Вся правда об антивирусах

Андрей Семенюченко

Спецвыпуск: Хакер, номер #058, стр. 058-038-5

Высокие технологии

На какие только ухищрения не идут злоумышленники при написании своих детищ, но антивирусные разработчики тоже не сидят на месте и используют различные методы детектирования. Вот основные:

1. Использование сигнатур и контрольных сумм. Это самый распространенный метод, основанный на сравнении имеющихся сигнатур с сигнатурами сканируемых файлов.

2. Эвристический анализатор. Эвристика (греч. heurisko - отыскиваю, открываю) – это наука, изучающая продуктивное творческое мышление и использующая специальные методы с целью открытия нового. С помощью эвристики можно распознать вирусную программу по типу выполняемых действий. Иногда эвристический анализатор позволяет детектировать целое семейство одного вируса по заданному алгоритму.

Современные эвристические анализаторы позволяют обнаруживать вредоносные коды в исполняемых файлах, секторах и памяти, а также новые скрипт-вирусы и вредоносные программы для Microsoft Office (и других программ, использующих VBA) и, наконец, вредоносный код, написанный на языках высокого уровня, таких как Microsoft Visual Basic. Гибкая архитектура и комбинация различных методов позволяет добиться достаточно высокого уровня детектирования новых вредоносных программ. Высокая эффективность эвристического анализатора наблюдается при детектировании эксплойтов.

3. Эмуляция. При данном подходе создается виртуальная среда, в рамках которой эмулируется поведение подозреваемой программы. Позволяет распознавать полиморфные вирусы.

Кроме того, многие компании имеют свои уникальные технологии, содействующие эффективному использованию антивируса. Так в антивирусном "движке" Антивируса Касперского реализован ряд технологий, которые значительно ускоряют проверку объектов и при этом гарантируют сохранение высокого качества детектирования, а также улучшают детектирование и лечение вредоносного программного обеспечения в архивных файлах.

Технология iChecker позволяет добиться разумного баланса между надежностью защиты рабочих станций (особенно серверов) и использованием системных ресурсов защищаемого компьютера. Благодаря этой технологии значительно сокращается время загрузки (до 30-40%) операционной системы (по сравнению с традиционными антивирусными решениями) и время запуска приложений при активной антивирусной защите. При этом гарантируется, что все файлы на дисках компьютера были проверены и не инфицированы. Основная идея данной технологии – не проверять то, что не изменялось и уже было проверено. Антивирусный "движок" ведет специальную базу данных, в которой хранятся контрольные суммы всех проверенных (и неинфицированных) файлов. Теперь, прежде чем отдать файл на проверку, "движок" подсчитывает и сравнивает контрольную сумму файла с данными, хранящимися в базе данных. Если данные совпадают, значит, файл был проверен и повторная проверка не требуется. Стоит заметить, что время, затрачиваемое на подсчет контрольных сумм файла, значительно меньше, чем время антивирусной проверки.