Senda inn spurningu
Sólin Sólin Rís 05:40 • sest 21:16 í Reykjavík
Tunglið Tunglið Rís 15:13 • Sest 05:59 í Reykjavík
Flóð Flóð Árdegis: 03:57 • Síðdegis: 16:31 í Reykjavík
Fjaran Fjara Árdegis: 10:23 • Síðdegis: 22:34 í Reykjavík
Visit the English version

Flokkun:

Náttúruvísindi og verkfræði Tölvunarfræði

Hvernig fer veiruvarnarforrit að því að þekkja tölvuveirur?

Erlendur S. Þorsteinsson

Veiruvarnaforrit beita fyrst og fremst tveimur aðferðum til að finna tölvuveirur, greiningu byggða á leitarstrengjum annars vegar og grunsamlegri hegðun hins vegar.


Fyrri aðferðin byggir á því að fyrirtækið sem býr til veiruvörnina hafi fengið eintak af tölvuveirunni og sérfræðingar þess hafi skoðað hana. Þeir finna þá einkennandi atriði í kóða veirunnar, til dæmis hluta úr kóða hennar eða prófgildi (e. checksum) af henni, og gefa út uppfærslu á veirugagnagrunni með lýsingu á því hvernig veiran líti út og hvernig eigi að finna hana. Þetta er vandasöm vinna því lýsingin verður að vera það nákvæm að komið sé í veg fyrir falsviðvaranir (e. false-positive identification), það er að veiruvarnaforritið ruglist ekki á veirunni og löglegu forriti. Auk þess krefst þetta mikillar sérþekkingar á stýrikerfum, forritum og innviðum tölva.

Seinni aðferðin byggir á því að veiruvörnin reynir að greina hvort forrit hegði sér undarlega. Þá hefur veiruvörnin reglusafn (e. heuristics) sem búið hefur verið til út frá stóru safni af tölvuveirum með samanburði á hegðun þeirra og venjulegra forrita. Sem dæmi um grunsamlega hegðun má nefna að venjuleg forrit reyna ekki að senda sjálf sig í tölvupósti. Fæst forrit senda tölvupóst og þau sem gera það (lögleg póstforrit) senda ekki eintak af sjálfum sér heldur önnur skjöl sem notandinn velur. Annað dæmi er að forrit leita ekki í öllum skjölum á tölvunni að stafnum „@“ (í von um að finna póstföng). Þriðja dæmið er að fæst forrit reyna að sjá til þess að þau ræsist sjálfkrafa án þess að notandinn viti af því. Hvert þessara atriða þarf ekki eitt og sér að vera grunsamlegt en þegar nokkur slík atriði eiga við um sama forritið má leiða að því sterkar líkur að það sé tölvuveira.

Frekara lesefni af Vísindavefnum:

Mynd:

Höfundur

Erlendur S. Þorsteinsson

reiknifræðingur

Útgáfudagur

1.12.2005

Spyrjandi

Pétur Egilsson

Efnisorð

Tilvísun

Erlendur S. Þorsteinsson. „Hvernig fer veiruvarnarforrit að því að þekkja tölvuveirur?“ Vísindavefurinn, 1. desember 2005. Sótt 19. apríl 2024. http://visindavefur.is/svar.php?id=5449.

Erlendur S. Þorsteinsson. (2005, 1. desember). Hvernig fer veiruvarnarforrit að því að þekkja tölvuveirur? Vísindavefurinn. Sótt af http://visindavefur.is/svar.php?id=5449

Erlendur S. Þorsteinsson. „Hvernig fer veiruvarnarforrit að því að þekkja tölvuveirur?“ Vísindavefurinn. 1. des. 2005. Vefsíða. 19. apr. 2024. <http://visindavefur.is/svar.php?id=5449>.

Chicago | APA | MLA

Þessi síða notar vafrakökur Nánari upplýsingar

Ég samþykki
Spyrja

Sendu inn spurningu LeiðbeiningarTil baka

Hér getur þú sent okkur nýjar spurningar um vísindaleg efni.

Hafðu spurninguna stutta og hnitmiðaða og sendu aðeins eina í einu. Einlægar og vandaðar spurningar um mikilvæg efni eru líklegastar til að kalla fram vönduð og greið svör. Ekki er víst að tími vinnist til að svara öllum spurningum.

Persónulegar upplýsingar um spyrjendur eru eingöngu notaðar í starfsemi vefsins, til dæmis til að svör verði við hæfi spyrjenda. Spurningum er ekki sinnt ef spyrjandi villir á sér heimildir eða segir ekki nægileg deili á sér.

Spurningum sem eru ekki á verksviði vefsins er eytt.

Að öðru leyti er hægt að spyrja Vísindavefinn um allt milli himins og jarðar!

=

Senda grein til vinar

=

Hvernig fer veiruvarnarforrit að því að þekkja tölvuveirur?
Veiruvarnaforrit beita fyrst og fremst tveimur aðferðum til að finna tölvuveirur, greiningu byggða á leitarstrengjum annars vegar og grunsamlegri hegðun hins vegar.


Fyrri aðferðin byggir á því að fyrirtækið sem býr til veiruvörnina hafi fengið eintak af tölvuveirunni og sérfræðingar þess hafi skoðað hana. Þeir finna þá einkennandi atriði í kóða veirunnar, til dæmis hluta úr kóða hennar eða prófgildi (e. checksum) af henni, og gefa út uppfærslu á veirugagnagrunni með lýsingu á því hvernig veiran líti út og hvernig eigi að finna hana. Þetta er vandasöm vinna því lýsingin verður að vera það nákvæm að komið sé í veg fyrir falsviðvaranir (e. false-positive identification), það er að veiruvarnaforritið ruglist ekki á veirunni og löglegu forriti. Auk þess krefst þetta mikillar sérþekkingar á stýrikerfum, forritum og innviðum tölva.

Seinni aðferðin byggir á því að veiruvörnin reynir að greina hvort forrit hegði sér undarlega. Þá hefur veiruvörnin reglusafn (e. heuristics) sem búið hefur verið til út frá stóru safni af tölvuveirum með samanburði á hegðun þeirra og venjulegra forrita. Sem dæmi um grunsamlega hegðun má nefna að venjuleg forrit reyna ekki að senda sjálf sig í tölvupósti. Fæst forrit senda tölvupóst og þau sem gera það (lögleg póstforrit) senda ekki eintak af sjálfum sér heldur önnur skjöl sem notandinn velur. Annað dæmi er að forrit leita ekki í öllum skjölum á tölvunni að stafnum „@“ (í von um að finna póstföng). Þriðja dæmið er að fæst forrit reyna að sjá til þess að þau ræsist sjálfkrafa án þess að notandinn viti af því. Hvert þessara atriða þarf ekki eitt og sér að vera grunsamlegt en þegar nokkur slík atriði eiga við um sama forritið má leiða að því sterkar líkur að það sé tölvuveira.

Frekara lesefni af Vísindavefnum:

Mynd:...