Методы обнаружения вирусов |
Все антивирусы «Доктор Веб» одновременно используют несколько методов обнаружения вредоносных объектов, что позволяет максимально тщательно проверить подозрительные файлы и контролировать поведение программ: 1.В первую очередь применяется сигнатурный анализ. Он выполняется путем анализа кода подозрительных файлов на предмет соответствия сигнатурам известных вирусов (сигнатурой называется непрерывная конечная последовательность байт, необходимая и достаточная для опознания вируса). При этом сравнение проводится по контрольным суммам сигнатур, что позволяет значительно снизить размер записей в вирусных базах данных, сохранив при этом однозначность соответствия и, следовательно, корректность обнаружения и лечения зараженных файлов. Вирусная база продуктов Dr.Web составлена таким образом, что благодаря одной записи можно обнаруживать целые классы угроз. 2.После завершения сигнатурного анализа применяется уникальная технология Origins Tracing, которая позволяет определить новые или модифицированные вирусы, использующие известные механизмы заражения файлов. Так, например, эта технология защищает пользователей антивирусных решений Dr.Web от таких вирусов, как вирус-шантажист Trojan.Encoder.18 (так же известный под названием gpcode). Кроме того, именно введение Origins Tracing позволяет значительно снизить количество ложных срабатываний эвристического анализатора. 3.Работа эвристического анализатора основывается на неких знаниях (эвристиках) о характерных признаках вирусного и, наоборот, безопасного кода. Каждый признак имеет определенный вес (число, показывающее серьезность и достоверность данного признака). На основании суммарного веса, характеризующего каждый конкретный файл, эвристический анализатор вычисляет вероятность заражения файла неизвестным вирусом. Как и любая система проверки гипотез в условиях неопределенности, эвристический анализатор может допускать ошибки как первого (пропуск неизвестных вирусов), так и второго рода (ложная тревога). Во время любой из проверок компоненты антивирусов Dr.Web используют самую свежую информацию об известных вредоносных программах. Сигнатуры вирусов, информация об их признаках и моделях поведения обновляется сразу же, как только специалисты Антивирусной Лаборатории «Доктор Веб» обнаруживают новые угрозы, иногда – до нескольких раз в час. Таким образом, регулярное автоматическое обновление вирусных баз позволяет обнаруживать даже самые новые вирусы. |