Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Вскрытие покажет

Прочитали: 2642 Комментариев: 143 Рейтинг: 289

Говоря «антивирус», многие подразумевают «сигнатуры». Однако опознать преступника – еще полдела, нужно также выявить соучастников преступления и пострадавших. Иными словами, антивирусу мало уметь выявлять непосредственно сам вредоносный файл, ему нужно обнаружить и используемые этим файлом ресурсы. Такая возможность, в частности, требуется поведенческому анализатору – знание характерных признаков может предотвратить повторное заражение новейшими модификациями вредоносных программ, помочь с настройкой антиспама, черных списков Родительского контроля, правил брандмауэра.

И если получение сигнатур – в большинстве случаев дело достаточно быстрое (естественно, для тех вредоносных программ, у которых они есть), то анализ поведения – процесс долгий, и при чтении новости о новейшей вредоносной программе нужно понимать, что за небольшой заметкой подчас недели труда аналитиков.

Для анализа вредоносных файлов используются специальные программы – как общедоступные, так и создаваемые в стенах антивирусных лабораторий для нужд аналитиков. Таких программ довольно много, остановимся лишь на нескольких их разновидностях.

Первоначальный анализ поведения программ доступен каждому (хотя мы и не рекомендуем его проводить). Например, бесплатная утилита Procmon (Process Monitor) используется для того, чтобы в режиме реального времени узнать, какие ресурсы использует та или иная программа.

#drweb

Также для анализа используется дизассемблер. Практически любой анализируемый файл (кроме, пожалуй, скриптовых) – это набор инструкций процессору.

Дизассемблер принимает на вход либо исполняемый файл, либо некий буфер с кодом. Достаточно важный этап в дизассемблировании – нахождение точки входа, места, с которого нужно начинать анализ файла – например, места, с которого начинается код, внедренный в ранее чистый файл вирусом.

Начав с точки входа, дизассемблер определяет, что это за инструкция, ее длину в байтах, является ли она инструкцией перехода, какие регистры использует, на какие адреса в памяти ссылается и т. п. Проанализировав одну инструкцию, дизассемблер переходит к следующей или, если анализируемая инструкция была инструкцией перехода – перемещается туда, куда указывает адрес перехода. Если инструкция представляет собой условный переход, то дизассемблер помечает следующими к рассмотрению сразу два адреса — адрес следующей инструкции и адрес, на который возможен переход. Если комбинация байт не распознается, процесс дизассемблирования данной ветви останавливается.

Дизассемблер превращает последовательность байт кода в связную структуру, каждый узел которой хранит информацию о выполняемых действиях, используемых данных, местах, откуда вызывается данная инструкция.

https://habrahabr.ru/company/mailru/blog/240655

#drweb

https://ru-sf.ru/threads/delaem-svoj-virlab-vvedenie.3162

Недостаток дизассемблера – в том, что для анализа ему нужен код, который может быть недоступен, пока не начнет выполняться. Помочь с анализом такого кода может отладчик.

Отладчик контролирует запущенную программу и, как только она выполняет некое действие, останавливает ее. Отладчик может действовать в двух режимах – ожидая наступления заранее заданного момента, начиная с которого начнется детальный анализ действий программы, или в режиме пошаговой отладки, что напоминает действия дизассемблера. Разница между этими программами – в том, что дизассемблер работает с кодом незапущенной программы, т. е. с ее файлом, а отладчик анализирует активный процесс (хотя, конечно, не откажется и от дополнительных данных, проливающих свет на структуру анализируемой программы). В итоге в случае условного перехода дизассемблер только укажет на него, и затем аналитик будет решать, по какому пути дальше будет выполняться код, в то время как отладчик автоматически перейдет на нужную ветвь кода, а аналитик сможет понять, по какой причине произошел именно такой переход.

#drweb

https://ru-sf.ru/threads/delaem-svoj-virlab-vvedenie.3162 #антивирус #технологии_Dr.Web

Dr.Web рекомендует

Современный антивирус – это чрезвычайно сложная система, которая проходила свое становление в ходе борьбы с целым рядом поколений вредоносных программ. Сегодня лишь немногим компаниям под силу создание антивируса.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: