Антивирусная индустрия в канун десятилетия
код вируса и затем опять идет
выполнение программы. В случае с зашифрованной программой все сложнее.
Идет выполнение программы, потом включается дешифратор, который
расшифровывает вирус, затем отбрасывает вирус и опять идет исполнение кода
основной программы. Код вируса в каждом случае зашифрован по разному. Если
в случае нешифрованного вируса эталонное сравнение позволяет «узнать» вирус
по некоторой постоянной сигнатуре, то в зашифрованном виде сигнатура не
видна. При этом искать дешифратор практически невозможно, поскольку он
очень маленький и детектировать такой компактный элемент бесполезно, потому
что резко увеличивается количество ложных срабатываний.
В подобном случае прибегают к технологии эмуляции процессора (антивирусная
программа эмулирует работу процессора для того, чтобы проанализировать
исполняемый код вируса). Если обычно условная цепочка состоит из трех
основных элементов: ЦПУ ОС . Программа (рис.2), - то при
эмуляции процессора в такую цепочку добавляется эмулятор, о котором
программа ничего не знает и, условно говоря, «считает», что она работает с
центральной оперативной системой. Таким образом, эмулятор как бы
воспроизводит работу программы в некотором виртуальном пространстве или
реконструирует ее оригинальное содержимое. Эмулятор всегда способен
прервать выполнение программы, контролирует ее действия, не давая ничего
испортить, и вызывает антивирусное сканирующее ядро.
Эвристический анализ
Для того чтобы размножаться, вирус должен совершать какие – то конкретные
действия: копирование в память, запись в сектора, и т. д. Эвристический
анализатор (который является частью антивирусного ядра) содержит список
таких действий, просматривая выполняемый код программы, определяет, что она
делает, исходя из этого приходит к выводу, является ли данная программа
вирусом или нет. Принципиальное отличие эвристического анализатора от
поведенческого блокиратора состоит в том, что последний не рассматривает
программу как набор команд. Блокиратор отслеживает действия программы в
процессе ее работы, а эвристический анализатор начинает работу до
выполнения программы. Первый эвристический анализатор появился в начале
90–х годов.
Заключение
В рамках международного рынка информации остро стоит проблема сохранение
информации, особенно, в последнее время, когда идет всеобщая
компьютеризация общества. Все больше фирм и предприятий внедряют на
производстве компьютеры, сохраняя в них ценную информацию и желая оградить
себя от потери или порчи данной информации. Это обусловило развитие
такого сектора рынка, как создание антивирусных программ. И на данный
момент эта индустрия является наиболее динамично развивающейся.
И в будущем ожидается увеличение объёма продаж антивирусных продуктов,
поскольку будет продолжаться появление новых вирусов, а следовательно и
потребность в программах способных защитить информацию от них.
Список использованной литературы
Журнал: «Компьютер пресс» М: №9 2001г
Журнал: «Компьютер пресс» М: №11 2001г
WWW. GAZETA.ru
| | скачать работу |
Антивирусная индустрия в канун десятилетия |