_CaptainBlack_ все записи автора

Заблуждение №1: Антивирусы

Большинство пользователей, купив/скачав антивирус, установив, думают что их компьютер теперь в полной безопасности. Что-то аналогичное говорят и создатели антивирусов.

Давайте разберемся, так ли все это? На сколько хорошо антивирусы справляются со своей задачей?
А начнем мы, пожалуй, с принципа работы антивируса.
Вы когда-нибудь задумывались, как это работает? В принципе,  ничего сложного, о чем вы и убедитесь дальше.

Свой/Чужой

С появлением вирусов появилась потребность в эффективном методе их обнаружения и нейтрализации. Я перечислю не все, но наиболее часто используемые методы их обнаружения.

Поиск по сигнатуре

Сигнатура (от англ. sign-подпись) – это последовательность символов (байт) в файле, служащая его «визитной карточкой». Эта визитная карточка и помогает разобраться антивирусу, кто враг, а кто друг. У современных антивирусов в вирусных базах данных таких сигнатур десятки, сотни тысяч, и они постоянно обновляются.

Минусы такого подхода:

1)      При появлении нового вируса, антивирус какое-то время не может его распознать -  до тех пор, пока его не «отловят» и не добавят сигнатуру в базу данных.

 
Эвристика  основана на анализе кода на предмет подозрительных команд и улучшенном методе работы с сигнатурами, при этом ищется не полное совпадение всех байт сигнатуры, а только части. Этот метод позволяет найти вирусы, сигнатуры которых нет еще в базе данных.

Минусы:

1)      Ложные срабатывания.

Эмуляция кода  представляет собой разбор кода программы на инструкции и имитацию их выполнения, при этом тело вируса расшифровывается и подлежит анализу.
Минусы:

1)      Медленность.

2)      Не всегда корректная обработка команд процессора.

3)      Эмуляторы имеют способность спотыкаться на антиотладочных / антиэмуляционных трюках, вследствие чего не могут расшифровать тело вируса и проверить его.

Все, описанные выше способы, действенны, но до какого-то момента.

Поиск по сигнатуре, впрочем, как и эвристика обламывается на  полиморфных вирусах (вирусы, которые шифруют свое тело, при этом процедура шифровки меняется при каждом новом заражении). Эмуляторы кода ломают шею на антиотладочных/антиэмуляционных трюках. Но это всего лишь недостатки именно этих методов. А есть еще много способов заставить «замолчать» антивирус

Подножка антивирусу, или как заставить его молчать.

Способ 1: Упаковщики.

Упаковщик - утилита, сжимающая exe (dll, ocx) файл программы, тем самым делающая две вещи: уменьшающая размер исходного файла и затрудняющая его анализ. Распаковка автоматически происходит на этапе выполнения, т.е. файл можно проанализировать либо запустив, либо распаковав по определенным алгоритмам.

У каждого запаковщика есть своя сигнатура, по которой его можно определить и распаковать. Точно так же поступает и антивирус. Он по сигнатуре пытается определить, какой перед ним упаковщик, и если он его знает, то распаковывает. При этом файл прогоняется через эмулятор.

Тут можно пойти несколькими способами:

1)      Подменить сигнатуры, т.е. сказать антивирусу, что я это не я, а кто-то другой.

2)      Удалить сигнатуры.

3)      Использовать неизвестные антивирусу упаковщики или написать свой собственный.

4)      Дезактивация эмулятора использованием антиотладочных/антиэмуляционных трюков.

Во всех случаях антивирус обломается и пропустит проверку этого файла. 

Способ 2: rootkit – технологии.

Rootkit-технологии позволяют вирусу скрыться в системе, оставаясь незаметным для антивируса. Делается это обычным перехватом API – функций Windows либо на уровне ядра, либо на уровне пользователя, что дает такую возможность, как фальсификация данных. Например, при поиске антивирусом файлов на диске, вирус может сделать себя «невидимым», т.е. он не попадет в его поле зрения. Обнаружить и нейтрализовать rootkit’ы можно, например, с помощью программы AVZ (правда, не все и не всегда).

Кстати, на предмет перехвата функций не проверяет почти ни один из антивирусов, кроме последнего NOD32, но на сколько он хорошо это делает, я не знаю. 

Способ 3: Лучшая защита – нападение.

Ну наконец, можно и просто «убить антивирус», подпортив или удалив ему файлы, чтобы знал гад, как мутить воду.

Вывод:

На антивирус надейся, а сам не плошай! Данная статья показывает, что не всегда антивирусы объективны в поиске и нейтрализации вирусов. И если антивирус ничего не нашел, это не значит, что ничего нет.
 

P.S. Что почитать

Крис Касперски «Компьютерные вирусы изнутри и снаружи»

www.wasm.ru – Сайт посвященный ассемблеру под Windows, вирусологии, анализу кода и мн. др.

www.uinc.ru – интересные статьи о антивирусах, эмуляторах и мн.др.