14.1.2. AV Engines and Components

Zamonaviy AV’ning asosida vendor’ning internetdagi signature database’dan olinadigan signature updates joylashgan. Ushbu signature definitions mahalliy AV signature database’da saqlanadi va u o‘z navbatida maxsus engine’larni ta'minlaydi.

Zamonaviy antivirus odatda quyidagi komponentlar atrofida ishlab chiqiladi:

File Engine
Memory Engine
Network Engine
Disassembler
Emulator/Sandbox
Browser Plugin
Machine Learning Engine

Yuqoridagi har bir engine signature database bilan birgalikda ishlaydi va muayyan voqealarni benign, malicious yoki unknown sifatida baholaydi.

File Engine rejalashtirilgan va real-time file scans uchun javobgardir. Engine rejalashtirilgan scan’ni amalga oshirganda, u butun file system’ni tahlil qiladi va har bir faylning metadata yoki ma'lumotlarini signature engine’ga yuboradi. Aksincha, real-time scans yangi fayl harakatlarini, masalan, veb-saytdan yangi malware yuklab olishni aniqlash va ularga reaksiya qilishni o‘z ichiga oladi. Bunday operatsiyalarni aniqlash uchun real-time scanner’lar maxsus ishlab chiqilgan mini-filter driver orqali kernel level’da voqealarni aniqlashi kerak. Shu sababli zamonaviy AV butun operating system doirasini tekshirish uchun ham kernel, ham user land’da ishlashi kerak.

Memory Engine har bir jarayonning memory space’ni runtime’da ma'lum binary signatures yoki memory injection attacks’ga olib kelishi mumkin bo‘lgan shubhali API calls uchun tekshiradi.

Nomidan ko‘rinib turganidek, Network Engine mahalliy network interface’dagi kiruvchi va chiquvchi network traffic’ni tekshiradi. Signature mos kelganda, network engine malware’ning Command and Control (C2) server bilan aloqasini to‘xtatishga harakat qilishi mumkin.

Aniqlashni qiyinlashtirish uchun malware ko‘pincha o‘z tabiatini yashirish uchun maxsus encryption va decryption routine’laridan foydalanadi. AV’lar bu strategiyaga qarshi disassembling malware packers yoki ciphers’ni amalga oshiradi va malware’ni sandbox yoki emulator’ga yuklaydi.

Disassembler engine machine code’ni assembly language’ga aylantirish, dastur kodining asl qismini qayta tiklash va har qanday encoding/decoding routine’ni aniqlash uchun javobgardir. Sandbox – bu AV dasturidagi maxsus izolyatsiya qilingan muhit bo‘lib, unda malware tizimga zarar yetkazmasdan xavfsiz yuklanadi va ishga tushiriladi. Malware unpack/decoded qilingan va emulator’da ishlayotgan bo‘lsa, u ma'lum signature’lar bilan sinchkovlik bilan tahlil qilinadi.

Brauzerlar sandbox bilan himoyalangan bo‘lsa-da, zamonaviy AV’lar ko‘pincha brauzer ichida ishga tushirilishi mumkin bo‘lgan malicious content’ni aniqlash va yaxshi ko‘rinishni ta'minlash uchun browser plugins’dan foydalanadi.

Bundan tashqari, machine learning komponenti hozirgi AV’larning muhim qismiga aylanmoqda, chunki u cloud-enhanced computing resources va algorithms’ga tayanib, unknown threats’ni aniqlash imkonini beradi.

1(Microsoft, 2022), https://docs.microsoft.com/en-us/windows-hardware/drivers/ifs/filter-manager-concepts [↩︎]

2(Wikipedia, 2022), https://en.wikipedia.org/wiki/Botnet#Command_and_control [↩︎]