Sebeobrana viru

Pasivnφ obrana

Viry se sna₧φ zabrßnit svΘmu odhalenφ r∙zn²m zp∙sobem. Pasivnφ ochranou je pou₧itφ takov²ch programov²ch konstrukcφ, kterΘ znesnadnφ anal²zu viru a ochrßnφ ho p°ed n∞kter²mi technikami hledßnφ.

P°φkladem podobnΘ ochrany jsou polymorfnφ viry, kterΘ vlastn∞ vznikly jako reakce na scannery vyhledßvajφcφ konstantnφ kousky virovΘho k≤du.

╚as pokroΦil a antivirovΘ systΘmy jsou schopny obecn∞ analyzovat polymorfnφ k≤d a vyhledßvat svΘ virovΘ identifikßtory a₧ v dekryptovanΘm t∞le viru.

Reakcφ ze strany virov²ch pisßlk∙ je snaha o vytvo°enφ tak komplikovan²ch dekryptovacφch funkcφ, aby je antivirov² systΘm nedokßzal v∙bec projφt nebo je pova₧oval za korektnφ k≤d zdravΘho programu a anal²zu ukonΦil.

DalÜφm v²znamn²m pokrokem v antivirov²ch technikßch je heuristickß anal²za, kterß dovoluje s vysokou ·Φinnostφ odhalit i viry, kterΘ nejsou v danΘ dob∞ autor∙m antivirovΘho systΘmu znßmy.

Proto se dnes stßle Φast∞ji setkßvßme s vφce Φi mΘn∞ ·sp∞Ün²mi pokusy o vytvo°enφ takovΘho k≤du, kter² heuristickß anal²za "nepochopφ", nebo kter² jφ bude p°ipadat zcela korektnφ.

Aktivnφ obrana

Aktivnφ metody sebeobrany spoΦφvajφ p°edevÜφm v ochran∞ vlastnφho k≤du viru a v pokusech o likvidaci nebo poÜkozenφ antivirovΘho systΘmu a jeho Φßstφ. NejjednoduÜÜφ viry se sna₧φ alespo≥ vyhledat a zniΦit databßze informacφ, kterΘ si antivirov² systΘm vytvo°il, p°φpadn∞ jej cel² smazat.

Chyt°ejÜφ rezidentnφ viry pou₧φvajφ stealth techniky a zjistφûli p°φstup k infikovan²m soubor∙m tak je doΦasn∞ vylΘΦφ nebo p°edstφrajφ, ₧e jsou v po°ßdku. Mohou takΘ sledovat spouÜt∞nφ program∙ a reagovat tak na spuÜt∞nφ antivirovΘho programu. Rejst°φk reakcφ je bohat² a fantazii se meze nekladou. ObvyklΘ b²vß odmφtnutφ spuÜt∞nφ programu nebo jeho smazßnφ (doprovßzeno n∞jak²m stupidnφm chybov²m hlßÜenφm), p°φpadn∞ doΦasnΘ pozastavenφ vÜech aktivit viru.

ObΦas se vyskytujφ i viry extrΘmn∞ chytrΘ, kterΘ modifikujφ k≤d antiviru a pokouÜejφ se tak vypnout n∞kterΘ jeho funkce.

NaÜt∞stφ ojedin∞lΘ jsou viry pova₧ujφcφ spuÜt∞nφ antivirovΘho systΘmu za hrubou provokaci vy₧adujφcφ odvetn² ·der û t°eba okam₧itΘ formßtovßnφ disku.

Past

Past p°edstavuje nejzlomysln∞jÜφ formu sebeobrany viru. Model je jednoduch² û spokojen∞ ₧ijete s virem a vÜe zdßnliv∞ funguje sprßvn∞. Odhalφte jeho p°φtomnost, odstranφte jej a najednou je vÜechno Üpatn∞, soubory u₧ nejsou co b²valy, disk v∙bec nenφ p°φstupn² nebo je dokonce poΦφtaΦ v takovΘm stavu, ₧e pokus o start z ΦistΘ systΘmovΘ diskety skonΦφ jeho "zatuhnutφm".

Jednou z nejznßm∞jÜφch pastφ je pr∙b∞₧nΘ Üifrovßnφ obsahu disku, kterΘ provßdφ multipartitnφ virus One_Half. Pokud jeho odstran∞nφ z Partition tabulky nenφ doprovßzeno dek≤dovßnφm disku, tak n∞kterΘ adresß°e neuvidφte, obsah jin²ch adresß°∙ bude prapodivn² a Φßst soubor∙ nebude k poznßnφ. Tento stav je sice velmi Üpatn², ale stßle jeÜt∞ °eÜiteln².

Jestli₧e ale v tΘto situaci po₧ßdßte n∞jakou diskûrepair utilitu (NDD, SCANDISK) o "opravu" disku tak tφm vaÜe data konΦφ definitivn∞. ProblΘm je v tom, ₧e utilita urΦenß pro °eÜenφ b∞₧n²ch (a obvykle relativn∞ mal²ch) problΘm∙ na disku najde mφsto poÜkozenΘho obsahu totßlnφ nesmyly, pokusφ se je vzφt vß₧n∞ a na zßklad∞ t∞chto (dφky Üifrovacφ funkci vlastn∞ nßhodn²ch) dat provΘst opravu.

Kvalita v²sledku pak bohu₧el odpovφdß kvalit∞ dat, kterß m∞la utilita k dispozici.