Если вы установили программное обеспечение безопасности на свой компьютер или смартфон (отличная идея!), Вы можете задаться вопросом, как работает антивирус? Давайте заглянем под капот антивирусов, чтобы понять, как они работают и зачем нам устанавливать антивирус!
Вирусные сигнатуры: у вас будут основы
При правильной работе программное обеспечение безопасности должно уметь идентифицировать и блокировать вирус. Как он это делает? Первый уровень - это признание его подписи. Как и любой файл, вирус состоит из байтов. Обычно мы говорим о «байтах» (или байтах) для 8 бит, но на самом деле их размер может составлять от 1 до 48 бит.Такой сайт, как Fileformat.info, позволяет создавать «дамп» и отображать файл как последовательность байтов, представленных в шестнадцатеричном формате. Это вернет воспоминания самым старым из вас.
Подпись файла - это последовательность последовательных байтов, которая является специфической для него и позволяет его идентифицировать. Это не точная наука, но можно распознать повторяющиеся шаблоны в одном или нескольких вредоносных программах и, таким образом, обнаружить их.
База сигнатур объединяет все сигнатуры известных вредоносных программ в определенный момент времени. Долгое время это был единственный компонент, позволяющий обнаруживать вирус или вредоносное ПО. Простого описания того, как это работает, достаточно, чтобы выявить его недостатки: чтобы вредоносное ПО могло быть обнаружено только этим процессом, оно должно быть уже известно.
За последние десять лет или около того, методы обновления этих баз данных сигнатур значительно улучшились, с использованием, в частности, техник «проталкивания», чтобы предлагать пользователю новые сигнатуры как можно быстрее, а не обновления. регулярно через более отдаленные промежутки времени.
Привлечение пользователей к обнаружению вредоносных файлов через облако также помогло ускорить доставку сигнатур вирусов. Однако сигнатурные базы данных, если они все еще используются, являются лишь одним из компонентов современной защиты.
Под капотом двигателя
Именно в этом контексте мы говорим о машине анализа. Движок объединяет все технологии, необходимые для обнаружения и удаления вредоносных программ. Сюда входит база сигнатур, а также компоненты, необходимые для других более современных методов, таких как эвристический или поведенческий анализ. Здесь мы больше не будем просто обнаруживать известные файлы, а анализировать их поведение в системе, что позволяет преодолеть ограничения базы данных сигнатур и, таким образом, также обнаруживать угрозы, которые еще не были идентифицированы.Эвристическое сканирование может включать «декомпиляцию» вредоносного файла для его анализа и сравнения его структуры с уже известным кодом, ища сходства, которые могут идентифицировать его как новую, неизвестную угрозу. Другой, более сложный метод - запускает файл в песочнице на предмет подозрительного поведения.
С другой стороны, так называемый поведенческий анализ контролирует операционную систему на предмет известного подозрительного поведения, такого как аномальные изменения файлов. Затем поведение блокируется антивирусом. Таким образом, антивирусный движок будет включать такие компоненты, как эмулятор, позволяющий выполнять вредоносный код в защищенной среде, модуль для распаковки архивов или даже декомпактор, отвечающий за анализ исполняемых файлов.
Центральный, но модульный компонент
Ядро антивируса или пакета безопасности спроектировано как модульное. Он лежит в основе всех решений издателя, и мы должны иметь возможность привить к нему другие компоненты и пользовательский интерфейс. Однако, если «базовый» антивирус, пакет безопасности или решение «полной безопасности» имеют разные функции, все они используют один и тот же механизм.Некоторые поставщики программного обеспечения безопасности также продают свой движок как white label, поэтому мы можем найти их в нескольких решениях от разных поставщиков. Пакет безопасности может даже использовать два ядра - поочередно или в комбинации - для оптимизации обнаружения и удаления вредоносных файлов.
