, або появи BSOD (Blue Screen Of Dead), або навіть часом вбудовуються механізми, здатні відключити даний вид захисту. Як вже було сказано, подібну техніку прийнято ще називати словом HIPS. Також існує деякий відгалуження цієї технології - Sandbox (від англ. «Пісочниця») - хоча це є швидше логічним продовженням емулятора, але повноцінну реалізацію подібної «пісочниці» я зустрічав всього в одному антивірусі. Його розробники пішли набагато далі за інших. Можна сказати, що вони змогли семуліровать роботу операційної системи в захищеному середовищі, поміщаючи в неї вірус і аналізуючи його поведінку (копіювання в системні папки, запис до реєстру, спроба доступу до мережі, активна запис у файли і багато іншого). Це здатне не тільки позначити його як потенційний вірус (не тільки трояни, але і всі інші класифікації), а й навіть визначити його тип.
Для людей, не знайомих з даним терміном, спробую дохідливо пояснити, що ж із собою являють руткіти. Як таким вірусом їх називати не можна, тому вони не володіють ніякими деструктивними діями, не розмножуються, не крадуть конфіденційну інформацію. Це лише техніка, застосовувана для прихованого присутності в системі. Як не дивно, але все HIPS'и засновані саме на тій технології, яка спочатку була закладена в руткіти. Так що ж вони роблять? В першу чергу вони здатні приховувати файли на жорсткому диску, ключі реєстру, завантажені драйвери, процеси, мережеві підключення, вхідний/вихідний трафік. Вже, напевно, стало очевидно, чим це загрожує. Без спеціальних програм неможливо визначити присутність вірусів, що використовують даний метод приховування, в системі (Rku, AVZ, GMER).
Кожен поважаючий себе антивірус просто зобов'язаний мати способи протидії руткитам. Ще одним важливим моментом є те, що зазвичай руткит-компонент знаходиться в драйвері (про використання драйверів я згадував раніше), що дозволяє йому працювати в Ring0 (нульове кільце) - в цьому режимі йому дозволено все ... Звичайно, антивіруси теж вдаються до виходу в цей режим для протидії руткитам, але, тому в цьому режимі немає обмежень, то полювання на руткит нагадує гру «кішки-мишки» - вирусописатели вдаються до недокументованим можливостям ОС, що додає головного болю розробникам антивірусів. Самі методи пошуку ніхто не розкриває, але, якщо добре пошукати в інтернеті, можна виявити парочку способів. Обговорювати їх все - тема окремої статті. Можу лише сказати, що антивіруси з упевненістю справляються тільки з тими руткитами, які використовують стандартні технології (на поточний момент існує дуже багато способів реалізації цієї техніки), а адже трапляються дуже складні випадки, які гуляли в інтернеті дуже довгий час, і при цьому ніким не були виявлені (приклад: сімейство руткітів Rustok).
Останнім часом вся індустрія створення вірусів перейшла на комерційну основу. Якщо раніше віруси розроблялися тільки за рахунок чистого ентузіазму, то тепер ситуація змінилася в корені. Файлові віруси стали зовсім незатребуваними, тому, крім естетичного задоволення і деструкції, нічого не несуть. Тому можливість підхопити подібну різновид вірусу дуже мала. Більшу ж популярність отримали трояни. Їх основна функція - крадіжка яких-небудь даних - наприклад, паролів. На особливому становищі перебувають DdoS- і Spam-боти. Це теж ціла індустрія, що приносить величезні доходи власникам ботнет-мереж. Наразі обов'язки у цій сфері строго розподілені - ті люди, які створюють троянів ботів, самі ними не користуються, а продають їх. І ціна залежить від корисного навантаження. Також зустрічаються випадки розробки на замовлення. А зараз перейду до головного.
Уявіть: нехороша людина замовив створення індивідуального троянам і деякий час починає використовувати його в своїх корисливих цілях. Незабаром вірус потрапляє на аналіз в антивірусні лабораторії, і його вже починають поголовно виявляти. І як надходить в такому випадку власник цього трояна? Зрозуміло, віддавати N-ну суму (яка може досягати декількох тисяч доларів) за створення нового трояна він не хоче. Ну, в принципі, він може звернутися з проханням «очищення» до того, хто його розробляв, але іноді або виникають якісь проблеми, або вартість цієї послуги перевищує допустиму. Ось тут-то йому на допомогу і приходять криптор пакувальники. Спочатку вони використовувалися для захисту від дизассемблирования і стиснення виконуваного файлу, але при цьому виникає, так би мовити, побічна дія, а саме змінюється повністю код трояна (тому він шифрується і або стискається). При цьому криптор засновані на техніці «самошіфрующіхя» вірусів - як кажуть, «все нове - це добре забуте старе». Та й пакувальники не багатьом відрізняються. Через це сигнатури стають даремними, і вірус знову НЕ детектується. Але це лише мінімальне навантаження, яку вони можуть нести - майже всі сучасні криптор використовують поліморфізм, по-друге, в них також включаються компоненти для обх...
