Для обеспечения целостности файлов могут использоваться хеширование, электронно-цифровая подпись и отслеживание модификации файла по времени последнего изменения. Однако первые два метода являются слишком ресурсоемкими. Стандартная же реализация третьего метода слишком ненадежна – в последнее время многие вредоносные программы стали менять временные метки на более ранние с целью сокрытия факта реального изменения файлов.

Технология «Лаборатории Касперского», разработанная Михаилом Павлющиком, позволяет проверять целостность файлов достоверно, быстро и без значительных затрат ресурсов. Она основана на том, что специальный перехватчик получает запросы программ на изменение временных меток файла или группы файлов. Перехватчик отмечает такие запросы для каждого файла и хранит эту информацию в базе данных. Впоследствии эта информация передается специальному модулю, способному сравнивать показания счетчика обновлений временных меток и содержание этих меток. Изменение показания счетчика без изменения временной метки является сигналом о модификации файла и возможном его заражении. Антивирусная программа может инициировать сканирование файла на наличие вредоносного кода или вывод предупреждения пользователя об опасности.

Поделитесь материалом с коллегами и друзьями