Принцип работы технологии iChecker:
При первой проверке объекта запоминается его контрольная сумма.
Контрольная сумма - это уникальная цифровая подпись объекта (файла), позволяющая распознать подлинность этого объекта(файла).
Контрольная сумма меняется при любом изменении объекта. Эта информация сохраняется в специальную таблицу. При последующей проверке объекта сверяется предыдущая контрольная сумма с текущей. Если она была изменена, значит объект был изменен и будет проверен повторно на наличие вредоносного кода. Если нет, то объект пропускается.Преимущества технологии iChecker:
- Если объект был проверен, то его копия распознается в любой другой папке, почтовом сообщении или архиве.
- Позволяет работать не только с объектами на носителях, но и с объектами автозагрузки, вложениями почтовых сообщений и т.п.
- Использует возможности операционной системы Windows для оптимизации и улучшения скорости при первой проверке объектов автозагрузки, при первом полном сканировании.
Ограничения технологии iChecker: - Технология не работает с файлами больших размеров, так как в таких случаях проверить весь файл быстрее, чем вычислять для него контрольные суммы.
- Технология поддерживает ограниченное число форматов (exe, dll, lnk, ttf, inf, sys, com, chm, zip, rar).
Источник: Технические статьи лаборатории Касперского
Дополнительная информация:
Алгоритмы оптимизации продуктов лаборатории Касперского
Стресс-тест антивирусов
статья "Вирусам придется нелегко"