Как антивирусные программы обнаруживают вирусы?
Как антивирусные программы обнаруживают вирус или троян?
Я из Турции, пожалуйста, держите английский простым, если это возможно, спасибо.
6 ответов
Существует три основных способа поиска вирусов. Вы можете сканировать файлы, чтобы увидеть, есть ли в них вирусный код от известных вирусов. Вы можете сканировать файлы, чтобы увидеть, будет ли код делать вирусоподобные вещи. Вы можете подождать, пока программа сделает что-то, чего она не должна делать, и пометить программу как зараженную.
Вы будете сканировать файлы при их первом создании, а также делать это по расписанию после этого. Вам нужно будет установить драйвер ядра, чтобы посмотреть, что делают программы, и не дать им совершать вредоносные действия.
Многие антишпионские программы работают точно так же. Например, Spybot S&D может отслеживать изменения в реестре, которые могут быть установлены шпионскими программами.
Существуют разные типы обнаружения вирусов. Некоторые из различных методов, которые они используют
1) Посмотрите на двоичный состав файла для совпадения или частичного совпадения в базе данных известных вирусов и троянов (наиболее распространенный метод)
2) Посмотрите, что делает программа, и посмотрите, делает ли она что-нибудь похожее на вирусы / трояны.
3) Анализировать программный код (иногда разбирать программный код) и искать вредоносные вещи. Это часто очень сложно, и обычно только продвинутые программы обнаружения делают это.
Обнаружение на основе сигнатур - обнаружение путем сравнения сигнатуры вируса (двоичного набора известных вирусов) с проверяемыми файлами.
Эвристическое обнаружение - обнаруживает поведение и шаблоны кода, указывающие на наличие вируса. Подозрительный код запускается в виртуальной среде времени выполнения для дальнейшей проверки поведения вируса. Это может найти новые вирусы не в определениях вирусов.
Поведенческое обнаружение - обнаруживает вирусы во время их работы на основе поведения, которое проявляет вирус
Обнаружение изолированной среды - аналогично поведению, этот метод выполняет потенциальный вирус в среде выполнения и отслеживает поведение
Вот более полное чтение
Они используют сигнатуры или определения того, как выглядит вирус, и сравнивают их с проверяемыми файлами.
См. Эту статью из SciAm для хорошего объяснения.
http://www.google.com/search?q=how+does+antivirus+work
первая ссылка была довольно хорошей:
- вирусный словарь - ищет известные сигнатуры, например, алгоритм сжатия исполняемого файла UPX популярен, чтобы сделать полезную нагрузку действительно маленькой.
- подозрительное поведение - обнаруживает вещи, которые не случаются в повседневной работе, например, запись в другой исполняемый файл.
Антивирусы находят вирусы, просматривая реестр, просматривая код программы, просматривая список распространенных вирусов или даже просматривая в Интернете информацию о том, классифицировали ли другие люди / программное обеспечение как вирус.