Dr Web CureIt
Офіційна версія
Сигнатурний аналіз
За замовчуванням використовується цей метод аналізу. Його принцип заснований на аналізі присутності характерних особливостей відомих вірусів у складі файлу, що сканується.
Під сигнатурою прийнято розуміти безперервну послідовність даних, що однозначно вказує на наявність загрози. Аналіз даних, що входять до складу об'єктів, із сигнатурами за їх контрольними сумами значно прискорює процес пошуку, створює менше навантаження на обчислювальну потужність комп'ютера та скорочує обсяг даних у базі даних вірусів.
Використання контрольних сум замість послідовності даних на ефективність визначення існуючих загроз не впливає.
У записах, що знаходяться в базі даних Dr Web CureIt, міститься достатня інформація, щоб завдяки кожній з них могли бути виявлені класи та сімейства підозрілих об'єктів.
Origins Tracing
Завдяки даній технології сканер знаходить нові загрози або старі, що пройшли модифікацію, які для зараження об'єктів використовують вже відомі методи або завдають шкоди вже відомими способами, на основі даних, що знаходяться у вірусних базах.
Цей метод перевірки застосовується після сигнатурного аналізу. З його допомогою утиліта виявляє наявність троянських програм, наприклад, здирникgpcode- Trojan.Encoder.18.
При використанні технології Origins Tracing скорочується кількість помилкових спрацьовувань під час сканування. Віруси, знайдені за допомогою даної технології, будуть відображені з постфіксомOrigin.
Емуляція виконання
Метод емуляції виконання коду може бути корисним для визначення поліморфних або шифрованих вірусів за відсутності можливості виявлення загрози сигнатури або визначеннянадійної сигнатури сигнатури вірусу ускладнено.
Основи даного методу полягають в емуляції виконання коду за допомогою емулятора – спеціалізованого віртуального середовища, в якому виконується програма.
Емулятор працює із захищеною областю пам'яті та називається буфером емуляції. При виконанні програми в буфері емуляції центральний процесор не обробляє інструкції для реального виконання.
У тому випадку, якщо код, що виконується, інфікований, то результатом емуляції є відновлений вихідний шкідливий код, який буде використаний для сигнатурного аналізу.
Евристичний аналіз
Евристичний аналіз ґрунтується на сукупності евристичних властивостей файлу, що сканується. Тобто. сканер визначає наявність шкідливого та безпечного коду за характерними ознаками. Кожна така ознака має вагову характеристику.
Характеристика представлена чисельно та відображає важливість та достовірність ознаки. Вага може бути позитивною у разі, якщо ознака визначає наявність шкідливого коду, і негативним за відсутності вірусної загрози.
На основі загальної ваги, що характеризує об'єкт, аналізатор обчислює ймовірність з якою в ньому міститься шкідливий код. При перевищенні порогового значення аналізований об'єкт буде визначений як вірус.
Аналізатор здатний використовувати унікальний алгоритм розпакування файлів, який дозволяє робити евристичні припущення про наявність шкідливого коду у різних інсталяційних пакетах та архівах.
Під час аналізу упакованих файлів використовується технологія сканування на основі ентропії. Вона дозволяє виявляти шкідливий код за особливостями розташування ділянок коду. За рахунок цього на основі одного запису вірусної бази є можливість виявитисукупність різних загроз, які упаковані одним і тим самим пакувальником.
Евристичний аналізатор є системою, що приймає рішення з урахуванням припущень. Аналізатор працює в умовах невизначеності та може помилятися: пропускати невідомі загрози, а також помилково визначати безпечні програми як шкідливі.
Щоб уникнути конфліктів, файли, які визначені аналізатором як шкідливі, відзначаються ознакоюпідозрілі.