Использование классификационных таблиц для контроля работы детекторов
🕛 11.02.2009, 12:45
Как уже отмечалось, несовершенство существующих детекторов обуславливает наличие многих ложных срабатываний. Это прежде всего относится к полидетектору Scan, как одному из наиболее распространенных средств входного контроля поступающего программного обеспечения. Классификационные таблицы позволяют контролировать работу детектора, предоставляя пользователю выбор нескольких сигнатур для одного и того же вируса. Это особенно важно, когда диагностика детектора относится к одному-единственному файлу, что часто бывает при входном контроле поступающих дискет. В этом случае целесообразно использовать Norton Utilities или PC Tools с предлагаемыми в прил.1,2 сигнатурами. Кроме того, классификационные таблицы позволяют определить точку прикрепления тела вируса к программе и, таким образом, проконтролировать не только содержание, но и положение в файле той или иной сигнатуры. Например, если исключить аномальные случаи и возможность заражения файла несколькими вирусами сразу, то для файловых вирусов, однократно заражающих файл и дописывающих свое тело в конец файла, J-сигнатура должна находиться от конца файла на расстоянии, не превышающем длину тела вируса.