Интересуют детали работы антивирусной программы?

Question

[truedanko]

Насколько хорошо использование сигнатур с точки зрения быстродействия антивирусных программ, удобства хранения сигнатур в антивирусной базе данных и невозможности подмены базы данных. Как велика должны быть сигнатуры для минимизации ошибок первого и второго рода.

Как антивирус определяет вредоносность комбинированных файлов: это документов, в которых есть программный код. например, html
с кодом javascript или документ Word с макросом на языке VBA. То есть здесь скорее всего проверяется не весь файл, а как он проверяется?

Comments

[Psq]

Здесь достаточно много информации на аналогичный вопрос:
https://security.stackexchange.com/questions/17328...

[АртемЪ]

Насколько хорошо использование сигнатур с точки зрения быстродействия антивирусных программ, удобства хранения сигнатур в антивирусной базе данных и невозможности подмены базы данных. Как велика должны быть сигнатуры для минимизации ошибок первого и второго рода.

Вопрос непонятен, слишком общий и расплывчатый, конкретизируйте.

Answer 1

[vreitech]

нет, спасибо.

Answer 2

[АртемЪ]

1)Сигнатурная защита - антивирус ищет совпадения кода содержащегося в файле или в памяти с антивирусной базой.
Для того чтобы это работало кто-то должен регулярно заносить сигнатуры в базу, необходимо постоянно обновлять базу. Это сложная работа - с одной стороны сигнатура должна гарантированно совпадать с вирусом, с другой стороны она не должна содержаться в обычных программах. Любая модификация вируса и сигнатура уже другая, и метод не работает. Но этот метод дает мало ошибок.
В данном контексте сигнатура это банальный хэш куска кода.

2)Поведенческая защита - антивирус анализирует поведение программ и ищет подозрительное поведение.
Например программа лезет в память чужого процесса - это подозрительно.
Есть паттерны подозрительного поведения, комплекс действий программы характерный для вирусов и не характерный для обычных программ.
Поведение программ может отслеживаться как по известным паттернам, так и с применением эвристического анализа.

Как антивирус определяет вредоносность комбинированных файлов: это документов, в которых есть программный код. например, html

А какая разница? Любой файл это набор байт - смотрим совпадение сигнатур и все.
То же самое и с поведенческим анализом - если программа исполняется контролируем поведение, если не исполняется - никакого вреда от нее нет и быть не может.

Comments

[truedanko]

Артем, благодарю, но это не совсем ответ на вопрос:)
Что такое сигнатуры и эвристика понятно

Вопрос в том насколько это быстро - использовать сигнатуры, насколько удобно их хранить в бд антивируса, и как эта бд защищена

Насколько велика должна быть сигнатура для минимизации фалсе позитив и фалсе негатив

[АртемЪ]

насколько это быстро - использовать сигнатуры,

Зависит от объема сигнатур, процессора, и количества сканируемой информации. Хэшируем ищем в базе.
Если база большая, процессор слабый, а файлов много - не очень быстро.

насколько удобно их хранить в бд антивируса

Сложно сказать, я не хранил, не в курсе. Обычно антивирус этим сам занимается.

и как эта бд защищена

А ее надо защищать? Там никакой ценной информации. Так что не вижу необходимости.

Насколько велика должна быть сигнатура для минимизации фалсе позитив и фалсе негатив

Не понял смысла фразы.
фалсе позитив это типа false positive? Если так - непонятно, при чем тут статистика, если речь идет о банальном поиске в БД? Либо найдено, либо не найдено в БД, других вариантов нет, никаких неопределенностей, и вероятностей.

[truedanko]

Артем, понял вас, благодарю.

На самом деле бд эта защищается, так как как минимум оттуда можно что-то выпилить или подменить её. Это самые простые варианты. Вопрос был в том, как)

Что касается размера сигнатур, конечно он важен, ибо если она слишком мала, то есть вероятность что мы будем ловить все подряд, и нужное и ненужное, а если большая то ничего не найдем совсем..

[АртемЪ]

truedanko, Ну обычно какой-то особой защиты я не замечал, контролировать ее неизменность думаю контролирует.

По поводу размера - тут дело не столько в размере, сколько в четком выделении специфичного кода.
Т.е такого кода не должно быть в принципе в нормальных приложениях, иначе получим кучу ложных срабатываний, вне зависимости от размера сигнатуры.