miranda world

Сергей Акимович Яремчук- Защита вашего компьютера стр.24


Сергей Акимович Яремчук- Защита вашего компьютера стр.24

Эвристика

Когда новые вирусы начали появляться почти ежедневно, эксперты задумались, как это остановить. В результате были созданы две технологии: эвристический анализатор и поведенческие блокираторы. В настоящее время появился термин проактивная защита, который объединяет эти понятия.

В процессе работы эвристический анализатор проверяет код приложений, макросов и сценариев и пытается найти в них подозрительные команды или действия. Если количество последних превысит некий барьер, можно сделать вывод об их вирусном происхождении.

Наиболее эффективны динамические анализаторы, запускающие приложение посредством эмуляции. Подобным образом действуют поведенческие блокираторы, только вместо эмуляции запуска программ они работают в реальной среде, анализируя последовательность операций приложения.

С помощью блокиратора можно обнаружить:

• некоторые полиморфные вирусы;

• руткиты;

• попытки внедрения одной программы в другую.

Блокиратор также контролирует целостность системных файлов и реестра Windows и при необходимости производит откат.

При обнаружении подозрительных моментов пользователю часто выдается запрос о дальнейших действиях. Если пользователь недостаточно подготовлен, чтобы разобраться в проблеме, он может принять неправильное решение, что обесценит защиту. Идеально работающего эвристического анализатора еще не существует. Эта технология часто ошибается, пропуская вирус или, наоборот, подозревая безобидную программу. Разработчики поведенческих блокираторов и эвристических анализаторов составляют набор правил на

основе изучения вредоносных программ и также могут ошибаться. У злоумышленников всегда есть возможность изучить реакцию системы защиты и выработать алгоритм заражения, при котором защита не сработает.

Внимание!

Многочисленные тесты показывают, что ни одна антивирусная программа не может обнаружить все вирусы, поэтому всегда существует вероятность, что вирус будет пропущен. Однако есть шанс, что пропущенное вредоносное приложение остановит система защиты антивируса.

Стоит также отметить, что часто разработчики связаны слабыми возможностями движка, которому приходится поддерживать антивирусные базы, поэтому эвристику и поведенческие блокираторы в антивирусах следует рассматривать не как основные, а как дополнительные средства обнаружения, часто усеченные по возможностям.

2.2. Компоненты современного антивируса

Сегодняшний антивирус состоит из нескольких компонентов, каждый из которых отвечает за обнаружение вирусов на определенном участке работы.

В процессе развития состав этих компонентов изменялся, добавлялись новые и удалялись не отвечающие требованиям времени.

• Первый и основной антивирусный компонент - сканер (On-Demand Scanner). Задачей сканера является проверка по требованию пользователя файлов, памяти и загрузочных секторов на наличие вирусов. Сканер необходимо периодически запускать для проверки имеющихся файлов и при получении новых.

До недавнего времени практически все тесты антивирусов включали время, за которое антивирусный сканер проверял жесткий диск компьютера, и количество выявленных вирусов. Компании - разработчики антивирусов шли на различные хитрости. Например, известна история, что в антивирусе Dr. Solomon был специальный режим для работы с тестовыми коллекциями, позволявший ему побеждать. Сейчас скорость работы не является основным показателем, главное - это качество выявления вирусов. Чтобы несколько раз не проверять файлы, которые не изменялись со времени предыдущей проверки, сканеры ведут специальную базу данных.


⇐ Предыдущая страница| |Следующая страница ⇒

Материалы выложены в ознакомительных целях. Полная или частичная перепечатка разрешена при наличии гиперссылки на www.MirandaIM.info

 

Наш сайт открыт для взаимовыгодных отношений!
Пишите нам