Принцип работы антивирусных сканеров.


Принцип работы антивирусных сканеров.Современные антивирусы уже давно перестали быть программой, у которой только одна цель — искать вирусы. Сейчас это и фаерволы и защита от спама и веб антивирус и ещё 10-ки различных функций. Рассматривать все мы не будем, а остановимся на самом основном, а именно на сканере. Ибо если фаервол есть не во всех антивирусах, то сканер то присутствует везде. Ведь именно он анализирует файлы на ПК и определяет вирусы они или нет.

Обычно сам сканер хранится в dll файле. Причём его могут использовать множество приложений одновременно. Например, программа мониторинга и программа для локальной проверки диска.

Все современные сканеры умеют искать вредоносное ПО в следующих областях:
- В определенных файлах и папках. Стоит отметить, что технически диск или флешка, так же являются папкой.
- В памяти компьютера. Сканер смотрит все процессы, которые загружены, и ищет в них вирусы, кроме того он проверяет dll файлы этих процессов.
- В MRB или в загрузочном секторе дисков. Включая MRB флешек.
- Поиск следов или остаточных явлений вирусов. Чаще всего вирусы оставляют свои следы в реестре или в системных папках. Вот там и ищет сканер.

Существует всего два основных вида сканирования: сигнатурный или эвристический.

В первом случае сканер сравнивает сигнатуру каждого файла со своей базой. Сигнатура узнаётся вычислением хеша MD5 файла. И именно его сканер и сравнивает со своей базой.
Самым главным недостатком сигнатурного сканирования является то, что сканер не умеет определять новые вирусы, которых ещё нет в его базе.

Эвристический тип сканирования уже не сравнивает каждый файл со своей базой. В этом случае сканер пытается определить вирус на основе определенных характеристик, которые есть в его базе. К примеру, такой сканер может искать странные записи в реестре или в системных папках, чтобы по их следам найти сам вирус.

Все современные сканеры обладают дополнительными модулями, которые помогают лучше искать вирусы. К таким модулям можно отнести: драйвер прямого доступа к диску, распаковщики и дешифровщики, а также черно-белые списки.

Первый необходим для обхода руткитов. Руткиты используются, чтобы скрыть своё присутствие, обычно, подменив API функцию. Если сканер наткнётся на такую функцию с подменой, то, используя WinAPI, он получит отказ. Значит нужно иметь возможность считывать с диска на прямую, минуя WinAPI.

Многие вирусы шифруются по понятным причинам. Именно для таких случаев сканер должен уметь расшифровывать файлы. Распаковщики заранее извлекают файлы из архива перед проверкой.

База с сигнатурами (хешами) сканеров может насчитывать более 5 миллионов записей. Возможны варианты, когда хеш совершенно безвредного файла попадёт в эту базу. Черно-белые списки служат для минимизации таких ложных срабатываний. Причём в белом списке хранятся безвредные файлы, но которые обнаруживаются сканером. А в черном списке хранятся вирусы, но которые не причиняют вреда системе.

Как уже писалось выше: сам сканер (dll файл) могут использовать множество различных программ. Например:
- Веб-антивирус. Сканер постоянно проверяет куки браузера и флеш плеера на наличие вредоносного ПО.
- В случае локализованной проверки файла или папки. Это происходит тогда, когда пользователь кликает (или вводит путь в консоли) по определенному файлу, чтобы его проверить.
- Защита почты. Обычно сканер использует не столько антивирус, сколько плагины почтовых программ (The bat, Thunderbird и т.п.).

 (голосов: 3)




Если Вам понравилась новость, поделитесь с друзьями:

html-ссылка на публикацию
BB-ссылка на публикацию
Прямая ссылка на публикацию


Комментарии (0) Напечатать

Другие новости по теме:
Уважаемый посетитель, Вы зашли на сайт Hacker-Lab.com как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.

Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.