Форум

Выкладываем один из почтовых ответов по поводу вопросов, связанных с антивирусным програмным обеспечением

ТП> Да спасибо! У меня последний вопрос если не затруднит ответить! Он актуален! Как его палят антивири!
Краткая консультация об антивирях.
Определение программы на принадлежность к вирусу производится
следующим образом:
1. Сигнатурный поиск
2. Эвристический анализ

1. Проверяется месторасположение отдельных участков кода (фактически
циферек) относителоьно друг друга. Если оно совпадает с имеющейся в
базе антивирусных данных - прога детектится как вирус. Грубо говоря,
если в сигнатурной базе данных имеется строка "ВИРУС", то любой
текстовый файл, какого бы размера он не был, содержащий строку "ВИРУС"
будет определен как вирус, даже если в тексте содержится стролка
"Касперский - величайший написатель антиВИРУСного програмного
обеспечения".
2. Эмулируется выполнение проверяемой программы. И если выявляется
отдельная последовательность (или несколько), характерных для вируса -
прога детектится как вирус. Например, последовательность "Найти
файлы с расширением ЕХЕ в системной дирректории (/Windows/) - удалить
найденные файлы" очень напоминает вирусный код.

Поэтому, выражение
ТП> "the rat это конечно вещь,
ТП> но его постоянно будет замечать антивирус, потому как ему известная любая модификация этого кейлогера..."
бессмысленно. Не может быть известна "любая модификация программы",
так как модификаций может быть бесконечное множество.

Недостатки сигнатурного подхода:
- В качестве примера можно привести реально существующие
программы с 1-ой (!!!) функцией или вообще без функций (ничего не
делающие), которая будет воспринята AVP как вирус.
- В то же время, запакованный малоизвестным пакером вирус не будет
распознан.

Недостатки эвристического анализа:
-Низкая скорость действия
-Невозможность эмулировать код полностью
-Др. :).

ТП> Как его палят антивири!
И снова бесплатная краткая консультация.

Чтобы пополнять сигнатурные и эвристические базы данных необходимо
производить "осмотры" подозрительных файлов, для этого необходимо
получать эти "подозрительные файлы".
Производителями антивирусов используются следующие методы получения:

1.Каждый антивирь собирает в отдельном местечке "подозрительные" для
него файлы (ну, например, ЕХЕ файлы маленького размера), а затем, в
лучшем случае спрашивая у пользователя постоянно, в худшем, спросив об
этом один раз при установке антивиря или сразу после нее, переодически
отправляет их своему производителю.
2.Предоставляется возможность тестировать файлы без установки антивиря, -
через сайты производителей антивирусов.
3.Рядом сайтов предоставляется возможность тестировать файлы без установки
антивиря, несколькими антивирусами (например, - "с использованием
нашего сайта, Вы протестируете программу с помощью 24 антивирусов
бесплатно").
4.Совершенствование эвристического ядра конкретных антивирусов.

Практические выводы.
1.Чем менее распространен вирус, тем дольше он не будет определяться
как вредоносная программа антивирусами.
2.Проверка новоиспеченного вируса чарез возможности специализированных
сайтов сокращает продолжительность его невидимости примерно до 1
месяца (или даже меньше) с момента тестирования.
3.Предоставление права антивирусным программам отправлять
подозрительные файлы для анализа сокращает продолжительность невидимости примерно до 1
месяца (или даже меньше) с момента отправки.

Проблемные вопросы.
1.Данная информация умалчивается, но поверьте, на настоящее время
огромное число программ, очевидно не являющимися вирусами определяется как
вирус. Это до поры, до времени, пока представители какой-либо
компании не отсудят у Касперского или еще у кого-либо ущерб, который
был принесен финансовой деятельности компании, продукт которой
продетектился как вирус.
2.Технологии, соответственно эвристические последовательности функций,
используемые при написании вредоносного кода используются при
написании обычных программ.
3.Неоднозначное трактование понятия "Вредоносной программы". Так, с
помощью отладчика можно совершить незаконное действие - взломать
программу, но это не значит, что отладчик должен быть признан
"Вредоносной программой". С использованием кейлоггера можно украсть
пароль, а можно предотвратить или выявить попытки кражи того же
пороля.
4.Монополизация антивирусными компаниями принятия решения о признании
программы вредоносной тоже тоит определенную опасность. Эту
возможность можно использовать в целях недобросовестной конкуренции,
хищения идей, и т.п.
5.Куча программ, не определяемых как вирусы в тихаря приносят
пользователю вред, - тайно собирая, уничтожая или изменяя информацию.
Т.е. Вечный вопрос, "А не шпионит ли Билл Гейтс за всеми
пользоывателями?", остается открытым.

Что касается кейлоггера The Rat!
Я буду повторять, сколько это будет необходимым:
The Rat! - это не вирус. Ответственность его использования лежит на
Вас (пользователе).