Skenování
Proberme si způsoby zjišťování nových virů detailněji. Na počátku technologie skenování programů
(Scanning) byl nápad, a to nápad geniální. Totiž vybrat z těla virů některé charakteristické skupiny instrukcí
a takto získané sekvence použít pro hledání napadených programů. Koncepce sama sice vyžaduje pravidelnou
aktualizaci, protože skener umí najít pouze viry, které zná. Tato skutečnost je ale vyvážena jedinečnou
schopností rozpoznat napadený program ještě před tím, než se nám ho podaří spustit. Pokud si uživatel
zvykne prohlížet nově přicházející programy a diskety aktuální verzí nějakého kvalitního skeneru, snižuje
tak výrazným způsobem pravděpodobnost napadení počítačového systému. Dobré skenery jsou do jisté míry
schopné rozpoznat i nové varianty starších virů. Na tuto vlastnost ale není možné příliš spoléhat. Autor viru
je zde ve výhodě a má možnost si vyzkoušet, zda aktuální verze používaných skenerů jeho dílko odhalí, či
nikoliv. Pro zvýšení šance zachytit nové varianty virů používají skenery více různých sekvencí pro jeden virus.
Tím je také umožněno přesnější rozpoznání konkrétního viru a snížena pravděpodobnost falešného
poplachu.
Ani více sekvencí však nedovoluje dostatečně přesně rozlišit jednotlivé varianty virů tak, jak to vyžaduje
třeba CARO konvence pojmenování virů (nejblíže k ní má F-PROT antivirus). Některé skenery se proto
snaží o tzv. exaktní identifikaci, kdy po nalezení sekvence ještě spočítají kontrolní součty konstantních oblastí
v těle viru a pak teprve mohou s jistotou tvrdit, že se jmenuje třeba Vienna.648.Reboot.A. Pro praktické
použití sice není takto detailní rozlišení nezbytně nutné, ale nějaká forma přesnější identifikace snižuje
pravděpodobnost, že se antivirový systém pokusí léčit napadený soubor nevhodným postupem a zničí ho.
Výběr spolehlivé sekvence býval relativně snadnou záležitostí. Autoři virů se proto pokoušeli znesnadnit
detekci svých dílek tím, že začali psát zakódované viry. V takovém případě je možné sekvenci vybrat
pouze z velmi malé části kódu - dekryptovací smyčky. Zbytek těla viru je v každém exempláři jiný.
Opravdová legrace ovšem začíná až s příchodem polymorfních virů, které umí generovat různé tvary
dekryptovacích smyček. Pro některé z nich je sice možné stvořit sekvence (nebo několik sekvencí), která vir
zachytí, ale ta už obsahuje tolik variabilních částí, že se často najdou i zdravé programy, ve kterých nějaký
fragment kódu nebo dat takové sekvenci vyhovuje. Většina polymorfních virů ale generuje takové dekryptory,
že nelze hledání podle sekvencí použít. Skenery se nějaký čas snažily o rozpoznávání polymorfních virů
pomocí jednoúčelových funkcí, ale to byl vlastně krok zpět k vyhledávacím programům se všemi jejich nevýhodami.
Moderní skenery proto obsahují emulátor strojového kódu, kterým se pokouší emulovat provedení
smyčky, a pak mohou hledat sekvence až v dekryptovaném těle viru.
Kódování viru není jedinou metodou, jak skenerům znepříjemnit život. Skenery totiž obvykle nehledají
sekvence v celém souboru, ale pouze v jeho vybraných částech. Stačí tedy umístit tělo viru na náhodně vybrané
místo uprostřed napadeného programu a vytvořit k němu "cestičku". Kvalitní skener se s tím vypořádá,
ale jeho tupější bratříčci mají smůlu.
Kvalitní skenery obsahují tzv. anti-stealth techniky, které dokážou obcházet aktivní stealth viry. Pokud
je totiž takový virus rezidentní v paměti, a antivirus nemá anti-stealth techniky, bude se nám systém jevit jako
čistý - nezavirovaný. V takovém případě musí skener spoléhat pouze na test operační paměti, který může
(ale nemusí virus) prozradit.
Lepší skenery dokážou prohlížet i komprimované soubory (PKLITE, LZEXE, ARJ, ZIP, RAR atd.).
Ukázkovým antivirem je v tomto směru například Kaspersky Anti-Virus. Skenery jsou celkově zřejmě nejdůležitější
částí většiny antivirů. Pokud jsou doplněny heuristickou analýzou dokážou detekovat i neznámé
viry. Skenery chrání a dohlíží na výskyt virů u: operační paměti, souborů, dokumentů Wordu, sešitů Excelu,
systémových oblastí disku (boot sektor, MBR). Skenery mohou být navíc ve dvou provedeních:
Paměťově rezidentní skener (on-access scanner) – Podobně jako paměťově rezidentní viry hlídá
on-access skener systém z operační paměti. Kontroluje veškerou činnost uživatele se soubory (kopírování,
spouštění souborů) a pokud zjistí, že manipuluje s infikovaným programem, okamžitě ho na tuto skutečnost
upozorní. Hlavní výhodou je, že uživatel je upozorněn na tuto skutečnost těsně před nejhorším (před aktivací
samotného viru). On-access skenery jsou tak v dnešní době velice důležitou a oblíbenou součástí většiny
antivirových programů. Použití on-access skeneru pro DOS sice viditelně zpomalovalo chod počítače, ale to
už prakticky neplatí v době rychlých počítačů s operačním systémem MS Windows. Windows je totiž sám
o sobě velice "náladový" produkt, a tak i bez on-access skeneru běhá někdy rychleji a někdy pomaleji. Některé
viry mohou paměťově rezidentní skenery ovlivnit, či dokonce vypnout (viz. tunelující viry).
Skener "na požádání" (on-demand scanner) – Manuální typ skeneru. Uživatel obvykle definuje oblasti
(pevný disk, adresář, disketa) které chce on-demand skenerem prohlédnout a stiskne tlačítko pro zahájení
testu. On-demand skener pak hromadně prohlédne všechny vybrané oblasti na výskyt virů. On-demand
skener lze obvykle spojit s kalendářem úloh (scheduler) a kontrolu provádět automaticky v předem definovaných
časech.
Komentáře
Přehled komentářů
tadalafil cost in canada https://cialisvet.com/
tnrcgrjsxyvy
(cialis generic, 28. 4. 2022 22:51)https://cialismat.com/ best price usa tadalafil
jfqxjldhqgll
(cialis pills, 28. 4. 2022 15:04)https://nextadalafil.com/ prescription tadalafil online
afayulyjyfcy
(cialis generic, 28. 4. 2022 5:16)https://cialiswbtc.com/ tadalafil blood pressure
utxmonulysop
(cialis without a doctor prescription, 27. 4. 2022 7:00)https://cialisbusd.com/ tadalafil generic where to buy
ecyjrjstuiqs
(cialis pills, 21. 4. 2022 14:00)https://cialisvet.com/ tadalafil generic where to buy
eczgrdhwovyf
(canada generic tadalafil, 19. 4. 2022 16:09)tadalafil daily online https://cialisedot.com/
jfaenysaocei
(tadalafil generic, 17. 4. 2022 18:41)generic cialis online fast shipping https://extratadalafill.com/
biivgoswfait
(cialis tablets, 16. 4. 2022 0:26)where to buy generic cialis online safely https://cialisicp.com/
oyihbjzwmolw
(Tigextrm, 15. 4. 2022 7:04)https://cialiswbtc.com/ generic tadalafil from uk
usxatpvdesru
(where to buy tadalafil on line, 10. 4. 2022 9:55)tadalafil dosage https://nextadalafil.com/
dvmxiuanfcir
(tadalafil price walmart, 10. 4. 2022 4:42)cheapest tadalafil cost https://cialisbusd.com/
szesgovagptk
(what is tadalafil, 9. 4. 2022 16:42)side effects for tadalafil https://cialismat.com/
ccisqvsrgkyv
(tadalafil online with out prescription, 9. 4. 2022 2:34)https://cialisbusd.com/ tadalafil online with out prescription
ugoqveezsppv
(cheap cialis pills for sale, 8. 4. 2022 13:38)tadalafil generic https://cialisicp.com/
uejwopmyohwf
(what is tadalafil, 4. 4. 2022 12:07)best price usa tadalafil https://cialisbusd.com/
awxerjgfvkkc
(Tigettwo, 1. 5. 2022 11:15)