Вся правда об антивирусах

Андрей Семенюченко

Спецвыпуск: Хакер, номер #058, стр. 058-038-7

Японские СМИ: полный текст новостей об уязвимости в Trend Micro - www.japantimes.co.jp/cgi-bin/getarticle.pl5?nn20050424a2.htm.

Вместо заключения

Безусловно, можно было бы долго подводить итоги о том, какой антивирус лучше. Но в моей статье не место субъективности, поэтому пусть факты и цифры от авторитетных источников говорят за себя сами. Были рассмотрены различные категории сравнения продуктов. Хотя, возможно, при покупке программ нам придется руководствоваться и другими принципами, принимая во внимание государственную сертификацию или цену дополнительной технической поддержки. Тем не менее, сочетая информацию из этой статьи со своими собственными идеями, можно значительно повысить эффективность построения системы защиты.

Мнение эксперта: антивирусные технологии

Зайцев Олег, автор AVZ (http://z-oleg.com/secur)

Говоря о технологиях работы современных антивирусов, можно утверждать, что для однозначной идентификации вредоносной программы необходимо применять механизм сигнатур. Однако работа любого антивируса, основанного на сигнатурном поиске, сводится к цепочке "обнаружение вредоносного кода пользователем" – "отправка антивируса разработчикам " – "анализ" – "включение сигнатур в базы" – "обновление баз". Всем ясно, что эта цепочка длинная и ключевым моментом является то, что кто-то должен обнаружить вредоносный код и прислать его аналитикам. Обнаружение может производиться опытным системщиком либо самим антивирусом – при помощи его эвристического анализатора. В настоящий момент, на мой взгляд, перспективны несколько направлений эвристики:

* Эвристик на основе сигнатур. Идея аналогична поиску вирусов, но в базу эвристика заносятся сигнатуры характерных фрагментов кода вирусов и троянских программ. Данная методика применяется в том или ином виде почти во всех антивирусах, она наиболее удачна (на мой взгляд) в антивирусе VBA: мне лично часто доводится видеть правильную реакцию его эвристика там, где другие антивирусы "молчали".

* Эмулятор. Эмулируя выполнение программы, можно проследить, какие действия она будет пытаться выполнить. Самая интересная и наглядная реализация - Norman Virus Control (применяется на сайте http://virusscan.jotti.org), который, по сути, проводит полноценное выполнение изучаемой программы на "виртуальном" ПК и всесторонне выведывает ее воздействие на систему. Для опыта можно отправить на указанный сайт для проверки характерный вирус или троян (например Pinch) и посмотреть результаты анализа. Другим применением эмулятора является распаковка программы, сжатой пакером или криптером, неизвестным для антивируса.