Сигнатурный метод анализа

В обычной повседневной жизни потребитель привык к определенным стандартам. Приобретая что-либо или просто рассматривая потенциальную покупку мы с Вами, как потребители, интересуемся каким стандартам или ГОСТам соответствует товар. Антивирус, как программный продукт тоже товар, но на функционал никаких ГОСТов нет. Если это кому-то понадобится, то разработка ГОСТ в компании Itorum может быть произведена под что угодно, но пока все антивирусы пользуются либо стандартами «де-факто», либо своими «ноу-хау».

Методика анализа с помощью сигнатур (сигнатурный анализатор) можно сказать из разряда стандартов «де-факто», пришедшая в мир антивирусного ПО с легкой руки автора и первопроходца данного метода, Дмитрия Николаевича Лозинского и его антивирусного сканера Aidstest.

Суть метода работы сигнатурного анализа при просмотре файла или пакета заключена в обращении к словарю с уже известными вирусами, составленному непосредственно авторами антивирусной программы. Если будет обнаружено соответствие какого-либо исследуемого участка просматриваемого кода программы известному фрагменту кода (сигнатуры) вируса в сигнатурном словаре, антивирусная программа может приступить к выполнению одного из возможных действий:

• Удалить зараженный файл.
• Отправить инфицированный файл в так называемый «карантин» (таким образом делая его недоступным для выполнения, упреждая дальнейшее распространение вируса).
• Попытаться «вылечить» файл, удалив код вируса из тела зараженного файла.

Методика является весь эффективной, но для достижения успеха при использовании этой методики необходимо очень регулярно пополнять словарь уже известных вирусов вновь обнаруженными определениями. И лучше всего это делать в онлайновом режиме.

Следует также отметить, что против «мутирующих» полиморфных вирусов сигнатурный метод анализа практически беззащитен.