поведению эта когда трояна полезла вершить свой не праведный суд по мнению авера и в этот момент была схвачена и отхуячена?
Есть статический анализ и динамический анализ, а также детект по поведению (Это-же проактивная защита).
1)Статический анализ - Это анализ по коду, по простому, антивирус "смотрит" код и детектит в следующих случаях:
- Есть слепок какого-то кода (Любит делать нод), пример если будет код например паблик-функции запуска кода (
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
) и даже если вы ей не пользуетесь, она просто будет в коде, то будет детект;
- Если файл по какому-то хешу совпадает с вирусом.
2)Динамический анализ:
- В данном случае, антивирус исполняет код в своей виртуальной среде, это называют ещё эмуляцией кода, таким образом антивирус пытается попасть в "скрытые участки кода".
Например ты зашифровал вирус и хочешь что-бы он исполнился в памяти, или в папке темп. Так-вот эмулятор исполняет код и добирается до вируса. :)
Это всё проверяет вирустотал.
3)Есть ещё проактивная защита, это когда антивирус анализирует уже "поведение" программы, например смотрит "Выходит-ли программа в сеть", "Шифрует-ли файлы" и т.д.
Если программа например начала слишком рьяно шифровать файлы, или дербанить сеть то может-быть детект...:)
Это вирустотал уже не проверяет.
Способы обхода следующие:
- Сигнатурный/динамический детект, обходим путём антиэмуляции кода - специальные механизмы, которые запутывают испонение кода и антивирус не может добраться до вредоносного кода.
- Детект по поведению, обходим при помощи "легальных" программ, например шифровать можно при помощи архиватора винрар, или скрипта и т.д. :)
Это вкратце если. :)
