Информационная безопасность



              

Не антивирусом единым - часть 2


Фактически каждый из них - это know-how той или иной компании. Но вся работа эвристических анализаторов сводится к одному: поиск последовательностей кода (исполняемых команд), характерных для того или иного типа вирусов.

Основной сложностью при реализации алгоритмов эвристического поиска является отсеивание ложных срабатываний. Вроде бы при детектировании вирусов все просто: если программа размножается - значит, это вирус. Остается только написать модуль, который сможет проанализировать предоставляемый код и с высокой долей вероятности определить, не обладает ли код "подозрительными" функциями.

С троянскими программами все намного сложнее. Зачастую даже специалисту по информационной безопасности, бывает тяжело сказать: является данная программа троянской или нет. По какому критерию программа относится к троянской: "если программа делает что-то, о чем пользователь не знает и чего не желает выполнять" или "если программа нарушает логику работы компьютера". Согласитесь - определения весьма расплывчатые. А как же с этой проблемой справиться модулю эвристического поиска, не имеющему человеческого опыта и интеллекта?

Именно из-за описанных выше проблем эвристические анализаторы способны обнаруживать далеко не все вредоносные программы. Для некоторых типов вирусов этот показатель близок к ста процентам - для других же может колебаться в пределах 30-60% (для троянских программ этот показатель всегда ниже, чем для вирусов). Кроме того, эвристические анализаторы могут иногда ошибаться и обзывать вирусами вполне мирные и привычные нам программы - это называется ложным срабатыванием.

Антивирусные продукты, как правило, используют оба метода поиска вирусов, что несколько замедляет их работу, зато увеличивает количество детектируемых вирусов.

Описанные достоинства и недостатки определяют возможности антивирусных продуктов:

  • обнаружение и нейтрализация огромной базы (десятки тысяч) известных вирусов и вредоносных программ;

  • обнаружение средствами эвристического поиска подозрительных файлов;

    нейтрализация/изолирование зараженных и подозрительных файлов;

    обращение повышенного внимания пользователя на подозрительные вирусы файлы.




Содержание  Назад  Вперед