Пример антивируса

На нашем ресурсе вы можете загрузить «Антивирус в образец» в LIT, CHM, PRC isilo, RTF, PDF, DJVU, FB2, JAR, HTML, LRF, TXT, МОВІ, TCR, EPUB, DOC, AZW3! Задача статьи состоит в объяснении базовых принципов работы антивирусных программ, использующих сигнатуры для обнаружения вредоносного кода.

Помимо самого сканера мы также напишем программку для создания базы сигнатур. В силу простоты алгоритма проверки наш сканер сможет обнаруживать только вредоносные программы, распространяющиеся цельным антивирусом, то есть не заражающие другие файлы, как PE-Вирусы, и не изменяющие свое тело в процессе деятельности, как полиморфные антивирусы. Однако эта часть должна максимально однозначно выделять файл среди множества других файлов. Это значит, что выбранная последовательность должна присутствовать только одном файле, которому она принадлежит, и ни в каких.

На практике помимо самой последовательности применяются ещё дополнительные параметры, позволяющие максимально однозначно сопоставлять сигнатуру файлу. Введение дополнительных параметров также направлено на ускорение поиска сигнатуры в файле. Такими параметрами, например, могут являться размер файла, смещение последовательности байт, тип образца, специальные маски отражение того, как примерно должен выглядеть файл, чтобы в нём могла содержаться искомая сигнатура и многие.

Программные продукты «Лаборатории Касперского»

В нашем сканере в качестве дополнительного параметра мы будем использовать смещение последовательности в файле относительно начала. Данный метод довольно универсален в том плане, что подходит абсолютно для любых файлов независимо от типа. Однако у использования смещения есть один очень значимый минус: Для экономии памяти и повышения скорости обнаружения, на практике обычно используется контрольная сумма хэш последовательности.

Таким образом перед добавлением сигнатуры в антивирусу считается контрольная сумма выбранного участка файла.

Один комментарий

Каждая запись обязательно содержит имя вируса пользователь же должен знать,что за зверь поселился у него в системетакже в записи обязательно присутствует сигнатура, по которой выполняется поиск. Помимо имени и сигнатуры, запись может содержать некоторую дополнительную информацию, например инструкции по лечению. Алгоритм работы сканера Алгоритм работы сканера, использующего сигнатуры, можно свести к нескольким пунктам: Загрузка базы сигнатур 3. Поиск сигнатуры в открытом образце 4. Если сигнатура найдена 5.

Если ни одна сигнатура из базы не найдена — закрытие файла и переход к проверке следующего Как видите, общий принцип работы сканера весьма прост. Все дополнительные образцы будут разобраны в процессе написания сканера.