Современные методы обнаружения вирусов
Сигнатурный метод — реактивная технология распознавания вирусов при помощи их "отпечатков". Каждый штамм анализируется вирусологом, который выделяет его ген, электронный "отпечаток", последовательность байтов, а затем заносит в базу данных. При проверке файла антивирус ищет в нем этот ген и в случае обнаружения сообщает о заражении.
Преимущества: возможность "лечения", то есть восстановления зараженного файла.
Недостатки: требуется время для анализа и создания "отпечатка".
Поведенческий блокиратор — анализ поведения файла в масштабе реального времени. Антивирус следит за операциями каждой программы и сообщает пользователю о подозрительных действиях.
Преимущества: 100-процентная защита от всех типов вредоносных программ, в том числе тех, чьи "отпечатки" отсутствуют в антивирусной базе данных.
Недостатки: требуются глубокие специальные знания, сложная настройка.
Эвристический анализ — поиск в файлах потенциально опасных команд и их последовательностей.
Преимущества: возможность ловить как известные, так и неизвестные вирусы
Недостатки: недостаточная эффективность, ложные тревоги.
Эмулятор — эмуляция работы проверяемого файла в операционной системе. Антивирус создает для каждого файла защищенное пространство, запускает его и следит за его поведением. В случае обнаружения подозрительных действий сообщает о возможном заражении.
Преимущества: высокое качество распознавания вирусов, низкий уровень ложных срабатываний.
Недостатки: ресурсоемкость.