RU RU CN DE EN ES FR JP PL UA

Новости | Мероприятия | Скидки | Лицензирование | Центр противодействия кибер-мошенничеству | Клиенты | О компании

Технологии антивирусного ядра

Сегодня вирусописательство — это хорошо налаженный криминальный бизнес. Новые вредоносные программы, большинство из которых троянцы, появляются ежедневно сотнями тысяч — зайдите на live.drweb.com и убедитесь в этом сами.

live.drweb.com — это открытый ресурс, который показывает работу антивирусной лаборатории «вживую». Там вы увидите, как обрабатываются поступающие экземпляры вредоносных программ и какие вирусы на данный момент наиболее распространены.

Вирусные аналитики не успевают обрабатывать такое количество подозрительных файлов. Между появлением нового вируса и внесением данных о нем в вирусную базу могут проходить часы или дни. Если вирус сложный — на это могут уйти даже месяцы.

Кроме того, перед выпуском некоторых наиболее опасных новых вирусов в «живую природу» злоумышленники тестируют их на невозможность обнаружения всеми известными антивирусными программами. От таких вирусов традиционные сигнатурные методы обнаружения защитить не могут.

Давно прошли времена, когда антивирусы ловили вирусы только по сигнатурам — т.е. умели определять только известные вирусной базе вирусы. Сегодня сигнатурный метод детектирования в качестве единственного способа борьбы с вирусами сделал бы антивирус беспомощным перед лицом неизвестных угроз. Однако антивирус не перестал быть лучшим и единственным эффективным средством защиты от всех типов вредоносных угроз — и что особенно важно — как известных, так и неизвестных вирусной базе антивируса.

В продуктах Dr.Web для обнаружения и обезвреживания неизвестного вредоносного ПО применяется множество эффективных несигнатурных технологий, сочетание которых позволяет обнаруживать новейшие (неизвестные) угрозы до внесения записи в вирусную базу. Остановимся лишь на некоторых из них.

  • Технология Fly-Code — обеспечивает качественную проверку упакованных исполняемых объектов, распаковывает любые (даже нестандартные) упаковщики методом виртуализации исполнения файла, что позволяет обнаружить вирусы, упакованные даже неизвестными антивирусному ПО Dr.Web упаковщиками.
  • Технология Origins Tracing — при сканировании исполняемого файла он рассматривается как некий образец, построенный характерным образом, после чего производится сравнение полученного образа с базой известных вредоносных программ. Технология позволяет с высокой долей вероятности распознавать вирусы, еще не добавленные в вирусную базу Dr.Web.
  • Технология анализа структурной энтропии — обнаруживает неизвестные угрозы по особенностям расположения участков кода в защищенных криптоупаковщиками проверяемых объектах.
  • Технология ScriptHeuristic — предотвращает исполнение любых вредоносных скриптов в браузере и PDF-документах, не нарушая при этом функциональности легитимных скриптов. Защищает от заражения неизвестными вирусами через веб-браузер. Работает независимо от состояния вирусной базы Dr.Web совместно с любыми веб-браузерами.
  • Традиционный эвристический анализатор — содержит механизмы обнаружения неизвестных вредоносных программ. Работа эвристического анализатора опирается на знания (эвристики) об определенных особенностях (признаках) вирусов — как характерных именно для вирусного кода, так и наоборот, крайне редко встречающихся в вирусах. Каждый из таких признаков характеризуется своим «весом» — числом, модуль которого определяет важность, серьезность данного признака, а знак, соответственно, указывает на то, подтверждает он или опровергает гипотезу о возможном наличии неизвестного вируса в анализируемом коде.
  • Модуль эмуляции исполнения — технология эмуляции исполнения программного кода необходима для обнаружения полиморфных и сложношифрованных вирусов, когда непосредственное применение поиска по контрольным суммам невозможно либо крайне затруднено (из-за невозможности построения надежных сигнатур). Метод состоит в имитации исполнения анализируемого кода эмулятором — программной моделью процессора (и, отчасти, компьютера и ОС).

Но угроза заражения новейшим НЕИЗВЕСТНЫМ вирусом есть ВСЕГДА.

При этом только антивирус способен вылечить систему от уже проникших и активизировавшихся в ней вредоносных программ.

Именно поэтому наиболее важным показателем качества работы антивирусной программы является не только ее способность находить вирусы, но и лечить их; не просто удалять инфицированные файлы вместе с важной для пользователя информацией, но и уметь возвращать их в первоначальное «здоровое» состояние. Использование антивируса исключает необходимость дополнительной установки antispyware, антируткитов и иных подобных программ.

Лечит от вирусов

Важным показателем качества работы антивирусной программы является не только ее способность находить вирусы, но и лечить их; не просто удалять инфицированные файлы вместе с важной для пользователя информацией, но и уметь возвращать их в первоначальное «здоровое» состояние.

Технологически сложные и особо опасные вирусы, особенно созданные для извлечения коммерческой выгоды, вирусописатели проверяют на обнаружение по всем антивирусам перед тем как выпустить такой вирус в «живую природу», чтобы вирус существовал незамеченным антивирусами как можно дольше. До поступления образцов таких вирусов в лабораторию они не обнаруживаются ни одним антивирусом.

Dr.Web эффективно детектирует и лечит от вирусов

  • Возможность установки и работы на уже инфицированном компьютере и исключительная вирусоустойчивость выделяют Dr.Web среди всех других аналогичных программ.
  • Использование уникальных технологий обработки процессов в памяти и превосходные возможности по нейтрализации активного заражения позволяют успешно установить Dr.Web прямо на зараженную машину (без необходимости предварительного ее лечения) — даже с внешнего носителя без установки в систему (например, с USB-stick) и уже в ходе установки проводить лечение активных угроз.
  • Интеграция установочного пакета (инсталлятора) с обновленным Антируткитом Dr.Web позволяет противостоять активным угрозам и уже во время установки проводить лечение ПК, даже если компьютер заражен сложными вредоносными программами.
  • Подсистема фонового сканирования и нейтрализации активных угроз в рамках Антируткита Dr.Web постоянно находится в памяти и осуществляет поиск активных угроз в таких критических областях Windows как объекты автозагрузки, запущенные процессы и модули, эвристики системных объектов, оперативная память, MBR/VBR дисков, а также в системной BIOS компьютера.
  • В Dr.Web реализована возможность обнаруживать и нейтрализовать вирусы, существующие в оперативной памяти и никогда не встречающиеся в виде отдельных файлов. До сих пор лишь немногие антивирусы умеют их лечить.
  • Dr.Web способен выявлять с высочайшей степенью точности упакованные вредоносные объекты, даже упакованные неизвестным Dr.Web методом, разбирать их на отдельные компоненты и детально анализировать с целью обнаружения скрытых угроз.
  • Только Dr.Web способен полностью проверять архивы любого уровня вложенности. Таким образом, даже если вредоносный объект был многократно заархивирован и при этом использовались разные типы архиваторов, Dr.Web обязательно обнаружит и обезвредит угрозу.

Стойкий иммунитет к любым попыткам вредоносных программ вывести Dr.Web из строя обеспечивает не имеющий аналогов на антивирусном рынке компонент самозащиты Dr.Web SelfPROtect.

  • Dr.Web SelfPROtect реализован в виде драйвера и действует на самом низком системном уровне. Выгрузка и остановка его работы невозможны до перезагрузки системы.
  • Dr.Web SelfPROtect ограничивает доступ вредоносных объектов к сети, файлам и папкам, некоторым веткам реестра и сменным носителям на уровне системного драйвера, защищает от попыток анти-антивирусных программ прекратить функционирование Dr.Web.
  • В отличие от некоторых конкурирующих продуктов, модифицирующих ядро Windows (перехватывающих прерывания, подменяющих таблицы векторов, использующих недокументированные функции и т. д.), что может привести к серьезным проблемам в работе самой операционной системы, а также создает новые пути для использования уязвимостей, модуль защиты Dr.Web SelfPROtect является полностью самодостаточным.
  • Возможность автоматического восстановления собственных модулей.

Продукты

Комплекты

Программные комплексы

Антивирус как услуга

Утилиты

Производителям и провайдерам

Услуги