2

Как новый интернет-Security/Anti-Virus запускает свою базу данных вредоносных программ? Я видел несколько новых продуктов, которые способны обнаруживать вирусы, которые были в дикой природе 10-15 лет назад.

1 ответ1

2

У антивирусных компаний есть два аспекта:

  1. подписи, которые они должны соответствовать, и
  2. технология, используемая для сопоставления подписей

Сами подписи довольно хорошо стандартизированы (с количественными ложноположительными характеристиками).
Технология будет проприетарной и будет определять порядок использования подписей.

Таким образом, новая компания выберет стандартную базу данных из некоторого источника и «запустит» своих собственных переводчиков, чтобы преобразовать ее в базу данных, которая будет работать с их реализацией.
Компания примет их баланс между простотой преобразования и оптимизацией для их реализации.

Несколько ссылок для дальнейшего чтения,

  • Правила SNORT: Правила Исследовательской группы по уязвимости Sourcefire ™ (VRT)
  • Написание подписей ClamAV. Алена Зидууба. 4 марта 2009 г. (файл PDF)
  • PE Sig (связанный с здесь помимо всего прочего)
    • PE Sig - это инструмент, написанный на Ruby, который генерирует подписи ClamAV® для переносимых исполняемых файлов.
      Для получения дополнительной информации о PE Sig ознакомьтесь с описанием Брайана Касвелла в блоге VRT.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .