwe. W takim przypadku jest to zwykle wymagane opcjonalna aktualizacja antywirusowe bazy danych w celu uzyskania najnowszych sygnatur i algorytmów leczenia, które mogą zawierać informacje o wcześniej nieznanym wirusie. W przeciwnym razie plik jest wysyłany do analizy do analityków antywirusowych lub autorów programów antywirusowych.
Technologia analizy heurystycznej
Metody skanowania heurystycznego nie dają żadnej gwarancji ochrony przed nowymi wirusami komputerowymi, których nie ma w zbiorze sygnatur, co wynika z wykorzystywania wcześniej znanych wirusów jako przedmiotu analizy sygnatur oraz znajomości mechanizmu polimorfizmu sygnatur jako weryfikacji heurystycznej zasady. Jednocześnie ta metoda wyszukiwania opiera się na założeniach empirycznych; nie można całkowicie wykluczyć fałszywych trafień.
W niektórych przypadkach metody heurystyczne są niezwykle skuteczne, na przykład w przypadku bardzo krótkich części programu w sektorze rozruchowym: jeśli program zapisuje do sektora 1, ścieżka 0, strona 0, to prowadzi to do zmiany partycji dysku . Ale oprócz programu pomocniczego FDISK to polecenie nie jest używane nigdzie indziej, dlatego jeśli pojawia się nieoczekiwanie, mówimy o wirusie rozruchowym.
W procesie analizy heurystycznej emulowany program jest sprawdzany przez analizator kodu. Na przykład program jest zainfekowany wirusem polimorficznym składającym się z zaszyfrowanej treści i deszyfratora. Emulator kodu emuluje działanie tego wirusa za pomocą jednej instrukcji, po czym analizator kodu oblicza sumę kontrolną i porównuje ją z przechowywaną w bazie danych. Emulacja będzie kontynuowana do momentu odszyfrowania części wirusa niezbędnej do obliczenia sumy kontrolnej. Jeśli podpis pasuje, program jest identyfikowany.
Inną powszechną metodą analizy heurystycznej stosowaną przez dużą grupę programów antywirusowych jest dekompilacja podejrzanego programu i jego analiza. kod źródłowy. Kod źródłowy podejrzanego pliku jest weryfikowany i porównywany z kodem źródłowym znanych wirusów i próbkami aktywności wirusów. Jeśli pewien procent kodu źródłowego jest identyczny z kodem znanego wirusa lub aktywnością wirusa, plik jest oznaczany jako podejrzany, a użytkownik jest o tym powiadamiany.
Wady skanowania heurystycznego
- Nadmierna podejrzliwość analizatora heurystycznego może powodować fałszywe alarmy, jeśli program zawiera fragmenty kodu wykonujące akcje i/lub sekwencje, w tym charakterystyczne dla niektórych wirusów. W szczególności unpacker w plikach spakowanych pakerem (Win)Upack PE powoduje fałszywe alarmy z wielu narzędzi antywirusowych, które de facto nie rozpoznają tego problemu. Kolejnym problemem analizatorów jest błędne działanie podczas sprawdzania całkowicie nieszkodliwego kodu.
Na przykład skompilowany z kodem Delphi 7 lub Delphi 2007:
ProgramXDC; ($APPTYPE CONSOLE) używa SysUtils; rozpocznij if (paramstr (3) ="d" ), a następnie rozpocznij FileSetReadOnly (paramstr (2 ), false ); DeleteFile(paramstr(2) ) ; koniec ; koniec.
Powoduje fałszywe alarmy dla programów antywirusowych, takich jak Panda (niezależnie od wersji kompilatora), Webwasher GateWay (podczas kompilacji Delphi 2007), F-Secure (podczas kompilacji Delphi 7). Jak widać z przykładu, program jest całkowicie bezpieczny i nie ma absolutnie żadnych oznak działania złośliwego kodu i wirusów (cała funkcjonalność przykładu: jeśli jako trzeci parametr zostanie podany klucz „d”, program usunie plik określony w drugim parametrze).
- Dostępność prostych technik oszukiwania analizatora heurystycznego. Z reguły przed rozdaniem złośliwe oprogramowanie(virus), jego twórcy badają istniejące szeroko rozpowszechnione produkty antywirusowe, unikając jego wykrycia podczas skanowania heurystycznego różnymi metodami. Na przykład modyfikacja kodu, użycie elementów, których wykonanie nie jest obsługiwane przez emulator kodu tych programów antywirusowych, użycie szyfrowania części kodu itp.
Pomimo oświadczeń i broszur twórców oprogramowania antywirusowego dotyczących usprawnienia mechanizmów heurystycznych, skuteczność skanowania heurystycznego na ten moment daleko od oczekiwanego. Niezależne testy komponentów analizy heurystycznej pokazują, że poziom wykrywania nowych szkodliwych programów wynosi nie więcej niż 40-50% ich liczby. (Język angielski)
- Nawet po udanej identyfikacji leczenie nieznanego wirusa jest prawie zawsze niemożliwe. Jako wyjątek, niektóre produkty mogą leczyć jeden typ i wiele polimorficznych, zaszyfrowanych wirusów, które nie mają stałego ciała wirusowego, ale wykorzystują jedną metodę wstrzyknięcia. W takim przypadku do leczenia dziesiątek i setek wirusów może istnieć jeden wpis w bazie danych wirusów, jak jest to zaimplementowane na przykład w programie antywirusowym I. Daniłowa.
Zobacz też
Spinki do mankietów
Linki zewnętrzne
Fundacja Wikimedia. 2010 .
Zobacz, czym jest „Analiza heurystyczna” w innych słownikach:
- (heurystyka) algorytm rozwiązywania problemu, który nie ma rygorystycznego uzasadnienia, ale mimo to daje akceptowalne rozwiązanie problemu w większości praktycznie istotnych przypadków. Spis treści 1 Definicja 2 Zastosowanie ... Wikipedia
Ten termin ma inne znaczenie, patrz Polimorfizm. Polimorfizm wirusów komputerowych (greckie πολυ wiele + grecka forma μορφή, wygląd) specjalna technika stosowana przez autorów złośliwego oprogramowania……Wikipedii
Styl tego artykułu nie jest encyklopedyczny lub narusza normy języka rosyjskiego. Artykuł należy poprawić zgodnie z zasadami stylistycznymi Wikipedii… Wikipedii
Technologie proaktywne - zestaw technologii i metod stosowanych w antywirusach oprogramowanie, których głównym celem, w przeciwieństwie do technologii reaktywnych (sygnaturowych), jest zapobieganie infekcji systemu użytkownika oraz ... ... Wikipedia
Ten artykuł lub sekcja jest przybliżonym tłumaczeniem artykułu w innym języku (patrz Sprawdzanie tłumaczeń). Mógł zostać wygenerowany przez program przez tłumacza lub wykonany przez osobę o niewielkiej znajomości języka oryginału. Możesz pomóc... Wikipedii
Deweloper OS Windows XP / Vista Licencja Witryna internetowa ... Wikipedia
Zrzut ekranu programu Wpisz ... Wikipedia
OllyDbg ... Wikipedia
Ten artykuł powinien być wikifikowany. Prosimy o sformatowanie go zgodnie z zasadami formatowania artykułów. Niektóre modele zachowania człowieka w naukach społecznych sugerują, że zachowanie człowieka można adekwatnie opisać... Wikipedia
Analiza heurystyczna (skanowanie heurystyczne)- zestaw funkcji antywirusowych mających na celu wykrywanie szkodliwych programów nieznanych w bazach wirusów. Jednocześnie termin ten odnosi się również do jednej ze specyficznych metod.
Prawie wszystkie nowoczesne narzędzia antywirusowe wykorzystują technologię analiza heurystyczna kod programu. Analiza heurystyczna jest często używana w połączeniu ze skanowaniem sygnatur w celu wyszukiwania złożonych zaszyfrowanych i polimorficznych wirusów. Technika analizy heurystycznej umożliwia wykrycie nieznanych wcześniej infekcji, jednak leczenie w takich przypadkach jest prawie zawsze niemożliwe. W takim przypadku z reguły wymagana jest dodatkowa aktualizacja antywirusowych baz danych w celu uzyskania najnowszych sygnatur i algorytmów leczenia, które mogą zawierać informacje o nieznanym wcześniej wirusie. W przeciwnym razie plik jest wysyłany do analizy do analityków antywirusowych lub autorów programów antywirusowych.
Technologia analizy heurystycznej
Metody skanowania heurystycznego nie zapewniają gwarantowanej ochrony przed nowymi wirusami komputerowymi, których nie ma w zbiorze sygnatur, co wynika z wykorzystywania znanych wcześniej wirusów jako obiektu analizy sygnatur oraz znajomości mechanizmu polimorfizmu sygnatur jako reguł weryfikacji heurystycznej . Jednocześnie, ponieważ ta metoda wyszukiwania opiera się na założeniach empirycznych, nie można całkowicie wykluczyć fałszywych trafień.
W niektórych przypadkach metody heurystyczne są niezwykle skuteczne, na przykład w przypadku bardzo krótkich części programu w sektorze rozruchowym: jeśli program zapisuje do sektora 1, ścieżka 0, strona 0, to prowadzi to do zmiany partycji dysku . Ale oprócz programu pomocniczego fdisk to polecenie nie jest używane nigdzie indziej, dlatego jeśli pojawia się nieoczekiwanie, mówimy o wirusie rozruchowym.
W procesie analizy heurystycznej emulowany program jest sprawdzany przez analizator kodu. Na przykład program jest zainfekowany wirusem polimorficznym składającym się z zaszyfrowanej treści i deszyfratora. Emulator kodu wczytuje instrukcje do bufora antywirusowego, przetwarza je na instrukcje i wykonuje je pojedynczo, po czym analizator kodu oblicza sumę kontrolną i porównuje ją z przechowywaną w bazie danych. Emulacja będzie kontynuowana do momentu odszyfrowania części wirusa niezbędnej do obliczenia sumy kontrolnej. Jeśli podpis pasuje, program jest zdefiniowany.
Wady skanowania heurystycznego
- Nadmierna podejrzliwość analizatora heurystycznego może powodować fałszywe alarmy, jeśli program zawiera fragmenty kodu wykonujące akcje i/lub sekwencje, w tym charakterystyczne dla niektórych wirusów. W szczególności narzędzie do rozpakowywania w plikach spakowanych za pomocą narzędzia pakującego (Win)Upack PE powoduje fałszywe alarmy z wielu narzędzi antywirusowych, które nie rozpoznają tego problemu.
- Dostępność prostych technik oszukiwania analizatora heurystycznego. Z reguły przed rozpowszechnieniem szkodliwego programu (wirusa) jego twórcy sprawdzają istniejące szeroko rozpowszechnione produkty antywirusowe, unikając jego wykrycia podczas skanowania heurystycznego różnymi metodami. Na przykład modyfikacja kodu, użycie elementów, których wykonanie nie jest obsługiwane przez emulator kodu tych programów antywirusowych, użycie szyfrowania części kodu itp.
- Pomimo oświadczeń i broszur twórców oprogramowania antywirusowego dotyczących usprawnienia mechanizmów heurystycznych, skuteczność skanowania heurystycznego jest daleka od oczekiwanej.
- Nawet po udanej identyfikacji leczenie nieznanego wirusa jest prawie zawsze niemożliwe. Jako wyjątek, niektóre produkty mogą leczyć jeden typ i wiele polimorficznych, zaszyfrowanych wirusów, które nie mają stałego ciała wirusowego, ale wykorzystują jedną metodę wstrzyknięcia. W takim przypadku do leczenia dziesiątek i setek wirusów może istnieć jeden wpis w bazie danych wirusów.
Łów
Ochrona antywirusowa.
Programy antywirusowe były i pozostają głównym sposobem zwalczania wirusów. Możesz używać programów antywirusowych (antywirusów) nie mając pojęcia, jak działają. Jednak bez zrozumienia zasad działania urządzenia antywirusowego, znajomości typów wirusów, a także sposobów ich rozprzestrzeniania się, nie da się zorganizować niezawodnej ochrony komputera. W rezultacie komputer może zostać zainfekowany, nawet jeśli są na nim zainstalowane programy antywirusowe.
Obecnie stosuje się kilka podstawowych metod wykrywania i ochrony przed wirusami:
łów;
analiza heurystyczna;
korzystanie z monitorów antywirusowych;
wykrywanie zmian;
korzystanie z programów antywirusowych wbudowanych w BIOS komputera.
Ponadto prawie wszystkie programy antywirusowe zapewniają automatyczne odzyskiwanie zainfekowane programy i sektory rozruchowe. Oczywiście, jeśli to możliwe.
Najprostszą techniką skanowania antywirusowego jest sekwencyjne skanowanie plików przez program antywirusowy w poszukiwaniu sygnatur znanych wirusów. Sygnatura to unikalna sekwencja bajtów, która należy do wirusa i nie występuje w innych programach.
Skanery antywirusowe mogą znaleźć tylko znane i zbadane wirusy, dla których określono sygnaturę. Korzystanie z prostych programów skanujących nie chroni komputera przed przenikaniem nowych wirusów.
Dla zaszyfrowanych i polimorficznych wirusów zdolnych do całkowitej zmiany swojego kodu po infekcji nowy program lub sektor rozruchowy, nie można wyodrębnić podpisu. Dlatego proste skanery antywirusowe nie mogą wykrywać wirusów polimorficznych.
Analiza heurystyczna pozwala na wykrycie nieznanych wcześniej wirusów, a do tego nie trzeba najpierw zbierać danych nt system plików, jak jest to wymagane, na przykład przez omówioną poniżej metodę wykrywania zmian.
Programy antywirusowe, które implementują metodę analizy heurystycznej, skanują programy i sektory rozruchowe dysków i dyskietek, próbując wykryć w nich kod specyficzny dla wirusa. Analizator heurystyczny może na przykład wykryć, że testowany program instaluje rezydentny moduł w pamięci lub zapisuje dane do pliku wykonywalnego programu.
Prawie wszystkie nowoczesne programy antywirusowe implementują własne metody analizy heurystycznej. na ryc. 1 pokazaliśmy jeden taki program - skaner McAffee VirusScan, uruchamiany ręcznie w celu przeskanowania dysku w poszukiwaniu antywirusa.
Kiedy program antywirusowy wykryje zainfekowany plik, zwykle wyświetla komunikat na ekranie monitora i dokonuje wpisu we własnym lub systemowym dzienniku. W zależności od ustawień program antywirusowy może również wysłać wiadomość o wykrytym wirusie do administratora sieci.
Jeśli to możliwe, program antywirusowy leczy plik, przywracając jego zawartość. W przeciwnym razie oferowana jest tylko jedna opcja - usuń zainfekowany plik, a następnie przywróć go z kopia zapasowa(oczywiście o ile go nie masz).
Strona 1
Analiza heurystyczna pozwala na identyfikację nieznanych wirusów, ale nie wymaga wstępnego zbierania, przetwarzania i przechowywania informacji o systemie plików. Jego istota polega na sprawdzaniu możliwych siedlisk wirusów i identyfikowaniu w nich poleceń (grup poleceń) charakterystycznych dla wirusów. Jeśli w plikach lub sektorach rozruchowych zostaną wykryte podejrzane polecenia, zostanie wyświetlony komunikat o możliwej infekcji.
Analiza heurystyczna, podobnie jak omówione powyżej metody prognozowania, opiera się na zasadach logiki indukcyjnej, ponieważ jej centralnym pojęciem jest wiarygodność hipotezy, stopień jej ważności. Oczywiście możliwe jest zwiększenie stopnia słuszności hipotezy heurystycznej dotyczącej prognozy rozwoju postępu naukowo-technicznego w dowolnym jego kierunku, biorąc pod uwagę dynamikę i trendy rozwoju badań naukowych w tych obszarach nauki w analizie.
Za pomocą analizy heurystycznej możliwe jest ustalenie najodpowiedniejszych kombinacji podgrup funkcyjnych wchodzących w skład odpowiednich grup funkcyjnych dla wybranego algorytmu procesu: np. .
Na tym kończymy naszą heurystyczną analizę interferometrii plamek gwiazdowych.
Program przewiduje możliwość przeprowadzania analizy heurystycznej na trzech poziomach. Jednocześnie badane są pliki i obszary systemowe dysków w celu wykrycia nieznanych wirusów przy użyciu charakterystycznych sekwencji kodów.
Drugą zasadą jest heurystyczna analiza istotności branych pod uwagę czynników, oparta na praktycznym doświadczeniu i intuicji.
W 1998 roku pod kierunkiem prof. prof. Wielokrotnie publikował doniesienia na konferencjach w Meksyku (Chiny, Belgia) oraz artykuły w czasopismach zagranicznych i krajowych. W 2000 r. opracowano stosowany system wizualnego monitoringu danych pomiarowych zanieczyszczeń w mieście Meksyk z wykorzystaniem systemu wizualnej analizy heurystycznej.
Wdrożone w tym program antywirusowy specjalny algorytm analizy heurystycznej pozwala również wykrywać pliki zainfekowane nowymi typami wirusów.
W wielu przypadkach taki schemat uporządkowanych obliczeń deterministycznych, w połączeniu z głęboką analizą heurystyczną, umożliwia uzyskanie wystarczająco uzasadnionych rozwiązań, a tym samym uzupełnienie optymalizacji instalacji adsorpcyjnej o niepełne informacje. Ale czasami uzyskane rozwiązania mogą znacznie różnić się składnikami. Następnie zaleca się kontynuowanie obliczeń optymalizacyjnych według schematu opisanego poniżej.
Ponieważ mamy już dokładną teorię rozwiązań gier, jesteśmy zobowiązani po tej wstępnej analizie heurystycznej do dokładnej analizy opartej ściśle na teorii matematycznej.
Należy podkreślić, że grupa badawcza powołana do rozwiązania konkretnego problemu zarządzania organizacją musi umieć posługiwać się formalnym aparatem matematycznym oraz posiadać umiejętność czysto heurystycznej analizy rzeczywistych sytuacji.
Maclaurina i że rozszczepienie nastąpi, gdy współczynnik wzrostu t osiągnie wartość krytyczną m 0 14 (patrz rozdz. Z tej heurystycznej analizy wynikają dwa interesujące wyniki. Po pierwsze, gwiazdy z M 0 8 MQ osiągają ciąg główny i przestają się kurczyć, zanim ich jądro będzie mogło ulegają podziałowi spowodowanemu rotacją.
Rozwiązanie problemu konstruowania zestawu opcji konfliktowych odbywa się za pomocą SPP o optymalnym projekcie, które są zawarte w oprogramowaniu zautomatyzowany system projekt. Ponadto, za pomocą algorytmów analizy heurystycznej, komputer najpierw szereguje i wybiera skończoną liczbę najlepszych opcji dla projektu AL, następnie ich diagnostykę lub odwrotnie, najpierw diagnostykę, a następnie wybór. Uzyskane wyniki są wydawane do urządzeń końcowych, aby projektant mógł przeprowadzić ich ostateczną ocenę.
Rozwiązując problem dwukryterialny należy dążyć do zapewnienia ekstremum liniowej kombinacji kryteriów lub znaleźć zbiory Pareto i podjąć ostateczną decyzję na podstawie heurystycznej analizy tych zbiorów. Czasami wykonują następujące czynności. Na jedno z kryteriów nakłada się ograniczenie, a drugie kryterium jest zmuszane do przyjęcia skrajnej wartości.
Nazwa tej grupy metod pochodzi od słynnego greckiego słowa przypisanego Archimedesowi „Eureka!” - „znaleziono!”, wyrażając radość z odkrycia. Metody heurystyczne opierają się na kreatywnym myśleniu i wiedzy specjalistów – ekspertów, praktycznym doświadczeniu menedżerów przedsiębiorstw, ich intuicji, indywidualnych i zbiorowych osądach. Takie metody są uważane za jakościowo-logiczne, uzupełniające sformalizowane ilościowe metody analizy. Potrzeba ich zastosowania wynika ze złożoności i niemożności jednoznacznego modelowania matematycznego wielu procesów społeczno-gospodarczych (choć wiele z tych metod wiąże się z wykorzystaniem procedur matematycznych do przetwarzania informacji wstępnych i wyników logicznej analizy eksperckiej).
Wszystkie metody heurystyczne można warunkowo podzielić na metody eksperckie i metody aktywizacji twórczego myślenia (czasami nazywane są psychologicznymi).
metody eksperckie, Bazując na wiedzy, osądach i doświadczeniu specjalistów, pozwalają nam rozwiązywać dwie grupy problemów analitycznych:
- 1) pozyskiwanie informacji o konkretnych zjawiskach gospodarczych i ich przyczynach, o wymaganiach kluczowych interesariuszy biznesowych;
- 2) ocena charakterystycznych przejawów trwałych związków przyczynowo-skutkowych, prognozowanie możliwego rozwoju procesów społeczno-gospodarczych i uzasadnianie najbardziej racjonalnych decyzji zarządczych w danej sytuacji.
Pierwsza grupa zadań rozwiązywana jest za pomocą kwestionariuszy, ankiet i wywiadów pracowników przedsiębiorstw oraz przedstawicieli innych grup interesariuszy tych przedsiębiorstw. Aby rozwiązać drugą grupę zadań, zaangażowani są wysoko wykwalifikowani profesjonalni eksperci. W tym przypadku można zastosować zarówno indywidualne, jak i zbiorowe metody ocen eksperckich.
Metody indywidualne polegają na wykorzystaniu opinii wybranych ekspertów-ekspertów, formułowanych przez każdego z nich niezależnie od siebie i zbieranych w drodze wywiadów lub kwestionariuszy. Wadą tego podejścia jest dobrze znana ograniczona wiedza poszczególnych specjalistów na temat wszystkich aspektów badanego problemu, przywiązanie każdego z nich do określonego stanowiska lub szkoły naukowej.
Bardziej wydajna aplikacja metody kolektywne, opiera się na zaangażowaniu grup różnych ekspertów – teoretyków i praktyków, którzy dobrze znają istotę problemu, specyfikę pokrewnych dziedzin wiedzy i działań, które mają różne punkty widzenia. Interakcja zaangażowanych specjalistów umożliwia badanie problemu z różnych punktów widzenia. Wśród tych metod najbardziej popularne metoda prowizyjna(spotkania produkcyjne, konferencje, seminaria i „okrągłe stoły”), pozwalające wypracować wspólne stanowisko uczestników, uwzględniające wszystkie omawiane okoliczności. Wadą tej metody jest to, że podejmowane decyzje, ze względu na chęć kompromisów i presję psychologiczną najbardziej autorytatywnych ekspertów, niekoniecznie odzwierciedlają ich najlepsze opcje oferowane przez poszczególnych członków komisji. Wadę tę można częściowo przezwyciężyć, dzieląc prace komisji na dwa etapy:
- ? ogólna dyskusja nad problemem i swobodne wyrażanie opinii uczestników;
- ? krytyczna analiza wszystkich zgłoszonych propozycji i wypracowanie rozwiązań.
W jeszcze większym stopniu pozwala uniknąć konformizmu ekspertów metoda Delphi, na podstawie zdalnej anonimowej ankiety przeprowadzonej w kilku turach przez niezależnych ekspertów (często nawet nieświadomych swojego istnienia) z późniejszym opracowaniem statystycznym wyników i wypracowaniem ostatecznej decyzji przez grupę analityków – organizatorów badania .
Powszechnie znany metody zeszytu zbiorowego i banku pomysłów, umożliwienie stopniowego gromadzenia pomysłów i propozycji zgłaszanych przez niezależnych ekspertów, zakończyło się sukcesem standardowe rozwiązania, praktyczne przykłady z możliwością ich systematyzacji i oceny.
Metody aktywizacji twórczego myślenia mają na celu stworzenie warunków psychologicznych, które pozwalają człowiekowi generować nowe pomysły i szukać sposobów rozwiązywania różnych problemów. Wśród takich metod organizowania procesu twórczego w rozwiązywaniu problemów analizy ekonomicznej najczęściej stosowaną metodą jest „burza mózgów”.
"Burza mózgów" reprezentuje skuteczna metoda organizacja grupy czynności analityczne rozwiązywać wszelkie problemy, w oparciu o emancypację twórczej aktywności jej uczestników. Składa się on zwykle z trzech etapów. Pierwszym etapem jest jasne sformułowanie problemu do rozwiązania oraz dobór członków zespołu kreatywnego. Skład uczestników nie powinien być liczny, ale powinien obejmować nie tylko znawców tematu, ale także inne zainteresowane osoby, których nie łączą stosunki podporządkowania. Drugim etapem jest generowanie pomysłów na rozwiązanie problemu. Cechą tego etapu jest stworzenie warunków do jak najbardziej swobodnej twórczości przy całkowitym braku ocen i wszelkiej krytyki zgłaszanych propozycji. Jednocześnie nawet kierunek poszukiwań pomysłów i kryteria ich oceny nie są określone. Głównym celem jest maksymalna liczba przedstawionych propozycji i ich możliwych kombinacji, z których wszystkie muszą zostać zarejestrowane. Mile widziane są nawet fantastyczne i z pozoru absurdalne pomysły. Czas trwania tego etapu nie powinien przekraczać półtorej godziny, ponieważ po tym aktywność twórcza z reguły zaczyna opadać. Trzeci etap to klasyfikacja zgłoszonych propozycji, selekcja, ocena i opracowanie różnych kombinacji najbardziej obiecujących pomysłów przeprowadzane przez analityków – organizatorów „burzy”.
Modyfikacją metody burzy mózgów jest metoda synektyczna. Samo określenie „synektyka” oznacza wykorzystywanie różnych, często niejednorodnych elementów, które wydają się niekompatybilne do rozwiązywania problemów twórczych. Synektyka różni się od klasycznej „burzy mózgów” tym, że organizuje wpływ grupy na twórczość jej członków, określa konkretne metody generowania pomysłów, pozwala na krytyczną dyskusję i selekcjonowanie zgłaszanych pomysłów bezpośrednio na etapie ich generowania. Jednocześnie w grupie powinny znaleźć się nie tylko profesjonaliści, ale osoby kreatywne, dążące do rywalizacji i gotowe do obrony swoich pozycji, posiadające różne cechy psychoemocjonalne (entuzjaści, konserwatyści, optymiści, sceptycy itp.). Cechą charakterystyczną synektyki jest stosowanie różnych werbalnych metod aktywizacji myślenia: analogie (znajdowanie rozwiązań na podstawie analizy już rozwiązanych podobnych problemów w innych dziedzinach, poszukiwanie rozwiązań w fantastyce naukowej, mitach, baśniach), inwersja (poszukiwanie rozwiązań” z przeciwnego”), empatii (identyfikacja siebie z analizowanym obiektem i zrozumienie problemu na podstawie własnych odczuć), idealizacji (badania z punktu widzenia uzyskania idealnego wyniku). Należy zauważyć, że wstępne przygotowanie, wzajemne zrozumienie i spójność są bardzo ważne dla synektycznej grupy ekspertów, w przeciwnym razie rosnąca krytyczność dyskusji może po prostu zablokować generowanie nowych pomysłów.
metoda morfologiczna. Metoda ta opiera się na ocenie wewnętrznej struktury badanego obiektu i odpowiedniej dekompozycji rozpatrywanego problemu na osobne zadania, selekcji możliwe rozwiązania dla każdego z tych zadań ich usystematyzowanie i zsyntetyzowanie ogólnego rozwiązania problemu poprzez połączenie poszczególnych rozwiązań.
Teoria rozwiązywania problemów wynalazczych(TRIZ). Początkowo celem TRIZ było studiowanie zasad rozwoju systemy techniczne oraz tworzenie praktycznych metod rozwiązywania problemów wynalazczych opartych na identyfikacji i eliminacji sprzeczności w takich systemach w celu osiągnięcia idealnego wyniku końcowego. Teraz TRIZ stał się uniwersalną metodologią analizy różnych problemów z wielu dziedzin, w tym z ekonomii. Aktywację twórczego myślenia uzyskuje się poprzez ustrukturyzowanie zadań analizy i określonej kolejności ich rozwiązania:
- 1) do czego przeznaczony jest system, z jakich elementów się składa, jakie pełnią funkcje i jak współdziałają;
- 2) które połączenia elementów systemu i ich funkcje są przydatne, które są bezużyteczne, a które szkodliwe;
- 3) które elementy, funkcje i relacje można zmienić, a które nie;
- 4) jakie są możliwe opcje zmiany elementów systemu, ich funkcji i relacji;
- 5) jakie zmiany zapewniają poprawę funkcjonowania systemu jako całości, a które powodują sprzeczności w systemie i osłabiają go;
- 6) jak wdrażać zmiany usprawniające, eliminując lub minimalizując pojawiające się sprzeczności.
Aby pobudzić aktywność twórczą i zorganizować systematyczną, samodzielną pracę ekspertów-analityków, często uciekają się do wdrażania swoistych zasad. Zasada 24 nakazuje, aby analityk przez całą dobę myślał o badanym problemie. Zasada 25 - Dla pomyślne rozwiązanie zadania należy przedstawić co najmniej 25 pomysłów. Zasada 26 - w alfabecie angielskim jest 26 liter i jako wskazówka dla siebie musisz pomyśleć o tym, od której litery rozpocznie się słowo kluczowe do rozwiązania problemu.
Heurystyczne metody analizy
Prawdopodobnie spotkałeś w swoim życiu osobę, która przede wszystkim uderzyła Cię tym, że ma niezwykle rozwiniętą wyobraźnię, oryginalne i nieoczekiwane sądy, pomysły charakterystyczne dla wysoko rozwiniętego intuicyjnego myślenia. Zazwyczaj taką osobę nazywamy osobą kreatywną. A umiejętność generowania nowych pomysłów ma wszelkie powody, by odnosić się do jednej z najważniejszych cech osoby kreatywnej.
Zarówno w szkole, jak iw wyższych i średnich specjalistycznych placówkach oświatowych niestety nie poświęca się wystarczającej uwagi rozwojowi intuicji, zdolności generowania nowych pomysłów. Nauczyciele zwracają uwagę głównie na logiczne metody rozwiązywania problemów, w tym w procesie rozwiązywania problemów twórczych.
Metody obliczeniowe operują jedynie ilościowo określonymi informacjami, których wykorzystanie w analizie układów sterowania jest bardzo ograniczone. Duże znaczenie dla analizy działalności gospodarczej ma zastosowanie metod heurystycznych, których celem jest uzyskanie cech jakościowych podmiotu gospodarczego. Metody heurystyczne opierają się głównie na doświadczeniu i intuicji specjalistów, ich indywidualnych lub zbiorowych osądach. Wśród metod heurystycznych można wyróżnić ewaluacyjne i ewaluacyjno-poszukiwawcze metody analizy.
Metody heurystyczne są szeroko opisywane w pracach dotyczących zarządzania personelem, zarządzania organizacją i zachowaniami organizacyjnymi.
Warunki, które przesądzają o potrzebie stosowania metod heurystycznych można scharakteryzować w następujący sposób:
Jakościowy charakter wstępnych informacji, opisanych za pomocą ekonomicznych i parametry społeczne, brak wystarczająco reprezentatywnych i wiarygodnych informacji o charakterystyce przedmiotu badań;
Duża niepewność danych wyjściowych do analizy;
Brak jasnego opisu przedmiotowego i matematycznego sformalizowania przedmiotu oceniania;
Brak czasu i środków na badania z wykorzystaniem modeli formalnych;
Brak środków technicznych o odpowiedniej charakterystyce do modelowania analitycznego;
Ekstremalność analizowanej sytuacji.
Heurystyczne metody analizy to szczególna grupa metod zbierania i przetwarzania informacji, oparta na profesjonalnym osądzie grupy specjalistów.
Klasyfikacja metod analizy heurystycznej
Heurystyczne metody oceny
METODY OCENY I POSZUKIWANIA
Komisje i konferencje
Burza mózgów
Notatnik zbiorowy
Bank pomysłów
Metoda aktywnej socjologicznie sprawdzonej analizy i kontroli
gry biznesowe
Analiza kosztów funkcjonalnych.
Metody heurystyczne są często nazywane kreatywnymi, ponieważ opierają się na kreatywnym myśleniu grupy ludzi. Kluczem do wiarygodności i trafności wniosków z analizy metodami heurystycznymi jest właściwy dobór ekspertów. W zależności od celów i ukierunkowania grupa ekspertów może być jednorodna lub obejmować przedstawicieli różnych grup pokrewnych profesjonalistów, a czasem tylko zainteresowanych. Na przykład tworząc grupę ekspertów do analizy rozwoju technologicznego, obejmuje technologów, którzy potrafią profesjonalnie ocenić techniczną nowość rozwiązania, ekonomistów, którzy oceniają jego efektywność, mechaników, którzy mogą ocenić wykonalność wdrożenia Nowa technologia na istniejącej bazie produkcyjnej, pracownicy - wykonawcy nowej technologii. Oceniając jakość produktów i popyt na nie, w skład grupy ekspertów wchodzą nie tylko rzeczoznawcy, ale także producenci i konsumenci produktów. Jednocześnie przy opracowywaniu rozwiązania technicznego na pierwszym etapie w skład grupy ekspertów wchodzą wyłącznie specjaliści o odpowiednim profilu.
W praktyce rozwinęły się dość złożone metody tworzenia grupy ekspertów:
Według kryteriów formalnych pod uwagę bierze się specjalizację, staż pracy, staż pracy w jednym zespole; obejmuje to również psychologiczne oceny jednostki zgodnie z usługami socjologicznymi organizacji (jeśli istnieją), na przykład zdolność do kreatywnego myślenia, konstruktywnego myślenia itp.;
Na podstawie samooceny osoby uzyskanej podczas badania, w tym przypadku przyszły ekspert sam ocenia swoje możliwości, w tym kwalifikacje, myślenie analityczne i konstruktywne, umiejętność dostosowania się do określonych sytuacji itp.; uzupełnieniem takiego doboru ekspertów jest określenie poziomu samooceny przyszłego eksperta – niedoszacowany, przeszacowany lub adekwatny, co odbywa się ze szczególnym
psychologiczny dobór ekspertów;
Na podstawie oceny osób związanych z wnioskodawcą, gdy cechy zawodowe i osobiste specjalisty są oceniane przez specjalistów o podobnym profilu, konsumentów usług, pracowników realizujących decyzje eksperta;
Metoda doboru losowego (doboru próby), jeśli wiele osób (na przykład konsumentów produktów i usług) może pełnić rolę ekspertów.
Dość często przy analizie działalności podmiotu gospodarczego w gronie ekspertów znajdują się kierownicy różnych szczebli oraz pracownicy. Na przykład tak powstaje grupa ekspertów przy wyborze strategii rozwoju produkcji, zmianie systemu motywacyjnego, reformie systemów rachunkowości i sprawozdawczości oraz restrukturyzacji struktur organizacyjnych.
Tak więc zarówno formalne, jak i psychologiczne metody selekcji są szeroko stosowane w selekcji ekspertów. W związku z tym metody heurystyczne są często nazywane psychologicznymi.
(Melyukhova Yana) 1) Metoda typologiczna w oparciu o popularną obecnie teorię pozycjonowania. Główną ideą tej teorii jest istnienie gotowego, jednolitego dla wszystkich obrazu standardowych sytuacji i decyzji. Zadaniem analityka jest wybranie pozycji odpowiadającej przedmiotowi analizy pod względem określonych parametrów oraz uzyskanie standardowego rozwiązania oferowanego przez twórców metody. Praktycznymi zastosowaniami tej teorii są macierze ZKG, McKenziego itp. Technologia implementacji metody obejmuje takie kroki jak:
Ocena analizowanego obiektu według zadanych parametrów;
Pozycjonowanie obiektu w schemacie typologicznym zgodnie z wartościami parametrów;
schemat według rodzaju analizowanego obiektu.
Podczas konstruowania schematu typologicznego można użyć dwóch lub więcej parametrów. Parametry mogą odzwierciedlać zarówno proste właściwości, jak i złożone. Przykładem złożonej właściwości są perspektywy rynku, charakteryzujące się wielkością, tempem wzrostu, poziomem zadowolenia użytkowników, konkurencją, poziomem cen, rentownością i
itp. Jak widać z powyższego przykładu, parametry mogą mieć zarówno ocenę ilościową, jak i jakościową. Pozycjonowanie analizowanego obiektu (obiektów) na siatce typologicznej jest możliwe w postaci takiego lub innego znaku (punktów, okręgów itp.).
Jeśli zachodzą zmiany w określonych obszarach, zastosowanie siatek typologicznych pozwala określić typ analizowanego obiektu i skorzystać z gotowych rekomendacji jego poprawy. Jednak z metodą typologii trzeba być bardzo ostrożnym. Trzeba mieć na uwadze, że uniwersalne „przepisy” są dość kuszące w swojej prostocie, co kontrastuje z rozwiązywaniem problemów twórczych, ale korzyści płynące z zastosowania otrzymanych zaleceń są bardzo ograniczone. Lepiej wiedzieć, jak identyfikować i rozwiązywać problemy, niż wierzyć w gotowe recepty na sukces. Zdaniem autora, tylko w połączeniu z innymi metodami oceny metoda typologiczna pozwala scharakteryzować sytuację i znaleźć akceptowalne opcje predykcyjnych decyzji zarządczych.
(Kiseleva Olya) 2) Metoda recenzowania opiera się na identyfikacji uogólnionej oceny dokonanej przez grupę ekspertów poprzez statystyczne przetwarzanie indywidualnych, niezależnych ocen dokonanych przez ekspertów. Członkowie grupy w tym przypadku mogą być równi lub mieć różną rangę, co jest brane pod uwagę przy wyprowadzaniu wyników egzaminu.
Rekrutując ekspertów należy kierować się takimi wymaganiami jak:
Wysoki poziom erudycji ogólnej, posiadanie specjalistycznej wiedzy z analizowanego obszaru;
Obecność pewnego doświadczenia praktycznego i (lub) badawczego w zakresie rozważanego problemu;
Umiejętność adekwatnej oceny tendencji rozwojowych badanego obiektu;
Brak uprzedzeń, zainteresowanie konkretnym wynikiem oceny.
Sprzyjające warunki pracy ekspertów powstają w wyniku wstępnego instruktażu, szkolenia z metod badawczych oraz dostarczenia dodatkowych informacji o przedmiocie analizy.
(Olia Prilepa) 3) Metoda komisji ekspertów polega na identyfikowaniu jednej opinii zbiorowej przez specjalnie wybranych ekspertów podczas omawiania postawionego problemu i alternatywy jego rozwiązania w wyniku pewnych kompromisów.
Przy zastosowaniu metody komisji eksperckiej przeprowadza się nie tylko statystyczne opracowanie wyników indywidualnej punktacji wszystkich ekspertów, ale także wymianę poglądów na temat wyników badania i udoskonalenie szacunków. Wadą tego postępowania jest silny wpływ autorytetów na opinię większości uczestników egzaminu.
W kontakcie z