Skenování
Proberme si způsoby zjišťování nových virů detailněji. Na počátku technologie skenování programů
(Scanning) byl nápad, a to nápad geniální. Totiž vybrat z těla virů některé charakteristické skupiny instrukcí
a takto získané sekvence použít pro hledání napadených programů. Koncepce sama sice vyžaduje pravidelnou
aktualizaci, protože skener umí najít pouze viry, které zná. Tato skutečnost je ale vyvážena jedinečnou
schopností rozpoznat napadený program ještě před tím, než se nám ho podaří spustit. Pokud si uživatel
zvykne prohlížet nově přicházející programy a diskety aktuální verzí nějakého kvalitního skeneru, snižuje
tak výrazným způsobem pravděpodobnost napadení počítačového systému. Dobré skenery jsou do jisté míry
schopné rozpoznat i nové varianty starších virů. Na tuto vlastnost ale není možné příliš spoléhat. Autor viru
je zde ve výhodě a má možnost si vyzkoušet, zda aktuální verze používaných skenerů jeho dílko odhalí, či
nikoliv. Pro zvýšení šance zachytit nové varianty virů používají skenery více různých sekvencí pro jeden virus.
Tím je také umožněno přesnější rozpoznání konkrétního viru a snížena pravděpodobnost falešného
poplachu.
Ani více sekvencí však nedovoluje dostatečně přesně rozlišit jednotlivé varianty virů tak, jak to vyžaduje
třeba CARO konvence pojmenování virů (nejblíže k ní má F-PROT antivirus). Některé skenery se proto
snaží o tzv. exaktní identifikaci, kdy po nalezení sekvence ještě spočítají kontrolní součty konstantních oblastí
v těle viru a pak teprve mohou s jistotou tvrdit, že se jmenuje třeba Vienna.648.Reboot.A. Pro praktické
použití sice není takto detailní rozlišení nezbytně nutné, ale nějaká forma přesnější identifikace snižuje
pravděpodobnost, že se antivirový systém pokusí léčit napadený soubor nevhodným postupem a zničí ho.
Výběr spolehlivé sekvence býval relativně snadnou záležitostí. Autoři virů se proto pokoušeli znesnadnit
detekci svých dílek tím, že začali psát zakódované viry. V takovém případě je možné sekvenci vybrat
pouze z velmi malé části kódu - dekryptovací smyčky. Zbytek těla viru je v každém exempláři jiný.
Opravdová legrace ovšem začíná až s příchodem polymorfních virů, které umí generovat různé tvary
dekryptovacích smyček. Pro některé z nich je sice možné stvořit sekvence (nebo několik sekvencí), která vir
zachytí, ale ta už obsahuje tolik variabilních částí, že se často najdou i zdravé programy, ve kterých nějaký
fragment kódu nebo dat takové sekvenci vyhovuje. Většina polymorfních virů ale generuje takové dekryptory,
že nelze hledání podle sekvencí použít. Skenery se nějaký čas snažily o rozpoznávání polymorfních virů
pomocí jednoúčelových funkcí, ale to byl vlastně krok zpět k vyhledávacím programům se všemi jejich nevýhodami.
Moderní skenery proto obsahují emulátor strojového kódu, kterým se pokouší emulovat provedení
smyčky, a pak mohou hledat sekvence až v dekryptovaném těle viru.
Kódování viru není jedinou metodou, jak skenerům znepříjemnit život. Skenery totiž obvykle nehledají
sekvence v celém souboru, ale pouze v jeho vybraných částech. Stačí tedy umístit tělo viru na náhodně vybrané
místo uprostřed napadeného programu a vytvořit k němu "cestičku". Kvalitní skener se s tím vypořádá,
ale jeho tupější bratříčci mají smůlu.
Kvalitní skenery obsahují tzv. anti-stealth techniky, které dokážou obcházet aktivní stealth viry. Pokud
je totiž takový virus rezidentní v paměti, a antivirus nemá anti-stealth techniky, bude se nám systém jevit jako
čistý - nezavirovaný. V takovém případě musí skener spoléhat pouze na test operační paměti, který může
(ale nemusí virus) prozradit.
Lepší skenery dokážou prohlížet i komprimované soubory (PKLITE, LZEXE, ARJ, ZIP, RAR atd.).
Ukázkovým antivirem je v tomto směru například Kaspersky Anti-Virus. Skenery jsou celkově zřejmě nejdůležitější
částí většiny antivirů. Pokud jsou doplněny heuristickou analýzou dokážou detekovat i neznámé
viry. Skenery chrání a dohlíží na výskyt virů u: operační paměti, souborů, dokumentů Wordu, sešitů Excelu,
systémových oblastí disku (boot sektor, MBR). Skenery mohou být navíc ve dvou provedeních:
Paměťově rezidentní skener (on-access scanner) – Podobně jako paměťově rezidentní viry hlídá
on-access skener systém z operační paměti. Kontroluje veškerou činnost uživatele se soubory (kopírování,
spouštění souborů) a pokud zjistí, že manipuluje s infikovaným programem, okamžitě ho na tuto skutečnost
upozorní. Hlavní výhodou je, že uživatel je upozorněn na tuto skutečnost těsně před nejhorším (před aktivací
samotného viru). On-access skenery jsou tak v dnešní době velice důležitou a oblíbenou součástí většiny
antivirových programů. Použití on-access skeneru pro DOS sice viditelně zpomalovalo chod počítače, ale to
už prakticky neplatí v době rychlých počítačů s operačním systémem MS Windows. Windows je totiž sám
o sobě velice "náladový" produkt, a tak i bez on-access skeneru běhá někdy rychleji a někdy pomaleji. Některé
viry mohou paměťově rezidentní skenery ovlivnit, či dokonce vypnout (viz. tunelující viry).
Skener "na požádání" (on-demand scanner) – Manuální typ skeneru. Uživatel obvykle definuje oblasti
(pevný disk, adresář, disketa) které chce on-demand skenerem prohlédnout a stiskne tlačítko pro zahájení
testu. On-demand skener pak hromadně prohlédne všechny vybrané oblasti na výskyt virů. On-demand
skener lze obvykle spojit s kalendářem úloh (scheduler) a kontrolu provádět automaticky v předem definovaných
časech.
Komentáře
Přehled komentářů
Zanaflex https://uspharmus.com/ Primaquine
levitra pills online fbdcacldReeniBtjceaksw
(Jbsdscuts, 30. 4. 2021 16:13)skin care https://onlinecanda21.com/ cialis online pharmacy
singlecare pharmacy discount card dgsbvfdsoolasphhduo
(Lhdvtreni, 25. 4. 2021 0:14)cialis online with no prescription https://asciled.com/ - cialis sales cheap cialis super active
tadalafil 10 mg olgsasbnvoegfdReeniBtjceaksc
(Gvdbgisse, 24. 4. 2021 18:11)tadalafil from india reviews https://boxtadafil.com/ tadalafil generic 20mg
help thesis fcsgsaxzvofbldReeniBtjceaksy
(Abdgscuts, 23. 4. 2021 14:10)Tadora https://canadianeve21.com/ Mobic
cialis generic name olgsanvoegfdReeniBtjceaksq
(Grvgisse, 30. 3. 2021 22:29)https://kloviagrli.com/ - viagra replacement https://vigedon.com/ - what does viagra cost https://llecialisjaw.com/ - buying cialis without prescription https://jwcialislrt.com/ - discount cialis https://jecialisbn.com/ - what doe cialis look like
how to write thesis fhsbbolthdReeniBtjceaksb
(Fbsfscuts, 1. 5. 2021 9:16)