Предисловие.
Всем привет,сегодня расскажу как работает антивирус далее AV.И какие способы они использует для поиска хитрожопой и не очень малвари.
Автор: Krak0w. Прошу закидывать обосцанными тапками и ругать за плохую подачу материала и за грамматику,не каждый день пишу статьи.Прошу оценить мой труд благодарностью и написать дальнейшие пожелания по написанию статьей,так же принимается критика,но не обосцанные тапки =).
Начнемс.
Для того что бы уметь обходить AV,нужно знать как оно работает и какие методы использует.
Есть 3 основных метода,Статический,Динамический и Эвристический.
Краткий разбор работы Методов.
1)Статический метод.
Это выявление по Сигнатуре вируса,который содержится в Базе Данных у антивирусов.У каждого вируса есть своя уникальная сигнатура.Антивирусы получает билд какого нибудь вируса,антивирусные специалисты анализируют вирус и создают для неё отдельную сигнатуру,которую заносят в черный список сигнатур.
Антивирусы имеют в своей БД огромное количество сигнатур,по который сравнивают вирусы,и если в черном списке не оказалось такой сигнатуре,то антивирус считает что он чист,но как только его сигнатуру занесут в БД,то сразу же у вируса появляются детекты.
Это не самый эффективный способ обнаружения вируса.
2)Динамический метод.
Этот метод куда сильнее своего статического бро.На данный момент,на этот метод AV больше всего полагаются.
Динамический анализ выполняется в процессе запуска приложений в среде с реальным либо же виртуальным процессором,он комбинирует с проверкой сигнатур и эврическим анализом,что делает его очень эффективным.Он может определить даже не известную малварь,которая имеет шифрование,AV умеет обходить фазу шифрования.
Как по мне самый эффективный метод скана.
3)Эврический анализ.
Этот метод,используется многими AV - компаниями,для детектирования неизвестных вирусов или даже которые находят давно в дикой среде по их специфическому вирусному поведению,то есть он понимает что программа введет себя как вирус.Есть правила по которым эврический анализ обнаруживает вирус,но они держаться в секрете,дабы избежать их обхода.Из-за этого не всегда понятно,почему он считает программу за вирус,да да он может считать даже безвредные программы как вирус.Главный недостаток этого анализа, это ложные срабатывания.
Тоже эффективный,но ложные срабатывания это не круто.
В следующих статьях мы разберем некоторые методы известные обходы Статического,Динамического и Эврического анализа.
Спасибо за чтения.P.S Устал пока пИсал xD