Metodi di rilevamento

 In alto  Indietro  Avanti

Tutti i prodotti antivirus sviluppati da Doctor Web impiegano un intero set di metodi di rilevamento delle minacce, il che consente di verificare oggetti sospetti con la massima accuratezza.

Metodi di rilevamento delle minacce

Analisi non basata su firme antivirus

Questo metodo di rilevamento viene impiegato in primo luogo. Si basa sulla ricerca delle firme delle minacce già conosciute nel contenuto dell'oggetto analizzato. La firma è una sequenza di byte continua finita, necessaria e sufficiente per identificare univocamente una minaccia. I contenuti dell'oggetto analizzato vengono confrontati con i checksum delle firme antivirali anziché con le firme antivirali stesse, il che consente di ridurre notevolmente le dimensioni delle registrazioni nei database dei virus, mantenendo allo stesso tempo l'univocità della corrispondenza e, di conseguenza, la correttezza del rilevamento delle minacce e della cura dell'infezione in oggetti contaminati. Le registrazioni nei database dei virus Dr.Web sono formati in modo tale che tramite una registrazione sia possibile rilevare intere classi o famiglie di minacce.

Origins Tracing

È una tecnologia unica Dr.Web che consente di rilevare le minacce nuove o modificate di cui il comportamento malevolo o i metodi di infezione sono già conosciuti e descritti nei database dei virus. Viene impiegata dopo l'analisi basata su firme antivirus e protegge gli utenti che utilizzano le soluzioni antivirus Dr.Web dalle minacce quale il trojan-estorsore Trojan.Encoder.18 (anche conosciuto come "gpcode"). Inoltre, l'impiego della tecnologia Origins Tracing fa sì che l'analisi euristica abbia un numero notevolmente minore di falsi positivi. Ai nomi delle minacce rilevate tramite Origins Tracing viene aggiunto il postfisso .Origin.

Emulazione di esecuzione

Il metodo di emulazione di esecuzione del codice software serve a rilevare virus polimorfici e cifrati quando la ricerca per checksum di firme antivirus non può essere impiegata o è notevolmente ostacolata a causa dell'impossibilità di costruire le firme affidabili. Il metodo consiste nell'imitazione dell'esecuzione del codice analizzato tramite un emulatore – un modello software del processore e dell'ambiente di esecuzione dei programmi. L'emulatore utilizza una zona di memoria protetta (buffer di emulazione). In tale caso le istruzioni non vengono trasmesse sulla CPU per essere effettivamente eseguite. Se il codice processato dall'emulatore è infetto, come risultato dell'emulazione verrà ripristinato il codice malevolo originale che può essere analizzato tramite l'analisi basata su firme.

Analisi euristica

L'analisi euristica si basa su un set delle conoscenze euristiche (ipotesi la cui significatività statistica è stata empiricamente confermata) circa le caratteristiche del codice eseguibile malevolo o, al contrario, sicuro. Ogni caratteristica del codice ha un determinato peso (cioè un numero che indica l'importanza e la validità di tale caratteristica). Il peso può essere sia positivo, se la caratteristica indica la presenza di un comportamento malevolo del codice, che negativo, se la caratteristica non è peculiare delle minacce informatiche. Sulla base del peso complessivo attribuito al contenuto dell'oggetto, l'analisi euristica calcola la probabilità di presenza di un oggetto malevolo sconosciuto. Se questa probabilità eccede un determinato valore di soglia, l'analisi euristica conclude che l'oggetto analizzato è malevolo.

L'analisi euristica utilizza inoltre la tecnologia FLY-CODE — un universale algoritmo per lo spacchettamento di file. Questo metodo consente di costruire un presupposto euristico circa la presenza di oggetti malevoli negli oggetti compressi dai programmi di impacchettamento (packer), e non solo da quelli conosciuti dagli sviluppatori del prodotto Dr.Web, ma anche da quelli nuovi, non ancora studiati. Quando vengono controllati gli oggetti compressi, viene inoltre utilizzata la tecnologia di analisi dell'entropia di struttura che consente di rilevare minacce sulla base delle caratteristiche della posizione dei tratti del codice. Tramite questa tecnologia sulla base di una registrazione del database dei virus è possibile rilevare una serie di varie minacce compresse dall'uguale packer polimorfico.

Siccome l'analisi euristica è un sistema di verifica delle ipotesi nelle condizioni di incertezza, può commettere errori sia di un tipo (salta minacce sconosciute) e sia di un altro tipo (riconosce come dannoso un programma innocuo). Pertanto, agli oggetti contrassegnati dall'analisi euristica come "malevoli" viene attribuito lo stato "sospetti".

Durante ogni scansione, tutti i componenti dei prodotti antivirus Dr.Web utilizzano le informazioni più aggiornate su tutti i programmi malevoli conosciuti. Le firme antivirus e le informazioni sui tratti distintivi e modelli di comportamento delle minacce vengono aggiornate e aggiunte ai database dei virus subito dopo che gli specialisti del Laboratorio antivirus Doctor Web hanno scoperto nuove minacce, talvolta diverse volte all'ora. Anche se un programma malevolo recente si infiltra nel computer, raggirando la protezione residente Dr.Web, dopo l'ottenimento dei database dei virus aggiornati il malware verrà rilevato nella lista dei processi e neutralizzato.