Антивирус сторожа назначение и действие. Программы-ревизоры

Методы защиты.

Определение антивирусных программ и их классификация.

Каким бы ни был вирус, пользователю необходимо знать основ­ные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

Общие средства защиты информации, которые полезны также как и страховка от физической порчи дисков, неправильно работа­ющих программ или ошибочных действий пользователя;

Профилактические меры, позволяющие уменьшитьвероят­ность заражения вирусом;

Специализированные программы для защиты от вирусов. Имеются две основные разновидности общих средств защиты информации, обеспечивающие:

Копирование информации - создание копий файлов и сис­темных областей дисков;

Разграничение доступа, которое предотвращает несанкциони­рованное использование информации, в частности защиту от изме­нений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые по­зволяют обнаруживать и уничтожать вирусы. Такие программы на­зываются антивирусными. Различают следующие виды антивирус­ных программ:

Программы-детекторы;

Программы-доктора или фаги;

Программы-ревизоры;

Программы-фильтры;

Программы-вакцины или иммунизаторы.

Программы-детекторы осуществляют поиск характерного для конкретного вируса кода (сигнатуры) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в ис­ходное состояние. В начале своей работы фаги ищут вирусы в опе­ративной памяти, уничтожая их, и только затем переходят к «лече­нию» файлов. Среди фагов выделяют полифаги, т. е. програм­мы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Nor­ton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, програм­мы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Антивирусы-полифаги - наиболее распространенные средства по борьбе с вредоносными программами. Исторически они появи­лись первыми и до сих пор удерживают несомненное лидерство в этой области.

В основе работы полифагов стоит простой принцип - поиск в программах и документах знакомых участков вирусного кода (так называемых сигнатур вирусов). В общем случае сигнатура - это та­кая запись о вирусе, которая позволяет однозначно идентифициро­вать присутствие вирусного кода в программе или документе. Чаще всего сигнатура - это непосредственно участок вирусногокода или его контрольная сумма (дайджест).

Первоначально антивирусы-полифаги работали по очень про­стому принципу - осуществляли последовательный просмотр фай­лов на предмет нахождения в них вирусных программ. Если сигна­тура вируса была обнаружена, то производилась процедура удаления вирусного кода из тела программы или документа. Прежде чем на­чать проверку файлов, программа-фаг всегда проверяет оперативную память. Если в оперативной памяти оказывается вирус, то про­исходит его деактивация. Это вызвано тем, что зачастую вирусные программы производят заражение тех программ, которые запуска­ются или открываются в тот момент, когда вирус находится в актив­ной стадии (это связано со стремлением экономить на усилиях по поиску объектов заражения). Таким образом, если вирус останется активным в памяти, то тотальная проверка всех исполняемых фай­лов приведет к тотальному заражению системы.

В настоящее время вирусные программы значительно усложни­лись. Например, появились так называемые «stealth-вирусы». В основе их работы лежит тот факт, что операционная система при обращении к периферийным устройствам (в том числе и к жестким дискам) использует механизм прерываний. Здесь необходимо сде­лать небольшое отступление на тему «Как работает механизм пре­рываний». При возникновении прерывания управление передается специальной программе - «Обработчику прерываний». Эта про­грамма отвечает за ввод и вывод информации в/из периферийного устройства. Кроме того, прерывания делятся на уровни взаимодей­ствия с периферией (в нашем случае - с жесткими и гибкими дис­ками). Есть уровень операционной системы (в среде MS DOS - прерывание 25h), есть уровень базовой системы ввода/вывода (уровень BIOS - прерывание 13h). Опытные системные программисты могут работать и напрямую, обращаясь к портам ввода/вывода устройств. Но это довольно серьезная и трудная задача. Столь мно­гоуровневая система сделана, прежде всего, с целью сохранения пе­реносимости приложений. Именно благодаря такой системе, ска­жем, оказалось возможным осуществлять запуск DOS-приложений в многозадачных средах типа MS Windows или IBM OS/2.

Но в такой системе изначально скрыта и уязвимость: управляя обработчиком прерываний, можно управлять потоком информа­ции от периферийного устройства к пользователю. Stealth-вирусы, в частности, используют механизм перехвата управления при воз­никновении прерывания. Заменяя, оригинальный обработчик пре­рывания своим кодом, stealth-вирусы контролируют чтение дан­ных с диска.

В случае, если с диска читается зараженная программа, вирус «выкусывает» собственный код (обычно код не буквально «выкусы­вается», а происходит подмена номера читаемого сектора диска). В итоге пользователь получает для чтения «чистый» код. Таким об­разом, до тех пор, пока вектор обработчика прерываний изменен вирусным кодом, сам вирус активен в памяти компьютера, обнару­жить его простым чтением диска средствами операционной систе­мы невозможно. Схожий механизм маскировки используется и за­грузочными вирусами, о которых будет сказано дальше. В целях борьбы со stealth-вирусами ранее рекомендовалось (и, в принципе, рекомендуется и сейчас) осуществлять альтернативную загрузку си­стемы с гибкого диска и только после этого проводить поиск и уда­ление вирусных программ. В настоящее время загрузка с гибкого диска может оказаться проблематичной (для случая с Win32 - ан­тивирусными приложениями запустить их не удастся). Ввиду всего вышесказанного, антивирусы-полифаги оказываются максимально эффективными только при борьбе с уже известными вирусами, то есть с такими, чьи сигнатуры и методы поведения знакомы разра­ботчикам.

Только в этом случае вирус со 100%-ной точностью будет обна­ружен и удален из памяти компьютера, а потом - и из всех прове­ряемых файлов. Если же вирус неизвестен, то он может достаточно успешно противостоять попыткам его обнаружения и лечения. По­этому главное при пользовании любым полифагом - как можно чаще обновлять версии программы и вирусные базы.

Особняком тут стоят так называемые эвристические анализато­ры. Дело в том, что существует большое количество вирусов, алго­ритм которых практически скопирован с алгоритма других вирусов.

Как правило, такие вариации создают непрофессиональные про­граммисты, которые по каким-то причинам решили написать вирус. Для борьбы с такими «копиями» и были придуманы эвристические анализаторы. С их помощью антивирус способен находить подоб­ные аналоги известных вирусов, сообщая пользователю, что у него, похоже, завелся вирус. Естественно, надежность эвристического анализатора не 100 %, но все же его коэффициент полезного дейст­вия больше 50 %. Вирусы, которые не распознаются антивирусны­ми детекторами, способны написать только наиболее опытные и квалифицированные программисты.

Эвристическим анализатором кода называется набор подпрог­рамм, анализирующих код исполняемых файлов, памяти или загру­зочных секторов для обнаружения в нем разных типов компьютер­ных вирусов. Основной частью эвристического анализатора являет­ся эмулятор кода. Эмулятор кода работает в режиме просмотра, то есть его основная задача - не выполнять код, а выявлять в нем все­возможные события, т. е. совокупность кода или вызов определен­ной функции операционной системы, направленные на преобразо­вание системных данных, работу с файлами, или обнаруживать час­то используемые вирусные конструкции. Грубо говоря, эмулятор просматривает код программы и выявляет те действия, которые эта программа совершает. Если действия этой программы укладываются в какую-то определенную схему, то делается вывод о наличии в программе вирусного кода.

Конечно, вероятность, как пропуска, так и ложного срабатыва­ния весьма высока. Однако, правильно используя механизм эвристи­ки, пользователь может самостоятельно прийти к верным выводам. Например, если антивирус выдает сообщение о подозрении на ви­рус для единичного файла, то вероятность ложного срабатывания весьма высока. Если же такое повторяется на многих файлах (а до этого антивирус ничего подозрительного в этих файлах не обнару­живал), то можно говорить о заражении системы вирусом с вероят­ностью, близкой к 100 %. Наиболее мощным эвристическим анали­затором в настоящее время обладает антивирус Dr.Web.

Использование эвристического анализатора, помимо всего вы­шеперечисленного, позволяет также бороться с вирус-генераторами и полиморфными вирусами.

Классический метод определения вирусов по сигнатуре в этом "случае вообще оказывается неэффективен. Вирус-генераторы - это специализированный набор библиотек, который позволяет пользо­вателю легко сконструировать свой собственный вирус, даже имея слабые познания в программировании. К написанной программе, подключаются библиотеки генератора, вставляются в нужных мес­тах вызовы внешних процедур - и вот элементарный вирус превра­тился в достаточно сложный продукт. Самое печальное, что в этом случае сигнатура вируса будет каждый раз другая, поэтому отследить вирус оказывается возможным только по характерным вызовам внешних процедур - а это уже работа эвристического анализатора. Полиморфный вирус имеет еще более сложную структуру. Само тело вируса видоизменяется от заражения к заражению, при этом сохраняя свое функциональное наполнение.

В простейшем случае - если разбросать в теле вируса случай­ным образом ничего не исполняющие, пустые операторы (типа «mov ax, ax» или «пор»), то тело вирусного кода претерпит значи­тельные изменения, а алгоритм останется прежним. В этом случае на помощь также приходит эвристический анализатор.

По всей видимости, многие пользователи современных компьютерных систем слышали или знают, что существуют так называемые программы-детекторы. Что они собой представляют, понять несложно, если просто обратиться к переводу или к трактовке английского слова detect, которое дословно означает «обнаруживать». В связи с этим и возникают вопросы по поводу того, а что же такие программы должны выявлять. В большинстве случаев почему-то такие приложения относят к области защиты компьютерных систем от вирусов, хотя на самом деле в категорию программ-детекторов совершенно логично можно было бы включить, например, утилиты для поиска ошибок в операционных системах или на жестких дисках. Как уже понятно, область применения таких утилит достаточно широка, но, поскольку в данный момент речь идет именно о компьютерной безопасности, рассматривать будем именно такие программы.

Классификация антивирусов: программы-детекторы

Да, действительно, в области защиты компьютерных систем противодействие разного рода вирусам, коих со времен их появления день ото дня становится все больше и больше, занимает одно из первых мест. И эти угрозы как-то надо выявлять (на стадии проникновения в систему, в уже зараженной системе и т. д.) и нейтрализовать, если это, конечно, возможно.

Как раз для обнаружения вирусных апплетов и были в свое время разработаны специальные средства, которые сегодня принято называть программами-детекторами. Но по каким принципам работают такие приложения и как именно они обнаруживают вирусные угрозы?

Назначение антивирусных программ-детекторов и основные свойства

Вообще, исходя из первоначального предназначения и самых первых разработок таких утилит, нетрудно догадаться, что они должны использоваться исключительно для поиска угроз, но не для предотвращения их проникновения в компьютерные системы или для нейтрализации. Первые программные продукты такого типа действительно умели только выявлять разного рода исполняемые коды, которые могли находиться в теле вируса, но чуть позже программы, если хотите, «поумнели» и стали способны определять зараженные вирусами файлы, что предопределило и появление их классификации.

Так, сегодня, если рассматривать такие апплеты, так сказать, в чистом виде, принято различать универсальные и специализированные детекторы. Первые определяют заражение по критерию неизменности файлов, что достигается за счет сравнения контрольных сумм до и после заражения. Вторые находят вирусы по известным им сигнатурам, то есть могут выявлять только те угрозы, которые содержатся в соответствующих базах данных. Со временем в таких программах начал активно применяться метод эвристического и поведенческого анализа, а затем сами приложения стали настолько универсальными, что отнести их к какой-то одной категории антивирусного программного обеспечения стало просто невозможно.

Совмещаемые функции

Дело в том, что современные уже не используются только в качестве инструмента для выявления угроз по типу самых обычных сканеров. Как говорят врачи, болезнь легче предотвратить, чем лечить. В равной степени это относится и к антивирусным программам. Таким образом, современные детекторы играют еще и роль, если так можно выразиться, защитного барьера на входе, а большинство (если не все абсолютно) совмещает в себе еще и функции программ-докторов, которые используются и для лечения зараженных объектов, и для нейтрализации причины заражения, если это возможно.

Если приводить примеры программ-детекторов, в большинстве своем они представлены в виде портативных утилит, что позволяет запускать их одноразово и со съемных носителей информации, избегая при этом заражения, которому программа могла бы подвергнуться, если бы была установлена в качестве штатного средства в компьютерной системе. Самыми известными и наиболее мощными принято считать портативные антивирусные сканеры Kaspersky Virus Removal Tool и Dr. Web CureIt!.

Однако их нередко дополняют проверками при помощи специализированных утилит вроде AdwCleaner, которые большей частью ориентированы на рекламные вирусы и угонщики браузеров группы Hijackers.

Как правильно использовать утилиты для обнаружения вирусов?

Собственно, вопросы использования таких программ понятны любому пользователю. Правда, в зависимости от присутствующих в утилитах настроек применяются разные параметры.

Однако, как считается, если у вас есть подозрение на присутствие в системе вирусов, необходимо задавать сканирование абсолютно всех объектов, которые могут быть представлены в списке самой программы, включая системные и скрытые области. Кроме того, если есть такой параметр, необходимо задавать углубленное сканирование, а не проверку типа S.M.A.R.T. Она, хотя и относится к так называемому «умному» обнаружению вирусов, тем не менее проверяет в основном только загрузочные секторы жесткого диска и компоненты, отвечающие за работу операционной системы непосредственно.

Мобильные антивирусные инструменты

Что же касается установки программ-детекторов на «Андроид», тут нет ничего особо сложного («яблочные» системы не рассматриваем, поскольку для них до недавнего времени и вирусов-то не было). Если внимательно посмотреть даже на те апплеты, которые предлагаются для установки из хранилища Google Play (он же Paly Market), нетрудно заметить, что большинство антивирусных апплетов просто представлено мобильными версиями стационарных сканеров. В большинстве случаев набор инструментов или функциональность сопоставимы со стационарными программами, хотя сканирование может производиться и несколько другим способом. Это и понятно, ведь в Windows и Android разные системные файлы и разделы. Но в общем трудностей быть не должно.

Послесловие

Вот вкратце и все, что касается программ для обнаружения вирусных угроз в разных системах. Если подвести некий итог, в качестве главного вывода следует отметить то, что современные программы этого типа уже не относятся только к средствам детектирования, а обладают куда большими возможностями.

Для обнаружения, удаления и защиты от компьютерных вирусов существует несколько разновидностей программ. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

1. вакцины;

2. детекторы;

3. ревизоры;

4. сторожа;

5. мониторы;

6. полифаги;

7. эвристические анализаторы.

В последнее время, разработчики антивирусных программ, предлагают пользователям комплексные решения, которые включают в себя большую часть или даже все вышеуказанные программы.

Вакцины – это программы, предназначенные для предотвращения заражения файлов от какого-либо одного, конкретного вируса. Вакцины применяются, если отсутствуют программы, могущие обезвредить данный вирус. Вакцинация возможна только от известных вирусов, которые можно обнаружить, но по какой-либо причине невозможно обезвредить. Программа-вакцина модифицирует защищаемую программу или диск таким образом, чтобы это не отражалось на их работе, но при этом настоящий вирус считал защищаемую программу зараженной и поэтому не внедрялся в ее исполняемый код.

Действия программ-вакцин основано на одном из базовых свойств компьютерных вирусов, – не заражать повторно уже инфицированную программу. Для этих целей, при заражении программ, вирусы используют так называемую «черную метку», которая бы позволяла отличать уже инфицированные программы от неинфицированных. Это может быть, например, установка времени создания файла в 24 часа 1 минуту и 62 секунды. Т.к. нормальные программы не могут иметь подобного времени создания, то, обнаружив, что файл создан в это время, вирус считает, что он заражен и не пытается инфицировать его повторно.

Таким образом, программа вакцина просто создает «черную метку» конкретного вируса на защищаемой программе, не изменяя её исполняемого кода, а вирус, обнаруживая такую метку, уже не пытается заразить данный файл.

«Детекторы» или «сканеры» - это программы, которые осуществляют поиск характерной для конкретного вируса сигнатуры, в оперативной памяти компьютера или в файлах на жестком диске, и при обнаружении, выдают соответствующее сообщение. Недостатком этого класса антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам.

«Ревизоры» - это программы, которые относятся к самым надёжным средствам защиты от вирусов.

Заражая компьютер, вирус делает изменения на жестком диске: дописывает свой код в заражаемый файл, изменяет системные области диска и т.д. На обнаружении таких изменений основывается работа антивирусных программ, называемых «ревизорами».

Они построены на принципе, обратном принципу построения сканеров. Ревизоры не знают в лицо конкретные вирусы, но они запоминают информацию о каждом конкретном логическом диске и по изменению этой информации, позволяют надежно обнаруживать как известные, так и новые, неизвестные вирусы.

В случае обнаружения изменения сведений об имеющихся на диске данных, вся соответствующая информация об измененном объекте предоставляется пользователю. А тот уже сам должен принять решение: стоит ли, например, проверять данный файл на вирус (если это исполняемый файл) или проигнорировать сообщение, если файл изменялся самим пользователем.

Как правило, сравнение состояний производится сразу после загрузки операционной системы. При сравнении проверяются длина файла, его контрольная сумма, дата и время модификации, и некоторые другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, позволяющие обнаруживать даже вирусы таких классов как «стелс» - вирусы и «полиморфные» вирусы, а некоторые даже могут восстановить исходную версию проверяемой программы, удалив изменения, внесенные вирусом.

Преимуществом ревизоров являются – высочайшая скорость проверки дисков (во много десятков раз превышающая скорость работы сканеров) и высокая надежность обнаружения даже неизвестных вирусов.

«Сторожа» - это небольшие резидентные программы, предназначенные для обнаружения подозрительных действий, возникающих при работе пользователя на компьютере, и характерных для вирусов. К числу таких действий могут относиться:

1. попытки коррекции файлов с расширениями COM, EXE, DLL и т.д., обычно неизменяемых;

2. изменение атрибутов файла;

4. запись в загрузочные сектора диска;

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие.

Одним из самых крупных недостатков программ этого класса является то, что при неправильной (а иногда даже и при правильной) настройке, они буквально «засыпают» пользователя предупреждениями, в результате чего их обычно отключают.

«Мониторы» (или программы-фильтры) – это антивирусные программы, основанные по принципу полифага, и использующие для обнаружения вирусов базу данных их сигнатур. Антивирусный монитор располагается резидентно в памяти компьютера, и проверяет на наличие вирусов только те программы, над которыми производит какие-либо манипуляции пользователь, или операционная система.

Обычно антивирусные мониторы проверяют все файлы, над которыми производятся следующие манипуляции:

1. запуск программы на выполнение;

2. изменение атрибутов файла;

3. открытие документ (Microsoft Office);

4. копирование или перемещение файла;

5. редактирование файла;

Программы-фильтры являются полезными с той точки зрения, что помогают пользователю обнаружить вирус на самой ранней стадии его существования, еще до того момента, когда распространение вируса примет характер эпидемии.

«Полифаги» - это программы, которые способны благополучно удалить вирус и восстановить работоспособность испорченных программ.

Для каждого вируса, путем анализа его кода, способов заражения файлов и т.д. выделяется некоторая, характерная только для него, последовательность байт. Эта последовательность называется сигнатурой данного вируса. Поиск вирусов, в простейшем случае, сводится к поиску их сигнатур. После обнаружения вируса в теле программы (или загрузочного сектора, который тоже, впрочем, содержит программу начальной загрузки), полифаг обезвреживает его. Для этого разработчики антивирусных средств тщательно изучают работу каждого конкретного вируса: что он портит, как он портит, где он прячет то, что испортит и т.д.

Сканирование является наиболее традиционным методом поиска вирусов. Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Вирусные базы современных сканеров содержат более 40000 масок вирусов.

Недостатком простых сканеров является их неспособность обнаруживать «полиморфные» вирусы, полностью меняющие свой код. Современные полифаги используют другие методы поиска вирусов. Для этого они используют более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-полифаги быстро устаревают, и требуется регулярное обновление версий баз данных, содержащих сигнатуры вновь появившихся вирусов. Как результат, сканеры устаревают уже в момент выхода новой версии.

Эвристические анализаторы – программы, выполняющие под своим контролем, проверяемые программы и обнаруживающие действия, характерные для вирусов. Благодаря этому эвристические анализаторы способны находить «полиморфные» вирусы также легко, как и обычные вирусы, не использующие механизма маскировки, кроме того, они могут обнаруживать вирусы, ранее неизвестные авторам антивирусной программы.

Для выявления указанных маскирующихся вирусов используются специальные методы. К ним можно отнести метод эмуляции процессора. Метод заключается в имитации выполнения процессором программы и подсовывания вирусу фиктивных управляющих ресурсов. Обманутый таким образом вирус, находящийся под контролем антивирусной программы, расшифровывает свой код. После этого, сканер сравнивает расшифрованный код с кодами из своей базы данных сканирования.

На сегодняшний день перечень доступных антивирусных программ весьма обширен. Они различаются как по цене (от весьма дорогих до абсолютно бесплатных), так и по своим функциональным возможностям. Наиболее мощные (и, как правило, более дорогие) антивирусные программы представляют собой пакеты специализированных утилит , способных при совместном их использовании поставить заслон практически любому виду вредоносных программ.

Типовой перечень функций, которые способны выполнять антивирусные программы:

Сканирование памяти и содержимого дисков по расписанию;

Сканирование памяти компьютера, а также записываемых и читаемых файлов в реальном режиме времени с помощью резидентного модуля;

Выборочное сканирование файлов с измененными атрибутами;

Распознавание поведения, характерного для компьютерных вирусов;

Блокировка и/или удаление выявленных вирусов;

Восстановление зараженных информационных объектов;

Принудительная проверка подключенных к корпоративной сети компьютеров;

Удаленное обновление антивирусного программного обеспечения и баз данных с информацией о вирусах, в том числе автоматическое обновление баз данных по вирусам через Интернет;

Фильтрация трафика Интернета на предмет выявления вирусов в передаваемых программах и документах;

Выявление потенциально опасных Jаvа-апплетов и модулей АсtivеХ;

Ведение протоколов, содержащих информацию о событиях, касающихся антивирусной защиты.

К наиболее мощным и популярным на сегодняшний день в России антивирусным пакетам относятся:

- Dосtоr Wеb (в документации часто именуется более кратко - Dr Wеb) программа российской компании;

- Антивирус Касперского (в документации именуется более кратко - АVР) разработка еще одной российской фирмы

Nоrtоn АntiVirus корпорации Simаntес;

МсАfее VirusScаn компании Nеtwоrk Аssосiаtеs;

Раndа АntiVirus.

Nоd32 АntiVirus.

Популярность перечисленных выше пакетов обусловлена прежде всего тем, что в них реализован комплексный подход к борьбе с вредоносными программами. То есть, установив такой пакет вы избавляетесь от необходимости использовать какие-либо дополнительные антивирусные средства.

Последние версии антивирусных пакетов содержат в своем составе также средства борьбы с вредоносными программами, проникающими из сети (в первую очередь из Интернета). Так какие же, собственно, существуют технологии выявления и нейтрализации компьютерных вирусов?

Специалисты в области антивирусной защиты выделяют пять типов антивирусов реализующих соответствующие технологии: сканеры, мониторы, ревизоры изменений, иммунизаторы и поведенческие блокираторы.

Сканер

Принцип работы антивирусного сканера состоит в том, что он просматривает файлы, оперативную память и загрузочные секторы дисков на предмет наличия вирусных масок, то есть уникального программного кода вируса. Вирусные маски (описания) известных вирусов содержатся в антивирусной базе данных сканера, и если он встречает программный код, совпадающий с одним из этих описаний, то выдает сообщение об обнаружении соответствующего вируса.

Программы-детекторы

Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти, на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные. Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.

Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы. Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора (фаги)

Программы-доктора не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги , т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

Т.к. постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

Программы-ревизоры

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем по желанию пользователя или периодически сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.

Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс- вирусы и могут даже отличить изменения версии проверяемой программы от изменений внесенных вирусом.

Программы-филътры (сторожа)

Программы-фильтры представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов.

Такими действиями могут являться:

Попытки коррекции файлов с расширениями СОМ и ЕХЕ;

Изменения атрибутов файлов;

Прямая запись на диск по абсолютному адресу;

Запись в загрузочные сектора диска;

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуются другие программы, например фаги. К недостаткам программ-сторожей можно отнести их назойливость (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим ПО.

Вакцины (иммунизаторы)

Вакцины - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

1. Признаки заражения компьютера?

2. Косвенные признаки заражения компьютера?

3. Действия при появлении признаков заражения вредоносной программой?

4. Источники компьютерных вирусов?

5. Глобальные сети и электронная почта как источник компьютерных вирусов?

6. Электронные конференции как источник компьютерных вирусов?

7. Локальные сети как источник компьютерных вирусов?

8. Пиратское программное обеспечение как источник компьютерных вирусов?

9. Компьютеры общего пользования как источник компьютерных вирусов?

10. Ремонтные службы как источник компьютерных вирусов?

11. Основные правила защиты от компьютерных вирусов?

12. Антивирусные программы?

13. Виды антивирусных программ?

14. Типовой перечень функций, которые способны выполнять антивирусные программы?

15. К наиболее мощным и популярным на сегодняшний день в России антивирусным пакетам относятся?

16. Принцип работы антивирусного сканера?

17. Принцип работы антивирусных программ-детекторов?

18. Принцип работы антивирусных программ-докторов (фагов)?

19. Принцип работы антивирусных программ-ревизоров?

20. Принцип работы антивирусных программ-фильтров (сторожей)?

21. Принцип работы вакцинаторов (иммунизаторов)?

Антивирусные программы делятся на: программы-детекторы, программы-доктора, программы-ревизоры, программы-фильтры, программы-вакцины.

· Программы-детекторы. Их назначение – лишь обнаружить вирус. Детекторы вирусов могут обнаружить загрузочные вирусы в загрузочных секторах дискет, выполнять сканирование файлов на магнитных дисках, а также поступающие по электронной почте сообщения (файлы) с целью обнаружения сигнатур известных вирусов. После выявления вируса детектор предлагает перейти к полному сканированию дисков и «лечению» зараженных файлов. Такие программы в чистом виде в настоящее время редки, но функция детектирования вирусов в фоновом режиме имеется практически во всех комплексных антивирусных программах.

Различают детекторы универсальные и специализированные.

· Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.

· Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.

Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором .

Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

· Программы-доктора (фаги). Фаг – это программа, которая способна не только обнаружить, но и уничтожить вирус, т.е. удалить его код из зараженных файлов и восстановить их работоспособность.

Очень мощными и эффективными антивирусными средствами являются фаги Doctor Web (созданный И. Даниловым) и KAV (автор Е. Касперский).

Детекторы этих фагов не просто сканируют файлы в поисках одной из известных вирусных сигнатур, но и реализуют эвристический метод поиска вирусов, могут находить и обезвреживать так называемые полиморфные вирусы, проверять файлы, находящиеся в архивах. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

· Программы-ревизоры. Программа-ревизор контролирует возможные пути распространения программ-вирусов и заражения компьютеров. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры основаны на средствах, позволяющих следить за целостностью и изменениями файлов и системных областей магнитных дисков, передачу информации компьютером в интернет.

Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс - вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом.

· Программы - фильтры (сторожа). Сторож – это резидентная программа, постоянно находящаяся в памяти компьютера, контролирующая операции компьютера.Предназначена для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

· Попытки коррекции файлов с расширениями СОМ и ЕХЕ;

· Изменение атрибутов файлов;

· Прямая запись на диск по абсолютному адресу;

· Запись в загрузочные сектора диска.

При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

· Вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов.

Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.