Technologie ZONER Antivirus

Chytřejší Antivirový systém

Zoner Antivirus je moderní antivirový systém vyvinutý pro OS Windows a Linux. Jádro ZAVu je nově navržené, vysoce výkonné a dokáže obsluhovat jak rozsáhlé poštovní servery velkých korporací, tak pracovní počítače domácích i firemních uživatelů.

ZAV používá hned několik nejmodernějších technologií, které z něj činí hráče v nejtěžší váze na poli antivirových detekčních systémů. Mezi tyto techniky kromě standardních detekčních algoritmů na bázi vzorků a dekompresorů archivních souborů patří dynamická emulace kompilovaných i interpretovaných programů, statická, dynamická i tzv. run-time heuristika a negenerické i generické dekodéry programů se šifrovanými obálkami (tzv. run-time pakovače). Kód systému je interně optimalizovaný pro potřeby dnešních počítačů, dovede využívat schopností paralelního zpracování dat, vyniká tak velmi vysokou rychlostí a může si tak dovolit provádět více hlubší analýzy. Problémy s provozem tedy nemají jak domácí a firemní uživatelé, tak především vytížené poštovní servery, které spoléhají na výkonné a stabilní programové zázemí.

Detekce na základě signatur

Jedná se o nejznámější typ detekce. Pokud má virus ve svém těle dostatečné množství jedinečných dat, je možné jej detekovat právě porovnáním obsahu souboru na tato konkrétní data. Mnoho virů je možné detekovat touto metodou, u mnoha jiných virů to vzhledem k jejich složitosti a proměnlivosti kódu možné není.

Dynamická emulace kódu

Je technika, která slouží k detekci složitějších a nejsložitějších typů infiltrací. Ty bývají velice často proměnlivě zakódované a není možné je správně rozeznat podle statických signatur. Tato složitá detekční metoda jednoduše řečeno simuluje vykonávání programu procesorem počítače (musi tedy simulovat část funkcionality procesoru). Výhodou, kterou oproti polymorfním (proměnlivě zakódované statické tělo s proměnlivým dekodérem) a metamorfním (vlastní proměnlivě generovaný kód s proměnlivým dekryptorem nebo bez něj) virům tato technika disponuje, je možnost nechat virus simulovaně (tedy nikoliv skutečně, ale jenom „jako“) běžet do doby, než se začne sám projevovat. Například do okamžiku, než se jeho proměnlivá část dekóduje do statické podoby, kdy je možné provést detekci na základě signatur. Jádro systému Zoner Antivirus obsahuje i interpret skriptů, který umožňuje detekovat i složitější zakódované skriptové viry.

Dynamická heuristická analýza

Je společně s dynamickou emulací kódu silnou zbraní proti neznámým zranitelnostem, která nehledá v kódu statické signatury, ale zkoumá chování programu jako takového po jeho simulovaném spuštění. Na základě podezřelých příznaků, které jsou během testu sesbírány, jádro určí pravděpodobnost výskytu neznámé infiltrace.

Statická heuristická analýza

Doplňuje analýzu dynamickou. Jejím smyslem je provedení prvotního rychlého prozkoumání souboru a jeho případné klasifikace ještě předtím, než dojde k emulaci, což se využívá i pro přesnější stanovení dalšího postupu. Taktéž nepoužívá konkrétní signatury, ale řídí se výhradně obecnými podezřelostmi, čímž dovede rozpoznat i dosud neznámé viry.

Run-time heuristická analýza

Neboli heuristika „za běhu“. Tato metoda se stará o analýzu obsahu, který se vyhodnocuje v průběhu kontrol všech souborů. Ještě než dojde ke spuštění sofistikovanějších a časově náročnějších testů, se jádro pokusí zjistit jestli podobný soubor již nebyl v uplynulém časovém rozmezí detekován. V případě, že množství výskytů podobných souborů přesáhne určitou hranici, začnou se soubory automaticky detekovat jako podezřelé. Ačkoliv se tuto techniku nedoporučuje používat na pracovních stanicích při kontrole celého disku, na poštovních serverech dovede zavčas zastavit velkou virovou epidemii i naprosto neznámého původu.

Cílené a generické dekryptory

Legitimní i nebezpečné aplikace mají často svůj kód nějakým způsobem zašifrovaný. K překonání této bezpečnostní obálky je obvykle zapotřebí emulovat od několika tisíc po několik miliónů instrukcí procesoru, což může být časově dost náročné. Na jednu emulovanou instrukci totiž připadne sto až tisíc obslužných instrukcí emulátoru, což není problém při menším množství instrukcí, při větším to už stojí více času. Z tohoto důvodu emulátor kódu obsahuje několik samostatných plug-inů, které dovedou využít a ovlivnit průběh emulace. Některé takové moduly slouží pro rychlou dekompresi cílenou na konkrétní dekódovací obálku, aby se proces emulace maximálně urychlil. Další moduly slouží pro urychlení emulace bez ohledu na konkrétní typ obálky, což v praxi znamená rekompilaci části zdlouhavého nebezpečného kódu do bezpečně proveditelného tvaru a jeho následné spuštění v kontrolovaném prostředí. Tímto způsobem je možné dosáhnout závratné rychlosti emulace současně s velmi vysokým počtem analyzovaných instrukcí a celkovou stabilitou.

Dekompresory archivních formátů

V dnešní době se používá velké množství různých archivátorů, pakovačů, instalátorů a balíčkovacích systémů, které dovedou více souborů spojit do jednoho a ještě komprimací zmenšit jeho velikost, případně ochránit heslem. Z toho zároveň ze strany antivirového systému vyplývá nutnost podpory těchto souborových formátů. Jádro ZAVu má v sobě zabudovanou podporu rozbalování archivů, které se používají jak na platformě Windows, tak na platformě Linux.

Aktualizace

Žádný antivirový software by nebyl plnohodnotný, kdyby neměl propracovaný systém aktualizací. Při vývoji ZAVu se bral ohled i na tuto skutečnost. Systém Zoner Antiviru byl navržen tak, aby splňoval hned několik důležitých podmínek, a to bezpečnost, dostupnost, škálovatelnost, možnost stanovovat priority uživatelům a stahovat pouze nové chybějící části antivirové databáze (tzv. inkrementální update). Tento systém minimálním způsobem zatěžuje síťovou linku a zajišťuje, že se aktualizace dostane každému uživateli.

ZAV Laboratoř

Aby byl systém detekce účinný a dovedl včas reagovat na nové hrozby, je důležité, aby měla virová laboratoř zajištěnou dostatečnou zpětnou vazbu od svých uživatelů. Systém Zoner Antivirus nabízí svým uživatelům možnost automaticky notifikovat virovou laboratoř o existenci nového viru a zabezpečeným kanálem ho tam dopravit. Tento systém neposílá žádné duplikáty ani vzorky, které už laboratoř obdržela od jiného uživatele, takže nedochází ke zbytečnému zatěžování síťové linky.

Zoner Antivirus je dlouhodobě testovaný na velkých serverech, které zpracovávají miliony emailových zpráv za jeden den. Snažíme se takovým dlouhodobým testováním zajistit přísun posbíraných podezřelých a zavirovaných souborů pro virovou laboratoř a patřičnou stabilitu celého systému pro naše uživatele.


Novinky z vývoje

Redesign aplikací pro Android

Aplikace Zoner AntiVirus Free a Zoner Mobile Security dostaly při aktualizaci nový modernější design. Aplikace stále podporuje režim zobrazení pro mobil a…

Android 7 omezuje funkce ZAV

Kvůli změnám v architektuře systému není možné v Androidu 7 využít některé funkce Zoner AntiVirus Free a Zoner Mobile Security. Majitelé…

ZAV je kompatibilní s Android 8 Oreo

Zoner AntiVirus Free byl updatován na verzi 1.13.5, Zoner Mobile Security na verzi 1.6.5 a uživatelé obou verzí aplikace je mohou…

Zobrazit záznamy

Píšou o nás

Vývoj používání HTTPS podle statistik Googlu

Odhadnout míru použití protokolu HTTPS na internetu je těžký úkol, proto se většinou vychází ze srovnání největších a nejznámějších serverů.

Od července čeká HTTP v Chrome konečná

Uvedení Chrome 68 bude pro svět internetu zlomové: Veškeré webové stránky nevybavené SSL/TLS certifikátem budou v této nové verzi prohlížeče od…

Proč jsou code signing certifikáty nepostradatelné?

Možná nejste přímými uživateli code signing certifikátů, ale přesto jste s nimi určitě (i když třeba nevědomky) pracovali nebo o…

Všechny články

Novinky z blogu

Nové webové stránky

S potěšením oznamujeme, že jsme vypustili nové webové stránky oddělení ZONER AntiVirus. Kromě českého jazyka bude brzy vydána i anglická…

Číst blog