Сигнатурный анализ
Сигнатурный анализ
Одной из основных частей любого антивируса является движок, или ядро, – модуль, который отвечает за обнаружение вредоносных программ. Именно от его эффективности и используемых методов поиска зависит качество работы антивируса и возможности обнаружения вирусов и других зловредных программ.
Для детектирования вирусов в каждом движке реализовано несколько технологий. Самые известные из них – поиск по сигнатурам и эвристический анализатор.
Сигнатура представляет собой уникальную для каждого вируса строку, которая однозначно указывает на определенную вредоносную программу. При появлении нового вируса его код анализируется специалистами и сигнатура заносится в антивирусную базу. Этот способ – самый эффективный, так как позволяет почти со стопроцентной вероятностью определить наличие известного вируса.
Неизвестный вирус пройдет через такой детектор незамеченным. На анализ и выработку сигнатуры нового вируса уходит некоторое время, в течение которого любой компьютер беззащитен. Ошибка при выборе сигнатуры может привести к тому, что подозрение может пасть на незараженный файл. Такие случаи нельзя назвать редкими: однажды подозрение пало на программу Punto Switcher, которая находилась на компакт-диске, приложенном к журналу. Антивирус Avast! находил в этом файле троянца. Проверки с помощью других антивирусов показывали, что файл чист.
Совет
Антивирус может ошибаться, обнаруживая в чистом файле вирус или не замечая существующий вирус. В случае сомнения для проверки файла можно воспользоваться любым доступным онлайн-антивирусом.
Каждый разработчик антивирусной программы, как правило, имеет на своем сайте функцию онлайн-проверки; есть сервисы, проверяющие файл сразу несколькими антивирусами. Например, сервис Virustotal (http://www.virustotal.com/en/indexf.html) позволяет проверить подозрительный файл с помощью 32 различных антивирусов. Я отправил для проверки файл, зараженный не самым старым трояном. В результате вирус обнаружили только 17 из 32 антивирусов (рис. 2.1).
Рис. 2.1. Проверка файла в Virustotal
Еще одно неудобство сигнатурного метода связано с тем, что пользователь вынужден постоянно обновлять антивирусные базы, размер которых иногда велик. Если этого не делать, компьютер может оказаться незащищенным. Сначала для определения эффективности антивируса кроме других показателей руководствовались количеством записей в антивирусной базе. Однако время показало, что иногда разработчики антивирусного программного обеспечения заносят в базу приложения, не относящиеся к вирусам, в том числе безвредные. Производители часто используют для подсчета количества записей разные методики, например модификации одного вируса считают как несколько вирусов и наоборот, поэтому в последнее время критерием качества работы является скорость реакции антивирусной компании по занесению нового вируса в базу. Чем быстрее генерируется новая сигнатура, тем лучше защищен пользователь.
Разная скорость работы антивирусных лабораторий привела к тому, что сегодня стали появляться решения, имеющие два и более ядра, выполненные различными производителями. Это снижает производительность системы (проверка несколькими ядрами требует больших ресурсов), однако безопасность превыше всего.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Измерения и анализ
Измерения и анализ Измерение 1 Выполнение измерений и использование их результатов для определения состояния работ по управлению субподрядом.Примеры измерений:расходы на работы по управлению субподрядом в сравнении с плановыми значениями,фактические даты поставки
Измерения и анализ
Измерения и анализ Измерение 1 Выполнение измерений и использование их результатов для определения затрат на мероприятия по обеспечению качества и отслеживания их состояния в сравнении с календарным планом.Примеры измерений:выполнение этапов работ по обеспечению
Измерения и анализ
Измерения и анализ Измерение 1. Выполнение измерений и использование их результатов для определения состояния работ по управлению конфигурацией.Примеры измерений:количество запросов на изменение, обрабатываемое за единицу времени;выполнение этапов работ по
Измерения и анализ
Измерения и анализ Измерение 1. Выполнение измерений и использование их результатов для определения статуса мероприятий по разработке и усовершенствованию производственного процесса организации.Примеры измерений:определение объема выполненных работ по оценке,
Измерения и анализ
Измерения и анализ Измерение 1. Выполнение измерений и использование их результатов для выяснения состояния работ по определению производственного процесса организации.Примеры измерений:статус выполнения этапов календарного плана разработки и сопровождения
Измерения и анализ
Измерения и анализ Измерение 1. Выполнение измерений и использование их результатов для определения статуса мероприятий по обучению.Примеры измерений:фактическая посещаемость каждого учебного курса в сравнении с запланированной,фактическое проведение учебных курсов
Измерения и анализ
Измерения и анализ Измерение 1. Выполнение измерений и использование их результатов для определения эффективности работ по интегрированному управлению разработкой ПО.Примеры измерений:объем выполненных на текущий момент работ по управлению проектом в сравнении с
Измерения и анализ
Измерения и анализ Измерение 1. Выполнение измерений и использование их результатов для определения функциональных возможностей и качества программных продуктов.Примеры измерений:количество, типы и серьезность дефектов, выявленных в программных продуктах,
Урок № 96. Анализ счета и анализ субконто
Урок № 96. Анализ счета и анализ субконто Анализ счета также относится к числу популярных отчетов программы "1С". Чтобы сформировать этот отчет, нужно выполнить команду главного меню Отчеты | Анализ счета, затем в открывшемся окне указать отчетный период, счет и
8.1. Анализ
8.1. Анализ Определение границ рассматриваемой задачи Врезка ознакомила вас с требованиями к системе мониторинга погоды. Это довольно простая задача, решение которой позволяет обойтись всего несколькими классами. Инженер, не вполне искушенный во всех особенностях
9.1. Анализ
9.1. Анализ Определение границ проблемной области На врезке представлены детально сформулированные требования к библиотеке базовых классов. К сожалению, эти требования навряд ли практически выполнимы: библиотека, содержащая абстракции, необходимые для всех возможных
10.1. Анализ
10.1. Анализ Определение границ задачи Требования к системе складского учета показаны на врезке. Это достаточно сложная программная система, затрагивающая все аспекты, связанные с движением товара на склад и со склада. Для хранения продукции служит, естественно, реальный
11.1. Анализ
11.1. Анализ Определение границ предметной области Как сказано во врезке, мы намерены заняться криптоанализом - процессом преобразования зашифрованного текста в обычный. В общем случае процесс дешифровки является чрезвычайно сложным и не поддается даже самым мощным
12.1. Анализ
12.1. Анализ Определение границ проблемной области Для большинства люден, живущих в США, поезда являются символом давно ушедшей эпохи. В Европе и странах Востока ситуация совершенно противоположная. В отличие от США, в Европе мало национальных и международных
2.4. АНАЛИЗ ТРЕБОВАНИЙ К СИСТЕМЕ (СИСТЕМНЫЙ АНАЛИЗ) И ФОРМУЛИРОВКА ЦЕЛЕЙ
2.4. АНАЛИЗ ТРЕБОВАНИЙ К СИСТЕМЕ (СИСТЕМНЫЙ АНАЛИЗ) И ФОРМУЛИРОВКА ЦЕЛЕЙ Задача оптимизации разработки программ состоит в достижении целей при минимально возможной затрате ресурсов.Системный анализ в отличие от предварительного системного исследования — это