Как работает антивирусная программа
Автор Ѝдем Муратов задал вопрос в разделе Программное обеспечение
Антивирус. Принцип работы антивируса! как он работает? и получил лучший ответ
Ответ от Иван сурков[гуру]
Их принцип работы намного сложней, чем простая проверка формата файла!
Поясняю. Антивирус сканирует файлы. Файлов много и у них разные расширения. В базе антивируса заложены возможные "опасные" расширения которые он проверяет обязательно. А так же в нём заложены образцы вирусов. Вирус по своей природе обыкновенная программа которая только вместо положительных она осуществляет диструктивные функции. Многие вирусы заражают файлы например .exe .com те те файлы которые могу выполнятся сами в процессе работы компа. Так вот антивирус при сканировании исследует структуру файлов попутно сверяясь с базой данных если он находит инородный код он сигнализирует о заражении если же он находит файл соответствующий частично или полностью вирусу из базы он сигнализирует о наличии вируса. При использовании так называемого эвристического анализатора антивирус будет самостоятельно прикидывать может ли быть файл вирусом или нет. Так же некоторые антивирусы проверяют процессы происходящие в ОЗУ. Делается это следующим образом антивирус находит процесс и определяет какой программой или файлом он создаётся далее он действует так как описано выше. Кстати от стелс-вирусов и полиморфных вирусов редко какие антивири спасают.
Ответ от Їасы[гуру]
эмм... ищет вирусы
эмм... ищет вирусы
Ответ от Svarvar[гуру]
Плохой антивирус просто проверяет любой открываемыйзапускаемый файл по базе вирусов: если в базе нет, то разрешает открытиеисполнение, если есть, то запрещает. Хороший антивирус кроме того анализирует активность файла: например, если при попытке открыть файл *.jpg вместо открытия картинки у файл пытается внести изменения в реестр, то такой файл и ее действия будут заблокированы. "mnf функция называется "Проактивная защита".
Рекомендую зайти на сайт Касперского и почитать.
Плохой антивирус просто проверяет любой открываемыйзапускаемый файл по базе вирусов: если в базе нет, то разрешает открытиеисполнение, если есть, то запрещает. Хороший антивирус кроме того анализирует активность файла: например, если при попытке открыть файл *.jpg вместо открытия картинки у файл пытается внести изменения в реестр, то такой файл и ее действия будут заблокированы. "mnf функция называется "Проактивная защита".
Рекомендую зайти на сайт Касперского и почитать.
Ответ от Гусь Лапчатый[гуру]
Антивирус
Старый, как сама история всей антивирусной индустрии, этот модуль работает все по той же ветхой, но проверенной временем системе сигнатурного обнаружения (детекта) . Но не все потеряно. Свежим ветром инноваций, одной из главных особенностей антивируса, будучи бесплатным продуктом, является «Облачный» сканер. Эта система представляет из себя своеобразный онлайн сервис, обеспечивающий мгновенное обнаружение самых свежих вирусов, которые были идентифицированы антивирусной лабораторией. А неопознанные файлы можно отправить на проверку в вирусную лабораторию, не выходя из интерфейса продукта. При определенных настройках это делается автоматически.
Проактивная защита
Проактивная защита - это сравнительно молодая система, чей принцип действия основан на анализе поведения приложений. Словно Полиция, она неустанно следит за всем, что происходит на компьютере, выявляя неадекватное поведение некоторых программ. Как только такое поведение будет обнаружено, полиция пресекает попытки дебоша, и тут ей на помощь приходит такое «Ноу-хау» , как «Песочница» , или официально - Sandbox, что, по сути, является изолятором (виртуальное системное окружение, ограниченное от реальной файловой системы и реестра) .
Подозрительно ведущие себя приложения помещаются в изолятор «Sandbox» для выявления их потенциальной опасности. Если изолированные приложения и дальше продолжат буянить, то они беспощадно подвергнутся тотальной аннигиляции. Если же приложение будет вести себя тихо, то отпустят с правом на реабилитацию. Пока подозреваемые находятся в изоляторе, полиция пробивает их по онлайн базе данных Comodo, где попытается узнать об их происхождении, а точнее об их потенциальной опасности для системы. Конечно «Sandbox» можно и отключить вовсе. В таком случаи полиция начнет отлавливать любого, кто плохо себя вел и осуществлять правосудие прямо на месте без долгих разбирательств. Самое гуманное в этом деле то, что пользователь имеет над всем этим контроль, так как будет получать оповещение с правом выбора: «Казнить» или «Помиловать» - для каждого неизвестного и подозрительного приложения.
Фаервол
Принцип работы этого элемента напоминает деятельность сотрудников ФМС (Федеральной Миграционной Службы) . Как и полиция (Проактивная защита) , органы ФМС работают с приложениями, разрешая или запрещая им доступ в Интернет. Благонадежные подключения некоторых приложений, имеющие паспорт (доверенный цифровой сертификат) , а так же иной «хороший» трафик, беспроблемно пропускается за пределы системы на просторы Интернета. По такому же принципу служба работает и с входящими подключениями. Но как только границу пересечет опасное подключение с набором известных вредоносных характеристик, ФМС немедленно расстреляет его на месте! Разумеется, изворотливые зловреды того и глядят, как обойти эту защиту. Задачей Фаервола является недопущение такого несанкционированного доступа через сеть. Подключения так же могут носить неизвестный характер. Без паспорта и с подозрительной внешностью, в такой ситуации миграционная служба сразу выдаст пользователю оповещение. Вы, как и с Проактивной защитой, получите полную информацию о подключении, кем оно создано и что пытается сделать. В любом случае, вам будет предоставлена возможность «Казнить» или «Помиловать» неизвестных, пытавшихся перейти границу.
Антивирус
Старый, как сама история всей антивирусной индустрии, этот модуль работает все по той же ветхой, но проверенной временем системе сигнатурного обнаружения (детекта) . Но не все потеряно. Свежим ветром инноваций, одной из главных особенностей антивируса, будучи бесплатным продуктом, является «Облачный» сканер. Эта система представляет из себя своеобразный онлайн сервис, обеспечивающий мгновенное обнаружение самых свежих вирусов, которые были идентифицированы антивирусной лабораторией. А неопознанные файлы можно отправить на проверку в вирусную лабораторию, не выходя из интерфейса продукта. При определенных настройках это делается автоматически.
Проактивная защита
Проактивная защита - это сравнительно молодая система, чей принцип действия основан на анализе поведения приложений. Словно Полиция, она неустанно следит за всем, что происходит на компьютере, выявляя неадекватное поведение некоторых программ. Как только такое поведение будет обнаружено, полиция пресекает попытки дебоша, и тут ей на помощь приходит такое «Ноу-хау» , как «Песочница» , или официально - Sandbox, что, по сути, является изолятором (виртуальное системное окружение, ограниченное от реальной файловой системы и реестра) .
Подозрительно ведущие себя приложения помещаются в изолятор «Sandbox» для выявления их потенциальной опасности. Если изолированные приложения и дальше продолжат буянить, то они беспощадно подвергнутся тотальной аннигиляции. Если же приложение будет вести себя тихо, то отпустят с правом на реабилитацию. Пока подозреваемые находятся в изоляторе, полиция пробивает их по онлайн базе данных Comodo, где попытается узнать об их происхождении, а точнее об их потенциальной опасности для системы. Конечно «Sandbox» можно и отключить вовсе. В таком случаи полиция начнет отлавливать любого, кто плохо себя вел и осуществлять правосудие прямо на месте без долгих разбирательств. Самое гуманное в этом деле то, что пользователь имеет над всем этим контроль, так как будет получать оповещение с правом выбора: «Казнить» или «Помиловать» - для каждого неизвестного и подозрительного приложения.
Фаервол
Принцип работы этого элемента напоминает деятельность сотрудников ФМС (Федеральной Миграционной Службы) . Как и полиция (Проактивная защита) , органы ФМС работают с приложениями, разрешая или запрещая им доступ в Интернет. Благонадежные подключения некоторых приложений, имеющие паспорт (доверенный цифровой сертификат) , а так же иной «хороший» трафик, беспроблемно пропускается за пределы системы на просторы Интернета. По такому же принципу служба работает и с входящими подключениями. Но как только границу пересечет опасное подключение с набором известных вредоносных характеристик, ФМС немедленно расстреляет его на месте! Разумеется, изворотливые зловреды того и глядят, как обойти эту защиту. Задачей Фаервола является недопущение такого несанкционированного доступа через сеть. Подключения так же могут носить неизвестный характер. Без паспорта и с подозрительной внешностью, в такой ситуации миграционная служба сразу выдаст пользователю оповещение. Вы, как и с Проактивной защитой, получите полную информацию о подключении, кем оно создано и что пытается сделать. В любом случае, вам будет предоставлена возможность «Казнить» или «Помиловать» неизвестных, пытавшихся перейти границу.
Ответ от ....... ...........[новичек]
1. Метод соответствия определению вирусов в словаре
В этом случае, когда софт-антивирус проводит анализ выбранных файлов, он подает запрос специальной вирусной базе данных, которую составляет разработчик программы. Дальше все происходит просто — при обнаружении в коде файла участка, похожего на участок вируса в базе, программа может автоматически (или с запросом) выполнить какое-либо из этих действий:
- удаление файла
- запретить пользователю доступ к файлу
- отправить файл в хранилище (или на карантин) , которое закроет возможность дальнейшего распространения вируса по компьютеру
- провести лечение файла, удалив код с вирусом из тела файла (если возможно) . Иногда для успешного завершения процедуры лечения необходимо перезагрузить компьютер.
Как правило, поставщики программы регулярно обновляют антивирусную базу, чтобы база обновилась и в самой программе, желательно включить автоматическое обновление.
Разумеется, разные разработчики используют разные конструктивные особенности в своих изделиях. Некоторые могут использовать несколько ядер, для более результативного поиска вирусов, а также программ-шпионов.
NuWave Software для примера, использует ресурс сразу пяти ядер (из которых три занимаются поиском вирусов, а оставшиеся два — программ-шпионов)
Чаще всего, чтобы проверить компьютер необходимо запустить проверку, однако, многие современные антивирусники сами проверяют файл, как только пользователь к нему обращается. То есть, если вы скачали файл с неизвестным вирусом, система быстро отыщет его и ликвидирует. Благодаря расширенным настройкам в программе, пользователь сам может выставить, как часто антивирус должен проверять компьютер.
Есть во всем этом и оборотная сторона медали. Разумеется, программы постоянно совершенствуются, модифицируются, разработчики стараются создать более качественный софт, но и создатели вирусов не отстают. Хакеры и просто авторы вирусов стараются обойти защиту, используя слабые места антивирусника, путем создания так называемых «олигоморфических, полиморфических и метаморфических» вирусов. Суть в том, что отдельные части кода, из которых состоит вирус, шифруются таким образом, что программе-антивирусу практически невозможно обнаружить совпадение в коде из вирусной БД.
2. Метод обнаружения странного поведения программ
Те антивирусные программы, которые используют этот принцип, используют в основе своей работы не нахождение уже известных вирусов с помощью БД. Программа учитывает любые подозрительные действия, которые могут выполнять другие файлы или программы, и блокирует эти действия либо просто предупреждает пользователя об этом событии.
Подобные способы обнаружения довольно популярны сейчас, однако применяются не в виде отдельного софта, а как дополнительный модуль антивирусной программы. Такое использование является самым эффективным и позволяет обеспечить самый высокий уровень защиты.
Принцип работы достаточно хорош тем, что позволяет найти вирусы, которые еще неизвестны общественности и соответственно более опасны. Однако, этот плюс является одновременно и минусом — программа не всегда может отличить вирус от обычной уникальной активности. Это может привести к тому, что антивирус заблокируют нужные вам программы (не представляющие при этом никакой опасности) или же просто будет вводить пользователя в заблуждение постоянными предупреждениями об опасности.
3. Метод обнаружения при помощи эмуляции
Не настолько популярный, но все-таки заслуживающий внимания способ, при котором антивирус самостоятельно имитирует выполнение кода той или иной программы (которую вызывает пользователь) до того, как запустить ее. Соответственно, если программа использует код, который самоизменяется, либо будет проявлять подозрительную активность (схожую на вирусную) — эта программа будет воспринята как вредоносная.
Этот принцип работы антивируса является не особо популярным, в виду его слабой эффективности — большинство подобных «находок» ошибочны.
...
1. Метод соответствия определению вирусов в словаре
В этом случае, когда софт-антивирус проводит анализ выбранных файлов, он подает запрос специальной вирусной базе данных, которую составляет разработчик программы. Дальше все происходит просто — при обнаружении в коде файла участка, похожего на участок вируса в базе, программа может автоматически (или с запросом) выполнить какое-либо из этих действий:
- удаление файла
- запретить пользователю доступ к файлу
- отправить файл в хранилище (или на карантин) , которое закроет возможность дальнейшего распространения вируса по компьютеру
- провести лечение файла, удалив код с вирусом из тела файла (если возможно) . Иногда для успешного завершения процедуры лечения необходимо перезагрузить компьютер.
Как правило, поставщики программы регулярно обновляют антивирусную базу, чтобы база обновилась и в самой программе, желательно включить автоматическое обновление.
Разумеется, разные разработчики используют разные конструктивные особенности в своих изделиях. Некоторые могут использовать несколько ядер, для более результативного поиска вирусов, а также программ-шпионов.
NuWave Software для примера, использует ресурс сразу пяти ядер (из которых три занимаются поиском вирусов, а оставшиеся два — программ-шпионов)
Чаще всего, чтобы проверить компьютер необходимо запустить проверку, однако, многие современные антивирусники сами проверяют файл, как только пользователь к нему обращается. То есть, если вы скачали файл с неизвестным вирусом, система быстро отыщет его и ликвидирует. Благодаря расширенным настройкам в программе, пользователь сам может выставить, как часто антивирус должен проверять компьютер.
Есть во всем этом и оборотная сторона медали. Разумеется, программы постоянно совершенствуются, модифицируются, разработчики стараются создать более качественный софт, но и создатели вирусов не отстают. Хакеры и просто авторы вирусов стараются обойти защиту, используя слабые места антивирусника, путем создания так называемых «олигоморфических, полиморфических и метаморфических» вирусов. Суть в том, что отдельные части кода, из которых состоит вирус, шифруются таким образом, что программе-антивирусу практически невозможно обнаружить совпадение в коде из вирусной БД.
2. Метод обнаружения странного поведения программ
Те антивирусные программы, которые используют этот принцип, используют в основе своей работы не нахождение уже известных вирусов с помощью БД. Программа учитывает любые подозрительные действия, которые могут выполнять другие файлы или программы, и блокирует эти действия либо просто предупреждает пользователя об этом событии.
Подобные способы обнаружения довольно популярны сейчас, однако применяются не в виде отдельного софта, а как дополнительный модуль антивирусной программы. Такое использование является самым эффективным и позволяет обеспечить самый высокий уровень защиты.
Принцип работы достаточно хорош тем, что позволяет найти вирусы, которые еще неизвестны общественности и соответственно более опасны. Однако, этот плюс является одновременно и минусом — программа не всегда может отличить вирус от обычной уникальной активности. Это может привести к тому, что антивирус заблокируют нужные вам программы (не представляющие при этом никакой опасности) или же просто будет вводить пользователя в заблуждение постоянными предупреждениями об опасности.
3. Метод обнаружения при помощи эмуляции
Не настолько популярный, но все-таки заслуживающий внимания способ, при котором антивирус самостоятельно имитирует выполнение кода той или иной программы (которую вызывает пользователь) до того, как запустить ее. Соответственно, если программа использует код, который самоизменяется, либо будет проявлять подозрительную активность (схожую на вирусную) — эта программа будет воспринята как вредоносная.
Этот принцип работы антивируса является не особо популярным, в виду его слабой эффективности — большинство подобных «находок» ошибочны.
...
Ответ от Кузьмич[гуру]
говоря просто: - антивирус знает последовательность кода в известных ему вирусах и попросту проверяет файлы, нет ли похожих кусков кода в них.
говоря просто: - антивирус знает последовательность кода в известных ему вирусах и попросту проверяет файлы, нет ли похожих кусков кода в них.
Ответ от 22 ответа[гуру]
Привет! Вот подборка тем с похожими вопросами и ответами на Ваш вопрос: Антивирус. Принцип работы антивируса! как он работает?