Алгоритм работы антивирусной программы для обезвреживания подозрительных файлов

Невозможность существования абсолютного антивируса была доказана Фредом Коэном математически на основе теории конечных автоматов.

В антивирусном ПО используются следующие термины:

  • «Ложное срабатывание» (False positive) — детектирование вируса в незараженном объекте. Обратный термин — «False negative», т.е. недетектирование вируса в зараженном объекте.
  • «Сканирование по запросу» («on-demand») — поиск вирусов по запросу пользователя.
  • «Сканирование на-лету» («real-time», «on-the-fly») — постоянная проверка на вирусы объектов, к которым происходит обращение (запуск, открытие, создание и т.п.). В этом режиме антивирус постоянно активен, он присутствует в памяти «резидентно» и проверяет объекты без запроса пользователя.

Качество антивирусной программы можно определить по следующим позициям:

  1. Надежность и удобство работы — отсутствие «зависаний» антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.
  2. Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов/таблиц (Word, Excel), упакованных и архивированных файлов.
  3. Отсутствие «ложных срабатываний».
  4. Многоплатформенность антивирусного программного обеспечения.
  5. Возможность лечения зараженных объектов.
  6. Периодичность обновления.
  7. Существование серверных версий с возможностью проверки сетевых дисков.
  8. Скорость работы и другие полезные функции.

Антивирусное ПО может использовать следующие методы обнаружения вирусов и других вредоносных программ:

Как узнать что на компьютере майнер?

· эвристический анализ (блокирование подозрительных действий);

· CRC-сканирование (обнаружение изменений);

· анализ сетевого трафика;

· анализ баз данных почтовых программ;

· обнаружение вирусов в системе автоматизации документооборота.

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса.

Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода являетcя алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.

Во многих сканерах используются также алгоритмы «эвристического сканирования», т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения («возможно заражен» или «не заражен») для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей.

Принцип работы антивирусных программ

Эвристический анализ не дает полной гарантии обнаружения любых новых вирусов. Кроме того, эвристический анализатор может принять «безобидную» программу за вредоносную. Это происходит в тех случаях, когда программа выполняет какие-либо действия, характерные для вирусов или вредоносных программ другого типа. Эвристический анализ отнимает немало процессорного времени.

Поэтому, настраивая антивирусную программу, пользователь может отключить эвристический анализатор. Учитывая, что без эвристического анализатора антивирусная программа не сможет обнаружить полиморфные и шифрующиеся, а также новые вирусы, такое отключение приведет к снижению надежности антивирусной защиты.

Наиболее эффективной методикой обнаружения и нейтрализации вредоносных программ, распространяющихся по каналам электронной почты, является анализ трафика электронной почты непосредственно на почтовом сервере. При этом антивирусные программы проверяют данные, проходящие через почтовый сервер, и удаляют из них вредоносные объекты еще до того, как они попадут на компьютер пользователя. Антивирусы, работающие на почтовом сервере, сканируют трафик электронной почты, исключая распространение вредоносных программ вместе с почтовыми сообщениями. Для передачи сообщений электронной почты используются протоколы SMTP, POP3 и IMAP. Специализированные антивирусы, работающие на почтовых серверах, способны анализировать потоки данных, передаваемые с использованием этих протоколов, предотвращая распространение вредоносных программных объектов через электронную почту.

Сканеры также можно разделить на две категории — «универсальные» и «специализированные». Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.

Сканеры также делятся на «резидентные» (мониторы), производящие сканирование «на-лету», и «нерезидентные», обеспечивающие проверку системы только по запросу. Как правило, «резидентные» сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как «нерезидентный» сканер способен опознать вирус только во время своего очередного запуска.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам — размеры антивирусных баз, которые сканерам приходится «таскать за собой», и относительно небольшую скорость поиска вирусов.

Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них.

Читайте также:
Что следует в представленной структуре программы после слова var

Антивирусные блокировщики — это резидентные программы, перехватывающие «вирусоопасные» ситуации и сообщающие об этом пользователю. К «вирусоопасным» относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения.

К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения. К недостаткам относятся существование путей обхода защиты блокировщиков, большое количество срабатываний, требующих от пользователя принятия решения.

Источник: infopedia.su

Основные алгоритмы работы антивирусов

Одной из основных частей любого антивируса является совокупность алгоритмов работы антивируса, так называемый антивирусный «движок» — модуль, отвечающий за проверку объектов и обнаружение вредоносных программ. Именно от антивирусного «движка», от того, как он разработан, какие он использует методы детектирования и эвристики, зависит качество детектирования вредоносных программ и, как следствие, уровень защиты, предоставляемый антивирусом.

Введение 3
Критерии качества работы антивируса 4
Алгоритмы работы антивирусов 6
Поиск по «сигнатурам» 7
Поиск по контрольным суммам (CRC) 8
Использование редуцированной маски 9
Криптоанализ 10
Статистический анализ 11
Эвристический анализ 12
Эмуляция 14
Оригинальные технологии в антивирусных «движках» 15
База данных антивирусного «движка» 17
Полиморфные вирусы 18
Заключение 21

Работа состоит из 1 файл

Федеральное агентство по образованию

ГОУ ВПО «Пермский государственный технический университет»

Кафедра «Автоматики и Телемеханики»

по «Основным технологиям эксплуатации защищенных компьютерных и телекоммуникационных систем»

«ОСНОВНЫЕ АЛГОРИТМЫ РАБОТЫ АНТИВИРУСОВ»

Выполнил: студент группы КЗИ-06 Осипович А.Э.

Принял: ассистент кафедры АТ Безукладников И.И.

Одной из основных частей любого антивируса является совокупность алгоритмов работы антивируса, так называемый антивирусный «движок» — модуль, отвечающий за проверку объектов и обнаружение вредоносных программ. Именно от антивирусного «движка», от того, как он разработан, какие он использует методы детектирования и эвристики, зависит качество детектирования вредоносных программ и, как следствие, уровень защиты, предоставляемый антивирусом.

Критерии качества работы антивируса

К сожалению, разработчики антивирусного программного обеспечения очень редко раскрывают детали реализации своих «движков». Однако и по косвенным признакам можно определить, является ли «движок» хорошим или нет. Вот основные критерии, по которым можно определить качество антивирусного «движка»:

Качество детектирования. Насколько хорошо антивирус определяет вирусы. Этот критерий можно оценить по результатам различных тестов, которые проводятся несколькими организациями и обычно представлены на web-ресурсах разработчика.

Уровень детектирования эвристическими анализаторами. К сожалению, без тестирования на коллекции вирусов определить этот параметр невозможно, однако можно довольно легко определить, каков уровень ложных срабатываний у конкретного «движка».

Уровень ложных срабатываний. Если на 100% незараженных файлах антивирус рапортует об обнаружении возможно зараженного файла, то это — ложное срабатывание. Стоит ли доверять такому эвристическому анализатору, который беспокоит пользователя ложными тревогами? Ведь за большим количеством ложных срабатываний пользователь может пропустить действительно новый вирус.

Поддержка большого количества упаковщиков и архиваторов. Это очень важный фактор, так как часто создатели вредоносных программ, написав вирус, упаковывают его несколькими утилитами упаковки исполняемых модулей и, получив несколько разных вирусов, выпускают их «в свет». По сути, все эти вирусы являются экземплярами одного и того же варианта. Для антивирусного «движка», который поддерживает все или почти все популярные утилиты упаковки, не составит труда определить все эти экземпляры одного и того же вируса, назвав их при этом одним и тем же именем, для других же «движков» потребуется обновление антивирусной базы (а также время на анализ экземпляра вируса антивирусными экспертами).

Частота и размер обновлений антивирусной базы. Эти параметры являются косвенными признаками качества «движка». Так как частый выпуск обновлений гарантирует, что пользователь всегда будет защищен от только что появившихся вирусов. Размер обновления (и количество детектируемых вирусов в этом обновлении) говорит о качестве проектирования антивирусной базы и, отчасти, «движка».

Возможность обновления «движка» без обновления самой антивирусной программы. Иногда для обнаружения вируса требуется обновить не только антивирусную базу данных, но и сам «движок». Если антивирус не поддерживает такую возможность, то пользователь может остаться без защиты перед лицом нового вируса. Кроме этого, такая возможность позволяет оперативно улучшать «движок» и исправлять в нем ошибки.

Алгоритмы работы антивирусов

С появлением первых компьютерных вирусов программисты довольно быстро разобрались в принципах их работы и создали первые антивирусные программы. С тех пор прошло довольно много времени, и современный антивирус отличается от тех первых антивирусов, как персональный компьютер отличается от калькулятора.

Антивирусный «движок» (Anti-Virus Engine) — это программный модуль, который предназначен для детектирования вредоносного программного обеспечения. «Движок» является основным компонентом любой антивирусной программы, вне зависимости от ее назначения. Движок используется как в персональных продуктах — персональный сканер или монитор, так и в серверных решениях — сканер для почтового или файлового сервера, межсетевого экрана или прокси-сервера. Как правило, для детектирования вредоносных программ, в большинстве «движков» реализованы следующие технологии:

  • Поиск по «сигнатурам» (уникальной последовательности байт);
  • Поиск по контрольным суммам или CRC (контрольной суммы с уникальной последовательности байт);
  • Использование редуцированной маски;
  • Криптоанализ;
  • Статистический анализ;
  • Эвристический анализ;
  • Эмуляция.

Рассмотрим каждый из этих методов подробнее.

Поиск по «сигнатурам»

Сигнатура — это уникальная «строка» байт, которая однозначно характеризует ту или иную вредоносную программу. Сигнатурный поиск, в той или иной модификации, используется для обнаружения вирусов и других вредоносных программ, начиная с самых первых антивирусных программ и до сих пор.

Неоспоримое достоинство сигнатурного поиска — скорость работы (при использовании специально разработанных алгоритмов, разумеется) и возможности детектирования нескольких вирусов одной сигнатурой. Недостаток — размер сигнатуры для уверенного детектирования должен быть довольно большой, как минимум 8-12 байт (обычно для точного детектирования используются гораздо более длинные сигнатуры, до 64 байт), следовательно, размер антивирусной базы будет достаточно большой. Кроме этого, в последнее время большую распространенность получили вредоносные программы, написанные на языках высокого уровня (C++, Delphi, Visual Basic), а у таких программ есть отдельные части кода, которые практически не изменяются (так называемая Run Time Library). Неправильно выбранная сигнатура неизбежно приведет к ложному срабатыванию — детектированию «чистого», не зараженного файла как зараженного вирусом. Как решение этой проблемы предлагается использовать или очень большие сигнатуры или использовать детектирование по некоторым областям данных, например, таблицы перемещений (relocation table) или текстовые строки, что не всегда хорошо.

Читайте также:
Установить программу zoom ys на русском языке

Поиск по контрольным суммам (CRC)

Поиск по контрольным суммам (CRC — cyclic redundancy check), по сути, является модификацией поиска по сигнатурам. Метод был разработан во избежание основных недостатков сигнатурного поиска — размера базы и уменьшения вероятности ложных срабатываний.

Суть метода состоит в том, что для поиска вредоносного кода берется не только «опорная» строка — сигнатура, а, вернее сказать, контрольная сумма этой строки, но и местоположение сигнатуры в теле вредоносной программы. Местоположение используется для того, чтобы не подсчитывать контрольные суммы для всего файла. Таким образом, вместо 10-12 байт сигнатуры (минимально) используется 4 байта для хранения контрольной суммы и еще 4 байта — для местоположения. Однако метод поиска по контрольным суммам несколько медленнее, чем поиск по сигнатурам.

Использование масок для обнаружения вредоносного кода довольно часто бывает осложнено наличием шифрованного кода (так называемые полиморфные вирусы), поскольку при этом либо невозможно выбрать маску, либо маска максимального размера не удовлетворяет условию однозначной идентификации вируса без ложных срабатываний.

Невозможность выбора маски достаточного размера в случае полиморфного вируса легко объясняется. Путем шифрования своего тела вирус добивается того, что большая часть его кода в пораженном объекте является переменной, и, соответственно, не может быть выбрана в качестве маски.

Для детектирования таких вирусов применяются следующие методы: использование редуцированной маски, криптоанализ и статистический анализ. Рассмотрим эти методы подробнее.

Использование редуцированной маски

При поражении объектов вирус, использующий шифрование, преобразует свой код в шифрованную последовательность данных:

T — базовый код вируса;

S — зашифрованные коды вируса;

F — функция шифрования вируса, произвольно выбирающаяся из некоторого множества преобразований .

Способ редуцированной маски заключается в том, что выбирается преобразование R зашифрованных кодов вируса S, такое, что результат преобразования (то есть некоторая последовательность данных S’) не будет зависеть от ключей преобразования F, то есть

S’ = R (S) = R (F (T)) = R’ (T).

При применении преобразования R к всевозможным вариантам шифрованного кода S результат S’ будет постоянным при постоянном T. Таким образом, идентификация пораженных объектов производится путем выбора S’ в качестве редуцированной маски и применения к пораженным объектам преобразования R.

Этот способ заключается в следующем: по известному базовому коду вируса и по известному зашифрованному коду (или по «подозрительному» коду, похожему на зашифрованное тело вируса) восстанавливаются ключи и алгоритм программы-расшифровщика. Затем этот алгоритм применяется к зашифрованному участку, результатом чего является расшифрованное тело вируса. При решении этой задачи приходится иметь дело с системой уравнений.

Как правило, этот способ работает значительно быстрее и занимает гораздо меньше памяти, чем эмуляция инструкций вируса. Однако решение подобных систем часто является задачей высокой сложности.

Причем основная проблема — это математический анализ полученного уравнения или полученной системы уравнений. Во многом задача решения систем уравнений при восстановлении зашифрованного тела вируса напоминает классическую криптографическую задачу восстановления зашифрованного текста при неизвестных ключах.

Однако здесь эта задача звучит несколько иначе: необходимо выяснить, является ли данный зашифрованный код результатом применения некоторой известной с точностью до ключей функции. Причем заранее известны многие данные для решения этой задачи: участок зашифрованного кода, участок незашифрованного кода, возможные варианты функции преобразования. Более того, сам алгоритм этого преобразования и ключи также присутствуют в анализируемых кодах. Однако существует значительное ограничение, заключающееся в том, что данная задача должна решаться в конкретных границах оперативной памяти и процедура решения не должна занимать много времени.

Также используется для детектирования полиморфных вирусов. Во время своей работы сканер анализирует частоту использования команд процессора, строит таблицу встречающихся команд процессора, и на основе этой информации делает вывод о заражении файла вирусом. Данный метод эффективен для поиска некоторых полиморфных вирусов, так как эти вирусы используют ограниченный набор команд в декрипторе, тогда как «чистые» файлы используют совершенно другие команды с другой частотой. Например, все программы для MS-DOS часто используют прерывание 21h, однако в декрипторе полиморфных DOS-вирусов эта команда практически не встречается.

Основной недостаток этого метода в том, что есть ряд сложных полиморфных вирусов, которые используют почти все команды процессора и от копии к копии набор используемых команд сильно изменяется, то есть по построенной таблице частот не представляется возможным обнаружить вирус.

Когда количество вирусов превысило несколько сотен, антивирусные эксперты задумались над идеей детектирования вредоносных программ, о существовании которых антивирусная программа еще не знает (нет соответствующих сигнатур). В результате были созданы так называемые эвристические анализаторы. Эвристическим анализатором называется набор подпрограмм, которые анализируют код исполняемых файлов, макросов, скриптов, памяти или загрузочных секторов для обнаружения в нем разных типов вредоносных компьютерных программ. Существуют два принципа работы анализатора.

Статический метод. Поиск общих коротких сигнатур, которые присутствуют в большинстве вирусов (так называемые «подозрительные» команды). Например, большое количество вирусов производит поиск вирусов по маске *.EXE, открывает найденный файл, производит запись в открытый файл. Задача эвристик в этом случае — найти сигнатуры, отражающие эти действия.

Читайте также:
Как установить программу или приложение через itunes

Затем происходит анализ найденных сигнатур, и, если найдено некоторое количество необходимых и достаточных «подозрительных команд», то принимается решение о том, что файл инфицирован. Большой плюс этого метода — простота реализации и хорошая скорость работы, но при этом уровень обнаружения новых вредоносных программ довольно низок.

Динамический метод. Этот метод появился одновременно с внедрением в антивирусные программы эмуляции команд процессора . Суть метода состоит в эмуляции исполнения программы и протоколировании всех «подозрительных» действий программы. На основе этого протокола принимается решение о возможном заражении программы вирусом. В отличие от статического метода, динамический метод более требовательный к ресурсам компьютера, однако и уровень обнаружения у динамического метода значительно выше.

В эвристическом анализаторе, входящем в состав почти каждого антивируса, используются оба описанные выше методы анализа — криптоанализ и статистический анализ. Современный эвристический анализатор изначально разрабатывается так, чтобы быть расширяемым (в отличие от большинства эвристических анализаторов первого поколения, которые разрабатывались для обнаружения вредоносных программ только в исполняемых модулях).

В настоящее время эвристический анализатор позволяет обнаруживать вредоносные коды в исполняемых файлах, секторах и памяти, а также новые скрипт-вирусы и вредоносные программы для Microsoft Office (и других программ, использующих VBA), и, наконец, вредоносный код, написанный на языках высокого уровня, таких как Microsoft Visual Basic.

Гибкая архитектура и комбинация различных методов позволяет добиться достаточно высокого уровня детектирования новых вредоносных программ. При этом разработчики прилагают все усилия для того, чтобы количество ложных тревог свести к минимуму. Продукты, представляемые лидерами антивирусной индустрии, чрезвычайно редко ошибаются в детектировании вредоносных кодов.

Источник: www.freepapers.ru

Как работают антивирусные программы?

Методы, основанные на отслеживании поведения программ при их выполнении. Эти методы заключаются в протоколировании всех событий, угрожающих безопасности системы и происходящих либо при реальном выполнении проверяемого кода, либо при его программной эмуляции.​

Методы регламентации порядка работы с файлами и программами . Эти методы относятся к административным мерам обеспечения безопасности.​

Метод сканирования сигнатур основан на поиске в файлах уникальной последовательности байтов — сигнатуры, характерной для определенного вируса. Для каждого вновь обнаруженного вируса специалистами антивирусной лаборатории выполняется анализ кода, на основании которого определяется его сигнатура. Полученный кодовый фрагмент помещают в специальную базу данных вирусных сигнатур, с которой работает антивирусная программа. Достоинством данного метода является относительно низкая доля ложных срабатываний, а главным недостатком — принципиальная невозможность обнаружения в системе нового вируса, для которого отсутствует сигнатура в базе данных антивирусной программы.

Метод контроля целостности основывается на том, что любое неожиданное и беспричинное изменение данных на диске является подозрительным событием, требующим особого внимания антивирусной системы. Вирус обязательно оставляет свидетельства своего пребывания. Факт изменения данных — нарушение целостности — легко устанавливается путем сравнения контрольной суммы, заранее подсчитанной для исходного состояния тестируемого кода, и контрольной суммы текущего состояния тестируемого кода. Если они не совпадают, значит, целостность нарушена и имеются все основания провести для этого кода дополнительную проверку. Указанный метод работает быстрее метода сканирования сигнатур, поскольку подсчет контрольных сумм требует меньше вычислений, чем операции побайтового сравнения кодовых фрагментов, кроме того он позволяет обнаруживать следы деятельности любых, в том числе неизвестных, вирусов, для которых в базе данных еще нет сигнатур.

Метод сканирования подозрительных команд основан на выявлении в сканируемом файле некоторого числа подозрительных команд или признаков подозрительных кодовых последовательностей (например, команда для форматирования жесткого диска). После этого делается предположение о вредоносной сущности файла и предпринимаются дополнительные проверки. Этот метод обладает хорошим быстродействием, но довольно часто он не способен выявлять новые вирусы.

Метод отслеживания поведения программ принципиально отличается от методов сканирования содержимого файлов, упомянутых ранее. Этот метод основан на анализе поведения запущенных программ, сравнимый с поимкой преступника «за руку» на месте преступления.

Антивирусные средства данного типа часто требуют активного участия пользователя, призванного принимать решения в ответ на многочисленные предупреждения системы, значительная часть которых может оказаться впоследствии ложными тревогами. Частота ложных срабатываний (подозрение на вирус для безвредного файла) при превышении определенного порога делает этот метод неэффективным, а пользователь может перестать реагировать на предупреждения или выбрать оптимистическую стратегию (разрешать все действия всем запускаемым программам или отключить данную функцию антивирусного средства). При использовании антивирусных систем, анализирующих поведение программ, всегда существует риск выполнения команд вирусного кода, способных нанести ущерб защищаемому компьютеру или сети. Для устранения подобного недостатка позднее был разработан метод эмуляции, позволяющий запускать тестируемую программу в виртуальной среде, которую часто называют sandbox. Использование методов анализа поведения программ показало их высокую эффективность при обнаружении как известных, так и неизвестных вредоносных программ.

Вот основные примеры о том, как работает антивирусная программа. Надеюсь информация вам пригодиться)

Эффективность антивирусных программ

Аналитическая компания Imperva в рамках проекта Hacker Intelligence Initiative опубликовала интересное исследование, которое показывает малую эффективность большинства антивирусов в реальных условиях.

По итогам различных синтетических тестов антивирусы показывают среднюю эффективность в районе 97 %, но эти тесты проводятся на базах из сотен тысяч образцов, большинство из которых уже не используются для проведения атак.

Вопрос в том, насколько эффективными являются антивирусы против самых актуальных угроз. Чтобы ответить на этот вопрос, компания Imperva и студенты Тель-Авивского университета раздобыли на российских подпольных форумах 82 образца самого свежего вредоносного ПО — и проверили его по базе VirusTotal, то есть против 42 антивирусных движков.

Эффективность антивирусов против только что скомпилированных зловредов оказалась менее 5 %. Это вполне логичный результат, поскольку создатели вирусов обязательно тестируют их по базе VirusTotal.

Источник: antiskam.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru