Antivirové techniky

Antivirové techniky
Sebelepší antivirový program není k ničemu, jestliže s ním jeho uživatel neumí zacházet a nerozumí jeho výsledkům. Porozumět jim znamená především porozumět tomu, jak jednotlivé technologie hledání virů pracují.
AVG používá pro detekci virů tři techniky.

• Hledání známých virů
• Pokus o hledání neznámých virů
• Sledování změn
Tyto techniky nejsou použity pouze v kontrolním programu AVG, ale také v rezidentním štítu a v kontrole elektronické pošty.
Zpracování souboru
Stručně se dá říct, že AVG kontroluje soubory tímto způsobem:

• AVG nejprve ověří, zda má o kontrolovaném souboru k dispozici nějaké detailní informace v databázi integrity .
• Poté hledá známé viry a pokud není žádný objeven, tak se ke slovu dostává heuristická analýza.
• Jestliže soubor může obsahovat několik infikovatelných objektů (například EXE soubor pro Windows, prezentace vytvořená v Power Pointu nebo soubory v archivu) je druhý krok zopakován pro všechny tyto komponenty.

• Jestliže žádný z předchozích kroků nenajde infekci, poznačí si AVG (pokud je to potřeba) informace o souboru do databáze integrity a pokračuje v testování dalších souborů.

Hledání známých virů
Úplně první antivirové programy se snažily vyhledávat konkrétní viry na základě nejrůznějších znaků, které doprovázely infekci. Vycházely ze skutečnosti, že první viry byly velmi jednoduché a kopii od kopie, až na nepatrné vyjímky, totožné. Tedy něco na způsob: Jestliže první bajt je E9 a současně další dva bajty po přičtení čísla 907 odpovídají délce souboru a zároveň má posledních dvacet bajtů tyto hodnoty ... atd, atd.
Dobře napsaný vyhledávací program, používající tuto techniku, je relativně spolehlivý, ale jeho údržba je velmi pracná. Při dnešním počtu virů by podobné testování navíc trvalo neúměrně dlouho.
Dalším krokem bylo vytvoření scanneru - programu, který se snažil v souboru najít nějaké posloupnosti instrukcí, typické pro jednotlivé viry. Pro každý virus se tedy vybere vhodná sekvence znaků - např. B4 3D CD 21 B8 00 00. U testovaných objektů se pak kontroluje, zda neobsahují tuto sekvenci. Pokud ano, je objekt označen jako napadený virem.
Je samozřejmé, že výběr vhodné sekvence znaků, která bude pro detekci viru používána, není jednoduchý - sekvence se nesmí vyskytovat v žádném korektním programu, aby nedocházelo k mylným hlášením. Největší výhoda scanneru, oproti vyhledávacímu programu, spočívá v možnosti snadného a rychlého doplnění informací pro detekci nových virů. V době, kdy se roční nárůst počtu virů pohybuje okolo 2000 kousků je to výhoda velmi podstatná.
Autoři virů se samozřejmě snaží vyhledání co nejvíce znesnadnit. Objevuje se nový termín - polymorfní virus . Takový virus se snaží většinu svého kódu pravidelně měnit tak, aby určení vhodné sekvence znaků ztížil či znemožnil. Zpočátku tuto úlohu obstarávala krátká funkce, která vlastní tělo viru zakódovala. Většinou však tato kódovací funkce byla sama o sobě dostatečně dlouhá k tomu, aby poskytla vhodnou sekvenci znaků. Postupem času se ale algoritmy, zajišťující viru jeho proměnlivost, zdokonalily. Na tuto změnu museli reagovat samozřejmě také autoři antivirových programů. Nějaký čas se snažili pouze doplnit své programy o rozpoznávání polymorfních virů pomocí jednoúčelových funkcí, ale to byl vlastně krok zpět k vyhledávacím programům se všemi jejich nevýhodami.

Př. AVG proto obsahuje emulátor strojového kódu, kterým se pokouší "napodobit" provedení dekódovací části. V praxi to znamená, že dokáže "rozbalit" zakryptovaný virus do jeho nekódované podoby a sekvence hledá až v dekryptovaném těle viru.
Použití vyhledávacích sekvencí může vést k problémům při léčení (například pokud se objeví nová verze viru).
Proto je př. AVG vybaveno mnohem komplexnějšími informacemi - může kontrolovat speciální vlastnosti nalezených sekvencí (např. jejich absolutní nebo relativní polohu) a ověřovat si kontrolní součty dalších oblastí těla viru. To umožňuje spolehlivější identifikaci a odstranění viru.
Uživatel antivirového programu - scanneru, musí samozřejmě používat takovou verzi, která tento virus již umí nalézt. Tato skutečnost je největší a podstatnou nevýhodou scannerů i vyhledávacích programů. Jejich bezmocnost proti novým virům. Dobře udržovaný scanner sice obvykle dokáže detekovat některé nové varianty starších virů, ale proti zcela novým virům jsou jeho šance malé.
Proto se používá také Heuristická analýza !!

Heuristická analýza

Jde o pokus zjistit analýzou programu, zda obsahuje konstrukce typické pro počítačový virus.
Meze možností
Především není heuristická analýza schopna najít viry naprogramované ve vyšších programovacích jazycích (C, Pascal, Basic, ...).
Výsledky heuristické analýzy
Je velmi důležité si uvědomit, že heuristická analýza není metodou schopnou odhalit 100% všech známých a neznámých virů. Jde o doplňkovou metodu, která výrazně zvyšuje šance na zachycení nového viru.
Podle většiny testů je heuristická analýza schopna detekovat více než 70% existujících souborových virů a bootvirů, při zanedbatelném počtu falešných poplachů.

Test integrity

Využití testu integrity při hledání virů
Po otestování souboru na přítomnost známých virů a jeho kontrole heuristickou analýzou jsou nejdůležitější informace o souboru uloženy do databáze integrity (databáze kompletního testu). Pokud bude soubor při příštím testu ve stejném stavu (a nebylo mezitím ktualizováno), tak není nutné jej detailně testovat.
V případě detekované změny obsahu souboru se př. AVG pokouší analyzovat typ změny a odhadnout, zda se může jednat o infekci či nikoli (samozřejmě pouze v případě, že už předchozí testy nenašly konkrétní infekci nebo něco podezřelého).
Po aktualizaci AVG jsou všechny soubory testovány znovu. To je nutné pro případ infekce novým virem, který ještě předchozí verze nebyla schopna detekovat.
Využití testu integrity při léčení virů
Velmi důležitou roli hraje databáze integrity i při léčení souborů. Neobsahuje totiž pouze kontrolní součet celého souboru, ale kontrolní součty několika oblastí souboru, kontrolní součet celého souboru (vyrobený velmi bezpečným MD algoritmem) a navíc ještě kopii obsahu malé (ale nesmírně důležité) části hlavičky souboru.
S těmito informacemi můžeme léčit soubory mnohem přesněji a obnovit zcela správnou délku (některé viry zarovnávají délku infikovaného souboru na násobek 16 a nikam neukládají údaj o původní délce souboru).
Omezení testu integrity

• Nedokáže uživateli sdělit, zda se v jeho počítači objevil virus. Veškerá zjištění, kterých je test integrity schopen, jsou omezena pouze na sdělení - byla zjištěna změna a případné označení této změny za podezřelou.
• Je bezmocná proti makrovirům (=viry, které napadají textové dokumenty). • Kromě toho existují i programy, které svůj EXE soubor mění. (Třeba TC.EXE - kompilátor Turbo C V2.0 - si sám do sebe poznamenává svou konfiguraci).

To jsou ovšem drobnosti. Daleko podstatnější nevýhodou kontroly integrity je, že virus zachytí až při jeho šíření v chráněném systému.

Praktická sebeobrana pro uživatele
Vlastní kontrolu počítače antivirovým programem lze označit za aktivní ochranu. Kromě ní však existuje také tzv. ochrana pasivní - v podstatě jde o způsob, jakým se uživatel k počítači chová a jak s ním pracuje.
- pozor na diskety

8. Komponenty systému AVG

AVG pro Windows
- je určen ke kontrole pevných disků, adresářů a souborů uložených na Vašem počítači. Musí být spuštěn buď ručně, nebo automaticky. Program komunikuje s uživatelem pomocí uživatelského rozhraní, které umožňuje zvolit funkce programu a zobrazit jejich výsledky na obrazovce.
Rezidentní štít systému AVG
Rezidentní štít systému AVG je nainstalován jako součást operačního systému Windows. Monitoruje a kontroluje všechny operace prováděné na počítači se soubory a disketami, a to na pozadí bez vědomí uživatele, ještě před skutečným povolením žádané operace.
Program pro kontrolu elektronické pošty systému AVG
Program pro kontrolu elektronické pošty systému AVG podporuje klienty Microsoft Outlook a Qualcomm Eudora. Program kontroluje příchozí a odchozí poštovní zprávy a jejich připojené soubory na přítomnost virů.
AVG Control Center

AVG Control Center je manažerem ostatních komponent systému AVG. Tento program je automaticky spouštěn při startu Windows. Spouští naplánované testy, umožňuje nastavení parametrů Rezidentního štítu a programu pro kontrolu elektronické pošty, a řídí operace Plánovače a Manažeru aktualizace.
Rozšíření průzkumníka systému AVG
Rozšíření průzkumníka je jednoduchá utilita. Umožňuje rychlou antivirovou kontrolu souborů, adresářů nebo disků z aplikací používajících tzv. "pop-up" menu, aktivované stiskem pravého tlačítka myši na příslušném objektu.
Virový trezor systému AVG
- uchovává napadené soubory přesunuté do něj na základě přání uživatele
- umožňuje jejich pozdější obnovu na původní místo, smazání ne
bo léčení.
Program AVG-SOS – Záchranná disketa
- je určen především pro servisní účely, když není možné použít program AVG pro Windows. - Jsou-li napadeny kritické systémové oblasti počítače, je nutné spustit počítač z nezavirované systémové diskety.
- pro vytvoření systémové diskety je potřeba mít prázdnou disketu.
- používat pouze po startu počítače ze systémové diskety k servisním účelům