ZONER Antivirus Technology

Chytřejší Antivirový systém

Zoner Antivirus je moderní antivirový systém vyvinutý pro OS Windows a Linux. Jádro ZAVu je nově navržené, vysoce výkonné a dokáže obsluhovat jak rozsáhlé poštovní servery velkých korporací, tak pracovní počítače domácích i firemních uživatelů.

ZAV používá hned několik nejmodernějších technologií, které z něj činí hráče v nejtěžší váze na poli antivirových detekčních systémů. Mezi tyto techniky kromě standardních detekčních algoritmů na bázi vzorků a dekompresorů archivních souborů patří dynamická emulace kompilovaných i interpretovaných programů, statická, dynamická i tzv. run-time heuristika a negenerické i generické dekodéry programů se šifrovanými obálkami (tzv. run-time pakovače). Kód systému je interně optimalizovaný pro potřeby dnešních počítačů, dovede využívat schopností paralelního zpracování dat, vyniká tak velmi vysokou rychlostí a může si tak dovolit provádět více hlubší analýzy. Problémy s provozem tedy nemají jak domácí a firemní uživatelé, tak především vytížené poštovní servery, které spoléhají na výkonné a stabilní programové zázemí.

Detekce na základě signatur

Jedná se o nejznámější typ detekce. Pokud má virus ve svém těle dostatečné množství jedinečných dat, je možné jej detekovat právě porovnáním obsahu souboru na tato konkrétní data. Mnoho virů je možné detekovat touto metodou, u mnoha jiných virů to vzhledem k jejich složitosti a proměnlivosti kódu možné není.

Dynamická emulace kódu

Je technika, která slouží k detekci složitějších a nejsložitějších typů infiltrací. Ty bývají velice často proměnlivě zakódované a není možné je správně rozeznat podle statických signatur. Tato složitá detekční metoda jednoduše řečeno simuluje vykonávání programu procesorem počítače (musi tedy simulovat část funkcionality procesoru). Výhodou, kterou oproti polymorfním (proměnlivě zakódované statické tělo s proměnlivým dekodérem) a metamorfním (vlastní proměnlivě generovaný kód s proměnlivým dekryptorem nebo bez něj) virům tato technika disponuje, je možnost nechat virus simulovaně (tedy nikoliv skutečně, ale jenom “jako”) běžet do doby, než se začne sám projevovat. Například do okamžiku, než se jeho proměnlivá část dekóduje do statické podoby, kdy je možné provést detekci na základě signatur. Jádro systému Zoner Antivirus obsahuje i interpret skriptů, který umožňuje detekovat i složitější zakódované skriptové viry.

Dynamická heuristická analýza

Je společně s dynamickou emulací kódu silnou zbraní proti neznámým zranitelnostem, která nehledá v kódu statické signatury, ale zkoumá chování programu jako takového po jeho simulovaném spuštění. Na základě podezřelých příznaků, které jsou během testu sesbírány, jádro určí pravděpodobnost výskytu neznámé infiltrace.

Statická heuristická analýza

Doplňuje analýzu dynamickou. Jejím smyslem je provedení prvotního rychlého prozkoumání souboru a jeho případné klasifikace ještě předtím, než dojde k emulaci, což se využívá i pro přesnější stanovení dalšího postupu. Taktéž nepoužívá konkrétní signatury, ale řídí se výhradně obecnými podezřelostmi, čímž dovede rozpoznat i dosud neznámé viry.

Run-time heuristická analýza

Neboli heuristika “za běhu”. Tato metoda se stará o analýzu obsahu, který se vyhodnocuje v průběhu kontrol všech souborů. Ještě než dojde ke spuštění sofistikovanějších a časově náročnějších testů, se jádro pokusí zjistit jestli podobný soubor již nebyl v uplynulém časovém rozmezí detekován. V případě, že množství výskytů podobných souborů přesáhne určitou hranici, začnou se soubory automaticky detekovat jako podezřelé. Ačkoliv se tuto techniku nedoporučuje používat na pracovních stanicích při kontrole celého disku, na poštovních serverech dovede zavčas zastavit velkou virovou epidemii i naprosto neznámého původu.

Cílené a generické dekryptory

Legitimní i nebezpečné aplikace mají často svůj kód nějakým způsobem zašifrovaný. K překonání této bezpečnostní obálky je obvykle zapotřebí emulovat od několika tisíc po několik miliónů instrukcí procesoru, což může být časově dost náročné. Na jednu emulovanou instrukci totiž připadne sto až tisíc obslužných instrukcí emulátoru, což není problém při menším množství instrukcí, při větším to už stojí více času. Z tohoto důvodu emulátor kódu obsahuje několik samostatných plug-inů, které dovedou využít a ovlivnit průběh emulace. Některé takové moduly slouží pro rychlou dekompresi cílenou na konkrétní dekódovací obálku, aby se proces emulace maximálně urychlil. Další moduly slouží pro urychlení emulace bez ohledu na konkrétní typ obálky, což v praxi znamená rekompilaci části zdlouhavého nebezpečného kódu do bezpečně proveditelného tvaru a jeho následné spuštění v kontrolovaném prostředí. Tímto způsobem je možné dosáhnout závratné rychlosti emulace současně s velmi vysokým počtem analyzovaných instrukcí a celkovou stabilitou.

Dekompresory archivních formátů

V dnešní době se používá velké množství různých archivátorů, pakovačů, instalátorů a balíčkovacích systémů, které dovedou více souborů spojit do jednoho a ještě komprimací zmenšit jeho velikost, případně ochránit heslem. Z toho zároveň ze strany antivirového systému vyplývá nutnost podpory těchto souborových formátů. Jádro ZAVu má v sobě zabudovanou podporu rozbalování archivů, které se používají jak na platformě Windows, tak na platformě Linux.

Aktualizace

Žádný antivirový software by nebyl plnohodnotný, kdyby neměl propracovaný systém aktualizací. Při vývoji ZAVu se bral ohled i na tuto skutečnost. Systém Zoner Antiviru byl navržen tak, aby splňoval hned několik důležitých podmínek, a to bezpečnost, dostupnost, škálovatelnost, možnost stanovovat priority uživatelům a stahovat pouze nové chybějící části antivirové databáze (tzv. inkrementální update). Tento systém minimálním způsobem zatěžuje síťovou linku a zajišťuje, že se aktualizace dostane každému uživateli.

ZAV Laboratoř

Aby byl systém detekce účinný a dovedl včas reagovat na nové hrozby, je důležité, aby měla virová laboratoř zajištěnou dostatečnou zpětnou vazbu od svých uživatelů. Systém Zoner Antivirus nabízí svým uživatelům možnost automaticky notifikovat virovou laboratoř o existenci nového viru a zabezpečeným kanálem ho tam dopravit. Tento systém neposílá žádné duplikáty ani vzorky, které už laboratoř obdržela od jiného uživatele, takže nedochází ke zbytečnému zatěžování síťové linky.

Zoner Antivirus je dlouhodobě testovaný na velkých serverech, které zpracovávají miliony emailových zpráv za jeden den. Snažíme se takovým dlouhodobým testováním zajistit přísun posbíraných podezřelých a zavirovaných souborů pro virovou laboratoř a patřičnou stabilitu celého systému pro naše uživatele.


News from Development

Redesign of Android apps

Zoner AntiVirus Free and  Zoner Mobile Security apps have been upgraded to a new, more modern design. The apps still…

Android 7 restricts ZAV features

Due to changes in system architecture, some features of Zoner AntiVirus and Zoner Mobile Security cannot be used in Android…

ZAV is compatible with Android 8 Oreo

Zoner AntiVirus Free has been updated to version 1.13.5, Zoner Mobile Security to version 1.6.5 and users of both versions…

Zobrazit záznamy

Píšou o nás

Develop of usage of HTTPS by Google statistics

It is a difficult task to estimate the rate of HTTPS usage on the Internet, so it is mostly based…

HTTP is dead in Chrome since July

Launching Chrome 68 will be a turning point for the world of the Internet: Any website with no SSL/TLS certificate…

Why are code signing certificates indispensable?

You may not be a direct user of code signing certificates, but you have certainly (though unconsciously) worked with them…

Všechny články

Novinky z blogu

New website

We are pleased to announce that we have launched a new ZONER AntiVirus website. In addition to the Czech language,…

Číst blog