Технологии, используемые в антивирусах, возможно разбить на две группы:
— Технологии сигнатурного анализа
— Технологии вероятностного анализа
Сигнатурный анализ – способ обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов.
Сигнатурный анализ есть самый известным способом обнаружения вирусов и употребляется фактически во всех современных антивирусах. С целью проведения проверки антивирусу нужен комплект вирусных сигнатур, что хранится в противовирусной базе.
Противовирусная база – база данных, в которой сохраняются сигнатуры вирусов.
Ввиду того, что сигнатурный анализ предполагает диагностику файлов на наличие сигнатур вирусов, противовирусная база испытывает недостаток в периодическом обновлении для поддержания актуальности антивируса. Сам принцип работы сигнатурного анализа кроме этого определяет границы его функциональности – возможность обнаруживать только уже узнаваемые вирусы – против новых вирусов сигнатурный сканер бессилен.
Иначе, наличие сигнатур вирусов предполагает возможность лечения инфицированных файлов, найденных при помощи сигнатурного анализа. Но, лечение возможно не для всех вирусов – большинство и трояны червей не поддаются лечению по своим конструктивным изюминкам, потому, что являются цельными модулями, созданными для нанесения ущерба.
Грамотная реализация вирусной сигнатуры разрешает обнаруживать узнаваемые вирусы со стопроцентной возможностью.
Технологии вероятностного анализа со своей стороны подразделяются на три категории:
— Эвристический анализ
— Поведенческий анализ
— Анализ контрольных сумм
Эвристический анализ – разработка, основанная на вероятностных методах, результатом работы которых есть обнаружение странных объектов.
В ходе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. самая популярной эвристической разработкой есть проверка содержимого файла на предмет наличия модификаций уже известных их комбинаций и сигнатур вирусов. Это оказывает помощь определять новые и гибриды версии ранее известных вирусов без дополнительного обновления противовирусной базы.
Эвристический анализ используется для обнаружения малоизвестных вирусов, и, как следствие, не предполагает лечения.
Эта разработка не может на 100% выяснить вирус перед ней либо нет, и как любой вероятностный метод грешит фальшивыми срабатываниями.
Поведенческий анализ – разработка, в которой ответ о характере контролируемого объекта принимается на базе анализа делаемых им операций.
Поведенческий анализ очень узко применим на практике, поскольку большая часть действий, характерных для вирусов, смогут выполняться и простыми приложениями. Громаднейшую известность взяли поведенческие анализаторы макросов и скриптов, потому, что соответствующие вирусы фактически постоянно выполняют последовательность однотипных действий. К примеру, для внедрения в совокупность, практически любой макровирус применяет одинаковый метод: в какой-нибудь обычный макрос, машинально запускаемый средой Микрософт Office при исполнении стандартных команд (к примеру, Save, Save As, Open, и т.д.), записывается код, передающий главный файл шаблонов normal.dot и любой снова открываемый документ.
Средства защиты, вшиваемые в BIOS, кроме этого возможно отнести к поведенческим анализаторам. При попытке внести трансформации в MBR компьютера, анализатор блокирует воздействие и выводит соответствующее уведомление пользователю.
Кроме этого поведенческие анализаторы смогут отслеживать попытки прямого доступа к файлам, внесение трансформаций в загрузочную запись дискет, форматирование твёрдых дисков и т. д.
Поведенческие анализаторы не применяют для работы дополнительных объектов, аналогичных вирусным базам и, как следствие, неспособны различать узнаваемые и малоизвестные вирусы – все странные программы a priori считаются малоизвестными вирусами. Подобно, особенности работы средств, реализующих разработки поведенческого анализа, не предполагают лечения.
Как и в прошлом случае, вероятно выделение действий, конкретно трактующихся как неправомерные – форматирование твёрдых дисков без запроса, удаление всех данных с логического диска, изменение загрузочной записи дискеты без соответствующих уведомлений и пр. Однако, наличие действий неоднозначных – к примеру, макрокоманда создания каталога на твёрдом диске, заставляет кроме этого вспоминать о фальшивых срабатываниях и, обычно, о узкой ручной настройке поведенческого блокиратора.
Анализ контрольных сумм – это метод отслеживания трансформаций в объектах компьютерной совокупности. На основании анализа характера трансформаций – одновременность, массовость, аналогичные трансформации длин файлов – возможно делать вывод о заражении совокупности.
Анализаторы контрольных сумм (кроме этого употребляется наименование ревизоры трансформаций) как и поведенческие анализаторы не применяют в работе дополнительные объекты и выдают вердикт о наличии вируса в совокупности только способом экспертной оценки. Громадная популярность анализа контрольных сумм связана с воспоминаниями об однозадачных операционных совокупностях, в то время, когда количество вирусов было довольно маленьким, файлов было мало и изменялись они редко. Сейчас ревизоры трансформаций потеряли собственные позиции и употребляются в антивирусах достаточно редко. Чаще подобные разработки используются в сканерах при доступе – при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и при отсутствия трансформаций файл считается незараженным.
Подводя итоги обзора разработок, используемых в антивирусах, напомним, что сейчас фактически любой антивирус применяет пара из вышеперечисленных разработок, наряду с этим применение сигнатурного и эвристического анализа для проверки файлов и как раз в этом порядке есть повсеместным. В будущем средства, реализующие комбинацию сигнатурного и эвристического анализа, мы будем именовать противовирусными сканерами.
Вторая несколько разработок более разнородна, потому, что ни один из используемых подходов не дает гарантии обнаружения малоизвестных вирусов. Разумеется, что и совместное применение всех этих разработок не дает таковой гарантии. На сегодня лучшим методом борьбы с новыми угрозами есть максимально стремительное реагирование разработчиков на появление новых экземпляров вирусов выпуском соответствующих сигнатур. Кроме этого, учитывая наличие активных вирусов, нужно не меньше скоро реагировать на обнаружение новых уязвимостей в операционных совокупностях и устанавливать соответствующие заплаты безопасности.
Типология ВИРУСОВ
