Добро пожаловать обратно, мои начинающие кибервоины!
Прежде чем начать изучать способы обхода антивирусной защиты, важно понять, как она работает. В этой краткой статье мы рассмотрим основные методы, которые разработчики антивирусов используют для обнаружения вредоносных программ.
Большинство современных антивирусных продуктов используют один из нескольких антивирусных движков. Каждый из них имеет свои цели. Существует четыре основных движка:
У каждого из этих движков есть своя конкретная цель, и у каждого есть свои сильные и слабые стороны. Например, статические движки, с которыми знакомо большинство пользователей, просто ищут сигнатуры известных вредоносных программ. Наиболее известные из них — сигнатуры YARA , которые обновляются практически ежедневно.
Статический движок просто сравнивает файлы с базой данных сигнатур известных вредоносных программ. Это может быть сложнее, чем может показаться, поскольку внести изменения во вредоносное ПО (создав другую сигнатуру) и тем самым обойти статический анализ относительно просто.
Динамический анализ
Динамический анализ немного более продвинут. Он идентифицирует вредоносное ПО по его поведению. Первым делом динамический анализ отслеживает вызовы API (интерфейса прикладного программирования). Динамический анализ использует системные хуки для поиска вредоносного поведения. Кроме того, динамический анализ использует «песочницу». Антивирусное ПО создаёт виртуальную среду, отдельную от памяти хоста, и запускает подозрительное вредоносное ПО. Таким образом, антивирусное приложение может анализировать подозрительный файл в безопасной среде без риска для физического хоста.
Эвристический анализ
Большинство антивирусных приложений теперь используют эвристический механизм. Для упрощения эвристика использует старое правило: «Если файл ходит как утка и крякает как утка, то это, вероятно, утка». Антивирусное приложение присваивает каждому файлу рейтинг на основе различных факторов, а затем с помощью статистического анализа определяет вероятность того, что он является вредоносным. Например, эвристика ищет процессы, взаимодействующие с процессом LSASS.exe, процессы с сигнатурой от надежного поставщика программного обеспечения, процессы, пытающиеся стать устойчивыми, и процессы, пытающиеся установить связь с сервером управления и контроля (C&C). Самый большой недостаток эвристики — ложные срабатывания, когда антивирусное приложение определяет файл как вредоносный, хотя это не так.
Неупакованный анализ
Один из основных способов, используемых разработчиками вредоносных программ для обхода антивирусных программ, — это упаковка или сжатие своего кода. Таким образом, они могут обойти статическое обнаружение, создав другую сигнатуру, не распознаваемую антивирусной программой при сигнатурном/статическом анализе. Поставщик антивируса должен разработать распаковщик для каждого упаковщика, доступного разработчикам вредоносных программ. Это может быть очень медленным и трудоемким процессом, но он необходим для обнаружения упакованных вредоносных файлов.
Краткое содержание
Для разработки методов обхода антивирусных программ критически важно хорошо понимать принципы работы антивирусов. Теперь, когда вы знаете, как работают эти системы, вы готовы начать обход антивирусных программ.
Дополнительную информацию об уклонении от антивирусов можно найти здесь:
Прежде чем начать изучать способы обхода антивирусной защиты, важно понять, как она работает. В этой краткой статье мы рассмотрим основные методы, которые разработчики антивирусов используют для обнаружения вредоносных программ.
Большинство современных антивирусных продуктов используют один из нескольких антивирусных движков. Каждый из них имеет свои цели. Существует четыре основных движка:
- Статический двигатель
- Динамический двигатель
- Эвристический движок
- Распаковка двигателя
У каждого из этих движков есть своя конкретная цель, и у каждого есть свои сильные и слабые стороны. Например, статические движки, с которыми знакомо большинство пользователей, просто ищут сигнатуры известных вредоносных программ. Наиболее известные из них — сигнатуры YARA , которые обновляются практически ежедневно.
Статический движок просто сравнивает файлы с базой данных сигнатур известных вредоносных программ. Это может быть сложнее, чем может показаться, поскольку внести изменения во вредоносное ПО (создав другую сигнатуру) и тем самым обойти статический анализ относительно просто.
Динамический анализ
Динамический анализ немного более продвинут. Он идентифицирует вредоносное ПО по его поведению. Первым делом динамический анализ отслеживает вызовы API (интерфейса прикладного программирования). Динамический анализ использует системные хуки для поиска вредоносного поведения. Кроме того, динамический анализ использует «песочницу». Антивирусное ПО создаёт виртуальную среду, отдельную от памяти хоста, и запускает подозрительное вредоносное ПО. Таким образом, антивирусное приложение может анализировать подозрительный файл в безопасной среде без риска для физического хоста.
Эвристический анализ
Большинство антивирусных приложений теперь используют эвристический механизм. Для упрощения эвристика использует старое правило: «Если файл ходит как утка и крякает как утка, то это, вероятно, утка». Антивирусное приложение присваивает каждому файлу рейтинг на основе различных факторов, а затем с помощью статистического анализа определяет вероятность того, что он является вредоносным. Например, эвристика ищет процессы, взаимодействующие с процессом LSASS.exe, процессы с сигнатурой от надежного поставщика программного обеспечения, процессы, пытающиеся стать устойчивыми, и процессы, пытающиеся установить связь с сервером управления и контроля (C&C). Самый большой недостаток эвристики — ложные срабатывания, когда антивирусное приложение определяет файл как вредоносный, хотя это не так.
Неупакованный анализ
Один из основных способов, используемых разработчиками вредоносных программ для обхода антивирусных программ, — это упаковка или сжатие своего кода. Таким образом, они могут обойти статическое обнаружение, создав другую сигнатуру, не распознаваемую антивирусной программой при сигнатурном/статическом анализе. Поставщик антивируса должен разработать распаковщик для каждого упаковщика, доступного разработчикам вредоносных программ. Это может быть очень медленным и трудоемким процессом, но он необходим для обнаружения упакованных вредоносных файлов.
Краткое содержание
Для разработки методов обхода антивирусных программ критически важно хорошо понимать принципы работы антивирусов. Теперь, когда вы знаете, как работают эти системы, вы готовы начать обход антивирусных программ.
Дополнительную информацию об уклонении от антивирусов можно найти здесь:
