3. Kengaytirilgan imzo tahlili: Tekshirish summasi Checksumming - imzo tahlilining takomillashtirilgan versiyasi bo'lib, CRC (Tsiklik ortiqcha tekshiruv) nazorat summalarini hisoblashga qaratilgan. Ushbu yondashuv imzo tahlilining asosiy kamchiligini, ya'ni u talab qiladigan katta ma'lumotlar bazasini va noto'g'ri pozitivlarning tez-tez sodir bo'lishini bartaraf etish uchun yaratilgan.
An'anaviy aniqlash usullarini chetlab o'tish uchun tajovuzkorlar ko'pincha o'zlarining zararli reklama kampaniyalarida polimorf zararli dasturlardan foydalanadilar va bu ularni aniqlashni qiyinlashtiradi. Polimorf viruslar replikatsiya jarayonida o'zlarining "tanasini" o'zgartirish, har qanday doimiy qidiruv satrlarini yo'q qilish qobiliyatiga ega. Bu shuni anglatadiki, hatto imzo identifikatsiya qilingan bo'lsa ham, bunday zararli dasturda aniqlanishi kerak bo'lgan virusga xos kodning izchil qismi yo'q. Polimorfizmga odatda asosiy virus kodiga parol hal qilish buyruqlarining tasodifiy to'plamini o'z ichiga olgan doimiy bo'lmagan kalitlarni kiritish yoki bajariladigan virus kodini o'zgartirish orqali erishiladi. O'zgaruvchi kodning imzosi yo'qligi sababli, zararli kodni aniqlash uchun muqobil usullardan foydalanish kerak:
Qisqartirilgan niqoblar
Virusning shifrlangan tanasi ichidagi elementlarni tekshirish orqali tadqiqotchilar shifrlash kalitini ajratib olishlari va statik kodni olishlari mumkin. Imzo yoki niqob keyinchalik olingan statik kod ichida aniqlanishi mumkin.
Ma'lum bo'lgan ochiq matnli kriptovalyuta
Ushbu uslub shifrlangan virus tanasini dekodlash uchun tenglamalar tizimidan foydalanishni o'z ichiga oladi, xuddi klassik kriptografik masalani echishga o'xshaydi, bu erda kodlangan matnni kalitlarsiz (ba'zi farqlar bilan) hal qiladi. Kriptanalizda tizim kalitlarni va shifrni ochish algoritmini qayta tiklaydi. Keyin shifrlangan virus tanasi ushbu algoritmni kodlangan fragmentga qo'llash orqali dekodlanadi.
Statistik tahlil
Tizim ishlatiladigan protsessor buyruqlarining chastotasini baholay oladi va bu ma'lumotlardan fayl yuqtirilgan yoki yo'qligini aniqlash uchun foydalanishi mumkin.
Evristika
Zararli dastur tadqiqotchilari katta hajmdagi ma'lumotlarni tahlil qiladilar, shubhali faoliyat va naqshlarni qidiradilar. Bu usul shubhali xatti-harakatlar bilan bog'liq zararli kodni qidirishni o'z ichiga oladi, masalan kod qisqa vaqt ichida minglab foydalanuvchilarga taqdim etiladi. Tadqiqotchilar bunday faoliyatni e'tiborga olishadi va qo'shimcha tadqiqot qilishadi.