Вся правда об антивирусах

Андрей Семенюченко

Спецвыпуск: Хакер, номер #058, стр. 058-038-8

* Поведенческие анализаторы и блокираторы. Основаны на анализе действий, которые программы совершают на защищаемом ПК. Простейший анализатор отслеживает отдельные действия, более сложный – их последовательность в рамках отдельной программы и системы в целом.

* Поиск вредоносных программ по вторичным (косвенным) признакам. Данная методика хорошо зарекомендовала себя для поиска SpyWare и основана на поиске характерных файлов, ключей реестров, зарегистрированных классов, BHO и т.п.

О эвристике можно сразу сказать, что он не может дать 100% защиты и его работа сводится к удержанию баланса между приемлемым уровнем защиты и приемлемым уровнем ложных срабатываний. Как показали мои опыты, хорошим подспорьем в работе антивируса в целом и эвристика в частности может быть "антивирус наоборот". Идея метода проста: кроме внесения в базу сигнатур вирусов, можно вносить сигнатуры или цифровые подписи безопасных файлов. Применение базы чистых объектов на 30-50 тыс. записей может существенно облегчить анализ ПК путем снятия подозрений с известных безопасных процессов и библиотек.

Следует затронуть и другую проблему – руткиты. Как известно, руткит-технология позволяет изменить работу ядра системы по усмотрению разработчика руткита, в результате чего достаточно легко можно "спрятать" файлы, ключи реестра, открытые порты и прочие проявления работы вредоносной программы от антивируса или утилит пользователя. Данная технология постепенно осваивается вирусописателями, и в моей коллекции есть сотни образцов, от троянских программ и сетевых червей до SpyWare и порнозвонилок. Обнаружить и удалить руткит достаточно трудно, нейтрализовать на работающей системе – еще сложнее. Самое интересное то, что большинство антивирусов бессильны против руткита: мне, к примеру, доводилось консультировать специалистов одной фирмы, на сервере которой был найден руткит, маскирующий папку с целым набором разного хакерского инструментария и несколько процессов в памяти. При этом на сервере работал антивирус, который не высказывал ни малейшего подозрения.