- •Методи виявлення вірусів
- •Метод відповідності визначенню вірусів в словнику
- •Метод виявлення дивної поведінки програм
- •Метод виявлення за допомогою емуляції
- •Метод "Білого списку"
- •Евристичний аналіз
- •Структура антивірусних програм Модуль оновлення
- •Модуль планування
- •Модуль управління
- •Карантин
- •Захист p2p і засобів обміну миттєвими повідомленнями
Метод виявлення за допомогою емуляції
Деякі програми-антивіруси намагаються імітувати початок виконання коду кожної нової програми, що викликається на виконання, перш ніж передати їй управління. Якщо програма використовує само код, що змінюється, або проявляє вірусну активність, така програма вважатиметься шкідливою, здатною заразити інші файли. Проте цей метод теж рясніє великою кількістю помилкових попереджень.
Метод "Білого списку"
Загальна технологія по боротьбі з шкідливими програмами - це "білий список". Замість того, щоб шукати тільки відомі шкідливі програми, ця технологія запобігає виконанню усіх комп'ютерних кодів за винятком тих, які були раніше позначені системним адміністратором як безпечні. Вибравши цей параметр відмови за умовчанням, можна уникнути обмежень, характерних для оновлення сигнатур вірусів. До того ж, ті застосування на комп'ютері, які системний адміністратор не хоче встановлювати, не виконуються, оскільки їх немає в "білому списку". Оскільки у сучасних підприємств є безліч надійних застосувань, відповідальність за обмеження у використанні цієї технології покладається на системних адміністраторів і відповідним чином складені ними "білі списки" надійних застосувань. Робота антивірусних програм з такою технологією включає інструменти для автоматизації переліку і експлуатації дій з "білим списком".
Евристичний аналіз
В цілому терміном "евристичний аналіз" сьогодні називають сукупність функцій антивіруса, націлених на виявлення невідомих вірусним базам шкідливих програм, але в той же час цей же термін означає один з конкретних чинів.
Евристичне сканування в цілому схоже з сигнатурним, проте, на відміну від нього, шукається не точний збіг із записом в сигнатурі, а допускається розбіжність. Таким чином стає можливим виявити різновид раніше відомого вірусу без необхідності оновлення сигнатур. Також антивірус може використовувати універсальні евристичні сигнатури, в яких закладений загальний вигляд шкідливої програми. У такому разі антивірусна програма може лише класифікувати вірус, але не дати точної назви.
HIPS
HIPS - система моніторингу усіх застосувань, що працюють в системі, з чітким розподілом прав для різних застосувань. Таким чином HIPS може запобігти деструктивній діяльності вірусу, не надавши йому необхідних прав. Додатки діляться на групи, починаючи від "Довірених", права яких не обмежені, закінчуючи "Заблокованими", яким HIPS не надасть прав навіть на запуск.
Структура антивірусних програм Модуль оновлення
В першу чергу, кожен антивірус повинен містити модуль оновлення. Це пов'язано з тим, що основним методом виявлення вірусів сьогодні є сигнатурний аналіз, який покладається на використання антивірусної бази. Для того, щоб сигнатурний аналіз ефективно справлявся з найостаннішими вірусами, антивірусні експерти постійно аналізують зразки нових вірусів і випускають для них сигнатури. Після цього головною проблемою стає доставка сигнатур на комп'ютери всіх користувачів, що використовують відповідну антивірусну програму. Саме це завдання і вирішує модуль оновлення. Після того, як експерти створюють нові сигнатури, файли з сигнатурами розміщуються на серверах компанії - виробника антивіруса і стають доступними для завантаження. Модуль оновлення звертається до цих серверів, визначає наявність нових файлів, завантажує їх на комп'ютер користувача і дає команду антивірусним модулям використовувати нові файли сигнатур. Модулі оновлення різних антивірусів вельми схожі один на одного і відрізняються типами серверів, з яких вони можуть завантажувати файли оновлень, а точніше, типами протоколів, які вони можуть використовувати при завантаженні, - HTTP, FTP, протоколи локальних Windows-мереж. Деякі антивірусні компанії створюють спеціальні протоколи для завантаження своїх оновлень антивірусної бази. У такому разі модуль оновлення може використовувати і цей спеціальний протокол. Друге, в чому можуть відрізнятися модулі оновлення - це настройка дій, на випадок, якщо джерело оновлень недоступне. Наприклад, в деяких модулях оновлення можна вказати не одну адресу сервера з оновленнями, а адреси декількох серверів, і модуль оновлення звертатиметься до них по черзі, поки не виявить працюючий сервер. Або ж в модулі оновлення може бути настройка - повторювати спроби оновлення із заданим інтервалом певну кількість разів або ж до тих пір, поки сервер не стане доступним. Ці дві настройки можуть бути присутніми і одночасно.