К анализу данных относятся "ревизоры" и "полифаги". "Ревизоры" анализируют последствия от деятельности компьютерных вирусов и других вредоносных программ. Последствия проявляются в изменении данных, которые изменяться не должны. Именно факт изменения данных является признаком деятельности вредоносных программ с точки зрения "ревизора". Другими словами, "ревизоры" контролируют целостность данных и по факту нарушения целостности принимают решение о наличии в компьютерной среде вредоносных программ.
"Полифаги" действуют по-другому. Они на основе анализа данных выделяют фрагменты вредоносного кода (например, по его сигнатуре) и на этой основе делают вывод о наличии вредоносных программ. Удаление или "лечение" пораженных вирусом данных позволяет предупредить негативные последствия исполнения вредоносных программ. Таким образом, на основе анализа "в статике" предупреждаются последствия, возникающие "в динамике".
Схема работы и "ревизоров", и "полифагов" практически одинакова - сравнить данные (или их контрольную сумму) с одним или несколькими эталонными образцами. Данные сравниваются с данными. Таким образом, для того чтобы найти вирус в своем компьютере, нужно, чтобы он уже "сработал", чтобы появились последствия его деятельности. Этим способом можно найти только известные вирусы, для которых заранее описаны фрагменты кода или сигнатуры. Вряд ли такую защиту можно назвать надежной.
Следующая страница>>
<<Предыдущая страница
<Главная>