Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
"Антивирусные программы развивались параллельно с вредоносными кодами: чем сложнее и изощреннее становились компьютерные вредители, тем искуснее и быстрее становились антивирусы. Первые антивирусные алгоритмы строились на основе сравнения с эталоном — часто такие алгоритмы называют сигнатурными. Каждому вирусу ставилась в соответствие некоторая сигнатура, или маска. С одной стороны, маска должна была быть небольшого размера, чтобы база данных всех таких масок не приняла угрожающие объемы. С другой стороны, чем больше размер сигнатуры, тем ниже вероятность ложного срабатывания (когда достоверно не зараженный файл определяется антивирусом как инфицированный). На практике разработчики антивирусных программ использовали маску длиной 10-30 байт. Первые антивирусы знали какое-то количество сигнатур, могли находить и лечить определенное количество вирусов. Получив новый вирус, разработчики анализировали его код и составляли уникальную маску, которая добавлялась в базу данных антивирусных сигнатур, а само обновление распространялось на дискете. Если при сканировании подозрительного файла антивирус находил код, соответствующий маске, то исследуемый файл признавался инфицированным. Описанный алгоритм применяется в большинстве антивирусных программ и до сих пор. Все сигнатуры размещены в антивирусной базе — специальном хранилище, в котором антивирус хранит маски вредоносных программ. Эффективность сигнатурного поиска напрямую зависит от объема антивирусной базы и от частоты ее пополнения. Именно поэтому сегодня разработчики антивирусных программ выпускают обновления для своих баз минимум раз в сутки. Чтобы повысить скорость доставки этих обновлений на защищаемые компьютеры пользователей, используется Интернет.
В середине 90-х годов появились первые полиморфные вирусы, которые изменяли свое тело по непредсказуемым заранее алгоритмам, что значительно затрудняло анализ кода вируса и составление сигнатуры. Для борьбы с подобными вирусами метод сигнатурного поиска был дополнен средствами эмуляции среды выполнения. Иными словами, антивирус не исследовал подозрительный файл статически, а запускал его в специальной искусственно созданной среде — в так называемой песочнице. Такая песочница является абсолютно безопасной, поскольку вирус там не может размножиться, а следовательно, нанести вред. К тому же вирус не способен отличить песочницу от настоящей среды. В этом виртуальном пространстве антивирус следил за исследуемым объектом, ждал, пока код вируса будет расшифрован, и запускал метод сигнатурного поиска.
Когда количество вирусов превысило несколько сотен, антивирусные эксперты задумались над идеей детектирования вредоносных программ, о существовании которых антивирусная программа еще не знает (нет соответствующих сигнатур). В результате были созданы так называемые эвристические анализаторы.
Эвристическим анализатором называется набор подпрограмм, которые анализируют код исполняемых файлов, макросов, скриптов, памяти или загрузочных секторов с целью обнаружения в нем разных типов вредоносных компьютерных программ.
Существуют два основных метода работы анализатора.
Статический метод, который заключается в поиске общих коротких сигнатур, присутствующих в большинстве вирусов (так называемые подозрительные команды). Например, большое число вирусов осуществляет поиск по маске *.exe, открывает найденный файл, производит запись в открытый файл. Задача эвристик в этом случае — найти сигнатуры, отражающие эти действия. Затем происходит анализ найденных сигнатур, и если найдено некоторое количество необходимых и достаточных подозрительных команд, то принимается решение о том, что файл инфицирован. Большой плюс этого метода — простота реализации и высокая скорость работы, но уровень обнаружения новых вредоносных программ при этом довольно низок.
Динамический метод появился одновременно с внедрением в антивирусные программы эмуляции команд процессора (подробнее эмулятор описан ниже). Суть этого метода состоит в эмуляции исполнения программы и протоколировании всех подозрительных действий программы. На основе этого протокола принимается решение о возможном заражении программы вирусом. В отличие от статического, динамический метод более требователен к ресурсам компьютера, однако и уровень обнаружения у него значительно выше.
Второй базовый механизм для борьбы с компьютерными паразитами тоже появился в середине 90-х годов — это эвристический анализ. Данный метод представляет собой существенно усложненный эмулятор, но в результате его работы анализируется не код подозрительного файла, а действия. Так, чтобы размножаться, файловый вирус должен копировать свое тело в память, открывать другие исполняемые файлы и записывать туда свое тело, записывать данные в сектора жесткого диска и т.д. Характерными действиями отличаются и сетевые черви — это доступ к адресной книге и сканирование жесткого диска на предмет обнаружения любых адресов электронной почты. Изучая такие действия, эвристический анализатор может обнаружить даже те вредоносные коды, сигнатуры которых еще не известны.
Антивирусные программы, установленные у пользователя, периодически проверяют наличие обновлений на веб-сервере антивирусной компании, и, как только обновление появляется, они его сразу же переписывают и устанавливают."
http://www.compress.ru/Archive/CP/2005/4/3/
|
Стратегии работы антивирусов - 
