style="font-size:15px;"> Когда новые вирусы начали появляться почти ежедневно, эксперты задумались, как это остановить. В результате были созданы две технологии: эвристический анализатор и поведенческие блокираторы. В настоящее время появился термин проактивная защита, который объединяет эти понятия.
В процессе работы эвристический анализатор проверяет код приложений, макросов и сценариев и пытается найти в них подозрительные команды или действия. Если количество последних превысит некий барьер, можно сделать вывод об их вирусном происхождении.
Наиболее эффективны динамические анализаторы, запускающие приложение посредством эмуляции. Подобным образом действуют поведенческие блокираторы, только вместо эмуляции запуска программ они работают в реальной среде, анализируя последовательность операций приложения.
С помощью блокиратора можно обнаружить:
• некоторые полиморфные вирусы;
• руткиты;
• попытки внедрения одной программы в другую.
Блокиратор также контролирует целостность системных файлов и реестра
Windows и при необходимости производит откат.
При обнаружении подозрительных моментов пользователю часто выдается запрос о дальнейших действиях. Если пользователь недостаточно подготовлен, чтобы разобраться в проблеме, он может принять неправильное решение, что обесценит защиту. Идеально работающего эвристического анализатора еще не существует. Эта технология часто ошибается, пропуская вирус или, наоборот, подозревая безобидную программу. Разработчики поведенческих блокираторов и эвристических анализаторов составляют набор правил на основе изучения вредоносных программ и также могут ошибаться. У злоумышленников всегда есть возможность изучить реакцию системы защиты и выработать алгоритм заражения, при котором защита не сработает.
Внимание!
Многочисленные тесты показывают, что ни одна антивирусная программа не может обнаружить все вирусы, поэтому всегда существует вероятность, что вирус будет пропущен. Однако есть шанс, что пропущенное вредоносное приложение остановит система защиты антивируса.
Стоит также отметить, что часто разработчики связаны слабыми возможностями движка, которому приходится поддерживать антивирусные базы, поэтому эвристику и поведенческие блокираторы в антивирусах следует рассматривать не как основные, а как дополнительные средства обнаружения, часто усеченные по возможностям.
2.2. Компоненты современного антивируса
Сегодняшний антивирус состоит из нескольких компонентов, каждый из которых отвечает за обнаружение вирусов на определенном участке работы.
В процессе развития состав этих компонентов изменялся, добавлялись новые и удалялись не отвечающие требованиям времени.
• Первый и основной антивирусный компонент – сканер (On-Demand Scanner). Задачей сканера
