Techniki uýywane przez programy antywirusowe

Techniki uýywane przez programy antywirusowe

11.1. Skanery (ang. scaners)

Najstarszym rodzajem programów antywirusowych sà skanery. Ich dziaùanie polega na wyszukiwaniu zadanej sekwencji bajtów w ciàgu danych.

W wiækszoúci wirusów daje siæ znaleêã unikalnà sekwencjæ bajtów (tzw. sygnaturæ), dziæki której moýliwe jest odnalezienie wirusa w pamiæci lub w zaraýonej ofierze.

Skutecznoúã skanera zaleýy od tego, jak bardzo charakterystyczna jest dana sekwencja. Najlepiej, jeýeli wirus zawiera w sobie jakiú niekonwencjonalny napis lub specyficzny ciàg bajtów (np. jakàú proceduræ demonstracyjnà).

Wraz z pojawieniem siæ wirusów polimorficznych znaczenie skanerów trochæ zmalaùo, jednak nadal jest to najwaýniejsza metoda walki z wirusami. Nawet w przypadku wirusów polimorficznych uýywa siæ skanera, choã dopiero w póêniejszej fazie wykrywania (np. po krokowym lub emulowanym przejúciu poczàtku programu), co úwiadczy o uniwersalnoúci tej metody.

11.2. Monitory (ang. behaviour blockers, interceptors, resident monitors)

Monitor to program antywirusowy zainstalowany jako TSR lub sterownik SYS, który poprzez monitorowanie odpowiednich funkcji DOS i BIOS pozwala na wykrywanie wszystkich wykonywanych za pomocà tych funkcji odwoùañ do dysków. Wiækszoúã tego typu programów posiada takýe mechanizmy pozwalajàce na sprawdzanie, czy wykonywany proces nie ingeruje w jakieú systemowe struktury danych, np. bloki MCB lub tablicæ wektorów przerwañ. To, czy monitor bædzie dziaùaù prawidùowo, zaleýy czæsto od momentu, w którym przejàù on kontrolæ nad systemem (przed czy po wirusie) oraz od tego, jak gùæboko wnika on w system operacyjny (kontrola funkcji wykorzystywanych przez wirusy jest przeprowadzana na poczàtku ùañcucha obsùugi przerwañ lub teý na jego koñcach). Jak widaã, aby dotrzymaã kroku twórcom wirusów, autorzy programów antywirusowych muszà korzystaã z metod podobnych do tych, które stosujà twórcy wirusów.

Najwiækszà wadà monitorów jest to, iý powodujà one czæste faùszywe alarmy (ang. false positives), przez co uýytkownik po kolejnym irytujàcym potwierdzeniu jakiejú zwykùej operacji dyskowej staje siæ mniej uwaýny, a czasami wræcz deinstaluje program antywirusowy z pamiæci.

11.3. Szczepionki (ang. disinfectors)

Szczepionki sà programami skierowanymi przeciwko konkretnym wirusom. Na podstawie posiadanego, zùapanego egzemplarza wirusa moýna, po odpowiedniej analizie jego kodu, zdefiniowaã sygnatury, na podstawie których wykrywa siæ kopie wirusa w zainfekowanych obiektach. Dokùadna analiza kodu wirusa najczæúciej pozwala takýe odnaleêã w nim oryginalne wartoúci pewnych parametrów, które mogà posùuýyã do wyleczenia sektorów lub plików (np. dla plików typu EXE jest to punkt wejúcia do oryginalnego programu, dla plików COM - poczàtkowe bajty programu). Wiækszoúã z istniejàcych szczepionek to rozbudowane programy z interfejsem, które potrafià wykryã i usunàã kilka tysiæcy wirusów. Tylko w przypadkach nowych wirusów niektóre osoby, zmuszone okolicznoúciami, same piszà szczepionkæ skierowanà przeciwko konkretnemu wirusowi, czego efektem z reguùy jest nie do koñca przetestowany, ale dziaùajàcy program.

11.4. Programy autoweryfikujàce

Programy tego typu umoýliwiajà dodanie do wskazanego pliku krótkiego programu, majàcego na celu sprawdzenia przy kaýdym uruchomienie, czy dany program nie zostaù w jakiú sposób zmieniony (co zwykle oznacza ingerencjæ wirusa). Dodawany kod dopisuje siæ do pliku wykorzystujàc te same mechanizmy co wirusy.

Najczæúciej programy tego rodzaju sà nieodporne na technikæ stealth i w systemie zainfekowanym przez wirusa uýywajàcego tej sztuczki nie wykaýà ýadnej zmiany w pliku, mimo ýe jest on zainfekowany.

11.5. Programy zliczajàce sumy kontrolne (ang. integrity checkers

Dziaùanie tego typu programów polega na obliczaniu odpowiednich sum kontrolnych dla zadanego pliku lub plików oraz ewentualnie sektorów. Zliczane sumy kontrolne sà najczæúciej przechowywane w osobnych plikach, tworzonych po pierwszym uruchomieniu programu. Jeýeli pliki te istniaùy juý wczeúniej, program antywirusowy wykorzystuje dane w nich zawarte, aby porównaã sumæ obliczanà na bieýàco z poprzednio zachowanà.

Suma kontrolna nie musi (a nawet nie powinna) byã sumà arytmetycznà. Dziæki znajomoúci algorytmów stosowanych przez pewne programy antywirusowe niektóre wirusy potrafià zaraziã plik i obliczyã dla niego nowà sumæ kontrolnà, którà bez wiækszych problemów moýna zastàpiã pierwotnà, przechowywanà w pliku.

Piætà Achillesowà programów zliczajàcych sumy kontrolne jest to, iý pliki przechowywujàce obliczone sumy nie sà w ýaden sposób chronione, dlatego wiele wirusów bezkarnie kasuje napotkane znane sobie pliki z sumami kontrolnymi.