Что за вирус полифаг

Антивирусная грамотность

Что за вирус полифаг

Первые официальные сведения о возможности создания компьютерных вирусов сообщил сотрудник одного университета США в 1984 году на 7-й конференции по безопасности информации.

Алгоритмические вирусы существовали с самого начала существования алгоритмических моделей. Например, при появлении колеса со спицами первый злоумышленник, который “вставил палку в колёса” совершил первое вторжение в запрограммированный алгоритм движения этого колеса.

Компьютерная среда обитания влияет на сущность вирусной программы.

Виды вирусов по среде обитания

  • файловые вирусы – внедряются в выполняемые файлы, могут создавать файлы-двойники (компаньон-вирусы).
  • загрузочные вирусы – записывают себя в загрузочные сектора диска.
  • макро-вирусы – заражают файлы-документы, электронные таблицы путём записи себя в виде прилагаемых к файлу макро-команд.
  • сетевые-вирусы – распространяются через протоколы передачи данных, команды компьютерных сетей, электронную почту.

Многие компьютерные вирусы проходят стандартные стадии исполнения своего кода.

Стадии исполнения компьютерных вирусов

1. Загрузка вируса в память компьютера.

2. Поиск жертвы (объекта вредоносного воздействия).

3. Заражение найденной жертвы.

4. Выполнение деструктивных изменений.

5. Передача управления программе-носителю вируса.

Как и в биологическом мире, при заражении важно максимально быстро определить состояние инфицирования, найти вакцину и предотвратить возможные разрушительные последствия. Вот, почему важно обращать внимание на неестественное поведение компьютерного устройства при его работе. Диагностика состояния объекта по вирусной патологичной симптоматике актуально, как в живом, так и в неживом мире.

Эффективному распространению вирусной программы способствуют определённые условия.

Условия распространения вируса в компьютерной системе

  • технические средства передачи вируса – скоростная сеть, круглосуточный доступ к объекту, внешние интерфейсы связи.
  • популярность программного продукта – наиболее распространённое ПО чаще подвергается заражениям, так как имеет большую аудиторию пользователей.
  • общедоступность места внедрения вируса – корпоративный сервер быстрее доставит вирус по рабочим станциям, чем индивидуальный терминал.
  • низкая квалификация пользователей – несоблюдение правил безопасности при работе с компьютерным устройством, увеличивает вероятность инфицирования распространёнными способами.
  • количество компьютеров объединённых в одну сеть – программе-злоумышленнику эффективнее заражать большие корпоративные сети.
  • низкий уровень средств антивирусной защиты.

Для борьбы с вирусными программами используются антивирусные средства.

Типовые антивирусные средства

  • монитор – резидентная антивирусная программа, осуществляющая проверку всех используемых файлов в режиме реального времени.
  • ревизоры изменений (CRC-сканеры) – снимают контрольные суммы с возможных объектов заражения и сохраняют их в специальной базе данных для последующего отслеживания следов заражения.
  • эвристический анализатор – антивирусная программа может находить аналоги известных вирусов по определённым признакам указанным в коде.
  • поведенческий блокиратор – резидентная программа, перехватывающая различные события и блокирующая подозрительные действия.
  • иммунизаторы – резидентные программы, предотвращающие заражения файлов путем вакцинации от известных вирусов (создаёт имитацию заражения, предотвращающую проникновение вирусов).

Методы обнаружения компьютерных вирусов (КВ)

В 1998 году был утверждён ГОСТ Р 51188-98 который актуален и сегодня. В этом документе есть приложение под названием: “Пояснения о возможностях различных методов обнаружения и устранения компьютерных вирусов“. Процитирую часть этого ГОСТа:

А.1Сканирование является самым простым программным методом поиска КВ.

Антивирусные программы-сканеры могут гарантированно обнаружить только уже известные KB, которые были предварительно изучены и для которых была определена сигнатура.

Программам-сканерам не обязательно хранить в себе сигнатуры всех известных КВ. Они могут, например, хранить только контрольные суммы сигнатур. Антивирусные программы-сканеры, которые могут удалить обнаруженные KB, обычно называются полифагами.

Для эффективного использования антивирусных программ, реализующих метод сканирования, необходимо постоянно обновлять их, получая самые последние версии.

А.

2Метод обнаружения изменений основан на использовании антивирусных программ-ревизоров, которые запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, параметры всех контролируемых файлов, а также информацию о структуре каталогов и номера плохих кластеров диска. Могут быть проверены и другие характеристики компьютера: объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.

Программы-ревизоры потенциально могут обнаружить любые KB, даже те, которые ранее не были известны. Однако следует учитывать, что не все изменения вызваны вторжением КВ.

Так, загрузочная запись может измениться при обновлении версии операционной системы, а некоторые программы записывают изменяемые данные внутри своего выполнимого файла. Командные файлы изменяются еще чаще; так, например, файл AUTOEXEC.

BAT обычно изменяется во время установки нового программного обеспечения.

Программы-ревизоры не помогут и в том случае, когда пользователь записывает в компьютер новый файл, зараженный КВ. При этом, если KB заразит другие программы, уже учтенные ревизором, он будет обнаружен.

Дополнительной возможностью программ-ревизоров является способность восстановить измененные (зараженные) файлы и загрузочные секторы на основании запомненной ранее информации.

Антивирусные программы-ревизоры нельзя использовать для обнаружения KB в файлах документов, так как эти файлы постоянно изменяются. Поэтому для контроля за данными файлами следует использовать программы-сканеры или эвристический анализ.

А.

3Эвристический анализ позволяет обнаруживать ранее неизвестные KB, причем для этого не надо предварительно собирать данные о файловой системе, как требует метод обнаружения изменений.

К основным недостаткам эвристического метода относятся следующие:

– принципиально не могут быть обнаружены все KB;

– возможно появление некоторого количества ложных сигналов об обнаружении KB в программах, использующих вирусоподобные технологии (например, антивирусы).

А.

4 Большинство резидентных сторожей позволяет автоматически проверять все запускаемые программы на заражение известными КВ. Такая проверка будет занимать некоторое время, и процесс загрузки программы замедлится, но зато пользователь будет уверен, что известные KB не смогут активизироваться на его компьютере.

Резидентные сторожа имеют очень много недостатков, которые делают этот класс программ малопригодным для использования. Многие программы, даже не содержащие KB, могут выполнять действия, на которые реагируют резидентные сторожа.

Например, обычная команда LABEL изменяет данные в загрузочном секторе и вызывает срабатывание сторожа. Поэтому работа пользователя будет постоянно прерываться раздражающими сообщениями антивируса.

Кроме того, пользователь должен будет каждый раз решать, вызвано ли это срабатывание компьютерным вирусом или нет. Как показывает практика, рано или поздно пользователь отключает резидентный сторож.

И, наконец, еще один недостаток резидентных сторожей заключается в том, что они должны быть постоянно загружены в оперативную память и, следовательно, уменьшают объем памяти, доступной другим программам.

А.

5 Основными недостатками метода вакцинирования являются возможность обхода такой защиты при использовании компьютерным вирусом так называемой “стелс-технологии”, а также необходимость изменения кода программ, из-за чего некоторые программы начинают работать некорректно или могут перестать работать.

А.

6Аппаратно-программные методы представляют собой один из самых надежных способов защиты ПС от заражения КВ. Благодаря тому, что контроллер такой защиты подключен к системной шине компьютера, он получает полный контроль над всеми обращениями к дисковой подсистеме компьютера. Программное обеспечение аппаратной защиты позволяет указать области файловой системы, которые нельзя изменять. Пользователь может защитить главную загрузочную запись, загрузочные секторы, выполнимые файлы, файлы конфигурации и т.д.

Если аппаратно-программный комплекс обнаружит, что какая-либо программа пытается нарушить установленную защиту, он может не только сообщить об этом пользователю, но и заблокировать дальнейшую работу компьютера.

Аппаратный уровень контроля за дисковой подсистемой компьютера не позволяет KB замаскировать себя. Как только KB проявит себя, он сразу будет обнаружен. При этом совершенно безразлично, как именно “работает” KB и какие средства он использует для доступа к дискам и дискетам.

Аппаратно-программные средства защиты позволяют не только защитить компьютер от KB, но также вовремя пресечь выполнение программ, нацеленных на разрушение файловой системы компьютера. Кроме того, аппаратно-программные средства позволяют защитить компьютер от неквалифицированного пользователя, не давая ему удалить важную информацию, переформатировать диск, изменить файлы конфигурации.

Недостатком аппаратно-программных методов является принципиальная возможность пропустить KB, если они не пытаются изменять защищенные файлы и системные области.”

Как видно из документа 1998 года методы и способы обнаружения вирусных программ не изменились. Меняются версии операционных систем, совершенствуются технологии передачи данных, а смысл проникновения вредоносных программ на компьютерное устройство пользователя остаётся тем же самым:

  • проникновение через защиту путём маскировки
  • проникновение с разрешения пользователя.

Будьте бдительны при использовании компьютерного пространства.

4 сентября 2018 года (редакция текста 27 декабря 2019 года).

автор: юрист Демешин Сергей Владимирович.

Участвуйте в обсуждении, пройдите опрос об интересных темах будущих публикаций (ссылка опроса в описании канала, также в описании указаны правила комментирования публикаций).

Источник: https://zen.yandex.ru/media/info_law_society/antivirusnaia-gramotnost-5b8ea6bfa2313f00ab0ab69e

Классификация антивирусных программ

Что за вирус полифаг

Вне всякого сомнения, главным оружием в борьбе с вирусами, на сегодняшний день, по-прежнему остаются антивирусные программы. Они позволяют не только обнаруживать вирусы, в том числе вирусы, использующие различные методы маскировки, но и удалять их из компьютера.

К настоящему времени в мире осталось 64 антивирусных пакета, сертифицированных ICSA и выпускаемых семнадцатью различными компаниями. Самые популярные из них – NetworkAssociationSymantec, «Лаборатория Касперского», ЗАО «ДиалогНаука» и некоторые другие.

Причем отечественное антивирусное программное обеспечение успешно конкурирует с программным обеспечением, предлагаемым зарубежными фирмами. Хорошая поддержка пользователей отечественных антивирусных программ со стороны фирм-разработчиков антивирусов, позволяет своевременно получать новые версии антивирусов, а также консультации по их использованию.

Для обнаружения, удаления и защиты от компьютерных вирусов существует несколько разновидностей программ. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

1. вакцины;

2. детекторы;

3. ревизоры;

4. сторожа;

5. мониторы;

6. полифаги;

7. эвристические анализаторы.

В последнее время, разработчики антивирусных программ, предлагают пользователям комплексные решения, которые включают в себя большую часть или даже все вышеуказанные программы.

Вакцины – это программы, предназначенные для предотвращения заражения файлов от какого-либо одного, конкретного вируса. Вакцины применяются, если отсутствуют программы, могущие обезвредить данный вирус.

Вакцинация возможна только от известных вирусов, которые можно обнаружить, но по какой-либо причине невозможно обезвредить.

Программа-вакцина модифицирует защищаемую программу или диск таким образом, чтобы это не отражалось на их работе, но при этом настоящий вирус считал защищаемую программу зараженной и поэтому не внедрялся в ее исполняемый код.

Действия программ-вакцин основано на одном из базовых свойств компьютерных вирусов, – не заражать повторно уже инфицированную программу.

Для этих целей, при заражении программ, вирусы используют так называемую «черную метку», которая бы позволяла отличать уже инфицированные программы от неинфицированных. Это может быть, например установка времени создания файла в 24 часа 1 минуту и 62 секунды. Т.к.

нормальные программы не могут иметь подобного времени создания, то, обнаружив, что файл создан в это время, вирус считает, что он заражен и не пытается инфицировать его повторно.

Таким образом, программа вакцина просто создает «черную метку» конкретного вируса на защищаемой программе не изменяя её исполняемого кода, а вирус, обнаруживая такую метку, уже не пытается заразить данный файл.

«Детекторы» или «сканеры» – это программы, которые осуществляют поиск характерной для конкретного вируса сигнатуры, в оперативной памяти компьютера или в файлах на жестком диске, и при обнаружении, выдают соответствующее сообщение. Недостатком этого класса антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам.

Бороться же с обнаруженным вирусом предстоит либо другой антивирусной программе, либо системному программисту. Несколько лет назад детекторы практически уступили позиции полифагам (см. ниже), но любопытно, что они вновь возвращаются на рынок информационных технологий, по мере его развития.

«Ревизоры» – это программы, которые относятся к самым надёжным средствам защиты от вирусов.

Заражая компьютер, вирус делает изменения на жестком диске: дописывает свой код в заражаемый файл, изменяет системные области диска и т.д. На обнаружении таких изменений основывается работа антивирусных программ, называемых «ревизорами».

Они построены на принципе, обратном принципу построения сканеров. Ревизоры не знают в лицо конкретные вирусы, но они запоминают информацию о каждом конкретном логическом диске и по изменению этой информации, позволяют надежно обнаруживать как известные, так и новые, неизвестные вирусы.

В случае обнаружения изменения сведений об имеющихся на диске данных, вся соответствующая информация об измененном объекте предоставляется пользователю. А тот уже сам должен принять решение: стоит ли, например, проверять данный файл на вирус (если это исполняемый файл) или проигнорировать сообщение, если файл изменялся самим пользователем.

Как правило, сравнение состояний производится сразу после загрузки операционной системы. При сравнении проверяются длина файла, его контрольная сумма, дата и время модификации, и некоторые другие параметры.

Программы-ревизоры имеют достаточно развитые алгоритмы, позволяющие обнаруживать даже вирусы таких классов как «стелс» – вирусы и «полиморфные» вирусы, а некоторые даже могут восстановить исходную версию проверяемой программы, удалив изменения, внесенные вирусом.

Преимуществом ревизоров являются – высочайшая скорость проверки дисков (во много десятков раз превышающая скорость работы сканеров) и высокая надежность обнаружения даже неизвестных вирусов.

«Сторожа» – это небольшие резидентные программы, предназначенные для обнаружения подозрительных действий, возникающих при работе пользователя на компьютере, и характерных для вирусов. К числу таких действий могут относиться:

1. попытки коррекции файлов с расширениями COM, EXE, DLL и т.д., обычно неизменяемых;

2. изменение атрибутов файла;

3. прямая запись на диск по абсолютному адресу;

4. запись в загрузочные сектора диска;

5. загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие.

Одним из самых крупных недостатков программ этого класса является то, что при неправильной (а иногда даже и при правильной) настройке, они буквально «засыпают» пользователя предупреждениями, в результате чего их обычно отключают.

«Мониторы» (или программы-фильтры) – это антивирусные программы, основанные по принципу полифага, и использующие для обнаружения вирусов базу данных их сигнатур. Антивирусный монитор располагается резидентно в памяти компьютера, и проверяет на наличие вирусов только те программы, над которыми производит какие-либо манипуляции пользователь, или операционная система.

Обычно антивирусные мониторы проверяют все файлы, над которыми производятся следующие манипуляции:

1. запуск программы на выполнение;

2. изменение атрибутов файла;

3. открытие документ (MicrosoftOffice);

4. копирование или перемещение файла;

5. редактирование файла;

6. и т.д.

Программы-фильтры являются полезными с той точки зрения, что помогают пользователю обнаружить вирус на самой ранней стадии его существования, еще до того момента, когда распространение вируса примет характер эпидемии.

«Полифаги» – это программы, которые способны благополучно удалить вирус и восстановить работоспособность испорченных программ.

Для каждого вируса, путем анализа его кода, способов заражения файлов и т.д. выделяется некоторая, характерная только для него, последовательность байт. Эта последовательность называется сигнатурой данного вируса. Поиск вирусов, в простейшем случае, сводится к поиску их сигнатур.

После обнаружения вируса в теле программы (или загрузочного сектора, который тоже, впрочем, содержит программу начальной загрузки), полифаг обезвреживает его.

Для этого разработчики антивирусных средств тщательно изучают работу каждого конкретного вируса: что он портит, как он портит, где он прячет то, что испортит и т.д.

Сканирование является наиболее традиционным методом поиска вирусов. Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Вирусные базы современных сканеров содержат более 40000 масок вирусов.

Недостатком простых сканеров является их неспособность обнаруживать «полиморфные» вирусы, полностью меняющие свой код. Современные полифаги используют другие методы поиска вирусов.

Для этого они используют более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-полифаги быстро устаревают, и требуется регулярное обновление версий баз данных, содержащих сигнатуры вновь появившихся вирусов. Как результат, сканеры устаревают уже в момент выхода новой версии.

Эвристические анализаторы – программы, выполняющие под своим контролем, проверяемые программы и обнаруживающие действия, характерные для вирусов.

Благодаря этому эвристические анализаторы способны находить «полиморфные» вирусы также легко, как и обычные вирусы, не использующие механизма маскировки, кроме того, они могут обнаруживать вирусы, ранее неизвестные авторам антивирусной программы.

Для выявления указанных маскирующихся вирусов используются специальные методы. К ним можно отнести метод эмуляции процессора.

Метод заключается в имитации выполнения процессором программы и подсовывания вирусу фиктивных управляющих ресурсов. Обманутый таким образом вирус, находящийся под контролем антивирусной программы, расшифровывает свой код.

После этого, сканер сравнивает расшифрованный код с кодами из своей базы данных сканирования.

Источник: https://studopedia.ru/19_264366_osnovnoy-iz-nih-yavlyaetsya-problema-uvelicheniya-politicheskogo-vesa-pravitelstva-v-sisteme-gosudarstvennoy-vlasti.html

Антивирусы-полифаги

Что за вирус полифаг

Антивирусы-полифаги — наиболее распространенные средства по борьбе с вредоносными программами. Исторически они появились первыми и до сих пор удерживают несомненное лидерство в этой, области.

В основе работы полифагов стоит простой принцип — поиск в программах и документах знакомых участков вирусного кода (так называемых сигнатур вирусов).

В общем случае сигнатура — это такая запись о вирусе, которая позволяет однозначно идентифицировать присутствие вирусного кода в программе или документе.

Чаще всего сигнатура — это непосредственно участок вирусного кода или его контрольная сумма (дайджест).

Первоначально антивирусы-полифаги работали по очень простому принципу — осуществляли последовательный просмотр файлов на предмет нахождения в них вирусных программ.

Если сигнатура вируса была обнаружена, то производилась процедура удаления вирусного кода из тела программы или документа. Прежде чем начать проверку файлов, программа-фаг всегда проверяет оперативную память.

Если в оперативной памяти оказывается вирус, то происходит его деактивация.

Это вызвано тем, что зачастую вирусные программы производят заражение тех программ, которые запускаются или открываются в тот момент, когда вирус находится в активной стадии (это связано со стремлением экономить на усилиях по поиску объектов заражения). Таким образом, если вирус останется активным в памяти, то тотальная проверка всех исполняемых файлов приведет к тотальному заражению системы.

В настоящее время вирусные программы значительно усложнились. Например, появились так называемые «stealth-вирусы». В основе их работы лежит тот факт, что операционная система при обращении к периферийным устройствам (в том числе и к жестким дискам) использует механизм прерываний.

Здесь необходимо сделать небольшое отступление на тему «Как работает механизм прерываний». При возникновении прерывания управление передается специальной программе — «Обработчику прерываний». Эта программа отвечает за ввод и вывод информации в/из периферийного устройства.

Кроме того, прерывания делятся на уровни взаимодействия с периферией (в нашем случае — с жесткими и гибкими дис­ками). Есть уровень операционной системы (в среде MS DOS — прерывание 25h), есть уровень базовой системы ввода/вывода (уровень BIOS — прерывание 13h).

Опытные системные программисты могут работать и напрямую, обращаясь к портам ввода/вывода устройств. Но это довольно серьезная и трудная задача. Столь многоуровневая система сделана, прежде всего, с целью сохранения переносимости приложений.

Именно благодаря такой системе, скажем, оказалось возможным осуществлять запуск DOS-приложений в многозадачных средах типа MS Windows или IBM OS/2.

Но в такой системе изначально скрыта и уязвимость: управляя обработчиком прерываний, можно управлять потоком информации от периферийного устройства к пользователю. Stealth-вирусы, в частности, используют механизм перехвата управления при возникновении прерывания. Заменяя оригинальный обработчик пре­рывания своим кодом, stealth-вирусы контролируют чтение данных с диска.

В случае если с диска читается зараженная программа, вирус «выкусывает» собственный код (обычно код не буквально «выкусывается», а происходит подмена номера читаемого сектора диска). В итоге пользователь получает для чтения «чистый» код.

Таким образом, до тех пор, пока вектор обработчика прерываний изменен вирусным кодом, сам вирус активен в памяти компьютера, обнаружить его простым чтением диска средствами операционной системы невозможно. Схожий механизм маскировки используется и загрузочными вирусами, о которых будет сказано дальше.

В целях борьбы со stealth-вирусами ранее рекомендовалось (и, в принципе, рекомендуется и сейчас) осуществлять альтернативную загрузку системы с гибкого диска и только после этого проводить поиск и удаление вирусных программ. В настоящее время загрузка с гибкого диска может оказаться проблематичной (для случая с Win32 — антивирусными приложениями запустить их не удастся).

Ввиду всего вышесказанного, антивирусы-полифаги оказываются максимально эффективными только при борьбе с уже известными вирусами, то есть с такими, чьи сигнатуры и методы поведения знакомы разработчикам.

Только в этом случае вирус со 100%-ной точностью будет обнаружен и удален из памяти компьютера, а потом — и из всех проверяемых файлов. Если же вирус неизвестен, то он может достаточно успешно противостоять попыткам его обнаружения и лечения. Поэтому главное при пользовании любым полифагом — как можно чаще обновлять версии программы и вирусные базы.

Особняком тут стоят так называемые эвристические анализаторы. Дело в том, что существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов.

Как правило, такие вариации создают непрофессиональные программисты, которые по каким-то причинам решили написать вирус. Для борьбы с такими «копиями» и были придуманы эвристические анализаторы.

С их помощью антивирус способен находить подобные аналоги известных вирусов, сообщая пользователю, что у него, похоже, завелся вирус. Естественно, надежность эвристического анализатора не 100 %, но все же его коэффициент полезного действия больше 50 %.

Вирусы, которые не распознаются антивирусными детекторами, способны написать только наиболее опытные и квалифицированные программисты.

Эвристическим анализатором кода называется набор подпрограмм, анализирующих код исполняемых файлов, памяти или загрузочных секторов для обнаружения в нем разных типов компьютерных вирусов. Основной частью эвристического анализатора является эмулятор кода.

Эмулятор кода работает в режиме просмотра, то есть его основная задача — не выполнять код, а выявлять в нем всевозможные события, т. е.

совокупность кода или вызов определенной функции операционной системы, направленные на преобразование системных данных, работу с файлами, или обнаруживать часто используемые вирусные конструкции.

Грубо говоря, эмулятор просматривает код программы и выявляет те действия, которые эта программа совершает. Если действия этой программы укладываются в какую-то определенную схему, то делается вывод о наличии в программе вирусного кода.

Конечно, вероятность, как пропуска, так и ложного срабатывания весьма высока. Однако, правильно используя механизм эвристики, пользователь может самостоятельно прийти к верным выводам.

Например, если антивирус выдает сообщение о подозрении на вирус для единичного файла, то вероятность ложного срабатывания весьма высока.

Если же такое повторяется на многих файлах (а до этого антивирус ничего подозрительного в этих файлах не обнаруживал), то можно говорить о заражении системы вирусом с вероятностью, близкой к 100 %. Наиболее мощным эвристическим анализатором в настоящее время обладает антивирус Dr.Web.

Использование эвристического анализатора, помимо всего вышеперечисленного, позволяет также бороться с вирус-генераторами и полиморфными вирусами.

Классический метод определения вирусов по сигнатуре в этом случае вообще оказывается неэффективен.

Вирус-генераторы — это специализированный набор библиотек, который позволяет пользователю легко сконструировать свой собственный вирус, даже имея слабые познания в программировании.

К написанной программе, подключаются библиотеки генератора, вставляются в нужных местах вызовы внешних процедур — и вот элементарный вирус превратился в достаточно сложный продукт.

Самое печальное, что в этом случае сигнатура вируса будет каждый раз другая, поэтому отследить вирус оказывается возможным только по характерным вызовам внешних процедур — а это уже работа эвристического анализатора. Полиморфный вирус имеет еще более сложную структуру. Само тело вируса видоизменяется от заражения к заражению, при этом сохраняя свое функциональное наполнение.

В простейшем случае — если разбросать в теле вируса случайным образом ничего не исполняющие, пустые операторы (типа «mov ax, ах» или «пор»), то тело вирусного кода претерпит значи­тельные изменения, а алгоритм останется прежним. В этом случае на помощь также приходит эвристический анализатор.

Источник: https://studopedia.su/10_125509_antivirusi-polifagi.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.