лькох вірусів. Заснований на такому припущенні евристичний метод полягає в пошуку файлів, які не повністю, але дуже близько відповідають сигнатурам відомих вірусів.
Позитивним ефектом від використання цього методу є можливість виявити нові віруси ще до того, як для них будуть виділені сигнатури. Негативні сторони:
Імовірність помилково визначити наявність у файлі вірусу, коли насправді файл чистий - такі події називаються помилковими спрацьовуваннями
Неможливість лікування - і через можливі помилкові спрацьовування, і через можливе неточне визначення типу вірусу, спроба лікування може призвести до великих втрат інформації, ніж сам вірус, а це неприпустимо
Низька ефективність - проти дійсно новаторських вірусів, що викликають найбільш масштабні епідемії, цей вид евристичного аналізу малопридатний
Пошук вірусів, що виконують підозрілі дії
Інший метод, заснований на евристиці, виходить з припущення, що шкідливі програми так чи інакше прагнуть завдати шкоди комп'ютеру. Метод заснований на виділенні основних шкідливих дій, таких як, наприклад:
Видалення файлу.
Запис у файл.
Запис в певні області системного реєстру.
Відкриття порту на прослуховування.
Приховати даних вводяться з клавіатури.
Розсилка листів.- І ін.
Зрозуміло, що виконання кожного такого дії окремо не є приводом вважати програму шкідливою. Але якщо програма послідовно виконує декілька таких дій, наприклад, записує запуск себе ж в ключ автозапуску системного реєстру, перехоплює дані вводяться з клавіатури і з певною частотою пересилає ці дані на якусь адресу в Інтернет, значить ця програма щонайменше підозріла. Заснований на цьому принципі евристичний аналізатор повинен постійно стежити за діями, які виконують програми.
Перевагою описаного методу є можливість виявляти невідомі раніше шкідливі програми, навіть якщо вони не дуже схожі на вже відомі. Наприклад, нова шкідлива програма може використовувати для проникнення на комп'ютер нову вразливість, але після цього починає виконувати вже звичні шкідливі дії. Таку програму може пропустити евристичний аналізатор першого типу, але цілком може виявити аналізатор другого типу.
Негативні риси ті ж, що й раніше:
Помилкові спрацьовування.
Неможливість лікування.
Невисока ефективність.
Додаткові методи антивірусного захисту
. Модуль оновлення - в першу чергу, кожен антивірус повинен містити модуль оновлення. Це пов'язано з тим, що основним методом виявлення вірусів сьогодні є сигнатурний аналіз, який покладається на використання Антив?? РусНІТ бази. Для того щоб сигнатурний аналіз ефективно справлявся з найостаннішими вірусами, антивірусні експерти постійно аналізують зразки нових вірусів і випускають для них сигнатури. Потім оновлюється антивірусна база.
. Модуль планування - другий важливий допоміжний модуль - це модуль планування. Існує ряд дій, які антивірус повинен виконувати регулярно: зокрема, перевіряти весь комп'ютер на наявність вірусів і оновлювати антивірусну базу. Модуль планування якраз і дозволяє налаштувати періодичність виконання цих дій.
. Модуль управління - у міру збільшення кількості модулів в антивірусі виникає необхідність у додатковому модулі для управління і настройки. У найпростішому випадку - це загальний інтерфейсний модуль, за допомогою якого можна в зручній формі отримати доступ до найбільш важливих функцій: - Настройці параметрів антивірусних модулів.- Настройці оновлень.
Настройці періодичного запуску оновлення та перевірки.
Запуску модулів вручну, на вимогу користувача.
Звіт про перевірку.
Іншим функціям, залежно від конкретного антивіруса.
. Карантин - Серед інших допоміжних засобів в багатьох антивирусах є спеціальні технології, які захищають від можливої ??втрати даних у результаті дій антивіруса.
Наприклад, легко уявити ситуацію, за якої файл детектується як можливо заражений евристичним аналізатором і віддаляється згідно налаштуванням антивіруса. Однак евристичний аналізатор ніколи не дає стовідсоткової гарантії того, що файл дійсно заражений, а значить з певною ймовірністю антивірус міг видалити незаражений файл.
Або ж антивірус виявляє важливий документ заражений вірусом і намагається згідно налаштуванням виконати лікування, але з якихось причин відбувається збій і разом з вилікуваним вірусом втрачаєть...
