Антивирусные методы

В сканерах первого поколения для обнаружения известных компьютерных вирусов использовались несложные методы. Самые ранние сканеры обычно искали определенные шаблоны или последовательности байтов, называемые строковыми сигнатурами. Как только вирус обнаружен, его можно точно проанализировать и выделить уникальную последовательность байтов из вирусного кода. Эта строка часто называется сигнатурой вируса и хранится в базе антивирусного сканера. Она должна быть выбрана таким образом, чтобы вероятность ее появления в безобидных программах или других вирусах была оптимистичной. Это один из самых основных и простых методов, используемых антивирусными сканерами.
Использование закладок – это простой способ обеспечить более надежное обнаружение и снизить риск ложных срабатываний. Например, количество байтов, расположенных между началом кода вируса и первым байтом сигнатуры, можно использовать в качестве подходящей закладки. Выбор надежной закладки зависит от вируса. Например, для загрузочных вирусов соответствующие закладки могут отображать адреса загрузочных секторов, размещенных на диске. В вирусах, заражающих файлы, правильная закладка может указывать на смещение исходного заголовка программы. Кроме того, длина вируса может быть очень полезной закладкой.
Почти все антивирусные сканеры тратят большую часть времени на поиск, сопоставляя входные данные с ранее обнаруженными вирусными сигнатурами. Обычно сканеры используют различные типы алгоритмов сравнения строк с несколькими сигнатурами. В 2005 г. было известно более 100000 сигнатур вирусов, и их количество постоянно увеличивается . Поэтому алгоритмы нужно выполнять как можно быстрее. Есть несколько способов ускорить сканирование строк. Некоторые из наиболее распространенных методов ускорения алгоритма поиска:
Хеширование: как правило, методы хеширования обычно используются в алгоритмах поиска в качестве структуры данных, чтобы ускорить доступ к элементам, основанным на нечисловых ключах или ключах с большими числовыми значениями, и в целом повысить скорость процесса. В антивирусных сканерах хеширование используется для уменьшения количества строк поиска в файле

. Методы могут использовать 1 байтовые, 16-битные или 32-битные слова строк сканирования для создания хэш-значения, которое является индексом в хеш-таблице .
Сканирование сверху вниз. Поскольку коды вирусов обычно располагаются в начале или в конце файлов, сканирование только первой и последней частей, а не всего файла, является полезной идеей для увеличения скорости процедуры обнаружения сигнатур. Эта процедура известна как сканирование сверху вниз. Оно уменьшает количество обращений к диску и оптимизирует скорость сканирования. Однако, поскольку сканеры будут искать только в некоторых определенных областях, это может дать ложноотрицательные результаты и снизить точность и надежность.
Сканирование точек входа и фиксированная точка входа: эти методы также помогают сканирующим механизмам работать быстрее. Они используют концепцию точки входа, поиск которой осуществляется по заголовкам исполняемых файлов. Поскольку вирусы обычно ищут точку входа в файл в качестве цели, поиск может быть начат с этой точки. Чтобы сохранить выполнение файла в обычном режиме, вирус должен получить управление из исходной точки запуска и снова передать его исходной точке входа зараженного файла после того, как он завершит свою подпрограмму. Сканирование с фиксированной точкой входа полезно, когда в точке входа нет достаточной полезной строки.
Сканеры второго поколения начали развиваться, когда простые методы сканирования по шаблонам утратили свою эффективность для надлежащего обнаружения новых и более сложных вирусов. Кроме того, это поколение сканеров представило точное и почти точное распознавание, благодаря чему антивирусные сканеры стали более надежными.
Интеллектуальное сканирование относится к методу оптимизации защиты от вирусов нового поколения, которые пытаются скрыть свой код в последовательности бесполезных инструкций (без операций).
Когда начали разрабатываться наборы для мутации вирусов, простое сканирование на основе сигнатур не было таким эффективным способом, потому что эти предварительно поставленные наборы могли производить вирусы, визуально сильно отличавшиеся от их первоначального вида