Что такое сигнатура файла
Понятие «Магическое число» в программировании имеет три значения:
- Сигнатура данных
- Выделенные уникальные значения, которые не должны совпадать с другими значениями (например, UUID) [источник не указан 104 дня]
- Плохая практика программирования.
Информатика
-
— характеристическая часть определения функции в программировании. — характеристические особенности компьютерного вируса. — набор байтов, обеспечивающий идентификацию типа файла.
Содержание
Когда восстановление по сигнатурам не поможет?
- удаленные файлы были перезаписаны новыми данными;
- файлы были фрагментированы на диске;
- данные на диске были зашифрованы;
- файлы восстановлены корректно, но без информации о структуре папок и именах файлов, эти данные бессмысленны;
Данные на диске были зашифрованы
Здесь тоже все понятно: зашифрованные файлы с точки зрения любой внешней программы восстановления выглядят как бессмысленная “каша”, найти в ней какие-то разумные последовательности, в том числе сигнатуры файлов попросту невозможно. Вообще-то именно в этом и состоит смысл шифрования, - было бы странно если бы было иначе. А это значит, что восстановить зашифрованные данные можно только имея ключ, которым они были зашифрованы. Впрочем, тема шифрования, как и тема восстановления зашифрованных данных слишком обширна и не так однозначна, как может показаться на первый взгляд. Мы обязательно поднимем ее позже. Следите за новостями.
Полиграфия
Недостатки и достоинства синтаксических сигнатур
- Позволяют определять конкретную атаку с высокой точностью и малой долей ложных вызовов
- Неспособны выявить какие-либо новые атаки
- Беззащитны перед полиморфными вирусами и изменёнными версиями того же вируса
- Требуют регулярного и крайне оперативного обновления
- Требуют кропотливого ручного анализа вирусов
Метод эвристического сканирования призван улучшить способность сканеров применять сигнатуры и распознавать модифицированные вирусы в тех случаях, когда сигнатура совпадает с телом неизвестной программы не на 100%. [8] Данная технология, однако, применяется в современных программах очень осторожно, так как может повысить количество ложных срабатываний.
Файлы были фрагментированы на диске
Что значит “фрагментированы”? Такая ситуация возникает, когда диском или флэшкой активно пользуются (то есть почти всегда): записывают какие-то данные, потом удаляют ненужную или устаревшую информацию, затем снова записывают новые данные и так далее. В этом случае дисковое пространство становиться похоже на лоскутное одеяло: сначала идет часть с данными, потом пробелы, потом снова данные, снова пробелы из свободного пространства и так далее до конца диска. И если на диск нужно записать новый файл достаточно большого объема, то файловая система ищет на диске большую свободную область, и если весь файл туда не помещается, то записывает туда начало файла, затем дописывает оставшуюся часть (или части) в другую область диска. В этом случае один файл может быть разбит на несколько разных фрагментов, а информация о том, где какой фрагмент находится, хранится опять же в файловой системе (помните про оглавление книги), только теперь уже одному файлу соответствует не одна строчка в нашем оглавлении, а несколько, в зависимости от количества фрагментов, на которые он был разбит. И если этих записей больше нет в файловой системе, то никакой поиск не поможет восстановить файл целиком: ведь по сигнатуре мы можем определить только начало файла, а вот где находится его продолжение алгоритм уже не сумеет определить: эта информация хранится только в самой файловой системе и нигде больше ее нет. Поэтому восстановление файлов по сигнатурам не сработает в случае с фрагментированными файлами. Такие фалы либо вообще не будут открываться, либо будут “битыми” (поврежденными). Вот как выглядит такой “битый”, частично восстановленный файл, на примере все того-же jpeg:
Найдено только начало изображения, где находится его вторая половина - неизвестно.
Математика
-
— набор операций, предикатов и отношений, удовлетворяющих некоторой системе аксиом. — числовая характеристика квадратичной формы или псевдоевклидова пространства.
Магические числа и кроссплатформенность
Иногда магические числа вредят кроссплатформенности кода [1] . Дело в том, что в Си в 32- и 64-битных ОС гарантируется размер типов char , short и long long , в то время как размер int , long , size_t и ptrdiff_t может меняться (у первых двух — в зависимости от предпочтений разработчиков компилятора, у последних двух — в зависимости от разрядности целевой системы). В старом или неумело написанном коде могут встречаться «магические числа», означающие размер какого-либо типа — при переходе на машины с другой разрядностью они могут привести к трудноуловимым ошибкам.
Чтобы упростить понимание изложенной в этой статье информации, достаточно представить носитель (жесткий диск, флэшку или любой другой) как книгу с содержанием. То есть, на первых страницах этой книги есть оглавление, которое содержит в себе перечень всех разделов, подразделов и глав книги с указанием страниц, на которых они находятся. Идеология хранения цифровых данных точно такая же, только конкретная реализация зависит от файловой системы: NTFS, exFAT, HFS+, APFS и так далее. Содержание бумажной книги - аналог файловой системы цифрового носителя. Только в первом приближении, конечно. Если открыть любой исправный жесткий диск в проводнике Windows, мы увидим примерно такую картину:
Если развернуть любую из этих папок, то откроется ее содержимое:
Все, что мы видим в проводнике – имена файлов и папок, их размеры, дата создания и изменения, все эти сведения и хранятся в файловой системе, которую мы договорились называть “оглавлением”. Физически файловая система – это область диска, выделенная для хранения этих данных, которые ещё называют “метаданными”, то есть “данными о данных”. Когда мы удаляем файл или папку с жесткого диска, в файловой системе (оглавлении нашей книги) удаляется соответствующая запись (или просто помечается как удаленная), сами же данные при этом остаются на диске, но то место, которое они занимали теперь считается незанятым, а значит, когда мы будем записывать новые файлы, эта область диска может быть ими перезаписана. Именно поэтому после случайного удаления никогда не следует ничего записывать на диск или флэшку, ведь чем больше информации вы запишете на диск после случайного удаления файлов, тем больше вероятность, что старые данные будут перезаписаны новыми, и тогда восстанавливать уже будет нечего.
- случайное форматирование с последующей записью;
- физическое повреждение жесткого диска или флэшки, когда область диска с файловой системой не читается;
- воздействие вирусов, а как же без них!
Конечно, при восстановлении данных чаще всего стараются реанимировать файловую систему целиком, чтобы нужные файлы снова оказались разложены по тем же каталогам, где они лежали до сбоя. Но это не всегда возможно и тогда прибегают к “последнему шансу”: восстановлению данных по сигнатурам.
Как восстанавливают файлы по сигнатурам
Рассмотрим алгоритм восстановления данных на примере все того же формата jpeg - он наиболее удобен для понимания. Для примера смоделируем ситуацию случайного форматирования флэшки. Для начала я заполнил все сектора нашей подопытной флэшки нулями, чтобы гарантировать, что на ней не останется никаких данных от предыдущих файловых систем. Я сделал это “для чистоты эксперимента”, в реальной жизни все несколько сложнее, но об этом позже. Теперь все сектора флэшки содержат только нули, то есть на ней нет совсем никакой информации, включая файловую систему и даже таблица разделов отсутствует. Такая флэшка, если вставить ее в USB разъем компьютера, то операционная система предложит ее отформатировать:
А если открыть ее в оснастке “Управление дисками”, то мы увидим, что на ней нет файловой системы:
Компьютер воспринимает ее файловую систему как RAW, то есть “сырые данные”, а проще говоря, - их отсутствие в нашем случае. Теперь отформатируем флэшку в файловую систему NTFS и запишем на нее файлы jpeg:
Я создал на флэше одну папку с именем “Осень 2020” и записал в нее 129 файлов jpeg в среднем качестве: каждый файл занимает приблизительно 4-5 Мб дискового пространства. Если теперь еще раз отформатировать эту флэшку, то она будет отображаться в проводнике как пустой диск:
Мы смоделировали ситуацию случайного форматирования флэшки. Займемся восстановлением данных с нее. Вообще-то алгоритм восстановления данных по сигнатурам – самый простой из существующих, и он реализован в очень многих программах автоматического восстановления данных, в том числе бесплатных, но профессиональные лаборатории, конечно используют соответствующее их статусу оборудование и программное обеспечение. Мы воспользуемся программно-аппаратным комплексом PC3000 UDMA. Разумеется, функция поиска файлов по сигнатурам входит в его арсенал.
После создания задачи восстановления данных в комплексе PC-3000 мы увидим такую картину:
Во время последнего форматирования была создана новая файловая система NTFS, которая содержит служебные файлы, созданные ей самой. Эти файлы не отображаются в проводнике Windows, но они показаны в программе восстановления данных. Однако данных предыдущей файловой системы, конечно не видно. Проведем сканирование нашей флэшки поиском по сигнатурам:
Как видите, найдены все файлы, которые были на флэшке до форматирования: 129 файлов с расширением jpeg. Как программа находит файлы по сигнатурам? Она просто сканирует всю флэшку, начиная с нулевого сектора и ищет в начале каждого сектора соответствующую шестнадцатеричную последовательность. В нашем случае – это сигнатура jpeg файла FF D8 FF . Найдя такую последовательность в начале сектора алгоритм считает, что все, что следует дальше – это jpeg файл. Но нужно еще определить, где он заканчивается. В случае jpeg это не трудно – все jpeg файлы всегда заканчиваются последовательностью FF D9 , в чем легко убедиться, если открыть такой файл в шестнадцатеричном виде и посмотреть на два его последних байта:
Такую последовательность программа считает окончанием текущего файла. Осталось только сохранить в памяти смещение, по которому находится начало файла и его размер и можно двигаться дальше в поисках следующего. Итак, все файлы найдены и теперь их можно сохранить на диск (разумеется не на тот же, с которого мы восстанавливаем данные). После сохранения, зайдя в папку с восстановленными файлами, мы видим, что восстановление прошло корректно:
Но здесь мы обнаружим одну особенность: файлы имеют другие названия, а главное они все сложены в одну папку. Почему? Потому, что информация об именах файлов, каталогах в которых они хранились (и множество других атрибутов файлов), хранится только в файловой системе. А при поиске по сигнатурам эту информацию просто негде взять. Это один из существенных минусов способа чернового восстановления данных, но не единственный. Об остальных позже.
Стоит отметить, что jpeg – это, пожалуй, один из самых простых форматов для восстановления по сигнатурам, именно поэтому я взял его в качестве примера. Алгоритм восстановления файлов других форматов сложнее и имеет в каждом случае свои особенности: например, многие форматы файлов не имеют признака окончания файла. Тогда для определения последнего сектора файла используется либо начало следующего файла, либо размер определяется по метаданным, которые содержатся в самом файле. Более сложные алгоритмы восстановления данных учитывают все эти нюансы, которые у каждого типа файлов свои, их описание выходит за рамки этой статьи.
Итак, восстановить данные по сигнатурам несложно, это умеют делать многие программы автоматического восстановления, но в некоторых случаях не помогает даже такой метод, а в некоторых случаях такой метод хоть и восстанавливает данные, но без информации об их размещении он не имеет смысла. Рассмотрим эти случаи.
Смотреть что такое "Сигнатура" в других словарях:
СИГНАТУРА — (лат., от signum знак). 1) аптечный ярлык на стеклянках и коробках с лекарствами, выдаваемыми по рецепту, на которых пишется самый рецепт, а также имя больного и порядок приёма. 2) знак, буква, ставящаяся внизу на первой странице каждого печ.… … Словарь иностранных слов русского языка
СИГНАТУРА — СИГНАТУРА, сигнатуры, жен. 1. Обозначение в рецепте, как больной должен принимает данное лекарство (апт.). Название лекарства пишется по латыни, а сигнатура по русски. 2. Бумажный ярлычок с копией рецепта врача, прилагаемый аптекой к лекарству… … Толковый словарь Ушакова
сигнатура — нумерация, копия, сигнатурка, рецепт Словарь русских синонимов. сигнатура сущ., кол во синонимов: 6 • копия (41) • … Словарь синонимов
СИГНАТУРА — в медицине 1) часть рецепта с указанием способа употребления лекарства.2) Копия рецепта, прилагаемая к выданному аптекой лекарству … Большой Энциклопедический словарь
СИГНАТУРА — (средневековое лат. signatura знак от лат. signo указываю, обозначаю), в полиграфии последовательная нумерация печатного листа, проставляемая арабскими цифрами на 1 й и 3 й его полосах (в нижнем левом углу) … Большой Энциклопедический словарь
СИГНАТУРА — СИГНАТУРА, ы, жен. (спец.). Часть рецепта с указанием способа употребления лекарства, а также копия рецепта, прилагаемая аптекой к изготовленному лекарству. | уменьш. сигнатурка, и, жен. | прил. сигнатурный, ая, ое. Толковый словарь Ожегова. С.И … Толковый словарь Ожегова
СИГНАТУРА — (от лат. signatura обозначение). .1) Ярлык, укрепляемый на сосуде с лекарством и содержащий надпись, указывающую номер рецепта, дату его изготовления, фамилию б ного и врача, состав лекарства и подписи лиц, изготовивших и проверивших лекарство. € … Большая медицинская энциклопедия
сигнатура — Порядковый номер печатного листа, проставляемый перед нормой в левом углу нижнего поля первой страницы каждого печатного листа и повторяемый на третьей странице со звездочкой, набранной на верхнюю линию шрифта, уже без нормы. [ГОСТ Р 7.0.3 2006]… … Справочник технического переводчика
Сигнатура — порядковый номер печ. л., проставляемый перед нормой в нижнем поле первой страницы каждого печ. л. и повторяемый на третьей странице каждого л. со звездочкой, набранной на верхнюю линию шрифта, уже без нормы. С. служит для контроля за… … Издательский словарь-справочник
Сигнатура — (от лат. signatura обозначать, указывать) 1) порядковый номер печатного листа издания, проставляемый в левом нижнем углу на первой странице листа вместе с нормой и на третьей странице со звездочкой; 2) обозначение тетрадей в книжно журнальном… … Реклама и полиграфия
Обнаружение, основанное на сигнатурах — метод работы антивирусов и систем обнаружения вторжений, при котором программа, просматривая файл или пакет, обращается к словарю с известными вирусами, составленному авторами программы. В случае соответствия какого-либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в словаре, программа антивирус может заняться выполнением одного из следующих действий:
Для достижения достаточно продолжительного успеха, при использовании этого метода необходимо периодически пополнять словарь известных вирусов новыми определениями (в основном в онлайновом режиме). Обладающие чувством гражданского долга и технически искушённые пользователи, обнаружив «живьём» новый вирус, могут выслать заражённый файл разработчикам антивирусных программ, которые включат затем новый вирус в словарь.
Антивирусные программы, созданные на основе метода соответствия определению вирусов в словаре, обычно просматривают файлы тогда, когда компьютерная система создаёт, открывает, закрывает или посылает файлы по электронной почте. Таким образом, вирусы можно обнаружить сразу же после занесения их в компьютер и до того, как они смогут причинить какой-либо вред. Надо отметить, что системный администратор может составить график для антивирусной программы, согласно которому могут просматриваться (сканироваться) все файлы на жёстком диске.
Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части участки кода перезаписываются, модифицируются, шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.
Доступно одно описание одного из методов аппаратного сканирования по ссылке [1]. Оно заключается в попутном сканировании потока данных специальным устройством под названием контекстный сопроцессор.
Военное дело
- Сигнатура цели — набор характеристик отражённого целью сигнала, принятого средствами наблюдения.
Что такое сигнатура файла?
Как известно, данные в файлах хранятся в цифровом виде. Для того, чтобы отличить один тип файла от другого и придумана сигнатура, то есть подпись (разумеется, тоже цифровая). Она размещена в начале файла и является идентификатором типа файлов. Это проще показать, чем рассказать. Рассмотрим сигнатуру файла на примере распространенного формата для хранения фотографий jpeg. Если открыть любой файл jpeg в шестнадцатеричном редакторе, то мы увидим одну и ту же последовательность символов в одном и том же месте:
Последовательность FF D8 FF в начале первого сектора каждого файла - это и есть сигнатура: идентификатор файла, который означает, что это - именно jpeg файл.
Сигнатуры есть не у всех типов файлов: если, например, открыть в шестнадцатеричном редакторе текстовый файл (с расширением txt), то мы обнаружим, что там нет никакой сигнатуры: с самого первого байта начинается текст:
- avi (Audio Video Interleave video format): 52 49 46
- mp3 (MPEG-1 Layer 3 file): FF FB, FF F3, FF F2
- tiff (Tagged Image File Format): 49 49 2A 00
См. также
Список значений слова или словосочетания со ссылками на соответствующие статьи. Если вы попали сюда из другой статьи Википедии, пожалуйста, вернитесь и уточните ссылку так, чтобы она указывала на статью. |
Wikimedia Foundation . 2010 .
Удаленные файлы были перезаписаны новыми данными
Тут все просто. И проблема, конечно, не в алгоритме восстановления файлов, а в том, что нужных данных уже просто нет на диске – они перезаписаны новой информацией. В этом случае не поможет уже никто, что бы там не утверждали конспирологи и параноики. Впрочем, на эту тему мы еще напишем статью. Когда она будет готова, здесь появится ссылка.
Плохая практика программирования
Также «магическими числами» называют плохую практику программирования, когда в исходном тексте встречается числовое значение и неочевиден его смысл. Например, такой фрагмент, написанный на Java, будет плохим:
Тому, кто не писал программу, трудно понять, что такое 53, 320 или 240. Но если этот код переписать, всё становится на свои места.
Теперь понятно: этот код выводит в центр экрана спрайт — перекрестие прицела. В большинстве языков программирования все значения, используемые для таких констант, будут вычислены ещё на этапе компиляции и подставлены в места использования значений (свёртка констант). Поэтому такое изменение исходного текста не ухудшает быстродействие программы.
Кроме того, магические числа — потенциальный источник ошибок в программе:
- Если одно и то же магическое число используется в программе более одного раза (или потенциально может использоваться), то его изменение потребует правок каждого вхождения (вместо одной правки значения именованной константы). Если будут исправлены не все вхождения, возникнет как минимум одна ошибка.
- Как минимум в одном из вхождений магическое число может быть написано с ошибкой изначально, и это довольно сложно обнаружить.
- Магическое число может зависеть от неявного параметра или другого магического числа. Если эти зависимости, не выделенные явно, не будут удовлетворены, возникнет как минимум одна ошибка.
- При модификации вхождений одного магического числа можно ошибочно изменить другое магическое число, независимое, но имеющее то же числовое значение.
Требуется полноценное восстановление файловой системы
Часто бывает, что для получения доступа к данным недостаточно извлечь сами файлы, требуется еще и восстановление имен файлов и папок, в которых они были разложены. Например, это необходимо, если сами файлы были частью какого-то структурированного набора данных: базы 1С, коллекцией музыкальных сэмплов, и т.п. В этом случае требуется полноценное восстановление файловой системы со всей структурой папок, иначе программа не заработает, а сами данные будут бессмысленны для пользователя.
Резюмируя, можно сказать, что рассмотренный в этой статье метод восстановления данных по сигнатурам хорошо подходит для восстановления фотографий, а также небольших по объему медиа файлов или документов Office, но только тогда, когда они не фрагментированы и информация об их размещении не важна. Во всех остальных случаях метод чернового восстановления не дает качественного результата.
Ну а у меня на сегодня все. Берегите себя и свои данные! Автор: Вадим Шестернин aka WAIK. Лаборатория восстановления данных Advanced Group, Санкт-Петербург 11.09.2020.
Сигнатура — (лат. signature обозначать, указывать). Информатика Сигнатура функции характеристическая часть определения функции в программировании. Сигнатура атаки характеристические особенности компьютерного вируса. Сигнатура… … Википедия
Сигнатура атаки — У этого термина существуют и другие значения, см. Сигнатура. Сигнатура атаки (вируса) характерные признаки атаки или вируса, используемые для их обнаружения. Большинство современных антивирусов, сканеров уязвимостей и систем обнаружения вторжений … Википедия
VHD (формат файла) — Virtual hard disk Расширение файла: .vhd Сигнатура файла: conectix Разработчик: Connectix / Microsoft Тип формата: Образ диска Может содержать: Образ диска виртуальной машины Virtual Hard Disk (VHD) это … Википедия
TIFF — Tagged Image File Format Расширение .tiff, .tif MIME image/tiff, image/tiff fx Разработан Microsoft и Aldus, сейчас Adobe Systems Опубликован 1986 Тип формата растровая графика Развит в … Википедия
Магическое число (программирование) — У этого термина существуют и другие значения, см. Магическое число. Понятие «Магическое число» в программировании имеет два значения: первое второе Содержание 1 Сигнатура данных 2 Плохая практик … Википедия
Волшебное число — Понятие «Магическое число» в программировании имеет два значения: Содержание 1 Сигнатура данных 2 Плохая практика программирования … Википедия
Магическое число (компьютер) — Понятие «Магическое число» в программировании имеет два значения: Содержание 1 Сигнатура данных 2 Плохая практика программирования … Википедия
Portable Executable — Переносимый исполняемый файл Расширение .exe, .dll, .ocx, .sys, .scr, .drv, .cpl Сигнатура MZ (опционально), PE Разработан Microsoft Тип формата двоичный, исполняемый, объектный … Википедия
.WAD — Doom WAD Расширение .wad Разработан id Software Тип формата данные .WAD (происходит от англ. Where’s All the Data; слово wad также имеет самостоятельное значение «комок ваты») архивный формат файлов, который использовался в… … Википедия
Сигнатура (лат. signature — обозначать, указывать).
Сигнатура данных
Магическое число, или сигнатура, — целочисленная или текстовая константа, используемая для однозначной идентификации ресурса или данных. Такое число само по себе не несёт никакого смысла и может вызвать недоумение, встретившись в коде программы без соответствующего контекста или комментария, при этом попытка изменить его на другое, даже близкое по значению, может привести к абсолютно непредсказуемым последствиям. По этой причине подобные числа были иронично названы магическими. В настоящее время это название прочно закрепилось как термин. Например, любой откомпилированный класс языка Java начинается с шестнадцатеричного «магического числа» 0xCAFEBABE . Второй широко известный пример — любой исполняемый файл ОС Microsoft Windows с расширением .exe начинается с последовательности байт 0x4D5A (что соответствует ASCII-символам MZ — инициалы Марка Збиковски, одного из создателей MS-DOS). Менее известным примером является неинициализированный указатель в Microsoft Visual С++ (начиная с 2005 версии Microsoft Visual Studio), который в режиме отладки имеет адрес 0xDEADBEEF .
В UNIX-подобных операционных системах тип файла обычно определяется по сигнатуре файла, вне зависимости от расширения его названия. Для интерпретации сигнатуры файла в них предусматривается стандартная утилита file .
Полезное
Создание и распределение сигнатур
Сигнатуры антивирусов создаются в результате кропотливого анализа нескольких копий файла, принадлежащего одному вирусу. Сигнатура должна содержать только уникальные строки из этого файла, настолько характерные, чтобы гарантировать минимальную возможность ложного срабатывания — главный приоритет любой антивирусной компании.
Разработка сигнатур — ручной процесс, тяжело поддающийся автоматизации. Несмотря на массу исследований, посвящённых автоматической генерации сигнатур, [2] [3] нарастающий полиморфизм (и «метаморфизм») вирусов и атак делают синтаксические сигнатуры бессмысленными. Антивирусные компании вынуждены выпускать большое количество сигнатур для всех вариантов одного и того же вируса, и если бы не закон Мура, ни один современный компьютер уже не смог бы закончить сканирование большого числа файлов с такой массой сигнатур в разумное время. Так, в марте 2006 года сканеру Norton Antivirus было известно около 72 131 вирусов, а база программы содержала порядка 400 000 сигнатур. [4]
В нынешнем виде, базы сигнатур должны пополняться регулярно, так как большинство антивирусов не в состоянии обнаруживать новые вирусы самостоятельно. Любой владелец ПО, основанного на сигнатурах, обречён на регулярную зависимость от обновления сигнатур, что составляет основу бизнес-модели производителей антивирусов и СОВ.
Своевременная доставка новых сигнатур до пользователей также является серьёзной проблемой для производителей ПО. Современные вирусы и черви распространяются с такой скоростью, что к моменту выпуска сигнатуры и доставки её на компьютер пользователей, эпидемия уже может достигнуть своей высшей точки и охватить весь мир. По опубликованным данным, доставка сигнатуры занимает от 11 до 97 часов в зависимости от производителя, [5] в то время как теоретически, вирус может захватить весь интернет меньше, чем за 30 секунд. [6]
В большинстве ПО по безопасности база сигнатур является ядром продукта, наиболее трудоёмкой и ценной частью. Именно поэтому большинство вендоров предпочитает держать свои сигнатуры закрытыми — хотя и в этой области существует ряд открытого ПО (напр., ClamAV), а также исследования по обратной разработке закрытых сигнатур. [7] Virus Bulletin регулярно публиковал сигнатуры новых вирусов вплоть до 2000 года.
Проблемы разработки сигнатур и слабого распределения некоторых представителей вредоносного ПО приводят к тому, что разработанные в разных антивирусных компаниях сигнатуры содержат определения для разных подмножеств вирусов. Эту проблему можно устранить, разработав международный стандарт на описание антивирусных сигнатур, который будет содержать необходимую информацию для обнаружения, идентификации и устранения вредоносного ПО. Максимальный эффект от такого стандарта можно получить при реализации централизованной базы знаний по вредоносному ПО, в которую все антивирусные компании будут иметь право записи новых сигнатур (или изменение существующих). Но в таком централизованном хранилище (базе данных) каждая запись должна иметь цифровую подпись автора (конкретной компании), которая будет защищать конечных пользователей от атаки на локальную базу сигнатур путем отравления её содержимого. Так же при добавлении новых записей в центральное хранилище сигнатур должен изменяться рейтинг фирм производителей. Этот рейтинг сделает фирмы заинтересованными, так как их работу пользователь может напрямую оценивать.
Читайте также: