тками. Найбільшу Популярність здобули поведінкові аналізаторі скріптів и макросів, оскількі відповідні віруси практично всегда віконують ряд однотипних Дій. Наприклад, для Впровадження в систему, почти КОЖЕН макровірус вікорістає тієї самий алгоритм: у який-небудь стандартний макрос, что запускається автоматично СЕРЕДОВИЩА Microsoft Office при віконанні стандартних команд (Наприклад, «Save», «Save As», «Open» , и т.д.), запісується код, что заражає основний файл шаблонів normal.dot и КОЖЕН документ, что відкріває вновь.
Засоби захисту, что вшівають в BIOS, такоже можна Віднести до поведінковіх аналізаторів. При спробі внести Зміни в MBR комп'ютера, аналізатор блокує дія й виводу відповідне ПОВІДОМЛЕННЯ корістувачеві.
крім цього поведінкові аналізаторі могут відслідковувати СПРОБА прямого доступу до файлів, внесення змін у завантажувальну запис дискет, форматування Жорсткий дисків и т.д.
Поведінкові аналізаторі НЕ вікорістають для роботи Додатковий об'єктів, подібніх до вірусніх баз ї, як наслідок, нездатні розрізняті відомі й Невідомі віруси - ВСІ підозрілі програми Апріорі вважаються невідомімі вірусамі. Аналогічно, Особливості роботи ЗАСОБІВ, что реалізують технології поведінкового АНАЛІЗУ, що не пріпускають Лікування.
Як ї у попередня випадка, можливе віділення Дій, что однозначно трактуються як неправомірні - форматування Жорсткий дисків без запиту, видалений всех Даних з логічного диска, зміна завантажувальну запису дискети без відповідніх Повідомлень ї ін. Прот, наявність Дій неоднозначні - Наприклад, макрокоманда создания каталогу на жорсткий диск, змушує такоже заміслюватіся про Помилкові спрацьовування й, найчастіше, про тонкої ручної Настроювання поведінкового блокатора.
Аналіз контрольних сум - це способ відстеження змін в об «єктах комп» ютерної системи. На підставі АНАЛІЗУ характером змін - одночасність, масовість, ідентічні Зміни довжина файлів - можна делать вивід про зараження системи.
Аналізаторі контрольних сум (такоже вікорістається назва «ревізорі змін») як и поведінкові аналізаторі НЕ вікорістають у работе додаткові про «єкти й видають вердикт про наявність вірусу в Системі вінятково методом експертної ОЦІНКИ. Більша Популярність АНАЛІЗУ контрольних сум пов »язана Зі Спогади про однозадачні операційні системи, коли кількість вірусів буті відносно невеликим, файлів Було Небагато й міняліся смороду Рідко. СЬОГОДНІ ревізорі змін Втратили свои позіції й вікорістаються в антівірусах й достатньо Рідко. Частіше подібні технології застосовуються в сканерах при доступі - при першій Перевірці з файлу знімається контрольна сума й містіться в кеші, перед Наступний перевіркою того ж файлу сума знімається ще раз, рівняється, и у випадка відсутності змін файл уважається незаражених.
Підводячі Підсумки Огляду технологій, застосовуваного в антівірусах, відзначімо, что СЬОГОДНІ практично КОЖЕН антивірус вікорістає Трохи з перерахованого Вище технологій, при цьом Використання сигнатурного й еврістічного АНАЛІЗУ для перевіркі файлів и самє в цьом порядку є повсюдне. Надалі засоби, что реалізують комбінацію сигнатурного й еврістічного АНАЛІЗУ, ми будемо назіваті антівіруснімі сканерами.
Друга група технологій больше різнорідна, оскількі Жоден Із застосовуваного підходів НЕ Дає Гарантії Виявлення невідоміх вірусів. Очевид...
