Методы обнаружения и защиты от вирусов

Методы и средства защиты от компьютерных вирусов

Программно-технические методы обнаружения вирусов

Основным средством борьбы с вирусами были и остаются антивирусные программы. Можно использовать антивирусные программы (антивирусы), не имея представления о том, как они устроены. Однако без понимания принципов устройства антивирусов, знания типов вирусов, а также способов их распространения, нельзя организовать надежную защиту компьютера. Как результат, компьютер может быть заражен, даже если на нем установлены антивирусы.

Сегодня используется несколько основополагающих методик обнаружения и защиты от вирусов:

· использование антивирусных мониторов;

· использование антивирусов, встроенных в BIOS компьютера.

Кроме того, практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов. Конечно, если это возможно.

Самая простая методика поиска вирусов заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

Антивирусные программы-сканеры способны найти только уже известные и изученные вирусы, для которых была определена сигнатура. Применение простых программ-сканеров не защищает Ваш компьютер от проникновения новых вирусов.

Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить сигнатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.

Эвристический анализ позволяет обнаруживать ранее неизвестные вирусы, причем для этого не надо предварительно собирать данные о файловой системе, как этого требует, например, рассмотренный ниже метод обнаружения изменений.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы.

Практически все современные антивирусные программы реализуют собственные методы эвристического анализа.

Когда антивирус обнаруживает зараженный файл, он обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале. В зависимости от настроек, антивирус может также направлять сообщение об обнаруженном вирусе администратору сети.

Если это возможно, антивирус вылечивает файл, восстанавливая его содержимое. В противном случае предлагается только одна возможность — удалить зараженный файл и затем восстановить его из резервной копии (если, конечно, она у Вас есть).

Существует еще целый класс антивирусных программ, которые постоянно находятся в памяти компьютера, и отслеживают все подозрительные действия, выполняемые другими программами. Такие программы носят название антивирусных мониторов или сторожей.

Монитор автоматически проверяет все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет или скопированные на жесткий диск с дискеты и компакт диска. Антивирусный монитор сообщит пользователю, если какая-либо программа попытается выполнить потенциально опасное действие.

Антивирусные программы, называемые ревизорами диска, не выполняют поиск вирусов по сигнатурам. Они запоминают предварительно характеристики всех областей диска, которые подвергаются нападению вируса, а затем периодически проверяют их (отсюда происходит название программы-ревизоры). Ревизор может найти изменения, сделанные известным или неизвестным вирусом.

Защита, встроенная в BIOS компьютера

В системные платы компьютеров тоже встраивают простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет. Если какая-либо программа попытается изменить содержимое загрузочных секторов, срабатывает защита и пользователь получает соответствующее предупреждение.

Однако эта защита не очень надежна. Существуют вирусы (например, Tchechen.1912 и 1914), которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки в энергонезависимой памяти (CMOS-памяти) компьютера.

Особенности защиты корпоративной интрасети

Корпоративня интрасеть может насчитывать сотни и тысячи компьютеров, играющих роль рабочих станций и серверов. Эта сеть обычно подключена к Интернету и в ней имеются почтовые серверы, серверы систем автоматизации документооборота, такие как Microsoft Exchange и Lotus Notes, а также нестандартные информационные системы.

Для надежной защиты корпоративной интрасети необходимо установить антивируы на все рабочие станции и серверы. При этом на файл-серверах, серверах электронной почты и серверах систем документооборота следует использовать специальное серверное антивирусное программное обеспечение. Что же касается рабочих станций, их можно защитить обычными антивирусными сканерами и мониторами.

Разработаны специальные антивирусные прокси-серверы и брандмауэры, сканирующие проходящий через них трафик и удаляющие из него вредоносные программные компоненты. Эти антивирусы часто применяются для защиты почтовых серверов и серверов систем документооборота.

Защита файловых серверов

Защита файловых серверов должна осуществляться с использованием антивирусных мониторов, способных автоматически проверять все файлы сервера, к которым идет обращение по сети. Антивирусы, предназначенные для защиты файловых серверов, выпускают все антивирусные компании, поэтому у Вас есть богатый выбор.

Защита почтовых серверов

Антивирусные мониторы неэффективны для обнаружения вирусов в почтовых сообщениях. Для этого необходимы специальные антивирусы, способные фильтровать трафик SMTP, POP3 и IMAP, исключая попадание зараженных сообщений на рабочие станции пользователей.

Для защиты почтовых серверов можно приобрести антивирусы, специально предназначенные для проверки почтового трафика, или подключить к почтовому серверу обычные антивирусы, допускающие работу в режиме командной строки.

Защита серверов систем документооборота

Серверы систем документооборота, такие как Microsoft Exchange и Lotus Notes, хранят документы в базах данных собственного формата. Поэтому использование обычных файловых сканеров для антивирусной проверки документов не даст никаких результатов.

Существует ряд антивирусных программ, специально предназначенных для антивирусной защиты подобных систем. Это Trend Micro ScanMail для Lotus Notes, McAfee GroupScan и McAfee GroupShield, Norton Antivirus для Lotus Notes, антивирус Касперского Business Optimal для MS Exchange Server и некоторые другие.

Эти программы сканируют почту и файлы вложений, удаляя в реальном времени все вредоносные программы, обнаруживают макрокомандные вирусы и троянские программы в формах и макросах, в файлах сценариев и в объектах OLE. Проверка выполняется в режиме реального времени, а также по требованию.

Защита нестандартных информационных систем

Для антивирусной защиты нестандартных информационных систем, хранящих данные в собственных форматах, необходимо либо встраивать антивирусное ядро в систему, либо подключать внешний сканер, работающий в режиме командной строки.

Здесь мы рассмотрим применяемые на сегодня методы обнаружения вирусов и других вредоносных программ:

  • сканирование;
  • эвристический анализ;
  • обнаружение изменений;
  • анализ сетевого трафика;
  • анализ баз данных почтовых программ;
  • обнаружение вирусов в системе автоматизации документооборота;
  • вакцинирование

Современные антивирусные программы реализуют многие из перечисленных выше методов. Далее мы расскажем об этих методах подробнее.

Сканирование

Исторически первые антивирусные программы использовали для обнаружения компьютерных вирусов метод сканирования.

При сканировании антивирусная программа просматривает содержимое файлов, расположенных на дисках компьютера, а также содержимое оперативной памяти компьютера с целью поиска вирусов.

При этом классическое сканирование предполагает поиск вредоносных программ по их сигнатурам, т.е. по последовательностям байтов данных, характерных для данных вирусов.

Метод сканирования позволяет обнаружить такие вредоносные программы, которые не используют для противодействия антивирусным программам шифрование своего программного кода, а также полиморфизм.

Метод сканирования не позволяет обнаружить полиморфные и шифрованные вирусы

Заметим, что антивирусные программы не в состоянии сканировать зашифрованные архивы и документы, если ей не известен пароль или ключ для расшифровки данных. Перед поиском вредоносных программ в таких архивах или документах пользователь должен их расшифровать.

Аналогично, сканер антивирусной программы не сможет получить доступ к файлам, хранящимся на шифрованных виртуальных дисках PGPDisk и аналогичных, если ей не известен пароль или ключ для расшифровки данных.

Метод сканирования не позволяет искать вирусы и другие вредоносные программы в зашифрованных файлах и архивах, а также на зашифрованных дисках

Перед сканированием таких дисков пользователь должен сам ввести всю необходимую парольную информацию.

Эвристический анализ

Как мы отметили выше, обычное сканирование не позволяет обнаруживать полиморфные и шифрующиеся вирусы. Кроме того, этот метод бессилен перед вредоносными программами, сигнатуры которых отсутствуют в базе данных антивируса, т.е. с новыми вирусами.

Сканирование не позволяет обнаружить полиморфные и шифрующиеся вирусы

Для устранения этого недостатка разработчики антивирусов создали новый метод обнаружения вредоносных программ с названием эвристический анализ.

При использовании этого метода антивирус контролирует все действия, которые может выполнить проверяемая программа. При этом отслеживаются потенциально опасные действия, характерные для вирусов.

Контролируя действия проверяемых программ, эвристический анализатор современных антивирусов способен обнаружить новые, неизвестные вирусы еще до того, как эти вирусы начали действовать.

Тем не менее, эвристический анализ не дает полной гарантии обнаружения любых новых вирусов.

Эвристический анализатор не позволяет гарантированно обнаруживать все новые вирусы. Кроме того, он иногда принимает за вредоносные обычные программы

Эвристический анализ отнимает немало процессорного времени. Поэтому, настраивая антивирусную программу, пользователь может отключить эвристический анализатор.

Учитывая, что без эвристического анализатора антивирусная программа не сможет обнаружить полиморфные и шифрующиеся, а также новые вирусы, такое отключение приведет к снижению надежности антивирусной защиты.

Современные антивирусные программы, работающие в режиме монитора, способны сканировать файлы, к которым выполняет обращение ОС и программы, запускаемые пользователем. Таким образом, сканируются все файлы, к которым происходит обращение.

Обнаружение изменений

Другой метод обнаружения вирусов и вредоносных программ различного типа основан на обнаружении изменений, вызываемых вирусами и вредоносными программами в файлах.

Программы, чья работа основана на обнаружении изменений, называются ревизорами диска.

Ревизоры диска позволяют обнаруживать новые вирусы, после того как они начали действовать

С помощью ревизора диска можно обнаружить любые изменения, сделанные в файлах компьютерными вирусами и другими вредоносными программами, а также пользователями.

Этот факт позволяет использовать ревизоры диска не только для защиты от вредоносных программ, но и для контроля целостности важных файлов и документов.

Заметим, что ревизоры диска малопригодны для обнаружения макрокомандных вирусов в файлах офисных документов, создаваемых такими программами, как Microsoft Word , Microsoft Excel и т.п.

Метод обнаружения изменений малоэффективен для обнаружения макрокомандных вирусов

Это связано с тем, что файлы офисных документов постоянно редактируются, вследствие чего они подвержены очень частым изменениям.

Ревизоры диска могут взаимодействовать с антивирусными программами, выполняющими сканирование и эвристический анализ.

Такая связка может ускорить антивирусную проверку файлов, если ревизор диска будет координировать свои действия с антивирусной программой. При этом ревизор находит изменившиеся файлы, а программа-антивирус выполняет их сканирование и анализ.

Ускорение происходит за счет того, что проверке подвергаются не все, а только изменившиеся файлы.

Анализ сетевого трафика

Следует отметить, что сегодня наибольшую угрозу представляют собой вирусы и другие вредоносные программы, распространяющиеся по каналам электронной почты. Это связано с популярностью электронной почты, которая проникла практически во все сферы деятельности человека.

Наиболее эффективной методикой обнаружения и нейтрализации вредоносных программ, распространяющихся по каналам электронной почты, является анализ трафика электронной почты непосредственно на почтовом сервере.

При этом антивирусные программы проверяют данные, проходящие через почтовый сервер, и удаляют из них вредоносные объекты еще до того, как они попадут на компьютер пользователя.

Антивирусы, работающие на почтовом сервере, сканирую трафик электронной почты, исключая распространение вредоносных программ вместе с почтовыми сообщениями

Для передачи сообщений электронной почты используются протоколы SMTP , POP 3 и IMAP . Специализированные антивирусы, работающие на почтовых серверах, способны анализировать потоки данных, передаваемые с использованием этих протоколов, предотвращая распространение вредоносных программных объектов через электронную почту.

Сканирование трафика электронной почты можно выполнять и на компьютере пользователя, блокируя проникновения вредоносных программных объектов в базы данных почтовых программ

Метод сканирования сетевого трафика может эффективно применяться не только для блокирования прохождения вредоносных программных объектов, но и для обнаружения попыток получения несанкционированного доступа к узлу сети.

При этом сканер, анализируя сетевой трафик, пытается обнаружить действия, характерные для атак на систему разграничения доступом, а также атак на другие критичные системы узла сети.

Анализ баз данных почтовых программ

Обычные антивирусные программы, предназначенные для сканирования файлов, оказываются малоэффективными для обнаружения почтовых вирусов.

Это связано с тем, что сообщения электронной почты хранятся не в виде отдельных файлов, а внутри базы данных сообщений почтовой программы. Поэтому антивирусная программа, не рассчитанная на сканирование содержимого таких баз данных, не сможет обнаружить вредоносные программные объекты внутри сообщений электронной почты.

И хотя можно создать такую антивирусную программу, которая будет способна сканировать содержимое баз данных наиболее популярных почтовых программ, это не решит всех проблем.

Затруднительно создать антивирус, способный сканировать содержимое баз данных любых почтовых программ

Таким образом, более предпочтительным способом борьбы с почтовыми вирусами является сканирование сетевого трафика на почтовом сервере или на компьютере пользователя.

Обнаружение вирусов в системе автоматизации документооборота

Системы автоматизации документооборота, такие как Microsoft Exchange и Lotus Notes , хранят документы и сообщения в базах данных собственного формата. Кроме этого, в таких системах имеется возможность программирования с использованием макрокоманд.

Вредоносные программный код может инфицировать сообщения, хранящиеся в базах данных систем автоматизации документооборота, в том числе с использованием внутреннего языка макрокоманд этих систем.

Обычные антивирусные программы, рассчитанные на проверку файлов, не могут быть использованы для защиты систем автоматизации документооборота, так как они не в состоянии проверять содержимое баз данных таких систем.

Для защиты систем документооборота нельзя использовать обычные антивирусные программы, рассчитанные только на проверку файлов

Однако в настоящее время многие антивирусные компании выпустили специальные версии антивирусных программ, способные проверять базы данных систем документооборота Microsoft Exchange и Lotus Notes . Без их применения защиту сервера системы автоматизации документооборота нельзя считать полной.

Помимо Microsoft Exchange и Lotus Notes существует немало менее известных информационных систем, хранящих документы в базах данных. Эти системы могут создаваться для использования только в отдельных компаниях или для решения каких-либо специфических задач.

Для защиты малораспространенных и уникальных информационных систем от вирусов и других вредоносных программ можно использовать встроенные антивирусы

Вакцинирование

На заре развития антивирусных программ использовался метод защиты от вирусов с названием вакцинирование.

При вакцинировании к защищаемой программе присоединяется специальный модуль контроля, следящий за ее целостностью. Этот модуль проверяет контрольную сумму программы или какие-либо другие ее характеристики.

Вакцинирование — малоэффективный способ защиты, основанный на присоединении к программам специального модуля. Этот модуль контролирует целостность файла программы

Заметим, что метод вакцинирования неэффективен, так как, например, не может защитить компьютер от стелс-вирусов.

Поэтому современные средства антивирусной защиты не применяют вакцинирование.

Итоги

На этом занятии мы рассмотрели все основные методы обнаружения компьютерных вирусов и других вредоносных программ, такие как сканирование, эвристический анализ, обнаружение изменений, анализ сетевого трафика, анализ баз данных почтовых программ и баз данных систем автоматизации документооборота, а также вакцинирование.

Мы отметили, что простейшее сканирование, выполняемое без эвристического анализа, не позволяет добиться высокой эффективности антивирусной защиты.

Метод обнаружения изменений пригоден для контроля целостности файлов, но малоэффективен для обнаружения макрокомандных вирусов.

Что касается почтовых вирусов, то для их обнаружения необходимо анализировать сетевой трафик. Это можно делать как на почтовом сервере, так и на компьютере пользователя.

Защита систем документооборота должна выполняться с применением специализированных или встраиваемых антивирусных средств.

Известны следующие методы обнаружения вирусов [55]:

  • сканирование;
  • обнаружение изменений;
  • эвристический анализ;
  • использование резидентных сторожей;
  • вакцинирование программ;
  • аппаратно-программная защита от вирусов.

Сканирование - один из самых простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса - сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Программы-сканеры часто могут удалять обнаруженные вирусы. Такие программы называются полифагами.

Метод сканирования применим для обнаружения вирусов, сигнатуры которых уже выделены и являются постоянными. Для эффективного использования метода необходимо регулярное обновление сведений о новых вирусах.

Самой известной программой-сканером в России является Aidstest Дмитрия Лозинского.

Метод обнаружения изменений базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ- ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков. По результатам ревизии программа выдает сведения о предположительном наличии вирусов.

Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров. Могут контролироваться также объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.

Главным достоинством метода является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов. Совершенные программы-ревизоры обнаруживают даже "стелс"-вирусы. Например, программа-ревизор Аdinf, разработанная Д. Ю Мостовым, работает с диском непосредственно по секторам через Bios. Это не позволяет использовать "стелс"-вирусам возможность перехвата прерываний и "подставки" для контроля нужной вирусу области памяти.

Имеются у этого метода и недостатки. С помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы будут обнаружены только после размножения в системе.

Программы-ревизоры непригодны для обнаружения заражения макровирусами, так как документы и таблицы очень часто изменяются.

Эвристический анализ сравнительно недавно начал использоваться для обнаружения вирусов. Как и метод обнаружения изменений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе.

Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя ОС. Эвристические анализаторы при обнаружении "подозрительных" команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами. Эвристический анализатор имеется, например, в антивирусной программе Doctor Web.

Метод использования резидентных сторожей основан на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ.

В случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т. п.) резидентный сторож выдает сообщение пользователю. Программа-сторож может загружать на выполнение другие антивирусные программы для проверки "подозрительных" программ, а также для контроля всех поступающих извне файлов (со сменных дисков, по сети).

Существенным недостатком данного метода является значительный процент ложных тревог, что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей. Примером резидентного сторожа может служить программа Vsafe, входящая в состав MS DOS.

Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением "стеле"- вирусов.

Самым надежным методом защиты от вирусов является использование аппаратно-программных антивирусных средств. В настоящее время для защиты ПЭВМ используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Таким образом, можно установить защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.

При выполнении запретных действий любой программой контроллер выдает соответствующее сообщение пользователю и блокирует работу ПЭВМ.

Аппаратно-программные антивирусные средства обладают рядом достоинств перед программными:

  • работают постоянно;
  • обнаруживают все вирусы, независимо от механизма их действия;
  • блокируют неразрешенные действия, являющиеся результатом работы вируса или неквалифицированного пользователя.

Недостаток у этих средств один - зависимость от аппаратных средств ПЭВМ. Изменение последних ведет к необходимости замены контроллера.

Примером аппаратно-программной защиты от вирусов может служить комплекс Sheriff.

В настоящее время существует множество антивирусных программных средств, но их можно разделить на группы по методам поиска вирусов, которые они реализовывают.

Рассмотрим эти методы.

Это самый простой метод поиска вируса. Он основан на последовательном просмотре памяти компьютера, загрузочных секторов и проверяемых файлов в поиске так называемых сигнатур (масок) известных вирусов.

Сигнатура вируса - это уникальная последовательность байтов, принадлежащая вирусу и не встречающаяся в других программах.

Определение сигнатуры вируса очень сложная задача. Необходимо тщательно изучить принцип работы вируса и сравнить программы, зараженные данным вирусом, и незараженные. Кроме того, сигнатура не должна содержаться в других программах, иначе возможны ложные срабатывания.

Надежность принципа поиска по маске ограниченной длины не очень высока. Вирус легко модифицировать, чем и занимаются многие авторы вирусов. Достаточно изменить строковую константу, текст выдаваемого сообщения или одну из первых команд, чтобы вирус стал совсем новым.

Надежность увеличивается при приведении вируса к каноническому виду: то есть обнулении всех байтов, приходящихся на переменные и константы.

Хранение сигнатур канонических форм всех известных вирусов (вспомните, что на сегодняшний день их число огромно) требует неоправданно много памяти. Достаточно хранить только контрольную сумму сигнатур вирусов.

При подозрении на вирус необходимо привести подозреваемый код к каноническому виду, подсчитать контрольную сумму и сравнить с эталоном.

Часто в качестве сигнатуры берется характерный для этого вируса фрагмент кода, например, фрагмент обработчика прерывания. Не все вирусы имеют сигнатуры в виде строк байт, для некоторых удается в качестве сигнатур использовать регулярные выражения, а некоторые вирусы могут вообще не иметь сигнатур, например, полиморфные.

2. Обнаружение изменений, или контроль целостности.

Контроль целостности основан на выполнении двух процедур:

· постановка на учет;

· контроль поставленного на учет.

При внедрении вируса в компьютерную систему обязательно происходят изменения в системе (которые некоторые вирусы успешно маскируют). Это и изменение объема доступной оперативной памяти, и изменение загрузочных секторов дисков, и изменения самих файлов.

Достаточно запомнить характеристики, которые подвергаются изменениям в результате внедрения вируса, а затем периодически сравнивать эти эталонные характеристики с действующими.

3. Эвристический анализ.

Метод, который стал использоваться для обнаружения вирусов сравнительно недавно. Он предназначен для обнаружения новых неизвестных вирусов. Программы, реализующие этот метод, тоже проверяют загрузочные секторы дисков и файлы, только уже пытаются обнаружить в них код, характерный для вирусов. Например, таким может быть код, устанавливающий резидентный модуль в памяти и т.п.

4. Метод резидентного сторожа.

5. Вакцинирование программ.

Этот метод заключается в дописывании к исполняемому файлу дополнительной подпрограммы, которая первой получает управление при запуске файла, выполняет проверку целостности программы. Проверяться могут любые изменения, например, контрольная сумма файла или другие характеристики.

Что такое ложные тревоги?

Задача любого антивирусного средства - обнаружить вирус в системе с максимальной степенью надежности, то есть не вызывая при этом ложные тревоги.

Ложные тревоги делят на два типа:

· ложная позитивная (положительная);

· ложная негативная (отрицательная).

Ложная позитивная тревога - это когда антивирусное средство сообщает о наличии вируса, а на самом деле его нет.

Ложная негативная тревога - это когда антивирусное средство говорит, что вируса нет, а на самом деле он есть.

Некоторые специалисты ложные тревоги называют ошибками антивирусов, причем ложные негативные тревоги (несрабатывания) называются ошибками первого рода, а ложные позитивные тревоги - ошибками второго рода.

В идеале антивирус должен обнаруживать все возможные вирусы и не должен вызывать ложных тревог.

Типы антивирусных средств

1. Программы-детекторы, или программы-сканеры.

Это наиболее известный и наиболее распространенный вид антивирусных программ. Они осуществляют поиск известных версий вирусов методом сканирования, т.е. поиском сигнатур вирусов. Поэтому программы-сканеры могут обнаружить только уже известные вирусы, которые были предварительно изучены, и для которых была определена сигнатура.

Использование программ-сканеров не защищает компьютер от новых вирусов. Кроме того, такие программы не могут обнаружить большинство полиморфных вирусов, так как для таких вирусов невозможно определить сигнатуру.

Для эффективного использования программ-детекторов, реализующих метод простого сканирования, рекомендуется постоянно обновлять их, получая самые последние версии, так как в них уже будут включены новые типы вирусов.

В последнее время программы-детекторы поставляются со специальными базами данных - сигнатурами вирусов, которые может пополнять сам пользователь. Некоторые сканеры позволяют подключать к своей базе данных внешние файлы - дополнения, содержащие сведения о новых вирусах. В таких случаях достаточно приобретать новые файлы-дополнения к базе для обновления антивирусной программы.

Для компьютеров, подключенных к Internet , существует возможность автоматического пополнения базы сигнатур вирусов новыми сигнатурами, конечно же, при использовании соответствующих антивирусных программ.

Программы-сканеры практически не вызывают ложные позитивные тревоги. Если программа сообщила о заражении, то можно быть уверенным, что это действительно так. (Ранние версии иногда ошибались, например, объявляли зараженными файлы других антивирусных программ, находя в них сигнатуры вирусов.)

Но если сканер не обнаружил вирусы в системе, это означает только то, что в системе нет вирусов, на которые он рассчитан.

Антивирусные программы-сканеры, которые могут удалить обнаруженный вирус, называются полифагами.

В последнее время распространяются полифаги, которые кроме простого сканирования в поисках сигнатур вирусов, содержащихся в их вирусной базе, используют еще и эвристический анализ проверяемых объектов на наличие неизвестных вирусов. Они изучают код проверяемых файлов и содержимое загрузочных секторов и пытаются обнаружить в них участки, выполняющие характерные для вирусов действия. Сканеры, использующие эвристический поиск, уже способны обнаружить многие полиморфные и автоматические вирусы, а также некоторые новые неизвестные вирусы (неизвестные самому антивирусу).

2. Программы-мониторы, или резидентные сторожа.

Это целый класс антивирусов, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. С помо щ ью монитора можно остановить распостранение вируса на самой ранней стадии.

· низкоуровневое форматирование диска ;

Это очень опасная операция . Вызывает потерю всех данных на диске. Если монитор обнаружит попытку выполнения такой операции, то пользователю необходимо отменить её и проверить компьютер на наличие вирусов;

· запись данных в загрузочные секторы жёсткого диска;

Если пользователь не форматировал диски, не изменял метку диска и не устанавливал новую версию ОС, то необходимо отменить операцию и проверить компьютер на наличие вирусов;

· запись данных в загрузочный сектор дискеты;

Если пользователь не форматировал дискету, не изменял её метку (команда LABEL ), не записывал на дискету ОС (командой SYS или другим способом), необходимо отменить операцию и проверить компьютер на наличие вирусов;

· запись данных в исполняемый файл;

В случае, когда монитор сообщает о такой попытке, необходимо обратить внимание на файл , в который выполняется запись. Если это неизменяемый файл, и пользователь уверен в этом, то необходимо отменить операцию и проверить компьютер на наличие вирусов. Но некоторые программы действительно могут записывать в свой выполнимый файл различную информацию, например, свою конфигурацию.

. Пользователь должен быть знаком с программным обеспечением своего компьютера.

· Изменение атрибута файла;

Скорее всего это действие вируса. В этом случае пользователь должен проанализировать ситуацию.

Поэтому мониторы необходимо применять в следующих случаях:

· запуск новых программ неизвестного происхождения;

· во время подозрения на вирус;

· некоторое время после удаления вируса для исключения его появления вновь.

В настоящее время фирмы-производители антивирусных средств поставляют, как правило, целые антивирусные комплексы, а не отдельные программы. В состав многих таких комплексов входят резидентные мониторы. Например, вместе с антивирусным пакетом Antiviral Toolkid Pro ( AVP ) , солзданным фирмой КАМИ (Е. Касперский) поставляется резидентрый монитор Antiviral Monitor . Он позволяет обнаружить и сообщить обо всех проявлениях, которые могут быть вызваны компьютерными вирусами. В комплект Microsoft Anti - Virus входит резидентный монитор Vsafe , позволяющий постоянно контролировать работу компьютера. В состав комплекта Norton AntiVirus for Windows 9 x входит приложение Norton AntiVirus Auto - Protect . Кроме проверки запускаемых файлов Norton AntiVirus Auto - Protect выполняет все функции обычного резидентного монитора, позволяя при этом пользователям сделать установки случаев, в которых необходимо сообщать о подозрительном действии.

В пакет антивирусной защиты Dr Solomon ’ s AntiVirus Toolkit входит монитор WinGuard , в обязанности которого входит контроль за подключением внешних дисков, выполнением операций с файлами и поведением исполняемых файлов (сканирование файлов при записи).

2. Программы - ревизоры.

Программы-ревизоры первоначально запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, параметры всех контролируемых файлов (иногда только контрольную сумму файлов), информацию о структуре каталогов, номера плохих кластеров диска, иногда - объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры и многое другое.

Для определения наличия вируса в системе программы-ревизоры проверяют созданные ими образы и производят сравнение с текущим состоянием. Если обнаружено изменение - вполне вероятно, что эти изменения произведены вирусом.

Ревизоры могут обнаружить любые вирусы, даже ранее неизвестные. Но для этого необходимо "поставить на учет” заведомо чистые от вирусов возможные объекты нападения. Кроме этого, ревизор не обнаружит вирус, который попал с новым зараженным уже файлом, так как он "не знает” параметров этого файла до заражения вирусом. Вот когда новый вирус уже заразит другие файлы или загрузочный сектор, он будет обнаружен ревизором. Не сможет ревизор обнаружить вирус, заражающий файлы только при копировании, опять же не имея возможности сравнить параметры файлов. Ревизоры неэффективно использовать для обнаружения вирусов в файлах документов, так как эти файлы очень часто изменяются. Кроме того, следует учитывать, что ревизоры только обнаруживают изменения, но не все изменения связаны с внедрением вируса. Загрузочная запись может измениться при обновлении версии операционной системы, могут измениться командные файлы, некоторые программы могут записывать в свои исполняемые файлы данные, что тоже приводит к изменению файлов, в конце концов, пользователь может просто перекомпилировать свою программу.

Читайте также:

Пожалуйста, не занимайтесь самолечением!
При симпотмах заболевания - обратитесь к врачу.

Copyright © Иммунитет и инфекции