Вирусы и из сигнатуры

[Kalipso]

Доброго времени суток.

Уже сколько файлы проверяю на наличия malware, и часто бывает так, что 10 видят , как вирус, 10 видят как чистый и еще некоторые видят как разного рода нежелательного ПО. Ну и всему этому виновен сигнатуры.

 

Кто нибудь может мне показать как они выглядят? Очень хотелось бы на каком нибудь примере это показать. Я конечно не программист, но понять более менее код могу.
Просто интересно, когда выходит новый вирус, после ручного анализа, вирусолог лаборатории что вносит в базу сигнатур, чтоб обновились антивирусы?
Я думаю это не конфиденциальная информация и у всех антивирусных(и не только) компаний алгоритм почти одинаковый, только базу сигнатур отличаются./

 

[Денис-НН]

В первом приближении это хэш файла. Точнее, части файла, характерной именно для данного вируса. А как выглядит хэш вы наверное знаете.

[Kalipso]

В первом приближении это хэш файла. Точнее, части файла, характерной именно для данного вируса. А как выглядит хэш вы наверное знаете.

Ну это совсем "деревянный" метод ))) открыли файл, добавили null и вуаля, совсем новый файл , возможно так работали антивирусы в 80-90_е годы, но точно не сейчас.

[Zaitsev Oleg]

 

В первом приближении это хэш файла. Точнее, части файла, характерной именно для данного вируса. А как выглядит хэш вы наверное знаете.

Ну это совсем "деревянный" метод ))) открыли файл, добавили null и вуаля, совсем новый файл , возможно так работали антивирусы в 80-90_е годы, но точно не сейчас.

 

На самом деле это не совсем так. Дело в том, что вычислив хеш файла, антивирус может по нему запросить репутацию файла и сведения по нему из "облака". Трафик на это практически не тратится, и можно получить актуальную на момент запроса информацию, не дожидаясь обновления баз. Что значительно повышает оперативность реагирования на угрозы.

Более того, опираясь на хеш файла (и подпись, если таковая есть) можно провести проверку по базе чистых, и по сути инвертировать логику принятия решений - сначала распознать все известное и популярное как безопасное, а уже потом разбираться с тем, что останется. Любое изменение в известном легитимном файле является сигналом к тому, что доверять ему уже не стоит.

Это что качается хешей. При этом сигнатуры никто не отменял, в простейшем случае классическая сигнатура - это тот-же хеш некоторого фрагмента файла (или несколько хешей), с указанием того, где и как именно этот фрагмент искать. Чуть более сложный сигнатурный метод - это поиск некоей последовательности байт по заданной маске, см. http://z-oleg.com/secur/avz_doc/script_searchsign.htm- классическая реализация сигнатурного поиска в скрипт-движке AVZ, дающее представление о принципах работы сигнатурного поиска. Если хочется дальше изучать сигнатурный метод, то обязательно советую погуглить про YARA (собственно, см. http://virustotal.github.io/yara/ и https://yara.readthedocs.io/en/v3.8.1/writingrules.html). YARA позволяет создавать достаточно гибкие и сложные правила для детектирования зловредов, при этом правила достаточно легко читаюся.

Плюс очень важно понимать, что сейчас под термином "сигнатура" и "сигнатурная база" может подразумеваться что угодно, я бы определил этот термин как "совокупность признаков, правил и методик классификации объекта". К примеру, в качестве признаков могут быть использованы не последовательности байт в исполняемом файле, а некие поведенческие особенности изучаемой программы, выявленные антивирусом при помощи эмулятора или наблюдения за работой запущенного приложения, или какие-то особенности ее трафика.

Изменено 12 декабря, 2018 пользователем Zaitsev Oleg