Как антивирус находит жертвы

TanaT (TanaT@hotmail.ru)

Спецвыпуск Xakep, номер #035, стр. 035-080-6

Тем не менее, никто больше данной технологией не располагает. Разработчики других антивирусных пакетов часто говорят, что стопроцентной защиты не бывает. На самом деле, причина в другом. Разработка такой технологии требует денег, времени и мозгов. Далеко не у каждой компании все это есть.

Хочу обратить твое внимание на важный момент - поведенческий блокиратор лишь защищает от вирусов, но не лечит те файлы, в которых вирус уже есть. Это очень важный аспект, о котором не стоит забывать.

Пара слов о будущем

На наших глазах будущее становится настоящим. Недавно произошел существенный сдвиг в этом направлении: была изобретена новая технология iChecker.

Ее суть в объединении ревизора изменений и антивирусного сканера. Честно говоря, такой симбиоз уже давно напрашивался, но был далеко не очевиден. Когда мне рассказали об iChecker и об объединении этих двух модулей - все остальное стало сразу понятным. Но до этого очевидная, казалось бы, идея о сращивании двух мощнейших технологий не приходила мне в голову. Вот подробности об iChecker. Технология позволяет ощутимо (обычно в десятки, иногда в сотни раз) увеличить производительность твоего ПК. Напомню, в чем суть ревизора изменений: этот модуль запоминает уникальные данные о каждом файле, который может быть заражен. В качестве такой информации берется контрольная сумма, размер, дата последних изменений, адреса точек входа в процедуры и т.д. Далее ревизор каждый раз сравнивает параметры проверяемого файла с теми, что записаны в его базе данных. Если есть какие-либо несовпадения, то исследуемый файл тщательно анализируется (все изменения проверяются на "вирусоподобность"). Если объект идентифицирован как инфицированный, его почти всегда легко вылечить (ведь сохранилась информация о "здоровом" файле). За счет чего же достигается выигрыш во времени? Суть в том, что резидентный монитор использует в своей работе сканер. А сканер, в свою очередь, объединен с ревизором изменений, который хранит базу проверенных объектов. Таким образом, можно вообще не проверять уже проверенные файлы (на проверку которых в фоновом режиме расходуется много времени). Если говорить о системных файлах, которые используются (и, следовательно, проверяются монитором) очень часто, то такая экономия позволяет увеличить производительность минимум в несколько десятков раз.

Новая технология дает не только прирост производительности ПК, но и снижает системные требования антивирусного пакета (требуется меньше ОЗУ). Кто знает, может в будущем нас ждет объединение эвристиков и поведенческих блокираторов?

Эвристический анализатор - воплощение искусственного интеллекта, жизненная цель которого в том, чтобы находить вирусы.

*********

Как говорили лет десять назад: "Принес дискету с улицы, будь добр, проверь ее".

*********

Стелс-вирус контролирует систему и всегда успевает подсунуть на проверку совсем другой, неинфицированный файл. Таким образом, вирус остается невидимым и для сканера, и для каких бы то ни было других антивирусных средств.