Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Классификация вирусов.docx
Скачиваний:
90
Добавлен:
01.06.2015
Размер:
264.33 Кб
Скачать

3.3.2 Полное декодирование

  • Эмулятор процессора. Представляет собой программную реализацию виртуального компьютера. Команды выполняемого файла интерпретируются эмулятором вместо того, чтобы выполняться реальным процессором. Эмулятор содержит программные версии всех регистров и других аппаратных средств процессора, так что сам процессор оказывается вне зоны действия про­грамм, интерпретируемых эмулятором.

  • Сканер сигнатур вирусов. Модуль, выполняющий сканирование проверяемого кода на предмет выявления в нем сигнатур известных вирусов.

  • Модуль управления эмуляцией. Управляет процессом выполнения проверяемого кода.

Загрузив программу, эмулятор начинает интерпретировать одну за одной команды проверяемого кода. Если в программе содержится процедура дешифрования тела вируса, ее код тоже будет интерпретирован. В результате вирус сам откроет себя антивирусной программе. Периодически модуль управления прерывает ход эмуляции, чтобы выполнить сканирование полученного кода на предмет наличия в нем сигнатур вирусов.

Во время интерпретации код вируса не может нанести реального вреда системе, так как он выполняется в изолированной и контролируемой виртуальной среде. Самым сложным вопросом реализации GD-сканеров является определение того, как долго нужно выполнять интерпретацию проверяемой программы. Обычно вирус активизируется вскоре после запуска программы, но это правило не является догмой. Чем дольше эмулятор проверяет программу, тем выше ве­роятность обнаружения скрытых вирусов. Однако неоправданно большое время проверки и высокие требования к потребляемым ресурсам, очевидно, не очень удовлетворяют пользователей.

3.3.3 Цифровая иммунная система

Цифровая иммунная система представляет собой сложную технологию ан­тивирусной защиты, разработанную компанией IBM. Причиной разработки послужила возрастающая угроза распространения вирусов через Internet. Сначала мы скажем несколько слов о самой угрозе, а затем перейдем к описанию подхода, предложенного IBM .

В ответ на угрозу распространения вирусов, которую потенциально несут эти возможности Internet, IBM разработала прототип цифровой иммунной системы. Целью цифровой иммунной системы является создание схемы быстрого реагирования, позволяющей регистрировать вирусы практически в момент их появления. Когда новый вирус появляется в вычислительной сети организации, иммунная система находит его, анализирует, добавляет необходимые средства обнаружения этого вируса и защиты от него, удаляет вирус и передает информацию о попытке проникновения вируса системам AntiVirus компании IBM, чтобы вирус и в других местах мог быть выявлен до того, как начнет выполняться. На рис.3.4 показана схема основных действий цифровой иммунной системы, расшифруем эти действия:

  1. Специальная программа, работающая на каждом персональном компьютере, выполняет мониторинг, используя различные методы эвристического анализа поведения системы и выявления подозрительных изменений в программах, а также информацию о сигнатурах известных вирусов. Обнаружив подозрительные действия, программа мониторинга отправляет копию по­дозрительной на предмет заражения программы в систему администратора сети организации.

  2. Машина-администратор шифрует полученный образец и отправляет его центральной машине-анализатору, выполняющей анализ вирусов.

  3. Машина-анализатор создает виртуальную среду, в которой можно выполнить безопасный запуск инфицированной программы для анализа. Для этого может применяться технология программной эмуляции или создание какой-то иной защищенной среды, в которой подозреваемая программа может быть выполнена и изучена. Обнаружив вирус, машина-анализатор генерирует рекомендации, касающиеся вопросов идентификации и удаления вируса.

  4. Созданные рекомендации передаются обратно машине-администратору.

  5. Машина-администратор пересылает рекомендации инфицированной машине-клиенту.

  6. Рекомендации рассылаются также всем другим машинам-клиентам организации.

  7. Все другие подписчики системы также получают регулярные обновления антивирусных пакетов, что позволяет защититься от новых вирусов.

Успех цифровой иммунной системы зависит от способности машины-анализатора выявлять новые вирусы и их модифицированные штаммы. С помощью постоянного анализа и мониторинга всех появляющихся вирусов можно обеспечить постоянное обновление программного обеспечения цифровой иммунной системы с целью организации надежной защиты от угрозы вирусной инфекции.

Рис. 3.4 Цифровая иммунная система