<<
>>

Программы, контролирующие поведение

Третья стратегия, используемая антивирусным программным обеспечением, — это проверка поведения (behavioral checking). При таком подходе антивирусная программа присутствует в памяти при работе компьютера и самостоятельно отлавливает все системные вызовы.
Идея состоит в том, что таким образом она может отслеживать все действия и пытаться отловить все, что выглядит подозрительно. Например, никакая обычная программа не станет пытаться переписать загрузочный сектор, поэтому попытка подобного действия практически всегда имеет отношение к вирусу. Точно так же вызывает серьезное подозрение попытка внести изменения во флеш-память.

Но существует ряд и не столь очевидных случаев. Например, переписывание исполняемого файла — действие весьма своеобразное, если только его не совершает компилятор. Если антивирусная программа заметит подобную запись, она выдаст предупреждение в надежде на то, что пользователь знает, есть ли смысл в подобном переписывании исполняемого файла в контексте его текущей работы.

Точно так же программу Word, переписывающую файл с расширением .docx и помещающую в него полный макросов новый документ, не обязательно считать работой вируса. В Windows программы могут отделяться от своих исполняемых файлов и становиться резидентными, используя специальный системный вызов. Опять-таки это может быть вполне законным действием, но предупреждение все же, наверное, стоит выдать.

Вирусы не должны пассивно ждать, пока антивирусная программа с ними расправится, уподобляясь скоту, которого ведут на убой. Они могут активно сопротивляться. Особенно захватывающие сражения могут разворачиваться, если в памяти одной и той же машины одновременно находятся резидентный вирус и резидентная антивирусная программа. Много лет назад существовала игра под названием Core Wars, в которой два программиста мерились силами друг с другом, запуская программу в пустующее адресное пространство. Программы поочередно исследовали память, а целью игры было найти и уничтожить противника раньше, чем он уничтожит тебя. Конфронтация «вирус — антивирус» чем-то похожа на эту игру, только вот полем битвы выступает машина какого-нибудь бедного пользователя, который совершенно не хотел затевать это сражение. Хуже того, у вируса есть преимущество, потому что его создатель может почерпнуть массу информации об антивирусной программе, просто купив ее копию. Разумеется, после выпуска вируса антивирусная команда может изменить свою программу, заставляя Вирджила покупать новую копию.

<< | >>
Источник: Э. ТАНЕНБАУМ Х. БОС. СОВРЕМЕННЫЕ ОПЕРАЦИОННЫЕ СИСТЕМ Ы 4-е ИЗДАНИЕ. 2015

Еще по теме Программы, контролирующие поведение:

  1. Меня контролируют
  2. Программа Да и программа Нет
  3. Свободное воспроизведение программ для ЭВМ и баз данных. Декомпилирование программ для ЭВМ
  4. Музыкальные концертные программы
  5. Г л а в а 9 О ПРОГРАММАХ
  6. Программа телевидения
  7. ПРОЕКТНЫЙ И ИСПОЛНИТЕЛЬНЫЙ УРОВНИ ПРОГРАММ
  8. ИЗНАЧАЛЬНО КОРОТКАЯ ПРОГРАММА
  9. Установка программы Астропроцессор ZET
  10. Г л ав а 30 ПРОГРАММЫ СТАРОСТИ. ДОЛГОЖИТЕЛИ
  11. Глава 3. ПРОГРАММА СОЦИОЛОГИЧЕСКОГО ИССЛЕДОВАНИЯ
  12. Первый запуск программы
  13. Глава 1. Программа и анкета