Anti-virus scanners can be deliberately disabled, inadvertently disabled,
or simply slowed down to a point where the scanner becomes ineffective and
the primary function of the scanning host device is disrupted when a
suitably complex file is received by the scanning system for scanning.
Archive files pose particular problems for scanners, since archives may
contain very complex data structures, and require time consuming analysis.
Virus scanners typically scan each element of an archive. Some virus
scanners decompress each archive component for scanning. Virus developers
have taken advantage of this scanning approach by creating complex
archives designed to overwhelm a scanner, leaving a system unprotected or
in a denial of service state. To counter such measures, when an archive
(or other file) is passed to a scanner, various heuristics are applied to
the archive so as to determine a risk-based scanning priority for the
archive. Priorities can include normal priority, low priority for archives
having suspicious characteristics, and discard without scanning for
archives appearing to be constructed so as to overwhelm a scanner. Normal
priority scans can occur immediately, while low priority scans can be
relegated to only occurring while the scanning system is otherwise idle.
los exploradores del Contra-virus pueden ser deliberadamente lisiados, inhabilitado inadvertidamente, o retrasado simplemente a un punto donde el explorador llega a ser ineficaz y a la función primaria del dispositivo del anfitrión de la exploración se interrumpe cuando un archivo convenientemente complejo es recibido por el sistema de la exploración para la exploración. Los ficheros de archivo plantean los problemas particulares para los exploradores, puesto que los archivos pueden contener las estructuras de datos muy complejas, y requieren análisis desperdiciador de tiempo. Los exploradores del virus exploran típicamente cada elemento de un archivo. Algunos exploradores del virus descomprimen cada componente del archivo para la exploración. Los reveladores del virus se han aprovechado de este acercamiento de la exploración creando los archivos complejos diseñados para abrumar un explorador, dejando un sistema desprotegido o en una negación del estado del servicio. Para contradecir tales medidas, cuando el archivo (o el otro archivo) se pasa a un explorador, la varia heurística se aplica al archivo para determinar una prioridad de exploración riesgo-basada para el archivo. Las prioridades pueden incluir prioridad normal, la prioridad baja para los archivos que tienen características sospechosas, y el descarte sin la exploración para los archivos que aparecen ser construido para abrumar un explorador. Las exploraciones normales de la prioridad pueden ocurrir inmediatamente, mientras que las exploraciones bajas de la prioridad se pueden relegar solamente a ocurrir mientras que el sistema de exploración es de otra manera ocioso.
