Méthodes de Détection |
Toutes les solutions antivirus créees par Doctor Web utilisent un ensemble de méthodes de détection, ce qui leur permet d’effectuer des analyses en profondeur des fichiers suspects. Méthode de détection des menaces Analyse de signature Cette méthode de détection est appliquée en premier lieu. Elle est mise en oeuvre en examinant le contenu de l’objet à la recherche des signatures de menaces connues. Une Signature est une séquence continue et finie d’octets qui est nécessaire et suffisante pour identifier une menace. La comparaison du contenu de l’objet avec les signatures n’est pas effectuée directement, mais par leur somme de contrôle ce qui permet de réduire considérablement la taille des entrées dans les bases de données virales tout en préservant le caractère unique de la conformité et par conséquent, l’exactitude de la détection des menaces et du traitement des objets infectés. Les entrées dans les bases virales Dr.Web sont rédigées de sorte que la même entrée peut détecter des classes entières ou des familles de menaces. Origins Tracing Cette une technologie unique Dr.Web permettant de détecter les nouvelles menaces ou celles modifiées et utilisant des mécanismes de contamination ou un comportement malveillant qui sont déjà connus de la base de données virale. Cette technologie intervient à la fin de l’analyse par signature et assure une protection des utilisateurs utilisant des solutions antivirus Dr.Web contre des menaces telles que Trojan.Encoder.18 (également connu sous le nom «gpcode»). En outre, l’utilisation de la technologie Origins Tracing peut réduire considérablement le nombre de faux positifs de l’analyseur heuristique. Les noms des menaces détectées à l’aide d’Origins Tracing sont complétés par .Origin. Émulation de l’exécution La méthode d’émulation d’exécution de code est utilisée pour détecter les virus polymorphes et cryptés si la recherche à l’aide des sommes de contrôle des signatures est inapplicable ou très compliquée en raison de l’impossibilité de construire des signatures fiables. La méthode consiste à simuler l’exécution du code en utilisant l’émulateur – un modèle du processeur et de l’environnement du programme. L’Émulateur fonctionne avec un espace mémoire protégé (tampon d’émulation). Dans ce cas, les instructions ne sont pas transmises au processeur central pour exécution réelle. Si le code traité par l’émulateur est infecté, alors le résultat de son émulation est un rétablissement du code malveillant d’origine disponible pour une analyse de signature. Le fonctionnement de l’analyseur heuristique est fondé sur un ensemble d’heuristiques (hypothèses, dont la signification statistique est confirmée par l’expérience) des signes caractéristiques de code malveillant et, inversement, de code exécutable sécurisé. Chaque attribut ou caractéristique du code possède un score (le nombre indiquant l’importance et la validité de cette caractéristique). Le score peut être positif si le signe indique la présence d’un comportement de code malveillant, et négatif si le signe ne correspond pas à une menace informatique. En fonction du score total du contenu du fichier, l’analyseur heuristique calcule la probabilité de la présence d’un objet malveillant inconnu. Si cette probabilité dépasse une certaine valeur de seuil, l’objet analysé est considéré comme malveillant. L’analyseur heuristique utilise également la technologie FLY-CODE – un algorithme universel pour l’extraction des fichiers. Ce mécanisme permet de construire des hypothèses heuristiques sur la présence d’objets malveillants dans les objets, de logiciels compressés par des outils de compression (emballeurs), non seulement par des outils connus des développeurs des produits Dr.Web, mais également par des outils de compression nouveaux et inexplorés. Lors de la vérification des objets emballés, une technologie d’analyse de leur entropie structurelle est également utilisée, cette technologie peut détecter les menaces sur les spécificités de la localisation des fragments de leur code. Cette technologie permet avec une seule entrée de la base de données de détecter un ensemble de différents types de menaces qui sont emballées du même packer polymorphe. Comme tout système basé sur des hypothèses, l’analyseur heuristique peut commettre des erreurs de type I (omettre une menace inconnue) ou de type II (faire un faux positif). Par conséquent, les objets marqués par l’analyseur heuristique comme « malveillants » reçoivent le statut « suspects ». Au cours de toute analyse, tous les composants des produits antivirus Dr.Web utilisent l’information la plus récente sur tous les programmes malveillants connus. Les signatures des menaces et les informations sur leurs caractéristiques et les comportements sont mises à jour et ajoutées à la base de données de virus immédiatement, dès que les spécialistes du laboratoire antivirus Doctor Web découvrent de nouvelles menaces, parfois jusqu’à plusieurs fois par heure. Même si un nouveau malware infiltre l’ordinateur, en évitant la protection Dr.Web, il sera détectée dans la liste des processus et neutralisée après l’obtention de nouvelles bases virales. |