Ευρετικές μέθοδοι ανάλυσης. Ευρετική ανάλυση

Ευρετική ανάλυση

Σχεδόν όλα τα σύγχρονα εργαλεία προστασίας από ιούς χρησιμοποιούν την τεχνολογία της ευρετικής ανάλυσης του κώδικα προγράμματος. Η ευρετική ανάλυση χρησιμοποιείται συχνά σε συνδυασμό με τη σάρωση υπογραφών για την αναζήτηση περίπλοκων κρυπτογραφημένων και πολυμορφικών ιών. Η τεχνική ευρετικής ανάλυσης καθιστά δυνατή την ανίχνευση προηγουμένως άγνωστων λοιμώξεων, ωστόσο, η θεραπεία σε τέτοιες περιπτώσεις είναι σχεδόν πάντα αδύνατη. Σε αυτήν την περίπτωση, κατά κανόνα, απαιτείται πρόσθετη ενημέρωση των βάσεων δεδομένων προστασίας από ιούς για τη λήψη των πιο πρόσφατων υπογραφών και αλγορίθμων θεραπείας, οι οποίοι ενδέχεται να περιέχουν πληροφορίες για έναν άγνωστο ιό. Διαφορετικά, το αρχείο αποστέλλεται σε αναλυτές προστασίας από ιούς ή σε δημιουργούς προγραμμάτων προστασίας από ιούς για εξέταση.

Τεχνολογία ευρετικής ανάλυσης

Οι ευρετικές μέθοδοι σάρωσης δεν παρέχουν καμία εγγυημένη προστασία έναντι νέων ιών υπολογιστών που δεν περιλαμβάνονται στο σύνολο υπογραφών, γεγονός που οφείλεται στη χρήση προηγουμένως γνωστών υπογραφών ιών ως αντικείμενο ανάλυσης και στη γνώση σχετικά με τον μηχανισμό του πολυμορφισμού της υπογραφής ως κανόνες ευρετική επαλήθευση. Ταυτόχρονα, αυτή η μέθοδος αναζήτησης βασίζεται σε εμπειρικές υποθέσεις δεν μπορούν να αποκλειστούν εντελώς.

Σε ορισμένες περιπτώσεις, οι ευρετικές μέθοδοι είναι εξαιρετικά επιτυχημένες, για παράδειγμα, στην περίπτωση πολύ σύντομων τμημάτων προγράμματος στον τομέα εκκίνησης: εάν το πρόγραμμα γράψει στον τομέα 1, κομμάτι 0, πλευρά 0, τότε αυτό οδηγεί σε αλλαγή στο διαμέρισμα μονάδας δίσκου . Εκτός όμως από το βοηθητικό πρόγραμμα FDISK, αυτή η εντολή δεν χρησιμοποιείται πουθενά αλλού και επομένως, αν εμφανιστεί απροσδόκητα, μιλάμε για ιό εκκίνησης.

Στη διαδικασία της ευρετικής ανάλυσης, το εξομοιούμενο πρόγραμμα ελέγχεται από έναν αναλυτή κώδικα. Για παράδειγμα, ένα πρόγραμμα έχει μολυνθεί με έναν πολυμορφικό ιό που αποτελείται από ένα κρυπτογραφημένο σώμα και έναν αποκρυπτογραφητή. Ο εξομοιωτής κώδικα προσομοιώνει τη λειτουργία αυτού του ιού μία εντολή τη φορά, μετά την οποία ο αναλυτής κώδικα υπολογίζει το άθροισμα ελέγχου και το συγκρίνει με αυτό που είναι αποθηκευμένο στη βάση δεδομένων. Η εξομοίωση θα συνεχιστεί μέχρι να αποκρυπτογραφηθεί το τμήμα του ιού που είναι απαραίτητο για τον υπολογισμό του αθροίσματος ελέγχου. Εάν η υπογραφή ταιριάζει, το πρόγραμμα αναγνωρίζεται.

Μια άλλη κοινή μέθοδος ευρετικής ανάλυσης που χρησιμοποιείται από μια μεγάλη ομάδα αντιιών είναι η αποσυμπίεση ενός ύποπτου προγράμματος και η ανάλυση του πηγαίο κώδικα του. Ο πηγαίος κώδικας του ύποπτου αρχείου επαληθεύεται και συγκρίνεται με τον πηγαίο κώδικα γνωστών ιών και δειγμάτων ιικής δραστηριότητας. Εάν ένα ορισμένο ποσοστό του πηγαίου κώδικα είναι πανομοιότυπο με τον κώδικα μιας γνωστής δραστηριότητας ιού ή ιού, το αρχείο επισημαίνεται ως ύποπτο και ο χρήστης ειδοποιείται.

Μειονεκτήματα της ευρετικής σάρωσης

  • Η υπερβολική υποψία του ευρετικού αναλυτή μπορεί να προκαλέσει ψευδώς θετικά αποτελέσματα εάν το πρόγραμμα περιέχει τμήματα κώδικα που εκτελούν ενέργειες ή/και ακολουθίες, συμπεριλαμβανομένων εκείνων που είναι χαρακτηριστικά ορισμένων ιών. Συγκεκριμένα, η αποσυσκευασία σε αρχεία που είναι συσκευασμένα με τη συσκευή συσκευασίας PE (Win)Upack προκαλεί ψευδώς θετικά αποτελέσματα για έναν αριθμό εργαλείων προστασίας από ιούς που de facto δεν αναγνωρίζουν αυτό το πρόβλημα. Ένα άλλο πρόβλημα με τους αναλυτές είναι τα ψευδώς θετικά κατά τον έλεγχο εντελώς αβλαβούς κώδικα.

Για παράδειγμα, κώδικας που έχει μεταγλωττιστεί χρησιμοποιώντας το Delphi 7 ή το Delphi 2007:

Πρόγραμμα XDC; ($APPTYPE CONSOLE) χρησιμοποιεί SysUtils. ξεκινήστε if (paramstr (3) ="d" ) και στη συνέχεια ξεκινήστε FileSetReadOnly (paramstr (2 ) ,false ) ; DeleteFile(paramstr(2)); τέλος ; τέλος.

Προκαλεί ψευδή θετικά αποτελέσματα σε προγράμματα προστασίας από ιούς όπως το Panda (ανεξάρτητα από την έκδοση του μεταγλωττιστή), το Webwasher GateWay (κατά τη μεταγλώττιση του Delphi 2007), το F-Secure (κατά τη μεταγλώττιση του Delphi 7). Όπως φαίνεται από το παράδειγμα, το πρόγραμμα είναι απολύτως ασφαλές και δεν υπάρχουν απολύτως ενδείξεις κακόβουλου κώδικα ή λειτουργικότητας ιών (όλη η λειτουργικότητα του παραδείγματος: εάν το κλειδί "d" οριστεί ως τρίτη παράμετρος, το πρόγραμμα διαγράφει το αρχείο που καθορίζεται στη δεύτερη παράμετρο).

  • Διαθεσιμότητα απλών τεχνικών εξαπάτησης του ευρετικού αναλυτή. Κατά κανόνα, πριν από τη διανομή ενός κακόβουλου προγράμματος (ιού), οι προγραμματιστές του εξετάζουν τα υπάρχοντα κοινά προϊόντα προστασίας από ιούς, χρησιμοποιώντας διάφορες μεθόδους για να αποφύγουν τον εντοπισμό του κατά την ευρετική σάρωση. Για παράδειγμα, τροποποιώντας τον κώδικα, χρησιμοποιώντας στοιχεία των οποίων η εκτέλεση δεν υποστηρίζεται από τον εξομοιωτή κώδικα προστασίας από ιούς, χρησιμοποιώντας κρυπτογράφηση μέρους του κώδικα κ.λπ.

Παρά τις δηλώσεις και τα διαφημιστικά φυλλάδια από προγραμματιστές προστασίας από ιούς σχετικά με τη βελτίωση των ευρετικών μηχανισμών, η αποτελεσματικότητα της ευρετικής σάρωσης προς το παρόν απέχει πολύ από την αναμενόμενη. Ανεξάρτητες δοκιμές στοιχείων ευρετικής ανάλυσης δείχνουν ότι το ποσοστό ανίχνευσης νέων κακόβουλων προγραμμάτων δεν υπερβαίνει το 40-50% του αριθμού τους. (Αγγλικά)

  • Ακόμη και με επιτυχή ανίχνευση, η θεραπεία ενός άγνωστου ιού είναι σχεδόν πάντα αδύνατη. Κατ' εξαίρεση, ορισμένα προϊόντα μπορούν να θεραπεύσουν ιούς του ίδιου τύπου και έναν αριθμό πολυμορφικών, κρυπτογραφημένων ιών που δεν έχουν μόνιμο ιικό σώμα, αλλά χρησιμοποιούν μία τεχνική υλοποίησης. Σε αυτήν την περίπτωση, για τη θεραπεία δεκάδων ή εκατοντάδων ιών, μπορεί να υπάρχει μία καταχώρηση στη βάση δεδομένων ιών, όπως εφαρμόζεται, για παράδειγμα, στο πρόγραμμα προστασίας από ιούς του I. Danilov.

δείτε επίσης

Συνδέσεις

εξωτερικοί σύνδεσμοι

Ίδρυμα Wikimedia. 2010.

Δείτε τι είναι η "Ευρετική ανάλυση" σε άλλα λεξικά:

    - (ευρετικά) ένας αλγόριθμος για την επίλυση ενός προβλήματος που δεν έχει αυστηρή αιτιολόγηση, αλλά παρόλα αυτά παρέχει μια αποδεκτή λύση στο πρόβλημα στις περισσότερες πρακτικά σημαντικές περιπτώσεις. Περιεχόμενα 1 Ορισμός 2 Εφαρμογή ... Wikipedia

    Αυτός ο όρος έχει άλλες έννοιες, βλέπε Πολυμορφισμός. Ο πολυμορφισμός ιών υπολογιστών (ελληνικά: πολυ πολλά + ελληνικά: μορφή, εμφάνιση) είναι μια ειδική τεχνική που χρησιμοποιείται από τους συντάκτες κακόβουλου λογισμικού... ... Wikipedia

    Το ύφος αυτού του άρθρου είναι μη εγκυκλοπαιδικό ή παραβιάζει τους κανόνες της ρωσικής γλώσσας. Το άρθρο θα πρέπει να διορθωθεί σύμφωνα με τους στυλιστικούς κανόνες της Wikipedia... Wikipedia

    Οι προληπτικές τεχνολογίες είναι ένα σύνολο τεχνολογιών και μεθόδων που χρησιμοποιούνται σε λογισμικό προστασίας από ιούς, ο κύριος σκοπός των οποίων, σε αντίθεση με τις αντιδραστικές (υπογραφή) τεχνολογίες, είναι η πρόληψη μόλυνσης του συστήματος του χρήστη και ... ... Wikipedia

    Αυτό το άρθρο ή ενότητα είναι μια πρόχειρη μετάφραση ενός άρθρου σε άλλη γλώσσα (δείτε Έλεγχος μεταφράσεων). Θα μπορούσε να έχει δημιουργηθεί από ένα πρόγραμμα μεταφραστή ή από άτομο με μικρή γνώση της αρχικής γλώσσας. Μπορείτε να βοηθήσετε... Wikipedia

    Ιστότοπος άδειας χρήσης λειτουργικού συστήματος προγραμματιστή Windows XP/Vista ... Wikipedia

    Στιγμιότυπο οθόνης του προγράμματος Τύπος... Wikipedia

    OllyDbg ... Βικιπαίδεια

    Αυτό το άρθρο πρέπει να έχει Wikified. Μορφοποιήστε το σύμφωνα με τους κανόνες μορφοποίησης του άρθρου. Ορισμένα μοντέλα ανθρώπινης συμπεριφοράς στις κοινωνικές επιστήμες υποδηλώνουν ότι η ανθρώπινη συμπεριφορά μπορεί να περιγραφεί επαρκώς... Wikipedia

Ερευνα

Προστασία από ιούς.

Τα προγράμματα προστασίας από ιούς ήταν και παραμένουν το κύριο μέσο καταπολέμησης των ιών. Μπορείτε να χρησιμοποιήσετε προγράμματα προστασίας από ιούς (antiviruses) χωρίς να έχετε ιδέα πώς λειτουργούν. Ωστόσο, χωρίς να κατανοήσουμε τις αρχές του λογισμικού προστασίας από ιούς, να γνωρίζουμε τους τύπους των ιών, καθώς και τον τρόπο εξάπλωσής τους, είναι αδύνατο να οργανωθεί αξιόπιστη προστασία υπολογιστή. Ως αποτέλεσμα, ο υπολογιστής μπορεί να μολυνθεί ακόμα και αν είναι εγκατεστημένο λογισμικό προστασίας από ιούς.

Σήμερα, χρησιμοποιούνται διάφορες θεμελιώδεις τεχνικές για την ανίχνευση και την προστασία από ιούς:

· σάρωση.

· ευρετική ανάλυση.

· χρήση οθονών προστασίας από ιούς.

· Ανίχνευση αλλαγών.

· χρήση ενσωματωμένων προγραμμάτων προστασίας από ιούς στο BIOS του υπολογιστή.

Επιπλέον, σχεδόν όλα τα προγράμματα προστασίας από ιούς παρέχουν αυτόματη ανάκτηση μολυσμένων προγραμμάτων και τομέων εκκίνησης. Φυσικά, αν είναι δυνατόν.

Η απλούστερη μέθοδος αναζήτησης ιών είναι ότι το πρόγραμμα προστασίας από ιούς σαρώνει διαδοχικά τα σαρωμένα αρχεία αναζητώντας υπογραφές γνωστών ιών. Η υπογραφή είναι μια μοναδική ακολουθία byte που ανήκει σε έναν ιό και δεν βρίσκεται σε άλλα προγράμματα.

Τα προγράμματα ανίχνευσης ιών μπορούν να βρουν μόνο ήδη γνωστούς και μελετημένους ιούς για τους οποίους έχει οριστεί μια υπογραφή. Η χρήση απλών προγραμμάτων σαρωτή δεν προστατεύει τον υπολογιστή σας από τη διείσδυση νέων ιών.

Για κρυπτογράφηση και πολυμορφικούς ιούς που μπορούν να αλλάξουν εντελώς τον κώδικά τους όταν μολύνουν ένα νέο πρόγραμμα ή έναν τομέα εκκίνησης, είναι αδύνατο να αναγνωριστεί μια υπογραφή. Επομένως, τα απλά προγράμματα ανίχνευσης ιών δεν μπορούν να ανιχνεύσουν πολυμορφικούς ιούς.

Η ευρετική ανάλυση σάς επιτρέπει να ανιχνεύετε προηγουμένως άγνωστους ιούς και για αυτό δεν χρειάζεται να συλλέξετε πρώτα δεδομένα σχετικά με το σύστημα αρχείων, όπως απαιτείται, για παράδειγμα, από τη μέθοδο ανίχνευσης αλλαγών που συζητείται παρακάτω.

Προγράμματα προστασίας από ιούς που εφαρμόζουν τη μέθοδο ευρετικής ανάλυσης σαρώνουν προγράμματα και τομείς εκκίνησης δίσκων και δισκέτας, προσπαθώντας να ανιχνεύσουν κώδικα που χαρακτηρίζει τους ιούς σε αυτά. Ένας ευρετικός αναλυτής μπορεί να ανιχνεύσει, για παράδειγμα, ότι το πρόγραμμα που δοκιμάζεται εγκαθιστά μια λειτουργική μονάδα στη μνήμη ή εγγράφει δεδομένα στο εκτελέσιμο αρχείο του προγράμματος.

Σχεδόν όλα τα σύγχρονα προγράμματα προστασίας από ιούς εφαρμόζουν τις δικές τους ευρετικές μεθόδους ανάλυσης. Στο Σχ. 1 δείξαμε ένα από αυτά τα προγράμματα - τον σαρωτή McAffee VirusScan, που ξεκίνησε με μη αυτόματο τρόπο για σάρωση του δίσκου για προστασία από ιούς.

Όταν ένα πρόγραμμα προστασίας από ιούς εντοπίζει ένα μολυσμένο αρχείο, συνήθως εμφανίζει ένα μήνυμα στην οθόνη της οθόνης και κάνει μια καταχώριση στο δικό του αρχείο καταγραφής ή στο αρχείο καταγραφής του συστήματος. Ανάλογα με τις ρυθμίσεις, το πρόγραμμα προστασίας από ιούς μπορεί επίσης να στείλει ένα μήνυμα σχετικά με τον εντοπισμένο ιό στον διαχειριστή του δικτύου.

Εάν είναι δυνατόν, το πρόγραμμα προστασίας από ιούς απολυμαίνει το αρχείο, επαναφέροντας το περιεχόμενό του. Διαφορετικά, η μόνη επιλογή που προσφέρεται είναι να διαγράψετε το μολυσμένο αρχείο και στη συνέχεια να το επαναφέρετε από ένα αντίγραφο ασφαλείας (αν, φυσικά, έχετε).

Η λέξη "ευρετικό" προέρχεται από το ελληνικό ρήμα "βρίσκω". Η ουσία των ευρετικών μεθόδων είναι ότι η λύση ενός προβλήματος βασίζεται σε ορισμένες εύλογες υποθέσεις και όχι σε αυστηρά συμπεράσματα από υπάρχοντα γεγονότα και υποθέσεις. Επειδή αυτός ο ορισμός ακούγεται αρκετά περίπλοκος και ακατανόητος, ας εξετάσουμε παραδείγματα διαφόρων ευρετικών μεθόδων


Αναζήτηση για ιούς παρόμοιους με γνωστούς Η ευρετική ανάλυση βασίζεται στην υπόθεση ότι οι νέοι ιοί συχνά αποδεικνύονται παρόμοιοι με οποιονδήποτε από τους ήδη γνωστούς. Και συνίσταται στην αναζήτηση αρχείων που δεν ταιριάζουν πλήρως, αλλά πολύ στενά ταιριάζουν με τις υπογραφές γνωστών ιών. Ένα θετικό αποτέλεσμα της χρήσης αυτής της μεθόδου είναι η δυνατότητα ανίχνευσης νέων ιών ακόμη και πριν από την κατανομή των υπογραφών για αυτούς.


Αναζήτηση για ιούς παρόμοιους με γνωστούς Αρνητικές πτυχές: Πιθανότητα εσφαλμένης αναγνώρισης της παρουσίας ιού σε ένα αρχείο όταν στην πραγματικότητα το αρχείο είναι καθαρό - τέτοια συμβάντα ονομάζονται ψευδώς θετικά Αδυναμία θεραπείας - τόσο λόγω πιθανών ψευδών θετικών όσο και λόγω πιθανών ανακριβής προσδιορισμός του τύπου του ιού, μια προσπάθεια θεραπείας μπορεί να οδηγήσει σε μεγαλύτερες απώλειες πληροφοριών από τον ίδιο τον ιό, και αυτό είναι απαράδεκτο.


Αναζήτηση για ιούς που εκτελούν ύποπτες ενέργειες Η μέθοδος βασίζεται στον εντοπισμό των κύριων κακόβουλων ενεργειών, όπως, για παράδειγμα: 1. Διαγραφή αρχείου 2. Εγγραφή σε αρχείο 3. Εγγραφή σε ορισμένες περιοχές του μητρώου συστήματος 4. Άνοιγμα ακρόασης θύρα 5. Υποκλοπή δεδομένων που εισάγονται από το πληκτρολόγιο 6 Αποστολή γραμμάτων κ.λπ. Η εκτέλεση κάθε ενέργειας ξεχωριστά δεν αποτελεί λόγο για να θεωρήσετε το πρόγραμμα κακόβουλο. Αλλά εάν ένα πρόγραμμα εκτελεί με συνέπεια πολλές τέτοιες ενέργειες, αυτό το πρόγραμμα είναι τουλάχιστον ύποπτο.


Αναζήτηση για ιούς που εκτελούν ύποπτες ενέργειες Είναι σαφές ότι η εκτέλεση κάθε τέτοιας ενέργειας ξεχωριστά δεν αποτελεί λόγο για να θεωρήσετε το πρόγραμμα κακόβουλο. Αλλά εάν ένα πρόγραμμα εκτελεί με συνέπεια πολλές τέτοιες ενέργειες, για παράδειγμα, καταγράφει τη δική του εκκίνηση στο κλειδί αυτόματης εκτέλεσης του μητρώου του συστήματος, παρεμποδίζει δεδομένα που εισάγονται από το πληκτρολόγιο και στέλνει αυτά τα δεδομένα σε κάποια διεύθυνση στο Διαδίκτυο με μια συγκεκριμένη συχνότητα, τότε αυτό το πρόγραμμα βρίσκεται σε λιγότερο ύποπτο. Ένας ευρετικός αναλυτής που βασίζεται σε αυτήν την αρχή πρέπει να παρακολουθεί συνεχώς τις ενέργειες που εκτελούν τα προγράμματα. Το πλεονέκτημα της περιγραφόμενης μεθόδου είναι η δυνατότητα εντοπισμού προηγουμένως άγνωστου κακόβουλου λογισμικού, ακόμη και αν δεν είναι πολύ παρόμοια με ήδη γνωστά. Για παράδειγμα, ένα νέο κακόβουλο πρόγραμμα μπορεί να χρησιμοποιεί μια νέα ευπάθεια για να διεισδύσει σε έναν υπολογιστή, αλλά μετά από αυτό αρχίζει να εκτελεί ήδη γνωστές κακόβουλες ενέργειες. Ένα τέτοιο πρόγραμμα μπορεί να χαθεί από έναν ευρετικό αναλυτή του πρώτου τύπου, αλλά μπορεί κάλλιστα να ανιχνευθεί από έναν αναλυτή δεύτερου τύπου. Τα αρνητικά χαρακτηριστικά είναι τα ίδια με πριν: ψευδώς θετικά Αδυναμία θεραπείας Χαμηλή απόδοση


Πρόσθετα εργαλεία Σχεδόν κάθε antivirus σήμερα χρησιμοποιεί όλες τις γνωστές μεθόδους ανίχνευσης ιών. Αλλά τα εργαλεία ανίχνευσης από μόνα τους δεν αρκούν για την επιτυχή λειτουργία ενός antivirus για να είναι αποτελεσματικά τα καθαρά εργαλεία προστασίας από ιούς, χρειάζονται πρόσθετες μονάδες που εκτελούν βοηθητικές λειτουργίες.


Ενημέρωση ενότητας Κάθε πρόγραμμα προστασίας από ιούς πρέπει να περιέχει μια λειτουργική μονάδα ενημέρωσης. Αυτό οφείλεται στο γεγονός ότι η κύρια μέθοδος ανίχνευσης ιών σήμερα είναι η ανάλυση υπογραφών, η οποία βασίζεται στη χρήση μιας βάσης δεδομένων κατά των ιών. Προκειμένου η ανάλυση υπογραφών να αντιμετωπίσει αποτελεσματικά τους πιο πρόσφατους ιούς, οι ειδικοί σε θέματα προστασίας από ιούς αναλύουν συνεχώς δείγματα νέων ιών και απελευθερώνουν υπογραφές για αυτούς. αρχεία με υπογραφές τοποθετούνται στους διακομιστές του κατασκευαστή προστασίας από ιούς και γίνονται διαθέσιμα για λήψη. Η μονάδα ενημέρωσης έρχεται σε επαφή με αυτούς τους διακομιστές, καθορίζει την παρουσία νέων αρχείων, τα κατεβάζει στον υπολογιστή του χρήστη και δίνει οδηγίες στις μονάδες προστασίας από ιούς να χρησιμοποιήσουν τα νέα αρχεία υπογραφής.




Μονάδα διαχείρισης Καθώς ο αριθμός των μονάδων σε ένα πρόγραμμα προστασίας από ιούς αυξάνεται, προκύπτει η ανάγκη για μια πρόσθετη λειτουργική μονάδα για διαχείριση και διαμόρφωση. Στην απλούστερη περίπτωση, πρόκειται για μια κοινή μονάδα διεπαφής, με την οποία μπορείτε να έχετε εύκολη πρόσβαση στις πιο σημαντικές λειτουργίες: 1. Διαμόρφωση των παραμέτρων των μονάδων προστασίας από ιούς 2. Διαμόρφωση ενημερώσεων 3. Διαμόρφωση περιοδικής εκκίνησης ενημερώσεων και σαρώσεων 4. Εκκίνηση λειτουργιών χειροκίνητα, κατόπιν αιτήματος του χρήστη 5. Σάρωση αναφορών 6. Άλλες λειτουργίες, ανάλογα με το συγκεκριμένο πρόγραμμα προστασίας από ιούς


Καραντίνα Μεταξύ άλλων βοηθητικών εργαλείων, πολλά antivirus διαθέτουν ειδικές τεχνολογίες που προστατεύουν από πιθανή απώλεια δεδομένων ως αποτέλεσμα των ενεργειών του antivirus. Για παράδειγμα, είναι εύκολο να φανταστεί κανείς μια κατάσταση στην οποία ένα αρχείο ανιχνεύεται ως πιθανώς μολυσμένο από έναν ευρετικό αναλυτή και διαγράφεται σύμφωνα με τις ρυθμίσεις προστασίας από ιούς. Ωστόσο, ο ευρετικός αναλυτής δεν παρέχει ποτέ εκατό τοις εκατό εγγύηση ότι το αρχείο είναι πραγματικά μολυσμένο, πράγμα που σημαίνει ότι με μια ορισμένη πιθανότητα το πρόγραμμα προστασίας από ιούς θα μπορούσε να διαγράψει ένα μη μολυσμένο αρχείο. Ή το πρόγραμμα προστασίας από ιούς εντοπίζει ένα σημαντικό έγγραφο που έχει μολυνθεί από ιό και προσπαθεί να πραγματοποιήσει απολύμανση σύμφωνα με τις ρυθμίσεις, αλλά για κάποιο λόγο αποτυγχάνει και χάνονται σημαντικές πληροφορίες μαζί με τον θεραπευμένο ιό. Φυσικά, καλό είναι να ασφαλιστείτε για τέτοιες περιπτώσεις. Ο ευκολότερος τρόπος για να το κάνετε αυτό είναι εάν αποθηκεύσετε αντίγραφα ασφαλείας των αρχείων πριν τα απολυμάνετε ή τα διαγράψετε, στη συνέχεια, εάν αποδειχθεί ότι το αρχείο διαγράφηκε κατά λάθος ή χάθηκαν σημαντικές πληροφορίες, μπορείτε πάντα να επαναφέρετε από το αντίγραφο ασφαλείας.

Τι είναι ο ευρετικός αναλυτής;

  1. Η ευρετική μέθοδος, σε αντίθεση με τη μέθοδο υπογραφής, στοχεύει στον εντοπισμό όχι υπογραφών κακόβουλου κώδικα, αλλά τυπικών ακολουθιών πράξεων που επιτρέπουν σε κάποιον να βγάλει συμπέρασμα σχετικά με τη φύση του αρχείου με επαρκή βαθμό πιθανότητας. Το πλεονέκτημα της ευρετικής ανάλυσης είναι ότι δεν απαιτεί προμεταγλωττισμένες βάσεις δεδομένων. Λόγω αυτού, οι νέες απειλές αναγνωρίζονται πριν γίνει γνωστή η δραστηριότητά τους στους αναλυτές ιών.
  2. σε παρακαλώ γράψε μου αν το μάθεις
  3. Η ευρετική σάρωση είναι μια μέθοδος λειτουργίας ενός προγράμματος προστασίας από ιούς που βασίζεται σε υπογραφές και ευρετικές μεθόδους, σχεδιασμένη να βελτιώνει την ικανότητα των σαρωτών να εφαρμόζουν υπογραφές και να αναγνωρίζουν τροποποιημένες εκδόσεις ιών σε περιπτώσεις όπου η υπογραφή δεν ταιριάζει 100% με το σώμα ενός άγνωστου προγράμματος, αλλά το ύποπτο πρόγραμμα δείχνει πιο γενικά σημάδια ιού. Αυτή η τεχνολογία, ωστόσο, χρησιμοποιείται πολύ προσεκτικά στα σύγχρονα προγράμματα, καθώς μπορεί να αυξήσει τον αριθμό των ψευδώς θετικών.
  4. Ένας ευρετικός αναλυτής (ευρετικός) είναι μια μονάδα προστασίας από ιούς που αναλύει τον κώδικα ενός εκτελέσιμου αρχείου και καθορίζει εάν το αντικείμενο που σαρώνεται είναι μολυσμένο.
    Κατά τη διάρκεια της ευρετικής ανάλυσης, δεν χρησιμοποιούνται τυπικές υπογραφές. Αντίθετα, ένα ευρετικό λαμβάνει μια απόφαση με βάση προκαθορισμένους, μερικές φορές όχι εντελώς σαφείς, κανόνες.

    Για μεγαλύτερη σαφήνεια, αυτή η προσέγγιση μπορεί να συγκριθεί με την τεχνητή νοημοσύνη, η οποία διεξάγει ανεξάρτητα ανάλυση και λαμβάνει αποφάσεις. Ωστόσο, αυτή η αναλογία αντικατοπτρίζει μόνο εν μέρει την ουσία, αφού η ευρετική δεν ξέρει πώς να μαθαίνει και, δυστυχώς, έχει χαμηλή απόδοση. Σύμφωνα με ειδικούς σε θέματα προστασίας από ιούς, ακόμη και οι πιο σύγχρονοι αναλυτές δεν είναι σε θέση να σταματήσουν περισσότερο από το 30% των κακόβουλων κωδικών. Ένα άλλο πρόβλημα είναι τα ψευδώς θετικά, όταν ένα νόμιμο πρόγραμμα ανιχνεύεται ως μολυσμένο.

    Ωστόσο, παρά όλες τις ελλείψεις, οι ευρετικές μέθοδοι εξακολουθούν να χρησιμοποιούνται σε προϊόντα προστασίας από ιούς. Το γεγονός είναι ότι ένας συνδυασμός διαφορετικών προσεγγίσεων μπορεί να αυξήσει την τελική απόδοση του σαρωτή. Σήμερα, τα προϊόντα όλων των μεγάλων παικτών στην αγορά είναι εξοπλισμένα με ευρετικά: Symantec, Kaspersky Lab, Panda, Trend Micro και McAfee.
    Στη διαδικασία της ευρετικής ανάλυσης, ελέγχεται η δομή του αρχείου και η συμμόρφωσή του με τα πρότυπα ιών. Η πιο δημοφιλής ευρετική τεχνολογία είναι ο έλεγχος των περιεχομένων ενός αρχείου για τροποποιήσεις ήδη γνωστών υπογραφών ιών και των συνδυασμών τους. Αυτό βοηθά στον εντοπισμό υβριδίων και νέων εκδόσεων παλαιότερα γνωστών ιών χωρίς πρόσθετη ενημέρωση της βάσης δεδομένων προστασίας από ιούς.
    Η ευρετική ανάλυση χρησιμοποιείται για την ανίχνευση άγνωστων ιών και, ως εκ τούτου, δεν περιλαμβάνει θεραπεία.
    Αυτή η τεχνολογία δεν είναι 100% ικανή να προσδιορίσει εάν ένας ιός βρίσκεται μπροστά του ή όχι, και όπως κάθε πιθανολογικός αλγόριθμος πάσχει από ψευδώς θετικά αποτελέσματα.

    Οποιεσδήποτε απορίες θα επιλυθούν από εμένα, επικοινωνήστε μαζί μου, θα βοηθήσουμε με όποιον τρόπο μπορούμε

  5. Ο ευρετικός αναλυτής συνοψίζει τις τάσεις του κώδικα του προγράμματος με βάση τις κλήσεις σε διακοπές συστήματος, προβάλλοντας το επίπεδο πιθανής κακοήθειας. Αυτό εξασφαλίζει ισορροπημένη προστασία του λειτουργικού συστήματος.
    Λοιπόν, όλα φαίνεται να έχουν εξηγηθεί, εντάξει;))
  6. Αυτό είναι ένα είδος τεχνητής νοημοσύνης. στην πραγματική ζωή αυτή η τεχνολογία δεν είναι διαθέσιμη, υπάρχουν κάποιες προσεγγίσεις σε αυτήν, λες και το ίδιο το πρόγραμμα προστασίας από ιούς αναλύει το πρόγραμμα και αποφασίζει αν είναι ιός ή όχι

Ευρετική ανάλυση (ευρετική σάρωση)είναι ένα σύνολο λειτουργιών προστασίας από ιούς που στοχεύουν στον εντοπισμό κακόβουλου λογισμικού άγνωστο στις βάσεις δεδομένων ιών, αλλά ταυτόχρονα, ο ίδιος όρος υποδηλώνει μία από τις συγκεκριμένες μεθόδους.

Σχεδόν όλα τα σύγχρονα προϊόντα προστασίας από ιούς χρησιμοποιούν τεχνολογία ευρετική ανάλυσηκώδικα προγράμματος. Η ευρετική ανάλυση χρησιμοποιείται συχνά σε συνδυασμό με τη σάρωση υπογραφών για την αναζήτηση περίπλοκων κρυπτογραφητικών και πολυμορφικών ιών. Η τεχνική ευρετικής ανάλυσης καθιστά δυνατή την ανίχνευση προηγουμένως άγνωστων λοιμώξεων, ωστόσο, η θεραπεία σε τέτοιες περιπτώσεις είναι σχεδόν πάντα αδύνατη. Σε αυτήν την περίπτωση, κατά κανόνα, απαιτείται πρόσθετη ενημέρωση των βάσεων δεδομένων προστασίας από ιούς για τη λήψη των πιο πρόσφατων υπογραφών και αλγορίθμων θεραπείας, οι οποίοι ενδέχεται να περιέχουν πληροφορίες για έναν άγνωστο ιό. Διαφορετικά, το αρχείο αποστέλλεται σε αναλυτές προστασίας από ιούς ή σε δημιουργούς προγραμμάτων προστασίας από ιούς για εξέταση.

Εγκυκλοπαιδικό YouTube

    1 / 3

    ✪ Πώς να αφαιρέσετε ιούς από έναν υπολογιστή ή φορητό υπολογιστή με Windows 10, 8 ή 7 δωρεάν 🔥🕷️💻

    ✪ Προσαρμόστε την ευαισθησία σάρωσης του Avast.mp4

    ✪ RAW ΣΕ NTFS ΧΩΡΙΣ ΑΠΩΛΕΙΑ ΔΕΔΟΜΕΝΩΝ | Ζητάει να μορφοποιήσει τη μονάδα flash, πώς να ανακτήσει δεδομένα;

    Υπότιτλοι

    Γεια σας φίλοι! Παρακολουθήστε πώς να αφαιρέσετε ιούς από έναν υπολογιστή ή φορητό υπολογιστή με Windows 10, 8 ή 7 δωρεάν Θα αναζητήσουμε ιούς στον υπολογιστή σας χρησιμοποιώντας το δωρεάν πρόγραμμα Malwarebytes 3.0. Αυτό το βοηθητικό πρόγραμμα προστατεύει τον υπολογιστή σας από rootkits, κακόβουλο λογισμικό και λογισμικό υποκλοπής spyware, αποκλείει τη δυνατότητα κρυπτογράφησης αρχείων για επακόλουθο εκβιασμό χρημάτων και παρέχει αξιόπιστη προστασία κατά την πλοήγηση στο Διαδίκτυο. Μεταβείτε στον ιστότοπο του προγράμματος (https://ru.malwarebytes.com/) χρησιμοποιώντας τον σύνδεσμο στην περιγραφή, κάντε λήψη και εγκαταστήστε το. Μετά την εγκατάσταση, η προστασία από ιούς του υπολογιστή σας θα ενεργοποιηθεί αυτόματα, αλλά πρέπει να εκτελέσετε μια σάρωση για να εντοπίσετε και να αφαιρέσετε ιούς που έχουν εισέλθει προηγουμένως στο σύστημα. Εκκινήστε το πρόγραμμα κάνοντας κλικ στο εικονίδιο στο δίσκο συστήματος και κάντε κλικ στο κουμπί "Εκτέλεση σάρωσης". Το βοηθητικό πρόγραμμα θα σαρώσει τη μνήμη RAM, θα ελέγξει τα αρχεία εκκίνησης και το μητρώο συστήματος των Windows. Μετά από αυτό, θα ξεκινήσει ένας μακρύς έλεγχος όλων των δίσκων που είναι συνδεδεμένοι στο σύστημα και η ευρετική ανάλυση. Μετά τη σάρωση, το πρόγραμμα θα προσφέρει μια λίστα αντικειμένων που πρέπει να απολυμανθούν και να διαγραφούν, αυτό θα προστατεύσει σημαντικά αρχεία από τυχαία διαγραφή στην αυτόματη λειτουργία. Δυστυχώς, η μόλυνση και η επακόλουθη θεραπεία για ιούς μπορεί να προκαλέσει ανεπανόρθωτη ζημιά στο λειτουργικό σύστημα, τα προγράμματα και τα έγγραφα. Τα Windows ενδέχεται να δημιουργήσουν σφάλματα κατά τη λειτουργία, ορισμένα προγράμματα δεν λειτουργούν και θα σταματήσουν να εκτελούνται. Εάν έχετε ενεργοποιημένα σημεία επαναφοράς συστήματος, μπορείτε να επαναφέρετε το σύστημα στο σημείο μόλυνσης ή να επαναφέρετε τα Windows στην αρχική τους κατάσταση. Το καλύψαμε σε προηγούμενα βίντεό μας. Μια πλήρης σάρωση συστήματος μου πήρε 3 ώρες και το σύστημα βρήκε αρκετές απειλές. Τα επιλέγουμε και τα βάζουμε σε καραντίνα, αυτό θα προστατεύσει το σύστημα από περαιτέρω μόλυνση. Μπορείτε πάντα να επαναφέρετε αρχεία από την καραντίνα εάν έφτασαν εκεί κατά λάθος. Να θυμάστε ότι η διαγραφή μιας απειλής από την καραντίνα διαγράφει αρχεία από τον σκληρό δίσκο του υπολογιστή σας. Εάν χρειαστεί να ανακτήσετε αυτά τα αρχεία στο μέλλον, χρησιμοποιήστε το Hetman Partition Recovery. Αν σας άρεσε αυτό το βίντεο κάντε like και εγγραφή στο κανάλι. Εάν έχετε οποιεσδήποτε ερωτήσεις, ρωτήστε τις στα σχόλια. Σας ευχαριστώ όλους για την προσοχή σας, καλή επιτυχία.

Τεχνολογία ευρετικής ανάλυσης

Οι ευρετικές μέθοδοι σάρωσης δεν παρέχουν καμία εγγυημένη προστασία έναντι νέων ιών υπολογιστών που δεν περιλαμβάνονται στο σύνολο υπογραφών, γεγονός που οφείλεται στη χρήση προηγουμένως γνωστών ιών ως αντικείμενο ανάλυσης και στη γνώση σχετικά με τον μηχανισμό του πολυμορφισμού υπογραφής ως κανόνες ευρετικής επαλήθευση. Ταυτόχρονα, δεδομένου ότι αυτή η μέθοδος αναζήτησης βασίζεται σε εμπειρικές υποθέσεις, τα ψευδώς θετικά δεν μπορούν να αποκλειστούν εντελώς.

Σε ορισμένες περιπτώσεις, οι ευρετικές μέθοδοι είναι εξαιρετικά επιτυχημένες, για παράδειγμα, στην περίπτωση πολύ σύντομων τμημάτων προγράμματος στον τομέα εκκίνησης: εάν το πρόγραμμα γράψει στον τομέα 1, κομμάτι 0, πλευρά 0, αυτό οδηγεί σε αλλαγή στο διαμέρισμα μονάδας δίσκου. Εκτός όμως από το βοηθητικό πρόγραμμα fdisk, αυτή η εντολή δεν χρησιμοποιείται πουθενά αλλού και επομένως, αν εμφανιστεί απροσδόκητα, μιλάμε για ιό εκκίνησης.

Στη διαδικασία της ευρετικής ανάλυσης, το εξομοιούμενο πρόγραμμα ελέγχεται από έναν αναλυτή κώδικα. Για παράδειγμα, ένα πρόγραμμα έχει μολυνθεί με έναν πολυμορφικό ιό που αποτελείται από ένα κρυπτογραφημένο σώμα και έναν αποκρυπτογραφητή. Ο εξομοιωτής κώδικα διαβάζει οδηγίες στην προσωρινή μνήμη προστασίας από ιούς, τις αναλύει σε οδηγίες και τις εκτελεί μία εντολή κάθε φορά, μετά την οποία ο αναλυτής κώδικα υπολογίζει το άθροισμα ελέγχου και το συγκρίνει με αυτό που είναι αποθηκευμένο στη βάση δεδομένων. Η εξομοίωση θα συνεχιστεί μέχρι να αποκρυπτογραφηθεί το τμήμα του ιού που είναι απαραίτητο για τον υπολογισμό του αθροίσματος ελέγχου. Εάν η υπογραφή ταιριάζει, το πρόγραμμα ορίζεται.

Μειονεκτήματα της ευρετικής σάρωσης

  • Η υπερβολική υποψία του ευρετικού αναλυτή μπορεί να προκαλέσει ψευδώς θετικά αποτελέσματα εάν το πρόγραμμα περιέχει τμήματα κώδικα που εκτελούν ενέργειες ή/και ακολουθίες, συμπεριλαμβανομένων εκείνων που είναι χαρακτηριστικά ορισμένων ιών. Ειδικότερα, η αποσυσκευασία σε αρχεία που είναι συσκευασμένα με τη συσκευή συσκευασίας PE (Win)Upack προκαλεί ψευδώς θετικά αποτελέσματα για ορισμένα εργαλεία προστασίας από ιούς που δεν αναγνωρίζουν αυτό το πρόβλημα.
  • Διαθεσιμότητα απλών τεχνικών εξαπάτησης του ευρετικού αναλυτή. Κατά κανόνα, πριν από τη διανομή ενός κακόβουλου προγράμματος (ιού), οι προγραμματιστές του εξετάζουν τα υπάρχοντα κοινά προϊόντα προστασίας από ιούς, χρησιμοποιώντας διάφορες μεθόδους για να αποφύγουν τον εντοπισμό του κατά την ευρετική σάρωση. Για παράδειγμα, τροποποιώντας τον κώδικα, χρησιμοποιώντας στοιχεία των οποίων η εκτέλεση δεν υποστηρίζεται από τον εξομοιωτή κώδικα προστασίας από ιούς, χρησιμοποιώντας κρυπτογράφηση μέρους του κώδικα κ.λπ.
Παρά τις δηλώσεις και τα διαφημιστικά φυλλάδια από προγραμματιστές προστασίας από ιούς σχετικά με τη βελτίωση των ευρετικών μηχανισμών, η αποτελεσματικότητα της ευρετικής σάρωσης προς το παρόν απέχει πολύ από την αναμενόμενη. Ανεξάρτητες δοκιμές στοιχείων ευρετικής ανάλυσης δείχνουν ότι το ποσοστό ανίχνευσης νέων κακόβουλων προγραμμάτων δεν υπερβαίνει το 40-50% του αριθμού τους. [ ]
  • Ακόμη και με επιτυχή ανίχνευση, η θεραπεία ενός άγνωστου ιού είναι σχεδόν πάντα αδύνατη. Κατ' εξαίρεση, ορισμένα προϊόντα μπορούν να θεραπεύσουν ιούς του ίδιου τύπου και έναν αριθμό πολυμορφικών, κρυπτογραφημένων ιών που δεν έχουν μόνιμο ιικό σώμα, αλλά χρησιμοποιούν μία τεχνική υλοποίησης. Σε αυτήν την περίπτωση, μπορεί να υπάρχει μία καταχώρηση στη βάση δεδομένων ιών για τη θεραπεία δεκάδων ή εκατοντάδων ιών.


Προτείνουμε άλλα άρθρα
Twitch: τι είναι και πώς λειτουργεί;
Twitch: τι είναι και πώς λειτουργεί;
Πώς να γιορτάσετε το Θερινό Ηλιοστάσιο Emmanuelle Daguerre: Ένα θεραπευτικό ηλιοστάσιο
Πώς να γιορτάσετε το Θερινό Ηλιοστάσιο Emmanuelle Daguerre: Ένα θεραπευτικό ηλιοστάσιο
Προγραμματισμός μικροελεγκτών AVR για αρχάριους Προγραμματισμός ελεγκτών avr για αρχάριους
Προγραμματισμός μικροελεγκτών AVR για αρχάριους Προγραμματισμός ελεγκτών avr για αρχάριους