Цитата:
Такие упражнения, безусловно, полезны (теоретически), с одной стороны, чтобы научиться понимать логику поиска сигнатур вирусов и троянов.
|
На самом деле нашел одно практическое и как показывает практика полезное применение - поиск bat-вирусов)) Вернее сказать сканер вредоносного кода полностью реализованный на
JS (FileAPI). Сейчас есть проекте AntiBatVir На что-то серьезное не претендую, но люблю все изучать на практике...
Цитата:
Но такие методы, с другой стороны (практически), абсолютно бесполезны для поиска и идентификации реальных вирусов и троянов.
Потому что современные вирусы - мутирующие, они меняют свои сигнатуры (от поколения к поколению заражения) ... стелс-технологии.
Поиск (перебор вариантов) самошифрующихся сигнатур даже быстрым компилированным кодом с языков C, C++, Go и т.д. - это тысячи сканирований на 1 файл, и многие десятки секунд времени выполнения на 1 файл.
|
Вы знаете, посмотрел алгоритмы некоторых (вполне известны[) антивирусных продуктов c открытыми кодами - в основном все сводится к обычному сканированию и сравнению с БД хешей извстных вирусов. Эвристика весьма слабая и ничего особенного в ней нет (те же сигнатуры). ИМХО - эффективно, но интереснее поведенческий анализ.