Как антивирусные программы обнаруживают, что что-то является вирусом или трояном?
Я из Турции, пожалуйста, держите английский просто, если это возможно, спасибо.
Как антивирусные программы обнаруживают, что что-то является вирусом или трояном?
Я из Турции, пожалуйста, держите английский просто, если это возможно, спасибо.
Существует три основных способа поиска вирусов. Вы можете сканировать файлы, чтобы узнать, есть ли у них код вируса из известных вирусов. Вы можете сканировать файлы, чтобы увидеть, будет ли код делать подобные вирусы вещи. Вы можете подождать, пока программа не сделает что-то, чего она не должна делать, и пометить программу как зараженную.
Вы сканируете файлы при их первом создании, и после этого вы также будете делать это по расписанию. Вам нужно будет установить драйвер ядра, чтобы посмотреть, что делают программы, и помешать им совершать вредоносные действия.
Многие антишпионские программы работают точно так же. Например, Spybot S & D может наблюдать за изменениями реестра, которые могут быть установками шпионских программ.
Существуют различные типы обнаружения вирусов. Некоторые из используемых ими методов:
1) Посмотрите на двоичный состав файла для соответствия или частичного соответствия в базе данных известных вирусов и троянов (наиболее распространенная техника)
2) Посмотрите, что делает программа и видит ли она когда-либо что-либо подобное вирусам/троянам
3) Проанализируйте код программы (иногда дизассемблируйте программный код) и ищите вредоносные вещи. Это часто очень сложно, и обычно это делают только продвинутые программы обнаружения.
Обнаружение на основе подписи - обнаруживает, сравнивая сигнатуру вируса (двоичный шаблон известных вирусов) с проверенными файлами.
Эвристическое обнаружение - обнаруживает поведение и шаблоны кода, указывающие на наличие вируса. Подозрительный код запускается в виртуальной среде времени выполнения для дальнейшего тестирования поведения вирусов. Это может найти новые вирусы не в определениях вирусов.
Обнаружение на основе поведения. Обнаружение вирусов при их запуске на основе поведения, которое вирус обнаруживает
Определение песочницы - похожее на поведение, этот метод Выполняет потенциальный вирус в среде выполнения и отслеживает поведение
Здесь более полное чтение
http://www.google.com/search?q=how+does+antivirus+work
первая ссылка была довольно хорошей:
Они используют подписи или определения того, как выглядит вирус, и сравнивают их с файлами, которые он сканирует.
Смотрите эту статью от SciAm за хорошее объяснение.
Антивирусы находят вирусы, наблюдая за реестром, просматривая программный код, просматривая его список распространенных вирусов или даже просматривая в Интернете, чтобы узнать, классифицировали ли другие люди/программное обеспечение его как вирус.