Как работают антивирусники?

← →
ronyn (2006-02-27 14:07) [0]

По какому принципу работают антивирусники, такие , например, как Каспер или НОД32? Что моя программа должна уметь, чтобы отличить файл-обыкновенный от вируса?

← →
kaZaNoVa © (2006-02-27 14:45) [1]

по разным принципам, обычно по сигнатуре - если вирус, то прога-антивирус начинает вопить об этом и запрещать доступ ...

← →
kaZaNoVa © (2006-02-27 14:46) [2]

ronyn (27.02.06 14:07)
Что моя программа должна уметь, чтобы отличить файл-обыкновенный от вируса?

а что назвать вирусом?)

самое простое - держи МД5 вирусов в базе .) но это слишком примитивно ...

← →
ronyn (2006-02-27 14:48) [3]

Держать их в базе - т.е. иметь набор вирусов и сравнивать свои файлы при сканировании с файлами этой базы?

← →
КаПиБаРа © (2006-02-27 14:52) [4]

http://tinyurl.com/f36w8

← →
SkyRanger © (2006-02-28 01:07) [5]

Каспер примерно так:
begin
for I:=1 to AllViruses do
begin
waitforsomewhat;
check1file;
end;

If programmrunning then
checkitmanyrimes;

%)

NOD32 и AVAST! самые шустрые и мощьные... И к тому же бесплатные...

← →
Джо © (2006-02-28 01:23) [6]

> [5] SkyRanger © (28.02.06 01:07)
> NOD32 и AVAST! самые шустрые и мощьные... И к тому же бесплатные...

Это кто ж такое сказал?

← →
SkyRanger © (2006-02-28 06:04) [7]

Это ИМХО из опыта работы под виндой на которой стоял каспер... :)))

← →
ronyn (2006-02-28 09:46) [8]

Sky Ranger>
Больше интересует вот это место:

begin
waitforsomewhat;
check1file; //как происходит чекет файла?
end;

← →
syte_ser78 © (2006-02-28 09:54) [9]

каспер кроме того делает еще

If programmrunning then
usesCpu(99%)
else
usesCpu(99%);

← →
tesseract © (2006-02-28 10:23) [10]

> каспер кроме того делает еще

Баян:
Как сделать из p4 p2 ?
Поставить анивирус Касперского....

← →
ronyn (2006-02-28 10:26) [11]

Насчет usesCPU 99.99% согласен. Как происходит проверка конкретного файла? Как узнать - это вирус или нет? Как программа определяет критерии файла, по которым его можно считать вирусом?

а я не согласен насчет 99% загрузки у каспера. такое было в 4ой версии (имхо, все подобные шуточки оттуда и пошли), в 5ой все значительно лучше. Загрузку максимум в 40-50% каспером вижу обычно около 20:00, когда он сканирует системный раздел (минут 20). Причем подтормозоны заметны только когда идет активное обращение к винчестеру, а при работе в Ворде/Кореле/Дельфи/ его сканер практически не заметен. Просто компьютер нужен не самый дохлый.

> ronyn (28.02.06 10:26) [11]

Люди над этим голову ломают на протяжении всей истории существования вирусов: создатели вирусов- как сделать чтоб не засекли, создатели анти-вирусов - как засечь. Врядли в рамках форума можно ответить на твой вопрос ))).

> Джо © (28.02.06 01:23) [6]
>
> > [5] SkyRanger © (28.02.06 01:07)
> > NOD32 и AVAST! самые шустрые и мощьные... И к тому же
> бесплатные...
>
> Это кто ж такое сказал?

NOD32 бесплатен? Для кого? Для того, кому не лень переставлять его через каждый месяц?

> NOD32 бесплатен? Для кого? Для того, кому не лень переставлять
> его через каждый месяц?

Нет, для того, кому не лень найти кряк. :-)

> ronyn (28.02.06 10:26) [11]

Разными способами.
Старый способ - сканнируешь файл, ищя в нем сочетания байтов от известных вирусов. С полиморфными тут напряг.
Есть еще эвристика, как она работает, толком не знаю, видимо анализирует подозрительные участки кода.
Есть еще он-лайн защита. Тоже несколько способов.
1. Запоминается контрольная сумма всех исполняемых файлов на диске, потом время от времени сравнивается. Если поменялась - то что то произошло.
2. Перехватываются все подозрительные действия программ (запись в exe, залезание в инет и прочее) и сообщается об этом юзеру.
Короче, сам антивирь писать задерешься. Это надо делать профессионально.

Как работают антивирусники? Найти похожие ветки