Більшість користувачів антивірусів навряд чи усвідомлюють, як їхнє програмне забезпечення безпеки справляється з пошуком потенційних загроз. Навіть базові знання в цій галузі дуже корисні, оскільки дозволяють краще зрозуміти сторони сучасних антивірусних програм, пов’язані з їх повсякденним використанням!
Вірусний сканер в дії
Найважливішою частиною будь-якої сучасної антивірусної програми, є база вірусних сигнатур, пропонована на сайті https://www.fortsoft.com.ua/catalog/antivirusy/eset-nod32-antivirus.html. Сигнатури вірусів — це певні відомості, які дозволяють відносно однозначно ідентифікувати певний тип або навіть ціле сімейство вірусів. Три найпопулярніші типи підпису:
- підписи, створені за допомогою хеш-функції,
- сигнатури байтів (шаблони),
- евристичні сигнатури.
Плюси та мінуси цих методів для виявлення потенційних загроз
Найпростіший і найлегший у використанні метод створення сигнатур зловмисного програмного забезпечення - це, звичайно, використання популярних хеш-функцій. Вони створюються в результаті застосування математичної функції, яка на практиці дозволяє присвоїти будь-яке велике число (тобто будь-яку програму або дані будь-якого розміру) відносно невеликому значенню фіксованого розміру. Створений таким чином ярлик для відомої шкідливої програми дозволяє однозначно ідентифікувати певний вірус у майбутньому.
На жаль, використання такого типу підписів має недоліки. Навіть найменша зміна в коді шкідливого програмного забезпечення означає, що стара сигнатура більше не виявляє нові версії вірусу.
Інший популярний спосіб генерування сигнатур зловмисного програмного забезпечення — використання певних вибраних послідовностей байтів, присутніх у шкідливому коді або в даних, які він використовує. Ідентичні шаблони байтів зазвичай можна знайти у всіх варіантах даної шкідливої програми, тому цей метод на практиці досить ефективний у боротьбі з цілими сімействами вірусів. Простота цього методу означає, що він використовується практично з самого початку антивірусної історії до сьогодні. Звичайно, цей метод також може генерувати помилкові виявлення. Їх можна запустити вручну за допомогою відповідної опції в антивірусі, як для всього диска, так і для окремих папок. Проте багато програм пропонують можливість налаштувати автоматичне сканування, оскільки максимальний захист вашого комп’ютера забезпечується поєднанням обох методів пошуку шкідливих програм.