Xakep Online - Сравнителен анализ на евристични анализатори

Иска ми се да не беше скрито от теб.
Въпреки че в този случай нямаше да спечеля нищо.
Хамлет

Как работи анализаторът на код? Обикновено анализаторът на код е сдвоен с емулатор. Как изглежда в най-простия случай? Да приемем, че имаме полиморфен вирус, състоящ се от криптирано тяло и декриптор. Кодовият емулатор емулира работата на този вирус една по една инструкция, след което анализаторът на кода изчислява контролната сума и я сравнява с тази, съхранявана в базата данни. Емулацията ще продължи, докато частта от вируса, необходима за изчисляване на контролната сума, бъде декриптирана. Ако подписът съвпада, тогава вирусът е идентифициран, можете да започнете лечение.

След бърз преглед е време да се захванете с бизнеса. Проведох прост експеримент, за който ще ви трябва повторение:

  • TASM 5.0
  • Тривиален вирус. Условието е наложено на вируса: той не трябва да присъства в базите данни на dr.Web или AVP. Можете да намерите вирус за експеримент в Интернет (например vx.netlux.org). Или напишете себе си .
  • dr.Web и AVP

След всички приготовления ние събираме и свързваме вируса. След това трябва да проверим и двата ни антивирусни продукта върху него.

Моят AVP дори не скърца и обяви, че всичко е наред с файла, можете да го стартирате до вашето здраве. Проведох още няколко експеримента за модифициране на вируса, но евристиката в AVP така и не се събуди. От това заключаваме, че или изобщо няма евристика, или е в такова ембрионално състояние, че дори не знам какво да кажа. .

Продължавайки напред, какво ще ни каже нашата dr.Web? И докладите на dr.Web - „Възможно WIN EXE вирус“. Това, разбира се, не можеше да не ме зарадва и предизвика по-нататъшни експерименти. В пристъп на щастие и еуфория реших да проверя помощната си програма за криптиране на кодовия раздел на програмите („Защитен код“). И какво мислите, че видях. Все същият прекрасен надпис - „Възможно WIN EXE вирус“. Това не ме зарадва много, но на кого му харесва, когато неговата уважаема полезност се нарича вирус. След 5 до 10 експеримента с вируса и моята помощна програма открих защо помощната програма и вирусът се идентифицират по един и същи начин. Евристиката на dr.Web се ​​придържа към следните блокове инструкции: