Это эвристический анализ. Данный метод
Это эвристический анализ. Данный метод представляет собой существенно усложненный эмулятор, только в результате анализируется не код подозрительного файла, а его действия. Для того чтобы размножаться, файловый вирус должен копировать свое тело в память, открывать другие исполняемые файлы и записывать туда свое тело, записывать данные в секторы жесткого диска и т.д. Есть характерные действия и у сетевого червя. Это прежде всего доступ к адресной книге и сканирование жесткого диска на предмет обнаружения любых адресов электронной почты. Благодаря этому эвристический анализатор способен обнаружить даже те вредоносные коды, сигнатуры которых еще неизвестны.
Таким образом, сегодня двумя основными способами борьбы с вирусами являются сигнатурный поиск и эвристический анализатор. Все сигнатуры размещены в антивирусной базе - специальном хранилище, в котором антивирус хранит маски вредоносных программ. Эффективность сигнатурного поиска сильно зависит от объема антивирусной базы и от частоты ее пополнения. Именно поэтому сегодня разработчики антивирусных программ выпускают обновления для своих баз как минимум раз в сутки. Чтобы повысить скорость доставки этих обновлений на защищаемые компьютеры, используется Интернет.
На рис. 12.3 представлена схема получения антивирусными компаниями информации о новых вирусах и выпуска соответствующих обновлений. Вредоносный код после попадания на компьютер, где установлена устаревшая антивирусная программа, заражает его (пункт 1). Пользователь зараженного компьютера, если его антивирус не справляется с новым вирусом, обычно не может справиться с паразитом самостоятельно и обращается в антивирусную компанию (пункт 2). Специалисты компании изучают код вируса и выпускают обновление антивирусной базы (пункт 3). Антивирусные программы, установленные у пользователя, время от времени проверяют наличие обновлений на Web-сервере антивирусной компании, и, как только обновление появляется, они его сразу же переписывают и устанавливают (пункт 4).
Рис. 12.3. Схема обновления антивируса по Интернету
На практике проблема борьбы с вредоносными программами возникает и у домашних пользователей, и на предприятиях. В каждом случае используется своя версия антивируса: в первом - персональная, во втором - корпоративная. Основное отличие между ними в том, что персональный антивирус защищает только домашний компьютер, а корпоративный - рабочие станции (персональные компьютеры на предприятии) и серверы.
