Принципы работы антивирусов

Для обнаружения вредоносного кода в софте, макросах, интернетах, антивирусы используют такие методы как:

• Сигнатурный метод обнаружения — вирус отлавливается, изучается, для него создается противоядие, результаты заносятся в реестр вирусов и в базу сигнатур. Сигнатуры скачиваются пользователями с очередным обновлением.

Плюсы:
Надёжность метода. Новые вирусы разбирают на куски примерно за час. Во время эпидемий это важно.
Быстродействие.

Минусы:
Для того чтобы проанализировать вирус, нужно для начала его обнаружить. Да-да та самая кнопочка «отправить на проверку» которая в том или ином виде есть в каждом диалоге обнаружения подозрительных файлов на компьютере пользователя. Хотя конечно на пользователей антивирусные компании особо не полагаются, а ищут вирусы в интернетах сами. Знающий человек вам скажет — те вирусы, что присылают пользователи, составляют 1% от общего «веса» антивирусной базы. В то время как основную массу вирусов собирают боты, которые путешествуют в интернетах.

• Эвристический метод обнаружения — метод анализа поведения. Эвристический анализатор висит в памяти и отслеживает ВСЕ действия системы. Если в порядке действий наблюдается нехорошая тенденция, то объект ее вызвавший помечается как подозрительный и тотально огораживается до выяснения обстоятельств. Так обнаруживается некоторая часть новых вирусов, и чуть больше половины полезного софта.

Плюсы:
Реагирование на угрозы не занесённые в базу сигнатур
Относительно высокая эффективность
Устойчивость к новым штаммам

Минусы:
Ложные срабатывания. Под условия поиска попадают почти все кряки и кейгены, кошерные кейлоггеры, программы удалённого администрирования (понятно, что без интернета они не могут работать) и т.п, даже если они иногда уже были дезинфицированы. Тут следует заметить, что эвристический анализ чаще всего срабатывает на упаковщики кода, ужимающие экзешник (kkrunchy, например) и обфускаторы. Зачем же жать программу в 20 строчек? Нет, не для того, чтобы туда влезла музычка! Код пакуется для того, чтобы школьник, не имеющий никакого представления о программировании, воскликнул «Эй, да в эти 20 килобайт никогда не поместится ни один троян, и уж тем более руткит! Видно же, что всё занимает картинка и музычка! Ещё не понятно, как влезло!»
Заметно страдает быстродействие. Пережёвывание всего, что происходит в памяти компьютера, помимо фоновой работы самого сканера файлов и висящих в памяти драйверов антивируса, жевания входящего трафика и полдюжины дополнительных прибамбасов, вроде контроля целостности приложений, тормозит работу независимо от мощности комплектующих.

• Проактивная защита — совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых, в отличие от реактивных (сигнатурных) технологий, является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе. В большинстве антивирусов в случае подозрительного поведения выдает таблички, пугая пользователя. Так как и вредоносные, и не вредоносные программы выполняют похожие действия, неопытному пользователю приходится разрешать всё, дабы игрушка или любая другая программа запустилась, в противном случае при запретах обычно всё накрывается к чертовой матери.