როგორ ეძებს ვირუსებს და მავნე პროგრამებს ანტივირუსი?

იცოდეთ რომ eicar-ი არის სტანდარტული ფაილი რომელიც არსებობს იმიტომ რომ შეამოწმოთ და დარწმუნდეთ რომ თქვენი ანტივირუსი სცორეთ მოქმედებს.

ძებნა ხელმოწერების მიხედვით

string-ის მოძებნა

ანტივირუსის კომპანია ხელში იგდებს რაიმე პროგტამას რომელიც აღმოჩდა ვირუსის მატარებელი. ამ ვირუსის სხვა პროგრამებში აღმოსაჩენად ანალიტიკოსი ეცდება რომ დაადგინოს რა ანსხვავებს ამ ვირუსის მატარებელი პროგრამა საღე პროგრამისგან, ამიტომ იგი მოძებნის რაიმე strings (მაგალითად grep-ით) რომელიც ახასიათებს ამ ვირუს, ეს შეიძლება იყოს string-ი როგორიც “Infected by Virus XXX”. იუნიქსის ჯოკერების (*,?,.,[],…) გამოყენება აადვილებს ამ პროცესს.

ხელმოწერა

ვირუსის ხელმოწერის დადგენა შეასძლოა სხვადასხვა ალგორითმებით: SHA, CRC, MD5 და სხვა. თუ ხვა პროგრამა დაემთხვევა დადგენილ ხელმოწერას მაშინ ითვლება რომ ვირუსი აღმოჩენილია.

ზოგადად ძებნა

კოდის ნაწილის იზოლირება რომელიც ანტივირუს ხელს უშლის ვირუსის ანალიზსს (შიფრაციის კოდი, პოლიმორფიზმის კოდი, ანტი-დებაგინგის კოდი)

Heuristics (გამოცდილება)

პროგრამების მონიტორინგი/დაზვერვა (ემულატორებით)

  • მეხსიერება: თვალი ედევნება მეხსიერების გამოყენებას
  • მყარი დისკი: თვალი ედევნება მყარ დისკში ჩაწერის ოპერაციებს
  • სტრატეგიული პაპკები: თვალი ედევნება რა იგდება სისტემურ პაპკებში
  • ვინდოუსის რეგისტრების შეცვლა: თვალი ედევნება ვინდოუსის რეგისტრებში თუ არა ნება დართული პროგრამა ცვლილების შეტანას ცდილობს
ანტივირუსი/მოქმედების_პრინციპი.txt · Last modified: 2012/02/05 20:52 by dzvelivereli
Back to top
Public Domain
chimeric.de = chi`s home Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0