next up previous contents index
Next: A lopakodó vírusok megjelenése Up: A víruskeresők fejlődése Previous: A víruskeresők fejlődése

Szekvenciakeresés

Amikor az első általános (több vírust keresni képes) víruskeresők megjelentek, akkor ezek kizárólag a szekvenciakeresésen alapultak. A szekvenciakeresés lényege a következő: fogjuk a vizsgálni kívánt állományt, megnézzük, hogy szerepel-e benne a keresett vírusra jellemző bájtsorozat, és ettől függően vagy vírusosnak jelezzük, vagy ha egyik vírus szekvenciája sincs benne, akkor az ismert vírusoktól mentesnek. Az algoritmus megvalósításától függően ez a fajta keresés vagy több időt vesz igénybe, vagy nem, ha növeljük a keresett vírusok számát.

Ha a megbízható azonosítást tűzzük ki célul, akkor világos, hogy a szekvenciának minél hosszabbnak kell lenni. Sarkított esetben a szekvencia lehet a teljes vírus adatterületek nélkül. De ekkor a vírus kinyerhető a víruskereső programból, ami nagyon rossz megoldás. A szekvencia ezért a vírusnak csak egy részlete szokott lenni, amely még elég a megbízható felismeréshez, nem okoz vakriadót (hamis pozitívot ). A részletet kódolni szokták, hogy a másik víruskereső ne jelezze ezt a víruskeresőt vírusosnak, amikor megtalálja benne azt a szekvenciát, amit ő egy vírussal azonosít.

Egy megfelelően megválasztott szekvencia több vírust is azonosít, ami egyrészt előny, másrészt hátrány. Keresésnél jó, irtás előtt viszont pontosan be kell azonosítani a vírust, hogy nehogy egy másik vírusváltozat alapján végezzük az irtást, és mondjuk 10 bájtta többet vágjunk le a program végéből. Az egzakt azonosításhoz valamilyen kivonatot szoktak számolni (message digest), és ezt hasonlítják a tárolt értékkel.

A szekvenciakeresés szinte bármilyen típusú fájl esetében használható, és a boot szektorban is működik. Alkalmazásához még a fájl szerkezetét sem fontos pontosan ismernünk. Lényeges kivétel az OLE2 objektum (Word, Excel, stb. fájlok), melyben a vírus váratlanul megszakadhat, és máshol folytatódhat, ezért a szekvenciakeresést legfeljebb a fájl ``töredezettség-mentesítése'' után végezhetjük el.

A szekvenciák felhasználása szerzői jogi kérdéseket is felvet, bár eddig egyik vírusíró sem perelte be a vírusirtó cégeket, hogy azok jogtalanul építik be programjaikba művük egy részletét.


next up previous contents index
Next: A lopakodó vírusok megjelenése Up: A víruskeresők fejlődése Previous: A víruskeresők fejlődése
Nagy Ferenc Laszlo
1999-05-21