Обнаружение вирусов
Обнаружение по базе данных. Большинство антивирусных программ выявляют вирусы по известным образцам их программного кода. С этой целью создаются базы данных вирусов. Просматриваются все файлы подряд и ищутся группы кодов, характерные для известных вирусов. Если в файле есть последовательность байт, зарегистрированная в азе данных, то выдается соответствующее сообщение.
Полиморфные вирусы (вирусы – призраки) – не имеют постоянного кода. Несколько разных вариантов одного и того же вируса не будут иметь одинаковых последовательностей байт. Вирусы распространяются в закодированном виде, внутри себя содержат программы кодирования и декодирования. Обнаружение по базе данных не возможно, применяются эвристические алгоритмы.
Стелс – вирусы (вирусы – невидимки), такие вирусы нельзя увидеть стандартными средствами операционной системы. Такие вирусы перехватывают системные вирусы, и например при просмотре файла, удаляют себя из тела зараженного файла, а при закрытии заражают снова. Для обнаружения таких вирусов антивирусные программы должны иметь собственные средства работы с файловой системой, независимые от ОС.
Вирус приписывая себя к файлу, увеличивает длину файла, но вирус может содержать программу сжатия – компрессор и декомпрессор.
Файл длинее | ||||||
вирус | Исходная длина | Исходная длина | ||||
Исполнимая программа | Исполнимая программа | Не используется | ||||
зашифрованный | ||||||
вирус | ||||||
Дешифратор | ||||||
Вирус | Шифратор | |||||
декомпрессор | декомпрессор | |||||
компрессор | компрессор | |||||
Сжатая исполнимая программа | Сжатая исполнимая программа | |||||
заголовок | заголовок | заголовок | заголовок |
Дата добавления: 2015-08-11; просмотров: 1189;