Антивирусная индустрия в канун десятилетия — страница 8

  • Просмотров 3252
  • Скачиваний 192
  • Размер файла 35
    Кб

выполнятся код вируса и затем опять идет выполнение программы. В случае с зашифрованной программой все сложнее. Идет выполнение программы, потом включается дешифратор, который расшифровывает вирус, затем отбрасывает вирус и опять идет исполнение кода основной программы. Код вируса в каждом случае зашифрован по разному. Если в случае нешифрованного вируса эталонное сравнение позволяет «узнать» вирус по некоторой постоянной

сигнатуре, то в зашифрованном виде сигнатура не видна. При этом искать дешифратор практически невозможно, поскольку он очень маленький и детектировать такой компактный элемент бесполезно, потому что резко увеличивается количество ложных срабатываний. В подобном случае прибегают к технологии эмуляции процессора (антивирусная программа эмулирует работу процессора для того, чтобы проанализировать исполняемый код вируса).

Если обычно условная цепочка состоит из трех основных элементов: ЦПУ ОС . Программа (рис.2), - то при эмуляции процессора в такую цепочку добавляется эмулятор, о котором программа ничего не знает и, условно говоря, «считает», что она работает с центральной оперативной системой. Таким образом, эмулятор как бы воспроизводит работу программы в некотором виртуальном пространстве или реконструирует ее оригинальное содержимое.

Эмулятор всегда способен прервать выполнение программы, контролирует ее действия, не давая ничего испортить, и вызывает антивирусное сканирующее ядро. Эвристический анализ Для того чтобы размножаться, вирус должен совершать какие – то конкретные действия: копирование в память, запись в сектора, и т. д. Эвристический анализатор (который является частью антивирусного ядра) содержит список таких действий, просматривая

выполняемый код программы, определяет, что она делает, исходя из этого приходит к выводу, является ли данная программа вирусом или нет. Принципиальное отличие эвристического анализатора от поведенческого блокиратора состоит в том, что последний не рассматривает программу как набор команд. Блокиратор отслеживает действия программы в процессе ее работы, а эвристический анализатор начинает работу до выполнения программы.

Первый эвристический анализатор появился в начале 90–х годов. Заключение В рамках международного рынка информации остро стоит проблема сохранение информации, особенно, в последнее время, когда идет всеобщая компьютеризация общества. Все больше фирм и предприятий внедряют на производстве компьютеры, сохраняя в них ценную информацию и желая оградить себя от потери или порчи данной информации. Это обусловило развитие такого