Что такое антивирусные сигнатуры
Обновлено: 21.11.2024
Мэри Ландесман — бывший внештатный сотрудник Lifewire и эксперт по безопасности. Она была названа одной из женщин, заслуживающих внимания в сфере ИТ-безопасности.
В мире антивирусов сигнатура вируса – это алгоритм или хэш (число, полученное из текстовой строки), однозначно определяющее конкретный вирус.
Как появляются сигнатуры вирусов?
В зависимости от типа используемого сканера это может быть статический хэш, представляющий собой рассчитанное числовое значение фрагмента кода, уникального для вируса. Или, реже, алгоритм может быть основан на поведении; если, например, этот файл пытается сделать что-то сомнительное, он помечается как подозрительный, и пользователю предлагается принять решение. В зависимости от поставщика антивируса сигнатура может называться сигнатурой, файлом определения или файлом DAT.
Одна сигнатура может соответствовать большому количеству вирусов. Это позволяет сканеру обнаруживать совершенно новый вирус, которого он никогда раньше не видел. Эта возможность обычно называется эвристикой или общим обнаружением.
Общее обнаружение с меньшей вероятностью будет эффективным против совершенно новых вирусов и более эффективно при обнаружении новых членов уже известного «семейства» вирусов (набора вирусов, которые имеют многие общие характеристики и некоторые из них имеют одинаковый код). .
Возможность обнаруживать эвристически или в общих чертах очень важна, учитывая, что большинство сканеров в настоящее время содержат более 250 000 сигнатур, а число обнаруживаемых новых вирусов продолжает стремительно расти из года в год.
Постоянная потребность в обновлении
Каждый раз, когда обнаруживается новый вирус, который не поддается обнаружению с помощью существующей сигнатуры или может быть обнаружен, но не может быть должным образом удален, поскольку его поведение не полностью соответствует ранее известным угрозам, необходимо создавать новую сигнатуру. После того как новая сигнатура создана и протестирована поставщиком антивирусной программы, она передается клиенту в виде обновлений сигнатуры. Эти обновления добавляют в модуль сканирования возможность обнаружения. В некоторых случаях ранее предоставленная сигнатура может быть удалена или заменена новой сигнатурой, чтобы улучшить общие возможности обнаружения или лечения.
В зависимости от поставщика сканера обновления могут предлагаться ежечасно, ежедневно, а иногда даже еженедельно. Большая часть необходимости предоставления подписей зависит от типа сканера, то есть от того, что этот сканер должен обнаруживать. Например, рекламное и шпионское ПО не так распространены, как вирусы, поэтому обычно сканер рекламного/шпионского ПО может предоставлять обновления сигнатур только еженедельно (или даже реже). И наоборот, антивирусный сканер должен ежемесячно обнаруживать тысячи новых угроз, поэтому обновления сигнатур должны предлагаться как минимум ежедневно.
Конечно, просто нецелесообразно выпускать отдельные сигнатуры для каждого нового обнаруженного вируса, поэтому поставщики антивирусов обычно выпускают выпуски по установленному графику, охватывая все новые вредоносные программы, с которыми они столкнулись за этот период времени. Если между их регулярными запланированными обновлениями обнаруживается особенно распространенная или угрожающая угроза, поставщики, как правило, анализируют вредоносное ПО, создают сигнатуру, тестируют ее и выпускают вне очереди (то есть выпускают вне своего обычного графика обновлений). ).
Для обеспечения высочайшего уровня защиты настройте антивирусное программное обеспечение на проверку обновлений так часто, как это позволит. Поддержание сигнатур в актуальном состоянии не гарантирует, что новый вирус никогда не проскользнет, но значительно снижает его вероятность.
Полиморфный вирус использует механизмы мутации, чтобы создавать модифицированные версии самого себя и избегать обнаружения. Он шифрует свои коды при каждом заражении и каждый раз меняет ключ шифрования. Поскольку они не используют статический код, их бывает трудно обнаружить и удалить.
Как правило, новые сигнатуры вирусов создаются и распространяются производителями антивирусного программного обеспечения. Например, если вы используете Avast, компания Avast выпускает новые сигнатуры в исправлениях, которые загружает и устанавливает ваше программное обеспечение.
Если вы используете бесплатное антивирусное программное обеспечение Avast, вы можете увидеть сообщение "Вирусов нет" в нижней части исходящих писем. Если вы хотите отключить эту функцию, откройте Avast и выберите Меню > Настройки > Защита > Основные экраны > Настроить параметры экрана > Mail Shield. Снимите флажок "Добавлять подпись в конец отправленных писем".
Мы объясняем три важные концепции, лежащие в основе действия антивируса: сигнатуры, природу вирусов и то, как антивирусные решения удаляют вредоносное ПО.
13 октября 2016 г.
Мы говорим и говорим (и говорим) о том, как вести себя — и даже как выжить — в цифровом мире. И мы надеемся, что не зря наши читатели учатся у нас, а потом учат своих друзей и близких. Это действительно важно.
Но иногда мы считаем само собой разумеющимся общее знание некоторых конкретных терминов и выражений. Итак, сегодня мы возвращаемся к основам, чтобы разобраться с тремя основными принципами антивируса.
1. Подписи
Антивирусные базы данных содержат так называемые сигнатуры, как общеупотребительные, так и письменные. На самом деле классические подписи не использовались около 20 лет.
С самого начала, в 1980-х годах, подписи как понятие не имели четкого определения. Даже сейчас у них нет специальной страницы в Википедии, а в статье о вредоносном ПО этот термин используется без определения сигнатур, как если бы это было настолько общеизвестно, что не требует объяснения.
Итак: давайте, наконец, определим подписи! Сигнатура вируса — это непрерывная последовательность байтов, характерная для определенного образца вредоносного ПО. Это означает, что он содержится в вредоносном ПО или зараженном файле, а не в незатронутых файлах.
Характерная последовательность байтов
В настоящее время сигнатур недостаточно для обнаружения вредоносных файлов. Создатели вредоносных программ запутывают, используя различные методы, чтобы замести следы. Вот почему современные антивирусные продукты должны использовать более совершенные методы обнаружения. Антивирусные базы по-прежнему содержат сигнатуры (на них приходится более половины всех записей баз данных), но есть и более сложные записи.
По привычке все до сих пор называют такие записи «подписями». В этом нет ничего плохого, если мы помним, что этот термин является сокращением для целого ряда методов, которые составляют гораздо более надежный арсенал.
В идеале мы бы перестали использовать слово подпись для обозначения любой записи в антивирусной базе данных, но оно так часто используется, а более точного термина пока не существует, поэтому практика сохраняется.
Запись антивирусной базы данных — это всего лишь одна запись. В основе этого может лежать как классическая сигнатура, так и сверхсложная инновационная технология, нацеленная на самые передовые вредоносные программы.
2. Вирусы
Как вы могли заметить, наши аналитики избегают использования термина вирус и предпочитают вредоносное ПО, угроза и т. д. Причина в том, что вирус — это особый тип вредоносного ПО, проявляющий определенное поведение: он заражает чистые файлы. Между собой аналитики называют вирус инфектором.
Инфекторы пользуются уникальным статусом в лаборатории. Во-первых, их сложно обнаружить — на первый взгляд зараженный файл кажется чистым. Во-вторых, инфекционные заболевания требуют особого обращения: почти все они нуждаются в специфических процедурах выявления и дезинфекции. Именно поэтому с инфекционистами работают специалисты, специализирующиеся в этой области.
Поэтому, чтобы избежать путаницы, говоря об угрозах в целом, аналитики используют общие термины, такие как "вредоносная программа" и "вредоносное ПО".
Вот несколько других классификаций, которые могут пригодиться. Червь – это тип вредоносного ПО, которое может воспроизводить себя и выходить из первоначально зараженного устройства, чтобы заражать другие устройства. С технической точки зрения, вредоносное ПО не включает рекламное ПО (программное обеспечение с навязчивой рекламой) или программы риска (законное программное обеспечение, которое может нанести вред системе, если оно установлено злоумышленниками).
3. Дезинфекция
Итак, как работает удаление вредоносных программ? В незначительном проценте случаев машина подхватывает заразитель (как правило, до установки антивируса; заразители редко проходят через защиту антивируса), заражатель воздействует на какие-то файлы, а затем антивирус просматривает все зараженные файлы и удаляет вредоносный код. , возвращая их в исходное состояние. Та же процедура применяется, когда вам нужно расшифровать файлы, зашифрованные программой-вымогателем, обычно определяемой как Trojan-Ransom.
В остальном — в подавляющем большинстве, возможно, в 99% случаев — вредоносное ПО обнаруживается до того, как оно сможет заразить какие-либо файлы, процесс состоит в простом удалении вредоносного ПО. Если ни один файл не был поврежден, ничего восстанавливать не нужно.
В большинстве случаев достаточно удалить вредоносный файл
Однако здесь есть одно исключение: если вредоносное ПО не является заразителем (например, если это программа-вымогатель) и уже активно в системе, антивирус переключается в режим лечения, чтобы убедиться, что угроза устранена навсегда. и не вернется. Подробнее об этом процессе можно узнать здесь.
В мире, где целевые атаки становятся все более распространенными, крайне важно понимать, что ваш персональный компьютер также может быть целью. Да, ваш ПК или Mac находится под постоянной угрозой, и важно понимать, что ваш домашний компьютер — это не остров. На него может воздействовать то же вредоносное ПО, что и на бизнес-компьютеры. Крайне важно, чтобы вы понимали, какие угрозы угрожают вашему компьютеру, и какие средства защиты помогают сдерживать эти угрозы.
Ваш компьютер в опасности
Первым шагом к более глубокому пониманию безопасности домашнего компьютера является то, что ваш компьютер находится под угрозой. Затем узнайте о различных функциях системы безопасности вашего домашнего компьютера для защиты от таких атак, как криптоджекинг, программы-вымогатели и другие.
Одной из таких функций является обнаружение на основе сигнатур.
Что такое подпись?
В терминологии компьютерной безопасности сигнатура — это типичный след или шаблон, связанный со злонамеренной атакой на компьютерную сеть или систему. Этот шаблон может быть серией байтов в файле (последовательность байтов) в сетевом трафике. Это также может принимать форму несанкционированного запуска программного обеспечения, несанкционированного доступа к сети, несанкционированного доступа к каталогам или аномалий в использовании сетевых привилегий.
Что такое обнаружение подписи?
Обнаружение на основе сигнатур — один из наиболее распространенных методов, используемых для устранения программных угроз, направленных на ваш компьютер. Эти угрозы включают вирусы, вредоносные программы, черви, трояны и многое другое. Ваш компьютер должен быть защищен от чрезвычайно большого количества опасностей. Достижение этой защиты в значительной степени зависит от хорошо продуманного, расширенного обнаружения на основе сигнатур, которое стоит у руля.
Этот тип обнаружения предполагает, что ваш антивирус имеет предопределенный репозиторий статических сигнатур (отпечатков пальцев), представляющих известные сетевые угрозы. Эти угрозы отличаются друг от друга своим уникальным кодом.
Когда антивирусный сканер начинает действовать, он начинает создавать соответствующие подписи для каждого файла и начинает сравнивать их с известными подписями в своем репозитории. Он продолжает отслеживать и искать в сетевом трафике совпадения сигнатур. Если совпадение найдено, этот файл классифицируется как «угроза», и любые дальнейшие действия с файлом блокируются.
Что делает обнаружение на основе сигнатур таким популярным?
Выявление вредоносных угроз и добавление их сигнатур в репозиторий — основной метод, используемый антивирусными продуктами. Обнаружение на основе сигнатур также является важнейшей опорой таких технологий безопасности, как антивирусы, IDS, IPS, брандмауэры и другие.
Его популярность подкрепляется его силой. Он используется очень давно, с тех пор, как на сцене появились первые антивирусные решения. Таким образом, существует определенная степень постоянства результатов и очевидный успех, связанный с этим. Подход не очень сложный, быстрый, простой в использовании и управлении. И более того, он записал на свой счет историю защиты компьютеров от довольно старых, но мощных угроз.
Неотъемлемый компонент многоуровневого подхода к безопасности
Нет абсолютно никаких сомнений в том, что обнаружение на основе сигнатур является критически важным компонентом арсенала безопасности вашего компьютера, но картина угроз, которую вы видите перед собой, не статична: она быстро развивается. Угрозы становятся все более изощренными, и каждый день в бой вступают все более скрытые методы атак.
Необходим более многоуровневый подход к безопасности, при котором IDS на основе сигнатур используется в сочетании с другими методами безопасности. К ним относятся обнаружение на основе поведения, обнаружение угроз с помощью ИИ, расширенное сканирование вредоносных программ и удаленное управление безопасностью.
Sophos Home обеспечивает безопасность корпоративного уровня нового поколения для ваших домашних ПК и компьютеров Mac. Sophos Home защищает от угроз всех видов, будь то сигнатурные, бессигнатурные или любые другие онлайн-угрозы. Загрузите его сегодня и убедитесь в этом сами.
Антивирусные программы приравнивают базу данных сигнатур вирусов к файлам жесткого диска и съемных носителей (включая загрузочные сектора диска) и файлам оперативной памяти.
Поставщик антивируса (AV) регулярно обновляет сигнатуры и предоставляет их клиентам через Интернет.
Читайте дальше, чтобы узнать все, что вы хотели знать о сигнатурах вирусов и о том, как они работают.
Как работает обнаружение сигнатур антивируса?
Сигнатура вируса – это хэш или алгоритм (число, полученное из текстовой строки), который используется для идентификации конкретных вирусов и вредоносных программ.
Для обнаружения этих вирусов большинство антивирусных решений используют технологию обнаружения на основе сигнатур. Это один из наиболее распространенных методов, который включает использование предопределенного хранилища сигнатур, в основном статического, представляющего известные угрозы.
Все эти угрозы отличаются друг от друга. Это трехэтапный процесс, который включает:
- Сканирование. Антивирус сканирует и контролирует несколько мест на устройстве, таких как реестр, оперативная память и жесткие диски.
- Обнаружение. Как только антивирус обнаруживает потенциально идентифицируемый шаблон, он сравнивает этот шаблон с хранилищем сигнатур. Если совпадение найдено, антивирус соответствующим образом классифицирует угрозу.
- Удаление. Это последний шаг, на котором антивирус принимает соответствующие меры, такие как полное удаление зараженного файла или временное отключение файлов.
Обнаружение и удаление вирусов с помощью лучших антивирусных программ
- Защита от вредоносных программ в режиме реального времени
- Безопасный просмотр с помощью виртуальной частной сети (VPN)
- Удаленный брандмауэр
- Использование нескольких устройств
- Технология искусственного интеллекта для сканирования и защиты данных
- Удаленный доступ к системе
- 30+ лет опыта
- Обнаружение угроз от сложных вредоносных программ
- Зашифрованный просмотр и транзакции в Интернете
- Зашифрованный просмотр и транзакции в Интернете
- Восстановление поврежденных файлов
Другие типы обнаружения
Хотя обнаружение на основе сигнатур существует уже давно, этого недостаточно для борьбы с новыми версиями кодов вредоносных программ, выпускаемыми почти ежедневно.
Следовательно, для обнаружения этих новых угроз используются другие усовершенствованные методы, такие как поведенческий анализ, эвристический мониторинг и обнаружение песочницы для улучшения защитных мер.
Эвристическое обнаружение
к обнаружению на основе сигнатур инструмент обнаружения на основе эвристики ищет определенные инструкции или команды, которые в идеале не являются частью какого-либо приложения. Эти вредоносные коды, если оставить их в покое, могут автоматически выполнять функции.
Большинство антивирусов, использующих эвристический мониторинг, применяют систему весов или правил для оценки рисков, связанных с функциональностью программного обеспечения.
Как только предопределенные правила достигают порогового значения по умолчанию, срабатывает сигнал тревоги и принимаются превентивные меры.
В зависимости от настроек антивируса эти предупреждения либо отправляются администратору сервера, либо автоматически помещаются в карантин.
Весь процесс включает несколько методов сканирования, таких как анализ файлов, эмуляция файлов и обнаружение генетических подписей.
Хотя этот процесс не является полной защитой, он по-прежнему является упреждающим и эффективным способом дополнения существующих антивирусов на основе сигнатур.
Более того, антивирусы, работающие по этому методу, постоянно совершенствуются, что обеспечивает эффективность и лучшее использование основных ресурсов компьютера.
Обнаружение на основе поведения
Антивирусы, использующие эту технологию, разрабатываются с использованием встроенного интеллекта. Он учитывает отклонения от доступных сигнатур известных угроз и чрезвычайно способен идентифицировать все входящие файлы, которые могут представлять угрозу для устройства или сети, используя искусственный интеллект, машинное обучение, поведенческую биометрию и расширенные механизмы корреляции.
Обнаружение на основе поведения может отслеживать и оценивать каждую конкретную строку кода, чтобы определить все потенциальные действия, которые может предпринять код, такие как доступ к информации, процедурам или внутренним ресурсам, которые необходимы или неуместны.
Этот обзор также включает реализацию инструкций на уровне ОС и низкоуровневого кода руткита. Программа нацелена на обнаружение всех вредоносных или потенциально вредоносных действий, которые могут иметь вредные последствия, и рекомендует заинтересованным лицам наилучший план действий.
Обнаружение песочницы
С точки зрения кибербезопасности песочница – это изолированная область в сети, которая имитирует операционную среду конечного пользователя. Песочницы используются для безопасного выполнения вредоносного кода без повреждения хост-компьютера или сети.
Дополнительный уровень защиты от новых угроз безопасности доступен благодаря изолированной программной среде для расширенного обнаружения вредоносных программ, особенно вредоносных программ нулевого дня (ранее невидимых) и скрытых атак.
Более того, то, что происходит в песочнице, остается в песочнице. Это помогает избежать сбоев устройств и предотвратить дальнейшее распространение уязвимостей программного обеспечения.
По сравнению с традиционными методами песочница представляет собой упреждающий и многоуровневый подход, который можно развертывать различными способами в зависимости от ваших потребностей.
Итог
Автономный антивирус обнаружения на основе сигнатур — это традиционная методология обеспечения безопасности, которая не способна обнаруживать и удалять новые угрозы в режиме реального времени. Хотя базы данных часто обновляются, конечные пользователи получают их в течение нескольких дней или недель. Лучший способ защитить свое устройство и сеть – перейти на продукт, который использует многоуровневую защиту в режиме реального времени.
Читайте также: