Антивирус – это специализированное программное обеспечение, предназначенное для обнаружения вредоносного ПО и его последующего удаления. Механизм его работы довольно сложен, но, в общем случае, сводится к 2 методам: сигнатурный анализ и эвристический анализ.
Сигнатурный анализ представляет из себя поиск в скомпилированном приложении (исполняемом файле exe или dll) характерных участков кода и сравнением их с базой данных известных вирусных сигнатур. Обновления именно этих баз с определённой периодичностью скачивает антивирусное ПО со своих серверов. В случае обнаружения совпадения сканируемый объект признаётся вредоносным и к нему применяются соответствующие действия.
Эвристический анализ является гораздо более сложным программным механизмом. Антивирусное ПО загружает сканируемый объект в изолированное виртуальное окружение и наблюдает за его поведением. Кроме того, оно пытается понять логику работы исследуемого приложения, прибегая к методам «реверсивного инжиниринга», т.е. декомпиляции бинарного файла для его изучения.
В обоих случаях антивирусное ПО пытается получить доступ к исполняемому коду приложения и найти в нём признаки вредоносного кода, либо признаки внедрённого вредоносного кода.
Абсолютно такими же методами пользуются хакеры при взломе системы лицензирования приложения. Они декомпилируют и дезассемблируют исполняемые файлы, пытаясь понять логику работы системы защиты и обойти её.
Механизмы лицензирования системы БАЗИС используют различные методы противодействия декомпиляции модулей и изучения логики их работы. Таким образом компания «Базис-Центр» защищает свою интеллектуальную собственность от компьютерного пиратства и конкурентов. Очевидно, что данные механизмы защищают модули системы БАЗИС и от исследования антивирусным ПО. Какие же действия должен предпринять антивирус в случае, если он не может исследовать сканируемый объект?
Большинство антивирусных программ начинают бить тревогу, предупреждая пользователя о наличии опасности в исполняемом файле, либо сразу удаляют его, действия по принципу «лучше перебдеть, чем недобдеть». То есть они идентифицируют модули системы БАЗИС как потенциально опасные только потому, что не могут их исследовать. Антивирусы нередко ошибаются при сканировании исполняемых файлов других программ. Такие ошибки носят название «False Positive» или «Ложные Срабатывания».
Конечно, данное поведение антивирусного ПО доставляет большое количество неудобств пользователям системы БАЗИС, так как зачастую приходится добавлять директорию, в которую установлены модули, в список исключений антивируса, давая ему понять, что данные исполняемые файлы не представляют угрозы. С одной стороны, данная проблема связана исключительно с логикой работы антивирусного ПО, повлиять на которую компания «Базис-Центр» не в силах. С другой стороны, мы не можем остаться в стороне от проблем наших пользователей и потому используем несколько методов, «помогающих» антивирусам понять, что модули, входящие в комплект поставки САПР БАЗИС не несут в себе никакой скрытой угрозы.
Во-первых, мы применяем специальную систему маркировки приложений
IEEE Software Taggant. Компания «Базис-Центр» имеет свою
цифровую подпись, которой подписаны все модули системы БАЗИС. Антивирусное ПО должно учитывать наличие этой подписи у исполняемого файла, но зачастую оно этого не делает.
Во-вторых,
все модули системы БАЗИС подписаны стандартной цифровой подписью с помощью доверенного сертификата, находящегося на компьютере каждого пользователя. Проверить это легко, если открыть свойства исполняемого файла и зайти на вкладку "Цифровые подписи" :
Здесь так же есть информация о дате компиляции файла.
Наличие двух этих подписей гарантирует, что файл не был модифицирован и, в том числе, заражён вредоносным ПО. Если в исполняемом файле будет изменён хотя бы один бит, подпись автоматически перестанет быть валидной.
Кроме того, мы оперативно реагируем на сообщения пользователей о том, что какой-либо из антивирусов начал воспринимать наши исполняемые файлы как потенциальную угрозу и связываемся с разработчиком этого антивируса. Проблема в том, что они не спешат с ответом и зачастую принимают полумеры. Например, сами добавляют в свои базы исключения для конкретных версий наших модулей. Но с выходом новой версии проблема повторяется.
Ввиду отсутствия у компании «Базис-Центр» возможности прямого воздействия на разработчиков антивирусного ПО, единственным действенным способом остаётся добавление директории с модулями системы БАЗИС в список исключений из процесса сканирования и отправка образцов в антивирусные компании с пометкой «False Positive». Чем больше запросов от своих пользователей они получат, тем активнее будут предпринимать действия для исправления ситуации.