Касперский: сигнатурный анализ, поиск руткитов, технология iswift и ichecker — урок TeachVideo

Опубликовано: 04.09.2018

Дополнительные параметры проверки на вирусы

Вкладка «Дополнительно» окна настройки «Полная проверка» позволяет настроить методы проверки, а именно « Сигнатурный анализ », « Эвристический анализ », суть которого была описана ранее, а также « Поиск руткитов ».

«Сигнатурный анализ» представляет собой проверку с использованием регулярно обновляемых баз данных уязвимостей - сигнатур.


Дополнительные параметры проверки в KIS 2010 (37/50)

При этом в состав данных об уязвимости входит информация о направлении воздействия для использования уязвимости, степени опасности для операционной системы, типе воздействия на компьютер (перехват прав администратора, доступ к данным с удаленного компьютера и т.д.).

«Поиск руткитов» нацелен на обнаружение приложений, маскирующих вредоносные объекты в операционной системе. Для этого метода проверки доступен дополнительный критерий – «Углубленный анализ», позволяющий проводить более детализированный поиск.

Блок «Технологии проверки» содержит два основных элемента, а именно технологии iSwift и iChecker.

Одним из ключевых преимуществ технологии iChecker является возможность увеличения скорости проверки за счет исключения определенных объектов.

Объекты исключаются из процедуры проверки в соответствии с особым алгоритмом, принимающим во внимание дату выпуска баз приложения, дату последней проведенной проверки объекта и изменение параметров проверки.

То есть проверенный ранее файл архива, получивший статус незараженного объекта, при следующей проверке будет исключен из нее, при условии, что он не подвергался изменениям, а также не корректировались параметры проверки.

Ограничение технологии iChecker состоит в том, что она может быть применена только к файлам небольшого размера и имеющим структуру, известную приложению (exe, dll, lnk, sys, com, zip и так далее).

Для преодоления ограничений технологии iChecker была разработана технология iSwift, которая в свою очередь предназначена для компьютеров с файловой системой NTFS.

Но и она имеет свои ограничения в виде привязки к конкретному местоположению файла в пределах файловой системы и применимости только к объектам файловой системы NTFS.

rss