Антивирусните програми от Casper

05.06.20071 Коментар

Всяка операционна система работи по различен начин. Работата на антивирусните програми също е различна под всяка операционна система. Операционната система и антивирусната програма си влияят взаимно, което е причина антивирусната програма да не може да си свърши работата в дадени моменти и ситуации. Различните особености и настройки на операционната система я карат да се държи различно. Същата е ситуацията и при антивирусната програма. И когато тя не може да си свърши работата, това е не защото тя самата не може, а защото операционната система ангажира определен ресурс, както и файла/файловете отговарящи за този ресурс. Антивирусната програма не може да го ползва, защото той е зает, и е принудена да чака докато операционната система го освободи. Принудителното освобождаване на ресурсите под Windows става като се стартира Windows в Safe Mode. Тогава антивирусната програма работи свободно, защото няма кой да и пречи. Всяка антивирусна програма разчита на операционната система да я стартира в даден момент. При стартиране на Windows в Safe Mode, най-общо казано, той стартира само себе си, без да стартира различните допълнителни драйвери, services, локална мрежа и интернет, не се стартира дори DirectX и самата антивирусна програма. Това е умишлено, за да може всичко като ресурс да се освободи. Много от съвременните вируси и различните шпионски програми стартират скрити процеси, като заемат ресурси и пречат на антивирусната програма да се прави със заразените файлове. В Safe Mode, тези процеси също няма да се стартират. Следва да стартирате ръчно анти-вирусната си програма и да я оставите да идентифицира и премахне заразените файлове, без да се притеснявате, че те няма да са достъпни.

Допълнително инсталираните програми и особено защитните стени, анти-спайуер програмите също влияят на операционната система и на антивирусната програма, като може да възникнат несъвместимости и неправилна работа на системата. Основната задача на антивирусната програма е да спре вируса, без да му позволи да ви зарази, а също и да открива и елиминира вируси в системата. Има вируси, обаче, които имат за цел и повреждат програми или само файлове в компютъра. Хубаво е да запомните, че антивирусната програма не коригира нанесени от вируси щети. Производителите на софтуер винаги прилагат към продуктите си подробна документация относно ползването и възможностите им. Добре е да се запознаете с тази документация и при възникване на проблем, който не е описан там да потърсите допълнителна информация или да се свържете директно с производителите.

Една от основните части на антивирусната програма е така наречения антивирусен двигател – модул, отговарящ за проверката на обектите и обезоръжаването на вредните програми и компоненти. От това как е разработен и какви методи за откриване и евристика използва той, зависи качеството на вирусите и като следствие, нивото на защитата, предоставено от антивирусната програма.

Основните критерии, по които може да се определи качеството на антивирусния модул са:

  • Нивото на откриване с евристични анализатори.
  • Нивото на лъжливите сработвания. Ако за 100% не заразени файлове, програмата рапортува за възможно заразен файл, то това е лъжливо сработване. Фалшива тревога.
  • Поддръжката на голямо количество опаковчици и архиватори. Това е много важен фактор, защото създателите на вредни програми, написали и получили няколко различни вируса ги опаковат в няколко изпълними модули, след което ги разпространяват. За антивируси поддържащи почти всички познати архиватори, няма да е трудно да идентифицират всички тези модификации на вируса.
  • Честота и размер на обновяванията на антивирусната база. Честото обновяване гарантира, че потребителя винаги ще бъде защитен и от току що появили се вируси.
  • Възможност за обновяване на самия антивирусен двигател, без обновяване на цялата програма. В някои случаи, за изолирането на вирус трябва да се обнови не само антивирусната база, но и самия антивирусен двигател. Ако софтуерът не поддържа подобна опция, то потребителя може да остане беззащитен пред новите вируси, а и тази възможност позволява да се подобри двигателя на антивирусната програма или да се коригират възникнали или открити пробиви и грешки.

С появяването на първите вируси, програмистите бързо се ориентирали в принципите им на работа и започнали да създават първите антивирусни програми. От тогава е изминало доста време (първите сведения за вируси и антивирусни програми датират още от 70-те години) и съвременни-те вируси и антивируси са се развили и изменили много.

Антивирусният двигател (Anti-Virus Engine) е основен компонент във всяка антивирусна програма. За откриването на вируси са реализирани няколко технологии при повечето антивирусни двигатели:

  • Търсене по “сигнатура” (байтове с уникална последователност)
  • Търсене по контролни суми или CRC (контролни суми с уникална последователност на байтовете)
  • Използване на редуцирани маски.
  • Криптоанализ.
  • Статистически анализ.
  • Евристичен анализ.
  • Емулация.

Търсене по “сигнатура”. Сигнатура – това е уникална “линия” байтове, която еднозначно характеризира тази или онази вредоносна програма. Сигнатурното търсен се използва за изолиране на вируси и други вредни програми, като се прилага от времето на най-първите антивирусни програми да сега. Неоспоримо качество на сигнатурното търсене е – скоростта на работа и възможността да открива няколко вируса с една сигнатура.

Търсенето по контролни суми (CRC – cyclic redundancy check се явява модификация на търсенето по сигнатури. Метода е разработен за да се избегнат основните недостатъци на сигнатурното търсене – размера на базата и намаляване на вероятността от лъжливи сработвания. Същността на метода се състои в това, че за да се открие вредния код се взима не само “опорния” ред – сигнатура, а по-точно казано контролната сума на този ред и местоположението на сигнатурата в тялото на вредоносната програма. Местоположението се използва, за да не се събират контролни суми за целия файл.

Използването на маски за разкриването на вредния код, много често е усложнено от наличието на шифрован код (при така наречените полиморфни вируси), защото в тези случаи, или е невъзможно да се избере маска, или маската с максимален размер не удовлетворява условието за еднозначна идентификация на вируса, без лъжливи сработвания.

Криптоанализът се изразява в следното: по известен базов код на вируса и по известен зашифрован код (или по подозрителен код, приличащ на зашифровано тяло на вирус) се възстановяват ключовете и алгоритъма на програмите на разшифровчика. След това, този алгоритъм се прилага към зашифрования участък и в резултат от това се явява разшифрованото тяло на вируса. При решението на тези задачи се налага използването на системни уравнения.

Статистическият анализ също се използва за откриване на полиморфни вируси. По време на своята работа, скенера анализира честотата на използваните команди, прави таблица на срещащите се команди и на основата на тази информация прави извод за заразяването на файла с вирус. Този метод е ефективен за търсене на някои полиморфни вируси, защото тези вируси използват ограничен набор команди, докато чистите файлове използват съвсем други команди, с друга честота.

Евристичен анализ. С увеличаването на броя на вирусите, антивирусните експерти се замислили над идеята за разкриване на вредни програми, за съществуването на които антивирусната програма още не знае (няма съответстващи сигнатури). В резултат били създадени така наречените евристични анализатори. Те представляват набор от програми, които анализират кода на изпълнимите файлове, макроси, скриптове, памети или застрашени сектори за изолиране в тях на различни типове вредоносни компютърни програми. Съществуват два принципа на работа на анализатора.
Статичен метод. Търсене на общи кратки сигнатури, които присъстват в повечето вируси (така наречените “подозрителни команди”).
Динамичен метод. Този метод се е появил едновременно с внедряването в антивирусните програми на емулации на команди. Същността на метода се състои в емулация на изпълнение на програмите и протоколиране на всички техни “подозрителни” действия. Въз основа на този протокол се взима решение за възможно заразяване с вирус. За разлика от статичния, динамичния метод използва повече ресурси, но и нивото на откриване е по-високо.

Емулация. Технологията на емулиране на кода на програмата (Sandboxing) се появила в отговор на появяването на голям брой полиморфни вируси. Идеята на този метод се състои в това, че емулира изпълнението на програмата в специален буфер. След емулацията в буфера се намира разшифрованото тяло на вируса, което е готово вече за идентифициране със стандартните методи (сигнатурно или CRC търсене).

източник: softvisia.com

Кратки URL адреси:   

1 Коментар по темата

Denica says:

:):):)Това е отлично но ако имаше малко повече за някой други анти-вирусни програми като например за НОД32 да се oпише какво прави тя какви функции изпалнява щеше да е мн добре и не само тя и други анти-вирусни програми!!! Аз лично ползвам НОД32 и съм много доволна!!! :):):)

Добави коментар

Какво е нужно да знаеш, за да публикуваш успешно своя коментар...

  • Моля, пиши коментарите си на кирилица.
  • Полета Име, Email, Анти-Бот и Коментар са задължителни. (Споко, email-a остава скрит)
  • Ако ще посочваш сайт, нека е твой или просто остави полето празно.
  • Изпиши с цифри верния отговор на Анти-Бот въпроса в съответното поле.
  • Изчакай поне 30 сек. от зареждането на страницата, преди да натиснеш Добави коментар.

Благодаря предварително за включването по темата! При проблеми - ползвай формата за контакт...

Ако коментарът ти е бил изтрит, то ти препоръчвам да прочетеш първо тази тема - And your point is?

30 секунди преди да можеш да добавиш своя коментар...

Добави Facebook коментар