оду проактивних захистів і файрволлов, різні техніки для ускладнення його аналізу, антіемуляціонние і антіотладочние трюки. Загалом, повний букет. При цьому вартість подібних утиліт знаходиться в прийнятному діапазоні цін (якщо мова йде про покупку самого криптор).
Також існують «крипт-сервіси», які за дуже малі гроші здатні затерти сигнатуру трояна - ціна їх зазвичай варіюється в діапазоні від 10 центів до декількох доларів! Саме тому ця послуга так популярна - вона вимагає мінімальних витрат і часу.
Також хотілося б відзначити джоінери (Joiners). Єдина їхня задача - склеїти файл вірусу з якою-небудь нешкідливою програмою. На вході маємо 2 або більше файлів, на виході - 1. Якщо запустити цей файл, одночасно запустяться обидві програми, які спочатку були підготовлені. Користувач думає, що все в порядку, тому дійсно запустилася програмка з барвистим інтерфейсом і радує око, а в цей час вірус вже закріпився в системі і почав свою справу. Ну, а тепер перейдемо до самих методів боротьби з ними. Якщо ви уважно читали попередні частини статті, то могли здогадатися, що одним із способів виявлення є емулятор коду - власне, саме для цього він був і створений. Але допомагає він не завжди, тому багато розробники антивірусного ПЗ пішли простішим шляхом (і більше небезпечним з точки зору захисту). Вони створюють ще одну базу, в якій зберігаються сигнатури криптор пакувальників, ну, або алгоритми, які здатні їх детектувати (якщо мова йде про поліморфних гібридах), і базу процедур розпакування. Але розпаковують вони не повністю, а тільки ту частину програми, до якої можна було б застосувати вже звичайне сигнатурної сканування. Але іноді вони надходять ще простіше: якщо до них потрапляє вірус, захищений криптор, причому цей криптор спеціально націлений на приховання сигнатур вірусів, то вони не мучаться з написанням розпакованих процедур, а просто виділяють сигнатуру расшифровщика і додають його в базу як вірус. Досить цікавим моментом є те, що антивірус все одно примудряються обдурити шляхом поєднання декількох криптор і або пакувальника - не завжди це виходить, але багато антивіруси неадекватно реагують на подібні симбіози і пропускають файл як чистий.
5. Класифікація антивірусних програм
шкідливий програма антивірусний зараження
Для своєї успішної роботи вірусам необхідно перевіряти, чи не є файл вже зараженою (цим же вірусом). Так вони уникають самознищення. Для цього віруси використовують сигнатуру. Більшість звичайних вірусів (включаючи і макровіруси) використовує символьні сигнатури. Більш складні віруси (поліморфні) використовують сигнатури алгоритмів. Незалежно від типу сигнатури вірусу антивірусні програми використовують їх для виявлення «комп'ютерних інфекцій». Після цього антивірусна програма намагається знищити виявлений вірус. Однак цей процес залежить від складності вірусу і якості антивірусної програми. Як вже говорилося, найбільш складно виявити троянських коней і поліморфні віруси. Перші з них не додають своє тіло до програми, а впроваджують всередину неї. З іншого боку, антивірусні програми повинні витратити досить багато часу, щоб визначити сигнатуру поліморфних вірусів. Справа в тому, що їх сигнатури змінюються з кожною новою копією.
Для виявлення, видалення і захисту від комп'ютерних вірусів існують спеціальні програми, які називаються антивірусними. Сучасні антивірусні програми є багатофункціональні продукти, що поєднують в собі як профілактичні засоби, так і засоби лікування вірусів і відновлення даних.
Кількість і різноманітність вірусів велике, і щоб їх швидко і ефективно виявити, антивірусна програма повинна відповідати деяким параметрам:
. Стабільність і надійність роботи.
. Розміри вірусної бази програми (кількість вірусів, які правильно визначаються програмою): з урахуванням постійної появи нових вірусів база даних повинна регулярно оновлюватися.
. Можливість програми визначати різноманітні типи вірусів, і вміння працювати з файлами різних типів (архіви, документи).
. Наявність резидентного монітора, здійснює перевірку всіх нових файлів «на льоту» (тобто автоматично, по мірі їх запису на диск).
. Швидкість роботи програми, наявність додаткових можливостей типу алгоритмів визначення навіть невідомих програмі вірусів (евристичне сканування).
. Можливість відновлювати заражені файли, які не стираючи їх з жорсткого диска, а лише видаливши них віруси.
. Відсоток помилкових спрацьовувань програми (помилкове визначення вірусу в «чистому» файлі).
. Кросплатформеність (наявність версій програми під різні операційні системи).
Класифікація а...
