Een van de belangrijkste onderdelen van elk antivirusprogramma is de zogenaamde antivirus-‘engine’: een module die verantwoordelijk is voor het scannen van objecten en het detecteren van malware. De kwaliteit van de malwaredetectie en, als gevolg daarvan, het beschermingsniveau dat door de antivirus wordt geboden, hangt af van de antivirus-engine, hoe deze is ontworpen en welke detectiemethoden en heuristieken deze gebruikt.

Dit artikel beschrijft in detail standaardtechnologieën en enkele originele benaderingen van verschillende antivirusontwikkelaars, geïmplementeerd in de antivirusengine. Onderweg zijn er enkele gerelateerd technische problemen, noodzakelijk om de kwaliteit van de antivirusengine te beoordelen en de daarin gebruikte technologieën te verduidelijken.

Goede of slechte "motor"?

Helaas, de antivirusontwikkelaars software maken zeer zelden details bekend over de implementatie van hun “motoren”. Aan de hand van indirecte signalen kun je echter bepalen of de “motor” goed is of niet. Dit zijn de belangrijkste criteria waarmee u de kwaliteit van een antivirusengine kunt bepalen:
Detectiekwaliteit. Hoe goed detecteert de antivirus virussen? Dit criterium kan worden beoordeeld op basis van de resultaten van verschillende tests die door verschillende organisaties worden uitgevoerd en meestal worden gepresenteerd op de webbronnen van de ontwikkelaar.

Detectieniveau door heuristische analysatoren. Helaas is het onmogelijk om deze parameter te bepalen zonder een verzameling virussen te testen, maar u kunt vrij eenvoudig bepalen wat het niveau van valse positieven is voor een bepaalde engine.

Vals-positief percentage. Als bij 100% niet-geïnfecteerde bestanden de antivirus meldt dat het een mogelijk geïnfecteerd bestand heeft gedetecteerd, dan is er sprake van een false positive. Moeten we zo’n heuristische analysator vertrouwen die de gebruiker lastigvalt met valse alarmen? Immers, voor grote hoeveelheid Als gevolg van valse positieven kan de gebruiker een echt nieuw virus missen.

Ondersteuning voor een groot aantal packers en archivers. Dit is erg belangrijke factor, omdat de makers van malware vaak, nadat ze een virus hebben geschreven, het verpakken met verschillende hulpprogramma's voor het verpakken van uitvoerbare modules en, nadat ze verschillende virussen hebben ontvangen, deze in de wereld vrijgeven. In wezen zijn al deze virussen exemplaren van dezelfde variant. Voor een antivirusprogramma dat alle of bijna alle populaire verpakkingshulpprogramma's ondersteunt, zal het niet moeilijk zijn om al deze exemplaren van hetzelfde virus te identificeren en ze met dezelfde naam te noemen; voor andere programma's is een update vereist antivirusdatabase(evenals tijd voor antivirusexperts om het virusexemplaar te analyseren).

Frequentie en omvang van updates van de antivirusdatabase. Deze parameters zijn indirecte tekenen van de kwaliteit van de motor. Omdat de frequente release van updates ervoor zorgt dat de gebruiker altijd beschermd is tegen nieuwe opkomende virussen. De omvang van de update (en het aantal virussen dat in deze update wordt gedetecteerd) zegt iets over de kwaliteit van het ontwerp van de antivirusdatabase en, gedeeltelijk, de engine.

De mogelijkheid om de engine bij te werken zonder het antivirusprogramma zelf bij te werken. Soms is het, om een ​​virus te detecteren, nodig om niet alleen de antivirusdatabase bij te werken, maar ook de “engine” zelf. Als de antivirus deze functie niet ondersteunt, kan de gebruiker zonder bescherming blijven als hij wordt geconfronteerd met een nieuw virus. Bovendien kunt u met deze functie de engine snel verbeteren en fouten daarin corrigeren.

Antivirus-"engine": bestaande technologieën

Met de komst van de eerste computervirussen ontdekten programmeurs snel hoe ze werken en creëerden ze de eerste antivirusprogramma's. Sindsdien is er behoorlijk wat tijd verstreken en moderne antivirus verschilt van de eerste antivirussen, net zoals een personal computer verschilt van een rekenmachine.

In de eerste paragraaf van dit artikel werd een enigszins “naïeve” definitie van de antivirus “engine” gegeven. Hieronder staat een serie nauwkeurige definities en technologische beschrijvingen, waardoor u uiteindelijk de structuur en algoritmen van de antivirusengine volledig kunt begrijpen.

Anti-Virus Engine is een softwaremodule die is ontworpen om schadelijke software te detecteren. De "engine" is het hoofdonderdeel van elk antivirusprogramma, ongeacht het doel ervan. De engine wordt zowel in persoonlijke producten gebruikt - een persoonlijke scanner of monitor, als in serveroplossingen- scanner voor post of bestanden server, firewall of proxyserver. Om malware te detecteren, implementeren de meeste ‘engines’ in de regel de volgende technologieën:
Zoeken op "handtekeningen" (een unieke reeks bytes);
Zoeken op checksums of CRC (checksum met een unieke reeks bytes);
Een verkleind masker gebruiken;
Cryptoanalyse;
Statistische analyse;
Heuristische analyse;
Emulatie.
Laten we elk van deze methoden in meer detail bekijken.

Zoeken op "handtekeningen"

Een handtekening is een unieke “reeks” bytes die een specifiek kwaadaardig programma op unieke wijze kenmerkt. Zoeken op handtekeningen is, op de een of andere manier, gebruikt om virussen en andere malware te detecteren, vanaf de allereerste antivirusprogramma's tot op de dag van vandaag. Het onmiskenbare voordeel van het zoeken naar handtekeningen is de snelheid van de werking (uiteraard met behulp van speciaal ontwikkelde algoritmen) en de mogelijkheid om meerdere virussen met één handtekening te detecteren. Nadeel - de grootte van de handtekening voor betrouwbare detectie moet behoorlijk groot zijn, minimaal 8-12 bytes (meestal worden veel langere handtekeningen gebruikt voor nauwkeurige detectie, tot 64 bytes), daarom zal de grootte van de antivirusdatabase best groot. Bovendien is recentelijk malware geschreven in talen op hoog niveau (C++, Delphi, Visuele basis), en dergelijke programma's hebben afzonderlijke delen van de code die vrijwel niet veranderen (de zogenaamde Run Time Library). Een verkeerd gekozen handtekening zal onvermijdelijk leiden tot een vals positief resultaat: de detectie van een “schoon”, niet-geïnfecteerd bestand als geïnfecteerd met een virus. Als oplossing voor dit probleem wordt voorgesteld om ofwel zeer grote handtekeningen te gebruiken, ofwel detectie te gebruiken voor bepaalde gegevensgebieden, bijvoorbeeld verplaatsingstabellen of tekstreeksen, wat niet altijd goed is.

Zoeken op controlesommen (CRC)

Zoeken op basis van controlesommen (CRC - cyclische redundantiecontrole) is in wezen een wijziging van het zoeken op handtekeningen. De methode is ontwikkeld om de belangrijkste nadelen van het zoeken naar handtekeningen te vermijden: de omvang van de database en het verkleinen van de kans op valse positieven. De essentie van de methode is dat bij het zoeken naar kwaadaardige code niet alleen de "referentieregel" wordt gebruikt - de handtekening, of beter gezegd de controlesom van deze regel, maar ook de locatie van de handtekening in de hoofdtekst van het kwaadaardige programma. De locatie wordt gebruikt om te voorkomen dat er controlesommen voor het hele bestand moeten worden berekend. Dus in plaats van 10-12 bytes aan handtekening (minimaal), worden 4 bytes gebruikt om de controlesom op te slaan en nog eens 4 bytes voor de locatie. De checksum-zoekmethode is echter iets langzamer dan het zoeken naar handtekeningen.
Het gebruik van maskers om kwaadaardige code te detecteren wordt vaak gecompliceerd door de aanwezigheid van gecodeerde code (zogenaamde polymorfe virussen), omdat het ofwel onmogelijk is om een ​​masker of een masker te selecteren maximumgrootte voldoet niet aan de voorwaarde van ondubbelzinnige identificatie van het virus zonder valse positieven.
De onmogelijkheid om in het geval van een polymorf virus een masker van voldoende grootte te kiezen, is eenvoudig te verklaren. Door zijn lichaam te versleutelen, zorgt het virus ervoor dat het grootste deel van zijn code in het getroffen object een variabele is en daarom niet als masker kan worden geselecteerd. (Zelfversleutelende en polymorfe virussen worden gedetailleerder beschreven in de bijlage aan het einde van het artikel).
Om dergelijke virussen te detecteren, worden de volgende methoden gebruikt: het gebruik van een gereduceerd masker, cryptanalyse en statistische analyse. Laten we deze methoden in meer detail bekijken.

Een verkleind masker gebruiken

Bij het infecteren van objecten zet een virus dat gebruik maakt van encryptie zijn code om in een gecodeerde reeks gegevens:
S = F(T), waarbij
T - basiscode van het virus;
S - gecodeerde viruscodes;
F is de virusversleutelingsfunctie, willekeurig gekozen uit een bepaalde reeks transformaties (F).
De gereduceerde maskermethode bestaat uit het kiezen van een transformatie R van de gecodeerde viruscodes S, zodanig dat het resultaat van de transformatie (dat wil zeggen een reeks gegevens S") niet zal afhangen van de transformatiesleutels F, dat wil zeggen
S=F(T)
S" = R (S) = R (F (T)) = R" (T).
Wanneer de transformatie R wordt toegepast op alle mogelijke varianten van de cijfercode S, zal het resultaat S" constant zijn bij een constante T. De identificatie van de betrokken objecten wordt dus gedaan door S" als een gereduceerd masker te kiezen en de transformatie R toe te passen op de getroffen objecten.

Cryptoanalyse

Deze methode is als volgt: met behulp van de bekende basiscode van het virus en de bekende gecodeerde code (of de “verdachte” code, vergelijkbaar met de gecodeerde body van het virus), worden de sleutels en het algoritme van het decryptorprogramma hersteld. Dit algoritme wordt vervolgens toegepast op het gecodeerde gedeelte, wat resulteert in de gedecodeerde inhoud van het virus. Bij het oplossen van dit probleem heb je te maken met een stelsel van vergelijkingen.
In de regel werkt deze methode veel sneller en neemt veel minder geheugen in beslag dan het emuleren van virusinstructies. Het oplossen van dergelijke systemen is echter vaak een zeer complexe taak.
Bovendien is het grootste probleem de wiskundige analyse van de resulterende vergelijking of het resulterende stelsel van vergelijkingen. In veel opzichten lijkt het probleem van het oplossen van stelsels van vergelijkingen bij het herstellen van de gecodeerde inhoud van een virus op het klassieke cryptografische probleem van het herstellen van cijfertekst met onbekende sleutels. Hier klinkt deze taak echter enigszins anders: het is noodzakelijk om uit te vinden of een bepaalde gecodeerde code het resultaat is van het toepassen van een tot nu toe bekende functie op de sleutels. Bovendien zijn veel gegevens voor het oplossen van dit probleem vooraf bekend: een gedeelte met gecodeerde code, een gedeelte met niet-gecodeerde code, mogelijke opties conversie functies. Bovendien zijn het algoritme van deze transformatie zelf en de sleutels ook aanwezig in de geanalyseerde codes. Er is echter een belangrijke beperking: dit probleem moet binnen specifieke grenzen worden opgelost werkgeheugen en de besluitvormingsprocedure mag niet veel tijd in beslag nemen.

statistische analyse

Wordt ook gebruikt om polymorfe virussen te detecteren. Tijdens de werking analyseert de scanner de gebruiksfrequentie van processoropdrachten, bouwt een tabel op met aangetroffen processoropdrachten (opcodes) en trekt op basis van deze informatie een conclusie of het bestand is geïnfecteerd met een virus. Deze methode is effectief bij het zoeken naar bepaalde polymorfe virussen, omdat deze virussen een beperkte set opdrachten in de decryptor gebruiken, terwijl “schone” bestanden totaal verschillende opdrachten met een andere frequentie gebruiken. Alle MS-DOS-programma's gebruiken bijvoorbeeld vaak interrupt 21h (opcode CDh 21h), maar dit commando wordt vrijwel nooit aangetroffen in de decryptor van polymorfe DOS-virussen.
Het grootste nadeel van deze methode is dat er een aantal complexe polymorfe virussen zijn die bijna alle processoropdrachten gebruiken en dat de reeks gebruikte opdrachten van kopie tot kopie sterk verandert, dat wil zeggen dat het niet mogelijk is om een ​​virus te detecteren met behulp van de geconstrueerde frequentie. tafel.

Heuristische analyse

Toen het aantal virussen de honderden overschreed, begonnen antivirusexperts na te denken over het idee om malware te detecteren waarvan het antivirusprogramma nog niet wist dat het bestond (er waren geen overeenkomstige handtekeningen). Als resultaat hiervan ontstonden zogenaamde heuristische analysatoren. Een heuristische analysator is een reeks routines die de code van uitvoerbare bestanden, macro's, scripts, geheugen- of opstartsectoren analyseren om verschillende soorten kwaadaardige computerprogramma's te detecteren. Er zijn twee werkingsprincipes van de analysator.

Statische methode. Zoek naar algemene korte handtekeningen die in de meeste virussen aanwezig zijn (zogenaamde “verdachte” opdrachten). Een groot aantal virussen zoekt bijvoorbeeld naar virussen met behulp van het *.EXE-masker, opent het gevonden bestand en schrijft ernaar open bestand. De taak van de heuristiek is in dit geval het vinden van handtekeningen die deze acties weerspiegelen. Vervolgens worden de gevonden handtekeningen geanalyseerd en als er een bepaald aantal noodzakelijke en voldoende ‘verdachte commando’s’ worden gevonden, wordt besloten dat het bestand is geïnfecteerd. Het grote voordeel van deze methode is het implementatiegemak en de goede snelheid, maar het detectieniveau van nieuwe malware is vrij laag.

Dynamische methode. Deze methode verscheen gelijktijdig met de introductie van processoropdrachtemulatie in antivirusprogramma's (de emulator wordt hieronder in meer detail beschreven). De essentie van de methode is het emuleren van de programma-uitvoering en het loggen van alle “verdachte” programma-acties. Op basis van dit protocol wordt er een besluit genomen mogelijke infectie programma's met een virus. in tegenstelling tot statische methode, de dynamische methode vergt meer van computerbronnen, maar het detectieniveau is dat wel dynamische methode veel hoger.

Emulatie

Programmacode-emulatietechnologie (of Sandboxing) was een reactie op de opkomst van een groot aantal polymorfe virussen. Het idee van deze methode is om de uitvoering van een programma (zowel geïnfecteerd met een virus als een “schoon” programma) te emuleren in een speciale “omgeving”, ook wel een emulatiebuffer of “sandbox” genoemd. Als een geïnfecteerde persoon in de emulator komt polymorf virus bestand, waarna na emulatie de gedecodeerde inhoud van het virus in de buffer verschijnt, klaar voor detectie met standaardmethoden (handtekening- of CRC-zoekopdracht).
Moderne emulators emuleren niet alleen processoropdrachten, maar ook besturingssysteemaanroepen. De taak van het schrijven van een volwaardige emulator is behoorlijk arbeidsintensief, om nog maar te zwijgen van het feit dat je bij het gebruik van een emulator voortdurend de acties van elke opdracht moet controleren. Dit is nodig om te voorkomen dat per ongeluk destructieve componenten van het virusalgoritme worden uitgevoerd.
Er moet vooral worden opgemerkt dat het noodzakelijk is om de werking van virusinstructies te emuleren en deze niet te traceren, omdat bij het traceren van een virus de kans groot is dat destructieve instructies of codes worden opgeroepen die verantwoordelijk zijn voor de verspreiding van het virus.

Database van antivirusengine

De database is een integraal onderdeel van de antivirusengine. Als we bovendien aannemen dat een goed ontworpen ‘engine’ niet zo vaak verandert, verandert de antivirusdatabase voortdurend, omdat zich in de antivirusdatabase handtekeningen, controlesommen en speciale softwaremodules bevinden voor het detecteren van malware. . Zoals u weet verschijnen er met een benijdenswaardige frequentie nieuwe virussen, netwerkwormen en andere kwaadaardige programma's, en daarom is het erg belangrijk dat de antivirusdatabase zo vaak mogelijk wordt bijgewerkt. Als vijf jaar geleden wekelijkse updates voldoende waren, is het vandaag de dag eenvoudigweg nodig om op zijn minst dagelijkse updates van de antivirusdatabase te ontvangen.
Het is ook erg belangrijk wat er precies in de antivirusdatabase staat: zijn er alleen records van virussen of aanvullende softwareprocedures. In het tweede geval is het veel eenvoudiger om de functionaliteit van de antivirusengine bij te werken door simpelweg de databases bij te werken.

Ondersteuning voor "complexe" geneste objecten

Antivirusengines zijn de afgelopen jaren veel veranderd. Als de eerste antivirussen als een eersteklas programma werden beschouwd, was het voldoende om dit te controleren systeemgeheugen, uitvoerbare bestanden en opstartsectoren, maar binnen een paar jaar werden ontwikkelaars, als gevolg van de groeiende populariteit van speciale hulpprogramma's voor het verpakken van uitvoerbare modules, geconfronteerd met de taak om het ingepakte bestand uit te pakken voordat het werd gescand.
Dan nieuw probleem- virussen hebben geleerd gearchiveerde bestanden te infecteren (en gebruikers hebben zelf vaak geïnfecteerde bestanden in archieven verzonden). Antivirussen moesten ook leren hoe ze archiefbestanden moesten verwerken. In 1995 leek het eerste macrovirus documenten te infecteren. Microsoft Word. Het is vermeldenswaard dat het documentformaat dat door Microsoft Word wordt gebruikt, gesloten en zeer complex is. Een aantal antivirusbedrijven weet nog steeds niet hoe ze dergelijke bestanden volledig moeten verwerken.
Tegenwoordig vanwege de enorme populariteit E-mail, verwerken antivirusengines zowel de databases van e-mailberichten als de berichten zelf.

Detectiemethoden

Een typische antivirus-‘engine’, die in elk antivirusprogramma is geïmplementeerd, gebruikt alle noodzakelijke technologieën voor het detecteren van malware: een effectieve heuristische analysator, een krachtige emulator en, belangrijker nog, een competente en flexibele architectuur van de subsysteem voor malwaredetectie, waardoor het gebruik van alle bovengenoemde detectiemethoden mogelijk is.
Bijna elke antivirus-engine gebruikt checksum-detectie als basismethode. Deze methode is gekozen op basis van de eis om de omvang van antivirusdatabases te minimaliseren. De architectuur van de "engine" is echter vaak zo flexibel dat deze het gebruik van elk van de hierboven genoemde detectiemethoden mogelijk maakt, wat vooral voor sommigen wordt gedaan. complexe virussen. Hierdoor kunt u een hoog niveau van virusdetectie bereiken. De architectuur van de antivirusengine wordt verderop in de tekst gedetailleerder weergegeven in het diagram.
De praktische toepassing van methoden voor het detecteren van polymorfe virussen (cryptanalyse en statistische analyse, het gebruik van een gereduceerd masker en emulatie) komt neer op het kiezen van de methode die het meest optimaal is in termen van snelheid en benodigde hoeveelheid geheugen. De code van de meeste zelfversleutelende virussen kan vrij eenvoudig worden hersteld via de emulatieprocedure. Als het gebruik van een emulator dat niet is optimale oplossing, waarna de viruscode wordt hersteld met behulp van een subroutine die implementeert omgekeerde conversie- cryptanalyse. Om virussen te detecteren die niet kunnen worden geëmuleerd, en virussen waarvoor het niet mogelijk is om een ​​inverse transformatie te construeren, wordt de methode van het construeren van gereduceerde maskers gebruikt.
In enkele van de meest complexe gevallen wordt een combinatie van de bovenstaande methoden gebruikt. Een deel van de decryptorcode wordt geëmuleerd en de opdrachten die feitelijk verantwoordelijk zijn voor het decryptiealgoritme worden uit de decryptor gehaald. Vervolgens wordt op basis van de ontvangen informatie een systeem van vergelijkingen geconstrueerd en opgelost om de viruscode te herstellen en te detecteren.
Een combinatie van methoden wordt ook gebruikt bij het gebruik van meervoudige codering, waarbij het virus zijn lichaam meerdere keren codeert met behulp van verschillende algoritmen encryptie. Een gecombineerde methode voor informatieherstel of “pure” emulatie van de decryptorcode wordt vaak gebruikt omdat elk nieuw virus moet worden geanalyseerd en opgenomen in de antivirusdatabase binnen minimale voorwaarden, die niet altijd passen in de noodzakelijke wiskundige analyse. En als gevolg daarvan moet je omslachtigere methoden gebruiken om een ​​virus te detecteren, ondanks het feit dat methoden voor wiskundige analyse van het decryptoralgoritme heel toepasbaar zijn.

Werken met "complexe" objecten

Antivirusengines ondersteunen het werken met een groot aantal verpakkings- en archiveringsformaten. Ontwikkelaars publiceren zelden een volledige (of op zijn minst voldoende gedetailleerde) lijst met ondersteunde formaten. Hieronder volgt officieel gepubliceerde informatie over ondersteuning voor “complexe” formaten in Kaspersky Anti-Virus. In andere antivirusproducten zou de lijst met ondersteunde formaten ongeveer hetzelfde moeten zijn.
De Kaspersky Anti-Virus-engine ondersteunt het werken met meer dan 400 diverse nutsvoorzieningen het verpakken van uitvoerbare bestanden, installatieprogramma's en archiveringsprogramma's (in totaal meer dan 900 wijzigingen, vanaf mei 2003). Onder hen:

Uitvoerbare bestandspackers en encryptiesystemen. De meest populaire: Diet, AVPACK, COMPACK, Epack, ExeLock, ExePack, Expert, HackStop, Jam, LzExe, LzCom, PaquetBuilder, PGMPAK, PkLite, PackWin, Pksmart, Protect, ProtEXE, RelPack, Rerp, Rjcrush, Rucc, Scramb , SCRNCH, Shrink, Six-2-Four, Syspack, Trap, UCEXE, Univac, UPD, UPX (meerdere versies), WWPACK, ASPack (meerdere versies), ASProtect (meerdere versies), Astrum, BitArts, BJFnt, Cexe, Cheaters, Dialect, DXPack, Gleam, CodeSafe, ELFCrypt, JDPack, JDProtect, INFTool, Krypton, Neolite, ExeLock, NFO, NoodleCrypt, OptLink, PCPEC, PEBundle, PECompact (meerdere versies), PCshrink, PE-Crypt, PE-Diminisher, PELock , PEncrypt, PE-Pack (verschillende versies), PE-Protect, PE-Shield, Petite, Pex, PKLite32, SuperCede, TeLock, VBox, WWPack32, XLok, Yoda.
Ondersteuning voor zoveel packers en archivers stelt u in staat de analysetijd van nieuwe virussen te verkorten, wat leidt tot een toename van de reactiesnelheid op het verschijnen van een nieuw virus, en een hoog detectieniveau van reeds bekende virussen te bereiken.

Archivers en installateurs (meer dan 60 in totaal). De meest populaire: CAB, ARJ, ZIP, GZIP, Tar, AIN, HA, LHA, RAR, ACE, BZIP2, WiseSFX (verschillende versies), CreateInstall, Inno Installer, StarDust Installer, MS Expand, GKWare Setup, SetupFactory, SetupSpecialist, NSIS, Astrum, PCInstall, Effect Office.
Ondersteuning voor een groot aantal soorten archiveringsprogramma's is vooral belangrijk voor testen postsystemen, aangezien de overgrote meerderheid van de virussen in gearchiveerde vorm per post wordt verzonden. Objecten worden uitgepakt, ongeacht het nestniveau van de archieven. Als een geïnfecteerd bestand bijvoorbeeld is verpakt met UPX en het bestand vervolgens is verpakt in een ZIP-archief, dat is verpakt in een CAB-archief, enz., dan zou de antivirus-engine nog steeds in staat moeten zijn het originele bestand te bereiken en het virus te detecteren. virus.
Opgemerkt moet worden dat dergelijke overwegingen geenszins theoretisch zijn. Zo is het Trojaanse programma Backdoor.Rbot algemeen bekend, dat met velen werd verspreid diverse programma's(Ezip, Exe32Pack, ExeStealth, PecBundle, PECompact, FSG, UPX, Morphine, ASPack, Petite, PE-Pack, PE-Diminisher, PELock, PESpin, TeLock, Molebox, Yoda, Ezip, Krypton, enz.).
Het algoritme voor het uitpakken van archieven beschikt doorgaans over voldoende intelligentie om niet allerlei ‘archiefbommen’ – archieven – uit te pakken kleine maat, waarin enorme bestanden zijn verpakt (met zeer hoge graad compressie) of meerdere identieke bestanden. Normaal gesproken kost het scannen van zo’n archief veel tijd, maar moderne antivirusengines herkennen dergelijke ‘bommen’ vaak.

Het mechanisme voor het bijwerken van antivirusdatabases en hun omvang

Updates voor de antivirusdatabase worden doorgaans meerdere keren per dag uitgebracht. Sommige kunnen één keer per uur updates vrijgeven, andere elke twee uur. Hoe dan ook, gezien de huidige hoge mate van gevaar op internet, is het regelmatig bijwerken van antivirusdatabases volkomen gerechtvaardigd.
De omvang van de updates duidt op de doordachte architectuur van de antivirus-engine. De omvang van regelmatige updates van toonaangevende bedrijven in de branche is dus in de regel niet groter dan 30 KB. Tegelijkertijd bevatten antivirusdatabases doorgaans ongeveer 70% van de functionaliteit van de gehele antivirusengine. Elke update van de antivirusdatabase kan ondersteuning toevoegen voor een nieuwe packer of archiver. Door de antivirusdatabase dagelijks bij te werken, ontvangt de gebruiker dus niet alleen nieuwe procedures voor het detecteren van nieuwe malware, maar ook een update van de gehele antivirus. Hierdoor kunt u zeer flexibel op de situatie reageren en de gebruiker maximale bescherming garanderen.

Heuristische analysator

De heuristische analysator, die deel uitmaakt van bijna elk antivirusprogramma, gebruikt beide hierboven beschreven analysemethoden: cryptanalyse en statistische analyse. Een moderne heuristische analysator is van de grond af aan ontworpen om uitbreidbaar te zijn (in tegenstelling tot de meeste heuristische analysatoren van de eerste generatie, die zijn ontworpen om malware alleen in uitvoerbare modules te detecteren).
Momenteel kunt u met de heuristische analysator detecteren kwaadaardige codes V uitvoerbare bestanden, sectoren en geheugen, evenals nieuwe scriptvirussen en malware voor Microsoft Office(en andere programma's die VBA gebruiken), en ten slotte kwaadaardige code geschreven in talen op hoog niveau, zoals Microsoft Visual Basic.
Flexibele architectuur en combinatie verschillende methoden Hiermee kunt u een redelijk hoog detectieniveau van nieuwe kwaadaardige programma's bereiken. Tegelijkertijd doen de ontwikkelaars er alles aan om ervoor te zorgen dat het aantal valse alarmen minimaliseren. Producten gepresenteerd door leiders in de antivirusindustrie maken zelden fouten bij het detecteren van kwaadaardige code.

Het onderstaande diagram beschrijft een algoritme bij benadering voor de werking van de antivirusengine. Opgemerkt moet worden dat emulatie en zoeken naar bekende en onbekende malware gelijktijdig plaatsvinden.

Zoals hierboven vermeld, worden bij het bijwerken van de antivirusdatabase ook de modules voor het uitpakken van ingepakte bestanden en archieven, de heuristische analysator en andere modules van de antivirusengine bijgewerkt en toegevoegd.

Originele technologieën in antivirus
"motoren"

Bijna elke ontwikkelaar van antivirusproducten implementeert een aantal van zijn eigen technologieën die het programma efficiënter en productiever maken. Sommige van deze technologieën houden rechtstreeks verband met het ontwerp van de ‘motor’, aangezien de prestaties van de hele oplossing vaak afhangen van de werking ervan. Vervolgens bekijken we een aantal technologieën die de verificatie van objecten aanzienlijk kunnen versnellen en tegelijkertijd de bewaring kunnen garanderen Hoge kwaliteit detectie, evenals het verbeteren van de detectie en behandeling van kwaadaardige software in gearchiveerde bestanden.
Laten we beginnen met iChecker-technologie. Deze technologie en zijn analogen worden in bijna elk apparaat geïmplementeerd moderne antivirussoftware. Opgemerkt moet worden dat iChecker een naam is die wordt voorgesteld door specialisten van Kaspersky Lab. Experts van Panda Software noemen het bijvoorbeeld UltraFast. Met deze technologie kunt u een redelijk evenwicht bereiken tussen de betrouwbaarheid van de bescherming van werkstations (en vooral servers) en het gebruik van systeembronnen van de beschermde computer. Dankzij deze technologie wordt de laadtijd (tot 30-40%) van het besturingssysteem aanzienlijk verkort (vergeleken met traditionele antivirusbescherming) en de tijd die nodig is om applicaties te starten wanneer deze actief zijn antivirusbescherming. Dit zorgt ervoor dat alle bestanden op de schijven van de computer zijn gescand en niet zijn geïnfecteerd. Het belangrijkste idee van deze technologie is dat het niet nodig is om te controleren wat niet is veranderd en al is gecontroleerd. De antivirusengine houdt een speciale database bij waarin de controlesommen van alle gescande (en niet geïnfecteerde) bestanden worden opgeslagen. Voordat het bestand ter verificatie wordt ingediend, berekent en vergelijkt de “engine” de controlesom van het bestand met de gegevens die in de database zijn opgeslagen. Als de gegevens overeenkomen, betekent dit dat het bestand is gecontroleerd en dat een nieuwe controle niet nodig is. Het is vermeldenswaard dat de tijd besteed aan tellen controlesommen bestand - aanzienlijk minder dan de tijd van een antivirusscan.
Een speciale plaats in het werk van de antivirus wordt ingenomen door de behandeling van gearchiveerde geïnfecteerde objecten. Dit is precies wat hierna zal worden besproken. iCure - behandeltechnologie geïnfecteerde bestanden in de archieven. Dankzij deze technologie kunnen geïnfecteerde objecten in gearchiveerde bestanden met succes worden gedesinfecteerd (of verwijderd, afhankelijk van de antivirusinstellingen) zonder het gebruik van externe archiveringsprogramma's. Tegenwoordig ondersteunen de meeste antivirussen de volgende soorten archieven: ARJ, CAB, RAR, ZIP. Dankzij de modulaire architectuur en technologieën voor het updaten van de antivirusengine kan de gebruiker in de regel eenvoudig de lijst met ondersteunde typen archiveringsprogramma's bijwerken en uitbreiden zonder de antivirus opnieuw op te starten.
iArc is een andere technologie voor het werken met archiefbestanden. Deze technologie is nodig voor het werken met archieven met meerdere volumes. Met iArc kunt u archieven met meerdere volumes scannen en virussen detecteren, zelfs als ze in een archief met meerdere volumes zijn verpakt, dat op zijn beurt ook in een archief met meerdere volumes wordt verpakt.
Multithreading. De antivirusengine is een multi-threaded module en kan tegelijkertijd verschillende objecten (bestanden, sectoren, scripts, enz.) verwerken (controleren op kwaadaardige codes).
De meeste van de hierboven genoemde technologieën zijn in een of andere vorm geïmplementeerd in elk modern antivirusproduct.

Polymorfe virussen

In het hele artikel werden vaak de termen 'polymorfe' en 'zelfversleutelende' virussen gebruikt. Zoals uit de voorgaande discussies duidelijk had moeten worden, was het dit soort kwaadaardige code die een sterke invloed had op de ontwikkeling van antivirustechnologieën. Hieronder vindt u informatie over polymorfe virussen, verstrekt door experts van Kaspersky Lab.

Basisdefinities: zelfcodering en polymorfisme. Ze worden door bijna alle soorten virussen gebruikt om de virusdetectieprocedure zo ingewikkeld mogelijk te maken. Polymorfe virussen zijn vrij moeilijk om virussen te detecteren die geen handtekening hebben, dat wil zeggen dat ze geen enkel constant stuk code bevatten. In de meeste gevallen zullen twee monsters van hetzelfde polymorfe virus geen enkele match hebben. Dit wordt bereikt door het hoofdgedeelte van het virus te coderen en het decryptieprogramma aan te passen. Polymorfe virussen omvatten virussen die niet kunnen worden gedetecteerd (of uiterst moeilijk zijn) met behulp van zogenaamde virusmaskers: delen van constante code die specifiek zijn voor een bepaald virus. Dit wordt op twee manieren bereikt: door de hoofdviruscode te coderen met een niet-permanente sleutel en een willekeurige reeks decryptoropdrachten, of door de uitvoerbare viruscode zelf te wijzigen. Er zijn ook andere, nogal exotische voorbeelden van polymorfisme: het DOS-virus "Bomber" is bijvoorbeeld niet gecodeerd, maar de reeks opdrachten die de controle overdraagt ​​aan de viruscode is volledig polymorf.
Polymorfisme van verschillende mate van complexiteit wordt aangetroffen in alle soorten virussen: van opstart- en bestands-DOS-virussen tot Windows-virussen en zelfs macrovirussen.

Polymorfe decryptors

Het eenvoudigste voorbeeld van een gedeeltelijk polymorfe decryptor is de volgende reeks opdrachten, waardoor geen enkele byte van de code van het virus zelf en zijn decryptor constant is bij het infecteren van verschillende bestanden:

MOV reg_1, aantal; reg_1, reg_2 en reg_3 worden geselecteerd
MOV reg_2, sleutel; AX,BX,CX,DX,SI,DI,BP
MOV reg_3, _offset ; count, key, _offset kan ook veranderen
_lus:
xxx byte ptr, reg_2; xor, toevoegen of sub
DEC reg_1
Jxx_loop ; ja of jnc
; Vervolgens komen de gecodeerde code en gegevens van het virus

Complexe polymorfe virussen gebruiken veel complexere algoritmen om de code van hun decryptors te genereren: de bovenstaande instructies (of hun equivalenten) worden herschikt van infectie tot infectie, verdund met opdrachten die niets veranderen, zoals NOP, STI, CLI, STC, CLC, enz.
Volwaardige polymorfe virussen gebruiken nog complexere algoritmen, waardoor de virusdecryptor bewerkingen SUB, ADD, XOR, ROR, ROL en andere in een willekeurig aantal en willekeurige volgorde kan bevatten. Het laden en wijzigen van sleutels en andere encryptieparameters wordt ook uitgevoerd door een willekeurige reeks bewerkingen, waarin vrijwel alle instructies van de Intel-processor te vinden zijn (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG , JNZ, PUSH, POP. ..) met alle mogelijke adresseringsmodi. Er verschijnen ook polymorfe virussen, waarvan de decryptor instructies tot Intel386 gebruikt, en in de zomer van 1997 werd een 32-bits polymorf virus ontdekt dat Windows EXE-bestanden 95.
Als gevolg hiervan staat er aan het begin van een bestand dat met een dergelijk virus is geïnfecteerd een reeks schijnbaar betekenisloze instructies. Het is interessant dat sommige combinaties die behoorlijk functioneel zijn, niet worden geaccepteerd door eigen disassemblers (bijvoorbeeld de combinatie CS:CS: of CS:NOP). En tussen deze "puinhoop" van commando's en gegevens glippen MOV, XOR, LOOP, JMP af en toe door - instructies die echt "werken".

Niveaus van polymorfisme

Er is een verdeling van polymorfe virussen in niveaus, afhankelijk van de complexiteit van de code die wordt aangetroffen in de decryptors van deze virussen. Deze indeling werd voor het eerst voorgesteld door Dr. Alan Solomon, na enige tijd breidde Vesselin Bonchev deze uit:

Niveau 1: Virussen die een bepaalde set decryptors hebben met een constante code; wanneer ze besmet zijn, kiezen ze een van hen. Dergelijke virussen zijn “semi-polymorf” en worden ook wel “oligomorf” genoemd. Voorbeelden: "Cheeba", "Slowakije", "Walvis".

Niveau 2: De virusdecryptor bevat een of meer permanente instructies, maar het grootste deel is instabiel.

Niveau 3: De decryptor bevat ongebruikte instructies - "garbage" zoals NOP, CLI, STI, enz.

Niveau 4: De decryptor gebruikt uitwisselbare instructies en herschikte (shuffling) instructies. Het decoderingsalgoritme verandert niet.

Niveau 5: Alle bovenstaande technieken worden gebruikt, het decoderingsalgoritme is niet constant, het is mogelijk om de viruscode opnieuw te coderen en zelfs de decryptorcode zelf gedeeltelijk te coderen.

Niveau 6: Virussen permuteren. De hoofdcode van het virus is aan verandering onderhevig: deze is verdeeld in blokken, die bij infectie in willekeurige volgorde worden herschikt. Het virus blijft functioneel. Dergelijke virussen zijn mogelijk niet gecodeerd.

De bovenstaande classificatie heeft zijn nadelen, omdat deze is gemaakt op basis van één enkel criterium: het vermogen om een ​​virus te detecteren door de decryptorcode met behulp van de standaardtechniek van virusmaskers:

Niveau 1: om het virus te detecteren volstaat het om meerdere maskers te hebben;
Niveau 2: maskerdetectie met behulp van "wildcards";
Niveau 3: detectie door masker na het verwijderen van “vuilnis”-instructies;
Niveau 4: het masker bevat verschillende opties voor mogelijke code, dat wil zeggen dat het algoritmisch wordt;
Niveau 5: onvermogen om het virus te detecteren met behulp van het masker.

De ontoereikendheid van een dergelijke deling wordt aangetoond in het virus van het derde niveau van polymorfisme, dat “Niveau 3” wordt genoemd. Dit virus, dat een van de meest complexe polymorfe virussen is, valt volgens de bovenstaande indeling in niveau 3, omdat het een constant decoderingsalgoritme heeft, dat wordt voorafgegaan door een groot aantal “garbage” -opdrachten. Bij dit virus is het algoritme voor het genereren van afval echter tot in de perfectie gebracht: bijna alle instructies van de i8086-processor zijn te vinden in de decryptorcode.
Als we vanuit het oogpunt van antivirussen die systemen gebruiken voor het automatisch ontcijferen van de viruscode (emulators) in niveaus verdelen, dan zal de indeling in niveaus afhangen van de complexiteit van het emuleren van de viruscode. Het is mogelijk om een ​​virus te detecteren met behulp van andere methoden, bijvoorbeeld decodering met behulp van elementaire wiskundige wetten, enz.
Een meer objectieve classificatie zou er een zijn waarbij naast het criterium van virale maskers ook andere parameters een rol spelen, bijvoorbeeld:
De mate van complexiteit van de polymorfe code (het percentage van alle processorinstructies dat in de decryptorcode te vinden is);
Gebruik van speciale technieken die emulatie voor antivirussen moeilijk maken;
Constantheid van het decryptoralgoritme;
Constantheid van de lengte van de decryptor.

Uitvoerbare code wijzigen

Meestal wordt deze methode van polymorfisme gebruikt door macrovirussen, die bij het maken van nieuwe kopieën van zichzelf willekeurig de namen van hun variabelen veranderen, invoegen lege regels of de code op een andere manier wijzigen. Het algoritme van het virus blijft dus ongewijzigd, maar de viruscode verandert vrijwel volledig van infectie tot infectie.
Deze methode wordt minder vaak gebruikt door complexen opstarten van virussen. Dergelijke virussen injecteren slechts een vrij korte procedure in de opstartsectoren, die de belangrijkste viruscode van de schijf leest en de controle daaraan overdraagt. De code voor deze procedure wordt geselecteerd uit verschillende opties (die ook kunnen worden gemengd met “lege” commando’s), de commando’s worden opnieuw gerangschikt, enz.
Deze techniek komt nog minder vaak voor bestandsvirussen- ze moeten tenslotte hun code volledig veranderen, en dit vereist behoorlijk complexe algoritmen. Tot op heden zijn er slechts twee van dergelijke virussen bekend, waarvan er één ("Ply") zijn commando's willekeurig door zijn lichaam verplaatst en vervangt door JMP- of CALL-commando's. Een ander virus (“TMC”) gebruikt een complexere methode: elke keer dat het wordt geïnfecteerd, verwisselt het virus blokken van zijn code en gegevens, voegt “garbage” in, stelt nieuwe offsetwaarden in op gegevens in de montage-instructies, verandert constanten, enz. Als gevolg hiervan is het virus, hoewel het zijn code niet versleutelt, een polymorf virus: er zit geen constante reeks opdrachten in de code. Bovendien verandert het virus van lengte wanneer het nieuwe kopieën van zichzelf maakt.

Heel vaak zijn er op internet vragen over welke antivirus het systeem het minst belast, welke geschikt is voor een zwakke computer en tegelijkertijd zijn werk volledig zal uitvoeren. hoofdfunctie. Er zijn veel verschillende beoordelingen en lijsten, maar ze verschillen allemaal aanzienlijk van elkaar en kunnen gebruikers geen definitief antwoord geven.

Dus vandaag gaan we kijken beste antivirusprogramma's, die het systeem niet laden, zijn geschikt voor zwakke pc's en u kiest zelf de meest optimale.

Bij het compileren deze lijst, zijn we uitgegaan van de volgende kenmerken:

• Processor: 0,5 – 1,5 GHz.
• RAM-geheugen: 128-256 MB.
• Ruimte op harde schijf: 15-300 MB.

Eerder was er een soortgelijk artikel over antivirusprogramma's voor zwakke auto's , maar daarin analyseerden we de verdedigers, uitgaande van een grotere hoeveelheid RAM (256MB-1GB) en processor (vanaf 1,5GHz). Als uw pc of laptop deze specificaties overschrijdt, raden wij u aan er vertrouwd mee te raken.

Alle voorgestelde oplossingen hebben hun voor- en nadelen, en verschillen ook in systeemvereisten. Laten we ze allemaal, de kenmerken en functies, eens nader bekijken.

AhnLab V3 Internetbeveiliging

Koreaanse antivirus die het systeem het minst belast en biedt effectieve bescherming computer, terwijl u een minimum aan systeembronnen verbruikt. Het heeft alle functies om volledige veiligheid te garanderen, beschermt tegen malware en voorkomt de installatie van spyware.

Het programma beschermt uw laptop of pc in realtime, filtert sites met gevaarlijke inhoud en bijlagen e-mails en optimaliseert de werking van het systeem. Het hulpprogramma werkt op cloudtechnologie en wordt gekenmerkt door een minimaal aantal false positives. De extra TrueFind-functie helpt om de verwijdering van zelfs verborgen rootkits tijdig te detecteren.

Het hulpprogramma heeft de volgende systeemvereisten:

• Processor – vanaf 0,5 GHz en hoger.
• RAM – vanaf 256 MB.
• Vrije schijfruimte – vanaf 300 MB.
• Ondersteunt besturingssystemen van Windows XP tot Windows 10.

Op basis van de beschikbare gegevens kunnen we met vertrouwen zeggen dat de antivirus het systeem niet vertraagt. Bovendien verwijdert het hulpprogramma ongebruikte gegevens en ander afval om de prestaties te verbeteren en het werk te normaliseren.

ClamWin gratis antivirusprogramma

Nog een gratis oplossing die gratis beschikbaar is op internet. Dit hulpprogramma het zou juister zijn om het een scanner te noemen, aangezien het geen scanner heeft die voortdurend de gebruikte bestanden controleert. Dit betekent dat als u een virus wilt vinden, u handmatig een bestandsscan moet uitvoeren.

Het programma heeft duidelijke interface, rijke functionaliteit en een aantal verschillende instellingen. Ook zijn er extra functies, zoals scannen op een door jou ingesteld tijdstip, meldingen over de detectie van malware, het automatisch updaten van databases en eenvoudige integratie in Windows-menu, maakt het toegankelijker.

Als er over gesproken wordt systeem vereisten, dan zijn ze als volgt:

• Processor – 1,5 GHz.
• Vaste schijf – 103 MB.
• RAM-geheugen – 256 MB.
• Compatibel met Windows XP/Vista/7/8/10.

Dat wil zeggen, gepresenteerd antivirusscanner verbruikt een minimum aan bronnen en vertraagt ​​op geen enkele manier de computer.

SMADAV

Een uitstekende antivirus die fungeert als extra bescherming tegen malware. Het is de tweede verdedigingslinie en is volledig compatibel met alle andere antivirusprogramma's. Het programma maakt gebruik van heuristische en gedragsanalyse om virussen zo snel mogelijk te detecteren en te elimineren. Dit garandeert een hoog veiligheidsniveau. Vanwege de kleine hoeveelheid gebruikte bronnen vermindert het hulpprogramma de prestaties niet, zelfs niet bij actief gebruik.

Het beschikt over een scala aan effectieve hulpmiddelen. Om te beginnen is het de moeite waard om te praten over standaardscannen, die in 3 soorten verkrijgbaar is:

• Snel.
• Compleet.
• Het systeemgebied scannen.

Daarnaast is SMADAV uitgerust met een systeemeditor waarmee u kunt selecteren specifieke elementen, worden ze weergegeven in Start en worden systeemtoepassingen uitgeschakeld. Ook is het de moeite waard om aandacht te besteden aan de procesmanager, waarmee u lopende processen kunt bekijken en indien nodig kunt beëindigen.

Systeem vereisten:

• Verwerker - Intel Pentium III of hoger.
• RAM-geheugen – 256 MB.
• Harde schijf – 100 MB.
• Werkt op alle Windows-besturingssystemen.

Gezien de kenmerken is dit een uitstekend antivirusprogramma dat het systeem niet vertraagt ​​of de prestaties van de computer vermindert.

Webroot SecureAnywhere-antivirus

Panda antivirus gratis

Cloud-antivirus met lage systeembelasting en betrouwbare realtime bescherming. Het programma combineert externe en lokale antivirus, anti-rootkit en anti-spyware. Het cloudmodel vereist geen grote hoeveelheid bronnen en heeft geen invloed op de functionaliteit en prestaties van het systeem. Bovendien kunt u dankzij dit werkingsprincipe malware efficiënter en sneller detecteren en blokkeren.

Het moet duidelijk zijn dat een antivirusprogramma uw computer alleen kan vertragen als er niet voldoende pc-bronnen zijn voor de juiste werking ervan. Houd dus bij het kiezen van beveiligingssoftware altijd rekening met de kenmerken van uw apparaat.

Gedetailleerd videooverzicht van AVG Free

360 Totale veiligheid- modern gratis antivirus van Qihoo met volledige bescherming tegen alle soorten bedreigingen in realtime, Sandboxi virtuele omgeving met extra functies optimalisatie en reiniging van het systeem.

Qihoo introduceerde zijn krachtige product 360 Total Security, dat de vorige versie verving uitgebreide antivirussoftware 360 Internet Security heeft het ook verschillende antivirusprogramma's gebruikt om uw computer te beschermen, waaronder zijn eigen cloudgebaseerde programma's, die zichzelf hebben bewezen. In het nieuwe product is het aantal motoren vergroot naar vijf. Ze zijn allemaal betrouwbaar, krachtig en beproefd: QVM II (verantwoordelijk voor proactieve bescherming), 360 Cloud ( bescherming tegen de wolken), Systeemreparatie (analyse en herstel van systeemkwetsbaarheid), BitDefender, Avira AntiVir, de laatste twee kunnen naar wens worden in- en uitgeschakeld (ze zijn standaard uitgeschakeld na installatie). De belasting van het systeem is geoptimaliseerd, waardoor u nauwelijks merkt dat de antivirus actief is.

De prettige en gebruiksvriendelijke interface van 360 Total Security is geïmplementeerd Windows-stijl 8. Er mogen geen problemen zijn bij de bediening en het onderhoud, alles is intuïtief. Het scala aan mogelijke instellingen is ruim voldoende om de werking van de antivirus af te stemmen op uw eigen behoeften. Alles staat op zijn plaats en is gemakkelijk te vinden.

Het beschermingsniveau kan eenvoudig worden aangepast in het bijbehorende menu “Bescherming”, dat wordt opgeroepen door op het grote pictogram (waar staat “bescherming: aan”) en vervolgens op “Instellingen” te klikken. De gebruiker kan een niveau selecteren uit kant-en-klare regelsets of zijn eigen instellen, waarbij geselecteerde beveiligingsmodules worden in- of uitgeschakeld: of de antivirus-engines van BitDefender en Avira AntiVir moeten worden gebruikt, voorwaarden voor het scannen van bestanden (tijdens het opslaan of ook elke keer dat ze worden geopend), of u gedragsanalyse wilt gebruiken, bestanden wilt scannen bij het downloaden van internet, of de beveiliging wilt in- of uitschakelen bankverrichtingen en andere functies. De standaardmodus is gebalanceerd en biedt optimale belasting en bescherming.

Vanuit het instellingenmenu kunt u bovendien de plug-in 360 Web Threat Protection installeren, die kwaadaardige links en sites detecteert op basis van wolkenbasis links van het 360 Cloud Security Center. De webbeschermingsplug-in beschermt zeer goed tegen kwaadwillende, phishing (nep) en frauduleuze sites. In het menu Extra kunt u bovendien een firewall (firewall) GlassWire installeren, die betrouwbaar is en eenvoudig regels kan configureren, in tegenstelling tot andere firewalls die zijn ontworpen voor een goede gebruikersvoorbereiding. Je kunt daar ook een compressiemodule toevoegen systeembestanden, browserwebbeschermingsplug-in, een sandbox opzetten en systeemkwetsbaarheden oplossen.

Het heeft zijn eigen veilige virtuele omgeving - Sandbox, waarin je elk programma veilig kunt uitvoeren; overigens wordt Windows 8.1 ondersteund. Je kunt instellen dat het automatisch start bepaalde programma's in zo'n Sandbox-omgeving dat het op elk moment mogelijk is om alle sporen van de werking van een gevaarlijk programma te verwijderen, alsof het helemaal nooit is gelanceerd, aangezien Sandbox - geïsoleerde omgeving en werkt afzonderlijk van het hoofdsysteem, zonder er wijzigingen in aan te brengen.

U kunt programma's selectief in de sandbox starten vanuit het Explorer-contextmenu. U kunt programma's en al hun sandboxgegevens ook handmatig verwijderen of in overeenstemming met de regels in de Sandbox-instellingen, waarbij u bijvoorbeeld de sandbox automatisch leegmaakt bij opnieuw opstarten.

Een van de belangrijkste veranderingen in 360 Total Security is de toevoeging van een functie voor het opschonen en optimaliseren van het systeem, aldus ten minste voor zover dit nodig is om de computerbeveiliging te vergroten. Bovendien kunt u dankzij de reinigings- en versnellingsfunctie dit met één klik doen met de grootste knop in het hoofdprogrammavenster, of deze bewerkingen afzonderlijk opeenvolgend uitvoeren in de betreffende secties. Bijvoorbeeld het versnellen en optimaliseren van de systeemwerking:

Problemen met systeemkwetsbaarheden vinden en oplossen:

Bij het uitvoeren van dergelijke acties is het raadzaam goed te kijken naar wat daar wordt verwijderd of gecorrigeerd, om niet iets noodzakelijks te verwijderen.

U kunt de antivirus ook beheren via het contextmenu in het systeemvak (het pictogram op het paneel hieronder naast de klok).

360 Total Security is in de eerste plaats een uitstekende computerbeveiligingstool, een krachtige antivirusprogramma hoog niveau bescherming, gebaseerd op verschillende antivirusengines en webbeschermingsuitbreidingen, evenals een ingebouwde veilige virtuele Sandbox-sandboxomgeving. Met dit alles is het zeer eenvoudig te gebruiken en prettig om mee te werken.

Qihoo is begonnen met het uitbrengen van een lichtgewicht versie van de antivirus zonder optimalisatie- en versnellingselementen. Dit product bevat alleen antiviruscomponenten, dat wil zeggen alle antivirus-engines, inclusief BitDefender en Avira, evenals een sandbox. De Russischtalige interface wordt ook ondersteund. Veel mensen vinden de lichtere versie lekkerder.