Цитата |
---|
RP55 RP55 пишет: Идеально когда база проверенных не занимает лишнего места на диске. Для этого необходимо взаимодействие с облаком. Антивирус регистрирует все системные файлы = проводит расчёт их SHA1 отправляет пакет/запрос №****. Происходит ответ. К примеру 80% всех файлов системы уже известны/проходили проверку. Значит, при соответствующей настройке антивируса можно передать для анализа оставшиеся 20% ( если позволяет связь ) В этом случае база не будет занимать 30-40 или 100 mb. В базе будут собственно только файлы системы т.е. эти 80% + .... = 60kb. |

iChecker | iSwift
Это то что было давным давно, с года так 2006го, а может и раньше
Грубая схема работы каспера (всех тонкостей не знаю)
Запуск файла
Проверяем цифр.подпись - если есть то файл белый и пушистый - максимально доступные возможности
(отдельная статья если подпись скомпроментирована

нет подписи - запрос в облако (несколько килобайт, примерное время ответа около 1-5 минут) - плохого не сказали
Оценивается локально (эвристик, прогон эмуляции и фиг его знает что еще)
дается права слабо ограниченные (в принципе запрет на опасные действия) и сильно ограниченные (права - как у негра на плантации)
В любом случае ведется логирование действий
Если вдруг стояла временной триггер и прога проявила свою подлую сучность

В облако идет вердикт - кусь-кусь
И все кто успел заслать запрос о наличии такой программы получают вердикт - "КИСуля, взять" ))
потом отрабатывает или автодятел или сменные аналитики - и если надо дописывают дополнительные действия по ликвидации
Вот они скорее всего приходят с базами
Вот отсюда проблемы с разными г..сборками винды, со сбитыми подписями
КИСуля начинает сношать все системные файлы и выяснять а может тут подпись сбилась и за счет малвари
иЧекер/иСвифт конечно отрабатывают, но все же
Да и под сигнатуру угодить недолго
