Лекция
Это продолжение увлекательной статьи про компьютерные вирусы.
...
заражение представляет собой самокопирование кода вируса в выбранный в качестве жертвы объект. Классификация вирусов на этом этапе связана с анализом особенностей этого копирования и способов модификации заражаемых объектов.
Особенности заражения файловыми вирусами. По способу инфицирования жертвы вирусы можно разделить на два класса.
К первому классу относятся вирусы, которые не внедряют свой код непосредственно в программный файл, а изменяют имя файла и создают новый, содержащий тело вируса.
Второй класс составляют вирусы, внедряющиеся непосредственно в файлы-жертвы. Они характеризуются местом внедрения. Возможны следующие варианты.
Внедрение в начало файла. Этот способ является наиболее удобным для СОМ-файлов MS-DOS, так как данный формат не предусматривает наличие служебных заголовков. При внедрении этим способом вирусы могут либо производить конкатенацию собственного кода и кода программы-жертвы, либо переписывать начальный фрагмент файла в конец, освобождая место для себя.
Внедрение в конец файла. Это — наиболее распространенный тип внедрения. Передача управления коду вирусов обеспечивается модификацией первых команд программы (СОМ) или заголовка файла (ЕХЕ).
Внедрение в середину файла. Как правило, этот способ используется вирусами применительно к файлам с заранее известной структурой (например, к файлу COMMAND.COM) или же к файлам, содержащим последовательность байтов с одинаковыми значениями, длина которой достаточна для размещения вируса. Во втором случае вирусы архивируют найденную последовательность и замещают собственным кодом. Помимо этого вирусы могут внедряться в середину файла, освобождая себе место путем переноса фрагментов кода программы в конец файла или же «раздвигая» файл.
Особенности заражения загрузочными вирусами определяются особенностями объектов, в которые они внедряются, — загрузочными секторами гибких и жестких дисков и главной загрузочной записью (MBR) жестких дисков. Основной проблемой является ограниченный размер этих объектов. В связи с этим вирусам необходимо сохранить на диске ту свою часть, которая не уместилась на месте жертвы, а также перенести оригинальный код инфицированного загрузчика. Существуют различные способы решения этой задачи. Ниже приводится классификация, предложенная Е. Касперским.
Используются псевдосбойные секторы. Вирус переносит необходимый код в свободные секторы диска и помечает их как сбойные, защищая тем самым себя и загрузчик от перезаписи.
Используются редко применяемые секторы в конце раздела. Вирус переносит необходимый код в эти свободные секторы в конце диска. С точки зрения ОС эти секторы выглядят как свободные.
Используются зарезервированные области разделов. Вирус переносит необходимый код в области диска, зарезервированные под нужды ОС, а потому неиспользуемые.
Короткие вирусы могут уместиться в один сектор загрузчика и полностью взять на себя функции MBR или загрузочного сектора.
Особенности заражения макровирусами. Процесс заражения сводится к сохранению вирусного макрокода в выбранном документе-жертве. Для некоторых систем обработки информации это сделать не просто, так как формат файлов документов может не предусматривать возможность сохранения макропрограмм. В качестве примера приведем Microsoft Word 6.0. Сохранение макрокода для этой системы возможно только в файлах шаблонов (имеющих по умолчанию расширение .DOT). Поэтому для своего сохранения вирус должен контролировать обработку команды Save as из меню File, которая вызывается всякий раз, когда происходит первое сохранение документа на диск. Этот контроль необходим, чтобы в момент сохранения изменить тип файла-документа (имеющего по умолчанию расширение .DOC) на тип файла-шаблона. В этом случае на диске окажутся и макрокод вируса, и содержимое документа.
Помимо простого копирования кода вируса в заражаемый объект на этом этапе могут использоваться более сложные алгоритмы, обеспечивающие защиту вируса на стадии хранения. К числу таких вирусов относятся описанные выше полиморфные вирусы.
4. Выполнение деструктивных функций.
Вирусы могут выполнять помимо самокопирования деструктивные функции.
По деструктивным возможностям вирусы можно разделить на безвредные, неопасные, опасные и очень опасные.
Безвредные вирусы — это вирусы, в которых реализован только механизм самораспространения. Они не наносят вред системе, за исключением расхода свободной памяти на диске в результате своего распространения.
Неопасные вирусы — это вирусы, присутствие которых в системе связано с различными эффектами (звуковыми, видео) и уменьшением свободной памяти на диске, но которые не наносят вред программам и данным.
Опасные вирусы — это вирусы, которые могут привести к серьезным сбоям в работе компьютера. Последствием сбоя может стать разрушение программ и данных.
Очень опасные вирусы — это вирусы, в алгоритм работы которых заведомо заложены процедуры, непосредственно приводящие к разрушениям программ и данных, а также к стиранию информации, записанной в системных областях памяти и необходимой для работы компьютера.
На «степень опасности» вирусов оказывает существенное влияние та среда, под управлением которой вирусы работают.
Так, вирусы, созданные для работы в MS-DOS, обладают практически неограниченными потенциальными возможностями.
Распространение вирусов под управлением Windows NT/2000 ограничивается развитой системой разграничения доступа.
Возможности макровирусов напрямую определяются возможностями макроязыков, на которых они написаны. В частности, язык Word Basic позволяет создать мощные макровирусы, способные доставить пользователям серьезные неприятности.
Дополняя эту классификацию, можно отметить также деление вирусов на вирусы, наносящие вред системе вообще, и вирусы, предназначенные для целенаправленных атак на определенные объекты.
5. Передача управления программе-носителю вируса.
Здесь следует указать на деление вирусов на разрушающие и неразрушающие.
Разрушающие вирусы не заботятся о сохранении работоспособности инфицированных программ, поэтому для них этот этап функционирования отсутствует.
Для неразрушающих вирусов этот этап связан с восстановлением в памяти программы в том виде, в котором она должна корректно исполняться, и передачей управления программе-носителю вируса.
Вредоносные программы других типов.
Кроме вирусов принято выделять еще несколько видов вредоносных программ. Это троянские программы, логические бомбы, хакерские утилиты скрытого администрирования удаленных компьютеров, программы, ворующие пароли доступа к ресурсам Интернет и прочую конфиденциальную информацию. Четкого разделения между ними не существует: троянские программы могут содержать вирусы, в вирусы могут быть встроены логические бомбы и т. д.
Троянские программы не размножаются и не рассылаются сами. Внешне они выглядят совершенно безобидно и даже предлагают полезные функции. Но когда пользователь загрузит такую программу в свой компьютер и запустит ее, она может незаметно выполнять вредоносные функции. Чаще всего троянские программы используются для первоначального распространения вирусов, для получения удаленного доступа к компьютеру через Интернет, кражи данных или их уничтожения.
Логической бомбой называется программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия. Логическая бомба может, например, сработать по достижении определенной даты или тогда, когда в БД появится или исчезнет запись, и т. п. Такая бомба может быть встроена в вирусы, троянские программы и даже в обычные программы.
Для того чтобы создать эффективную систему антивирусной зашиты компьютеров и корпоративных сетей, необходимо четко представлять себе, откуда грозит опасность. Вирусы находят самые разные каналы распространения, причем к старым способам постоянно добавляются новые.
Классические способы распространения
Файловые вирусы распространяются вместе с файлами программ в результате обмена дискетами и программами, загрузки программ из сетевых каталогов, сWeb- или ftp-серверов. Загрузочные вирусы попадают на компьютер, когда пользователь забывает зараженную дискету в дисководе, а затем перезагружает ОС. Загрузочный вирус также может быть занесен на компьютер вирусами других типов. Макрокомандные вирусы распространяются в результате обмена зараженными файлами офисных документов, такими как файлы Microsoft Word, Excel, Access.
Если зараженный компьютер подключен к локальной сети, вирус легко может оказаться на дисках файл-сервера, а оттуда через каталоги, доступные для записи, попасть на все остальные компьютеры сети. Так начинается вирусная эпидемия. Системному администратору следует помнить, что вирус имеет в сети такие же права, что и пользователь, на компьютер которого этот вирус пробрался. Поэтому он может попасть во все сетевые каталоги, доступные пользователю. Если же вирус завелся на рабочей станции администратора сети, последствия могут быть очень тяжелыми.
Электронная почта
В настоящее время глобальная сеть Internet является основным источником вирусов. Большое число заражений вирусами происходит при обмене письмами по электронной почте в форматах Microsoft Word. Электронная почта служит каналом распространения макрокомандных вирусов, так как вместе с сообщениями часто отправляются офисные документы.
Заражения вирусами могут осуществляться как непреднамеренно, так и по злому умыслу. Например, пользователь зараженного макровирусом редактора, сам того не подозревая, может рассылать зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма и т. д. С другой стороны, злоумышленник может преднамеренно послать по электронной почте вместе с вложенным файлом исполняемый модуль вирусной или троянской программы, вредоносный программный сценарий Visual Basic Script, зараженную или троянскую программу сохранения экрана монитора, словом — любой опасный программный код.
Распространители вирусов часто пользуются для маскировки тем фактом, что диалоговая оболочка Microsoft Windows по умолчанию не отображает расширения зарегистрированных файлов. Например, файл с именем FreeCreditCard.txt.exe, будет показан пользователю как FreeCreditCard.txt. Если пользователь попытается открыть такой файл, будет запущена вредоносная программа.
Сообщения электронной почты часто приходят в виде документов HTML, которые могут включать ссылки на элементы управления ActiveX, апплеты Java и другие активные компоненты. Из-за ошибок в почтовых клиентах злоумышленники могут воспользоваться такими активными компонентами для внедрения вирусов и троянских программ на компьютеры пользователей. При получении сообщения в формате HTML почтовый клиент показывает его содержимое в своем окне. Если сообщение содержит вредоносные активные компоненты, они сразу же запускаются и выполняют заложенные в них функции. Чаще всего таким способом распространяются троянские программы и черви.
Троянские Web-сайты
Пользователи могут «получить» вирус или троянскую программу во время простого серфинга сайтов Интернета, посетив троянский Web-сайт. Ошибки в браузерах пользователей зачастую приводят к тому, что активные компоненты троянских Web-сайтов (элементы управления ActiveX или апплеты Java) внедряют на компьютеры пользователей вредоносные программы. Здесь используется тот же самый механизм, что и при получении сообщений электронной почты в формате HTML. Но заражение происходит незаметно: активные компоненты Web-страниц могут внешне никак себя не проявлять. Приглашение посетить троянский сайт пользователь может получить в обычном электронном письме.
Локальные сети
Локальные сети также представляют собой путь быстрого заражения. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в локальную сеть заражает один или несколько служебных файлов на сервере. В качестве таких файлов могут выступать служебный файл LOGIN.COM, Excel-таблицы и стандартные документы-шаблоны, применяемые в фирме. Пользователи при входе в эту сеть запускают зараженные файлы с сервера, и в результате вирус получает доступ на компьютеры пользователей.
Другие каналы распространения вредоносных программ
Одним из серьезных каналов распространения вирусов являются пиратские копии ПО. Часто нелегальные копии на дискетах и CD-дисках содержат файлы, зараженные разнообразными типами вирусов. К источникам распространения вирусов следует также отнести электронные конференции и файл-серверы ftpи BBS. Часто авторы вирусов закладывают зараженные файлы сразу на несколько файл-серверов ftp/BBS или рассылают одновременно по нескольким электронным конференциям, причем зараженные файлы обычно маскируют под новые версии программных продуктов и даже антивирусов. Компьютеры, установленные в учебных заведениях и Интернет-центрах и работающие в режиме общего пользования, также могут легко оказаться источниками распространения вирусов. Если один из таких компьютеров оказался зараженным вирусом с дискеты очередного пользователя, тогда дискеты и всех остальных пользователей, работающих на этом компьютере, окажутся зараженными.
По мере развития компьютерных технологий совершенствуются и компьютерные вирусы, приспосабливаясь к новым для себя сферам обитания. В любой момент может появиться компьютерный вирус, троянская программа или «червь» нового, неизвестного ранее типа, либо известного типа, но нацеленного на новое компьютерное оборудование. Новые вирусы могут использовать неизвестные или не существовавшие ранее каналы распространения, а также новые технологии внедрения в компьютерные системы. Чтобы исключить угрозу вирусного заражения, системный администратор корпоративной сети должен внедрять методики антивирусной защиты и постоянно отслеживать новости в мире компьютерных вирусов.
Вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
В настоящий момент существует множество антивирусных программ, используемых для предотвращения попадания вирусов в ПК. Однако нет гарантии, что они смогут справиться с новейшими разработками. Поэтому следует придерживаться некоторых мер предосторожности, в частности:
Методы защиты программ и данных:
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение.
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.
Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.
Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов.
Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Более 20 лет компьютерные вирусы досаждают пользователям по всему миру, и более 20 лет антивирусные эксперты борются с ними. За это время антивирусные программы прошли путь от любительских до коммерческих пакетов, приносящих своим авторам миллионы долларов. Однако практически все основные анивирусные технологии были придуманы еще к середине 90-х годов, и последние 10 лет наблюдается лишь экстенсивное их развитие.
Каким будет антивирус завтра? Какие технологии будут использоваться в антивирусе 2010? Что бы лучше понять, почему современные антивирусы такие какие они есть, и в каком направлении развивается мысль авторов и архитекторов антивирусов, полезно сделать краткий экскурс в прошлое и посмотреть какой путь прошли антивирусы.
Антивирусы неразрывным образом связаны со своим антиподом — вирусами. Исчезни, вдруг, по какой-либо причине вирусы, нужда в антивирусах бы отпала. Но, к счастью для разработчиков антивирусов, такая ситуация из ряда гипотетических и фантастических. Поэтому, чтобы лучше понять, этапы эволюционного развития антивирусных программ, необходимо рассматривать их совершенствование неотрывно от совершенствования самих вирусов.
Преистория. Конец 80-х. Все первые вирусы были по современным меркам примитивными. Большинство вирусов начального периода заражала исполняемые файлы типа COM, чуть более сложные EXE файлы заражались реже. Причина этому — наличие некоторых сложностей, с которыми большинство вирусописателей того периода не могли справиться (шифрование, полиморфизм или другие сложные алгоритмы). В ответ на появление первых вредоносных программ, которые были довольно примитивными, появилось множество таких же примитивных антивирусных программ.
Поток новых вирусов был мизерным — несколько вирусов в месяц, никаких сложностей с точки зрения программирования антивируса не было. Все антивирусы того периода отличались лишь алгоритмами обхода дерева каталога, и скорость работы антивируса зависела именно от этого, а не от работы антивирусного движка. Да и движка-то как такового не было. Был набор из нескольких десятков сигнатур, которые хранились в теле программы и процедура поиска этих сигнатур в файлах. Кстати, некоторые разработчики даже не утруждали себя шифрованием сигнатур, поэтому в то время были не редки случаи, когда один антивирус находил вирус в другом антивирусе. Кроме антивирусных сканеров ничего другого тогда не было. И не нужно было.
Каменный век. Начало 90-х. В 1990 г. появилось новое поколение вирусов — полиморфные вирусы. Хотя в то время такое слово и не использовалось. Первый представитель этого типа вредоносных программ, Chameleon (С1260, V2P1, V2P2 и V2P6), «эволюционировал»; из двух других ранее известных вирусов — Vienna и Cascade. В отличие от Cascade, Chameleon изменял внешний вид как тела вируса, так и самого расшифровщика, ни оставляя ни одного постоянного байта. Антивирусные конференции того периода, были полны восторженных возгласов по поводу сложности и красоты кода. Параллельно разработчики антивирусов обсуждали, как теперь это можно ловить, потому что полиморфизм делал современные антивирусные программы малоэффективными. В Chameleon отсутствовал постоянный вирусный код, что делало разработку новых принципов антивирусной защиты приоритетной задачей.
Разумеется, такие принципы не заставили себя долго ждать, и вскоре антивирусные эксперты изобрели специальные алгоритмические языки, способные распознать в зараженном файле даже полиморфный вирус. Появление первых сколько-нибудь сложных вирусов не смогли пережить многие примитивные антивирусы. Также росло и число вирусов.
Параллельно с разработкой сканеров, шли и эксперименты с другими лекарствами. В начале 90-х были популярны программы вакцины (или вакцинаторы). Идею авторы таких программ подсмотрели в медицине. Нужно заметить, что на ранней стадии развития компьютерной вирусологии довольно много было заимствовано из медицины. Начиная от термина вирус и заканчивая методами лечения и борьбы. Только через несколько лет эксперты отошли от копирования медицинских терминов и методов, а тогда почти все проводили аналогии. Одной из аналогий были вакцины. Они работали по тому же принципу, что и медицинские вакцины — делалась некая «прививка» и вирус больше не мог заражать «привитый» или вакцинированный файл. Поводом для разработки вакцин послужил тот факт, что все более-менее разумно написанные вирусы проверяли файл жертву на наличие своей копии, что бы избежать повторного заражения. Для этого обычно применялась некая метка, говорящая о том, что файл уже заражен. Например, знаменитый Иерусалимский вирус добавлял 5 байт к концу зараженного файла "MsDoS".
Программы вакцинаторы делали то же самое. Казалось бы, гениальная идея — сканеры больше не нужны. Но вирусописатели нашли и против этого убийственное оружие — они не ставили метки, они просто искали свое тело в жертве и сравнивали все тело, байт в байт. Т.е. меткой становилось все тело вируса. Против этого вакцины были бессильны. Вторым аргументом, который добил вакцины, стало… количество вирусов. Вакцина против 10-ти или даже 100 вирусов это реально, а против 10000 уже нет.
Эра полиморфиков. Смерть простых антивирусов. 1992-1995 годы. В 92-м появился первый генератор полиморфного кода — MtE (Mutation Engine). Первая мысль, посетившая антивирусых экспертов — «все, это конец. Теперь любой пионер сможет создать сложнейший вирус». Если раньше появлялся более-менее сложный полиморфный вирус раз в месяц, то после появления MtE таких вирусов стало несколько десятков и появлялись они чуть ли ни каждый день.
1992 г. стал переломным годом в эволюции антивирусных средств. Нужно было что-то такое, что помогло бы бороться с полиморфными вирусами. И выход был найден — эмулятор кода. Полиморфные вирусы после расшифровки всегда одинаковы и нужно было придумать нечто, что смогло бы «снять» зашифрованную часть и позволило добраться до постоянного тела вируса. Такую операцию делали антивирусные эксперты при анализе вируса, но делали это при помощи отладчика.
Некоторые авторы антивирусов так и поступили — добавили возможности отладчика (трассировку исполняемого кода) в свои программы. Это, конечно, облегчило задачу, но вирусописатели довольно быстро научились ускользать из под отладчиков (а это, если честно, не сложно было сделать). Получилось, что авторы антивирусов добились обратного эффекта — их программы сами способствовали запуску вирусов. Требовалось что-то другое и этим другим стал эмулятор. Первым антивирусом с эмулятором стал AVP (в 2000 году название программы изменено на Антивирус Касперского). Это сейчас без эмулятора не мыслим современный антивирус, а тогда использование эмулятора было супер новой идеей. Использование эмулятора позволяло обнаружить любой полиморфный вирус того периода.
Появление большого количества полиморфных вирусов отразилось и на молодой антивирусной индустрии. Если до 92-го любой программист мог написать антивирус, который бы справлялся со всеми вирусами того периода, то после MtE таких программистов остались десятки т.к. задача написания эмулятора была не всем под силу.
Конечно же, не только эмулятор использовался для обнаружения полиморфных вирусов. К другим инструментам, использовавшимся (и использующимся) для поиска полиморфных вирусов в начале 90-х, относятся криптоанализ и статистический анализ.
Криптоанализ заключается в следующем: по известному базовому коду вируса и по известному зашифрованному коду (или по "подозрительному" коду, похожему на зашифрованное тело вируса) восстанавливаются ключи и алгоритм программы-расшифровщика. Затем этот алгоритм применяется к зашифрованному участку, результатом чего является расшифрованное тело вируса. При решении этой задачи приходится иметь дело с системой уравнений.
Как правило, этот способ работает значительно быстрее и занимает гораздо меньше памяти, чем эмуляция инструкций вируса. Однако решение подобных систем часто является задачей высокой сложности. Причем основная проблема — это математический анализ полученного уравнения или полученной системы уравнений. Т.е. требовалась очень серьезная математическая и криптографическая подготовка эксперта, который бы пользовался этим методом.
Статистический анализ. Во время своей работы сканер анализирует частоту использования команд процессора, строит таблицу встречающихся команд процессора (опкодов) и на основе этой информации делает вывод о заражении файла вирусом. Данный метод эффективен для поиска некоторых полиморфных вирусов т.к. эти вирусы используют ограниченный набор команд в декрипторе, тогда как «чистые» файлы используют совершенно другие команды с другой частотой. Например, все программы для MS DOS часто используют прерывание 21h (опкод CDh 21h), однако в декрипторе полиморфных DOS-вирусов эта команда практически не встречается. Основной недостаток этого метода в том, что есть ряд сложных полиморфных вирусов, которые используют почти все команды процессора, и от копии к копии набор используемых команд сильно изменяется, т.е. по построенной таблице частот не представляется возможным обнаружить вирус.
Справедливости ради, необходимо заметить, что и криптоанализ и статистический анализ применяется для обнаружения вредоносных программ и по сей день.
В начале 90-х локальных сетей было мало, а про интернет вообще никто не говорил и, следовательно, все антивирусы были предназначены для персональных компьютеров.
Названия популярных антивирусов того периода уже ничего не скажут современным пользователям: -V, Aidstest, SOS!, Lecar, Lie Detector, Anti-Kot, TNT Antivirus, Doctor Solomon Antivirus Kit, Central Point Antivirus и другие.
Вирусов становится все больше. Эвристический анализатор. На рубеже 1992-1993 гг. количество вирусов перевалило за 1000. И примерно в тоже время разработчики антивирусов задумались о том, как можно обнаруживать новые (неизвестные) вирусы. Первым антивирусом, который мог обнаруживать неизвестные вирусы стал Lie Detector Евгения Сусликова . Принцип работы LD был довольно просто — каждый вирус во время своей работы должен совершить ряд действий — найти файл жертву, открыть файл для записи, заразить ее (модифицировать), закрыть файл. Любое из этих действий можно сделать ограниченным количеством методов. Соответственно ограничен и набор команд процессора и сигнутур. Эти команды и искал LD. Затем происходит анализ найденных сигнатур и если найдено некоторое количество необходимых и достаточных «подозрительных команд», то принимается решение о том, что файл инфицирован. Большой плюс этого метода — простота реализации и скорость работы, но при этом уровень обнаружения новых вредоносных программ довольно низок. Эвристические анализаторы, работающие на этом принципе, называют эвристиками первого поколения. Единственным недостатком LD была невозможность обнаруживать новые полиморфные вирусы.
Естественным развитием было совмещение эвристического анализатора и эмулятора. Но добавление эмулятора дало еще одно преимущество перед эвристиками первого поколения — возможность эмулирования не только процессора, но и операционной системы. Суть работы такого эвристика состоит в эмуляции исполнения программы и протоколировании всех «подозрительных» ее действий. На основе этого протокола принимается решение о возможном заражении программы вирусом.
В отличии от эвристических анализаторов первого поколения, новые эвристики более требовательны к ресурсам компьютера, однако и уровень обнаружения у них метода значительно выше. Эвристические анализаторы в большинстве современных антивирусов являются эвристиками второго поколения. Казалось бы, эвристики второго поколения могут обнаружить все вредоносные программы, если бы удалось создать 100% эмулятор, но эта задача не реализуема (особенно, если учесть сложность современных операционных систем) и поэтому (но не только поэтому) эвристик не может достичь результата в 100%.
А что если не эмулировать, а дать возможность исполняться программе в контролируемой среде? Ответом на этот вопрос стало появление поведенческих блокираторов.
История поведенческих блокираторов насчитывает уже
продолжение следует...
Часть 1 10.5. Компьютерные вирусы и антивирусы Классификация, способы заражения, лечения и профилактики, жизненный цикл
Часть 2 4 Основные каналы распространения вирусов и других вредоносных программ -
Часть 3 Антивирус - 10.5. Компьютерные вирусы и антивирусы Классификация, способы заражения,
|
Вредоносное программное обеспечение
|
|
|---|---|
| Инфекционное вредоносное ПО |
|
| Методы сокрытия |
|
| Вредоносные программы для прибыли |
|
| По операционным системам |
|
| Защита |
|
Пожалуйста, пиши комментарии, если ты обнаружил что-то неправильное или если ты желаешь поделиться дополнительной информацией про компьютерные вирусы Надеюсь, что теперь ты понял что такое компьютерные вирусы, антивирус, компьютерны вирус, способы заражения, лечение виусов, профилактика, жизненный цикл вируса, лжеантивирусы, полиморфик-генератор и для чего все это нужно, а если не понял, или есть замечания, то не стесняйся, пиши или спрашивай в комментариях, с удовольствием отвечу. Для того чтобы глубже понять настоятельно рекомендую изучить всю информацию из категории Информатика
Комментарии
Оставить комментарий
Информатика
Термины: Информатика