Méthodes de Détection

Toutes les solutions antivirus créees par Doctor Web utilisent un ensemble de méthodes de détection, ce qui leur permet d'effectuer des analyses en profondeur des fichiers suspects.

Méthode de détection des menaces

Analyse de signature

Le scan démarre avec une analyse de signature qui est effectuée par comparaison des segments de code avec les signatures de virus connus. . Une signature est une séquence continue de bytes qui est nécessaire et suffisante pour identifier un virus. Pour réduire la taille de la base de signatures, les solutions antivirus Dr.Web utilisent des sommes de contrôle de signatures au lieu de séquences complètes de signatures. Les sommes de contrôle identifient uniquement les signatures virales ce qui garantit une détection et une neutralisation correctes des virus. Les bases de données Dr.Web sont composées de telle sorte qu’une entrée peut identifier non seulement un virus mais toute une famille de menaces.

Origins Tracing ™

Cette une technologie unique Dr.Web permettant de détecter les nouvelles menaces ou celles modifiées et utilisant des mécanismes de contamination ou un comportement malveillant qui sont déjà connus de la base de données virale. Cette technologie intervient à la fin de l'analyse par signature et assure une protection des utilisateurs utilisant des solutions antivirus Dr.Web contre des menaces telles que Trojan.Encoder.18 (également connu sous le nom «gpcode»). En outre, l'utilisation de la technologie Origins Tracing peut réduire considérablement le nombre de faux positifs de l'analyseur heuristique. Les noms des menaces détéctées à l'aide d'Origins Tracing sont complètés par .Origin.

Emulation de l'exécution

La méthode d'émulation d'exécution de code est utilisée pour détecter les virus polymorphes et cryptées si la recherche à l'aide des sommes de contrôle des signatures est inapplicable ou considérablement compliquée en raison de l'impossibilité de construire des signatures fiables. La méthode consiste à simuler l'exécution du code en utilisant l'Emulateur – un modèle du processeur et de l'environnement du programme. L'Émulateur fonctionne avec un espace mémoire protégé (tampon d'émulation). Dans ce cas, les instructions ne sont pas transmises à un processeur central pour exécution réelle. Si le code traité par l'émulateur est infecté, alors le résultat de son émulation est un rétablissement du code malveillant d'origine disponible pour une analyse de signature.

Analyse heuristique

Le fonctionnement de l'analyseur heuristique est fondé sur un ensemble d'heuristiques (hypothèses, dont la signification statistique est confirmée par l'expérience) des signes caractéristiques de logiciels malveillants et, inversement, le code exécutable sécurisé. Chaque attribut ou caractéristique du code possède un score (le nombre indiquant l'importance et la validité de cette caractéristique). Le score peut être positif si le signe indique la présence d'un comportement de code malveillant, et négatif si le signe ne correspond pas à une menace informatique. En fonction du score total du contenu du fichier, l'analyseur heuristique calcule la probabilité de la présence d'un objet malveillant inconnu. Si cette probabilité dépasse une certaine valeur de seuil, l'objet analysé est considéré comme malveillant.

L'analyseur heuristique utilise également la technologie FLY-CODE ™ – un algorithme universel pour l'extraction des fichiers. Ce mécanisme permet de construire des hypothèses heuristiques sur la présence d'objets malveillants dans les objets, de logiciels compressés par des outils de compression (emballeurs), non seulement par des outils connus des développeurs des produits Dr.Web, mais également par des outils de compression nouveaux et inexplorés. Lors de la vérification des objets emballés, une technologie d'analyse de leur entropie structurelle est également utilisée, cette technologie peut détecter les menaces sur les spécificités de la localisation des fragments de leur code. Cette technologie permet avec une seule entrée de la base de données de détecter un ensemble de différents types de menaces qui sont emballées du même packer polymorphe.

Comme tout système basé sur des hypothèses, l'analyseur heuristique peut commettre des erreurs de type I ou II (omettre une menace inconnue ou faire un faux positif). Par conséquent, les objets marqués par l'analyseur heuristique comme « malveillants » reçoivent le statut « suspects ».

Au cours de toute analyse, tous les composants des produits antivirus Dr.Web utilisent l'information la plus récente sur tous les programmes malveillants connus. Les signatures des menaces et les informations sur leurs caractéristiques et les comportements sont mises à jour et ajoutées à la base de données de virus immédiatement, dès que les spécialistes du Laboratoire antivirus Doctor Web découvrent de nouvelles menaces, parfois jusqu'à plusieurs fois par heure. Même si un nouveau malware infiltre l'ordinateur, en évitant la protection.