- •Значения ошибок
- •Создание диаграммы
- •Лекция 4 Компью́терный ви́рус
- •Маскировка
- •Механизмы распространения
- •.Антивирусные программы
- •Метод соответствия определению вирусов в словаре
- •Создание и распределение сигнатур
- •Недостатки и достоинства синтаксических сигнатур
- •Метод эвристического сканирования
- •Метод обнаружения странного поведения программ
- •Метод обнаружения при помощи эмуляции
- •Метод использования «песочницы»
- •Метод «Белого списка»
- •Технология эвристического анализа
- •Недостатки эвристического сканирования
- •Важные замечания
- •Классификация антивирусов
- •Антивирусы на sim, флэш-картах и usb устройствах
- •Антивирусы, мобильные устройства и инновационные решения
- •Архиваторы
- •Преимущества и недостатки Преимущества
- •Недостатки
- •Виды архивов
- •Метаданные
Создание и распределение сигнатур
Сигнатуры антивирусов создаются в результате кропотливого анализа нескольких копий файла, принадлежащего одному вирусу. Сигнатура должна содержать только уникальные строки из этого файла, настолько характерные, чтобы гарантировать минимальную возможность ложного срабатывания — главный приоритет любой антивирусной компании.
Разработка сигнатур — ручной процесс, тяжело поддающийся автоматизации. Несмотря на массу исследований, посвящённых автоматической генерации сигнатур, нарастающий полиморфизм (и «метаморфизм») вирусов и атак делают синтактические сигнатуры бессмысленными. Антивирусные компании вынуждены выпускать большое количество сигнатур для всех вариантов одного и того же вируса, и если бы не закон Мура, ни один современный компьютер уже не смог бы закончить сканирование большого числа файлов с такой массой сигнатур в разумное время. Так, в марте 2006 года сканеру Norton Antivirus было известно около 72 131 вирусов, а база программы содержала порядка 400 000 сигнатур.
В нынешнем виде, базы сигнатур должны пополняться регулярно, так как большинство антивирусов не в состоянии обнаруживать новые вирусы самостоятельно. Любой владелец ПО, основанного на сигнатурах, обречён на регулярную зависимость от обновления сигнатур, что составляет основу бизнес-модели производителей антивирусов и СОВ.
Своевременная доставка новых сигнатур до пользователей также является серьёзной проблемой для производителей ПО. Современные вирусы и черви распространяются с такой скоростью, что к моменту выпуска сигнатуры и доставки её на компьютер пользователей, эпидемия уже может достигнуть своей высшей точки и охватить весь мир. По опубликованным данным, доставка сигнатуры занимает от 11 до 97 часов в зависимости от производителя, в то время как теоретически, вирус может захватить весь интернет меньше, чем за 30 секунд.
В большинстве ПО по безопасности база сигнатур является ядром продукта, наиболее трудоёмкой и ценной частью. Именно поэтому большинство вендоров предпочитает держать свои сигнатуры закрытыми — хотя и в этой области существует ряд открытого ПО (напр., ClamAV), а также исследования по обратной разработке закрытых сигнатур. Журнал Virus Bulletin [7] регулярно публиковал сигнатуры новых вирусов вплоть до 2000 года.
Недостатки и достоинства синтаксических сигнатур
Позволяют определять конкретную атаку с высокой точностью и малой долей ложных вызовов
Неспособны выявить какие-либо новые атаки
Беззащитны перед полиморфическими вирусами и изменёнными версиями той же атаки
Требуют регулярного и крайне оперативного обновления
Требуют кропотливого ручного анализа вирусов
Метод эвристического сканирования
Метод эвристического сканирования призван улучшить способность сканеров применять сигнатуры и распознавать модифицированные вирусы в тех случаях, когда сигнатура совпадает с телом неизвестной программы не на 100%. [8] Данная технология, однако, применяется в современных программах очень осторожно, так как может повысить количество ложных срабатываний.