Сигнатурный анализ

По умолчанию при сканировании используется данный метод анализа. Его принцип основан на анализе присутствия характерных особенностей известных вирусов в составе сканируемого файла.

Под сигнатурой принято понимать непрерывную последовательность данных, однозначно указывающей на наличие угрозы. Анализ данных, входящие в состав объектов, с сигнатурами по их контрольным суммам значительно ускоряет процесс поиска, создает меньшую нагрузку на вычислительную мощность компьютера и сокращает объем данных в базе данных вирусов.

Использование контрольных сумм вместо последовательности данных на эффективность определения существующих угроз не влияет.

В записях, находящихся в базе данных Dr Web CureIt, содержится достаточная информация, чтобы благодаря каждой из них могли быть обнаружены классы и семейства подозрительных объектов.

Origins Tracing

Благодаря данной технологии сканер находит новые угрозы или прошедшие модификацию старые, которые для заражения объектов используют уже известные методы или оказывают вред уже известными способами, на основе данных, находящихся в вирусных базах.

Данный метод проверки применяется после сигнатурного анализа. С его помощью утилита выявляет наличие троянских программ, например, вымогатель gpcode – Trojan.Encoder.18.

При использовании технологии Origins Tracing сокращается количество ложных срабатываний при сканировании. Вирусы, обнаруженные с помощью данной технологии, будут отображены с постфиксом Origin.

Эмуляция исполнения

Метод эмуляции исполнения кода может быть полезным для определения полиморфных или шифрованных вирусов при отсутствии возможности обнаружения угрозы по сигнатуре или определение надежной сигнатуры сигнатуры вируса осложнено.

Основы данного метода заключаются в эмуляции исполнения кода при помощи эмулятора – специализированной виртуальной среды, в которой исполненяется программа.

Эмулятор работает с защищенной областью памяти и называется буфером эмуляции. При выполнении программы в буфере эмуляции, центральный процессор не обрабатывает инструкции для реального исполнения.

В том случае, если выполняемый код инфицирован, то результатом эмуляции является восстановленный исходный вредоносный код, который будет использован для сигнатурного анализа.

Эвристический анализ

Эвристический анализ основывается на совокупности эвристических свойств сканируемого файла. Т.е. сканер определяет наличие вредоносного и безопасного кода по характерным признакам. Каждый такой признак имеет весовую характеристику.

Характеристика представлена численно и отражает важность и достоверность признака. Вес может быть положительным в том случае, если признак определяет наличие вредоносного кода, и отрицательным при отсутствии вирусной угрозы.

На основе общего веса, который характеризует объект, анализатор вычисляет вероятность с которой в нем содержится вредоносный код. При превышении порогового значения, анализируемый объект будет определен как вирус.

Анализатор способен использовать уникальный алгоритм распаковки файлов, который позволяет делать эвристические предположения о наличии вредоносного кода в различных инсталляционных пакетах и архивах.

При анализе упакованных файлов используется технология сканирования на основе энтропии. Она позволяет обнаруживать вредоносный код по особенностям расположения участков кода. За счет этого, на основе одной записи вирусной базы есть возможность обнаружить совокупность различных угроз, которые упакованы одним и тем же упаковщиком.

Эвристический анализатор является системой, которая принимает решения на основе предположений. Анализатор работает в условиях неопределенности и может ошибаться: пропускать неизвестные угрозы, а также ошибочно определять безопасныю программы как вредоносные.

Для того, чтобы избежать конфликтов, файлы, которые определены анализатором как вредоносные, отмечаются признаком подозрительные.