Система обнаружения вредоносных программ в крупных антивирусных компаниях включает несколько компонентов: 1
- Сбор информации об объектах для исследования. 1 Собираются данные, описывающие файл, например имя, расширение, размер, источник, частота вызовов других файлов и другие. 1
- Обработка данных. 1 Происходит фильтрация и первичный анализ полученных данных в режиме реального времени. 1
- Предварительный анализ. 1 Предназначен для получения отфильтрованной обработанной информации и её корректировки. 1
- Хранение коллекций. 1 Создаются базы знаний чистых приложений (WhiteList), то есть тех, чьё поведение не наносит вреда компьютерной системе, и база знаний вредоносных программ (BlackList), то есть уже известных вредоносных программ. 1
- Обнаружение. 1 Происходит получение информации от обработки, определение уровня опасности неизвестных объектов на основе дерева весовых коэффициентов и принятие решения о вредоносности на основе результатов анализа. 1
Для обнаружения вредоносных программ используются разные методы, например:
- Обнаружение на основе сигнатур. 3 Все файлы в компьютерной системе имеют связанную с ними подпись, которая представляет собой цифровой отпечаток пальца или шаблон файла. 3 Антивирус сканирует файл и сопоставляет его цифровую подпись с базой данных сигнатур. 3
- Обнаружение на основе эвристики. 3 В этом методе есть алгоритм для поиска исходного кода вредоносной программы без использования сигнатуры программы. 3 Такой метод полезен для выявления новых неизвестных и модифицированных версий известных вирусов. 3
- Обнаружение в изолированной среде. 3 Цель анализа — проверить назначение файла и наличие в нём какого-либо вредоносного поведения. 3 Антивирус разрешит файлу запускаться в реальной среде только в том случае, если он безопасен. 3