Файл: Исследование проблем борьбы с вирусами и антивирусные программы (Виды и возможности компьютерных вирусов).pdf
Добавлен: 18.06.2023
Просмотров: 49
Скачиваний: 2
К антивирусным средствам можно применить некоторые термины, которые применяются для их характеристики:
- «Ложное срабатывание» (False positive) — обнаружение вируса в незараженном файле, секторе или системной памяти. Существует и братный термин — «False negative», т.е. не обнаружение вируса в зараженном объекте (Рисунок 1).
Рисунок 1. Пример ложного срабатывания антивируса Avast
- «Сканирование по запросу» («on-demand») — поиск вирусов по команде от пользователя. Данный режим подразумевает, что антивирусная программа неактивна до тех пор, пока ее не вызовет пользователь при помощи командной строки, командного файла или же программы-расписания (system scheduler) (Рисунок 2).
Рисунок 2. Пример сканирования по запросу антивирусом
Microsoft Security Essentials
- «Сканирование налету» («real-time», «on-the-fly») — постоянная своевременная проверка на наличие вирусов объектов, к которым происходит обращение (запуск, открытие, создание и т.п.). В данном режиме антивирус активен постоянно. Он осуществляет свою деятельность в памяти компьютера «резидентно» и производит проверку объектов без участия пользователя (Рисунок 3).
Рисунок 3. Пример сканирования на лету антивирусом Comodo AntiVirus
Глава 2. Основные меры противодействия компьютерным вирусам
2.1. Антивирусные программы
Обнаружение, удаление и защита от компьютерных вирусов становится возможным, благодаря специально разработанным программам, которые предназначены для обнаружения и уничтожения вирусов. Такие программы получили название антивирусы. Большинство из современных антивирусных программ, представляющие из себя многофункциональные продукты, сочетающие превентивные профилактические средства и средства для лечения вирусов и восстановления данных.
Разнообразие вирусов поражает воображение, и чтобы их было быстро и эффективно обнаружить, антивирусная программа должна соответствовать специальным параметрам.
Стабильность и надежность работы. Этот параметр является определяющим — поскольку, даже самый эффективный антивирус окажется бесполезным, если он не способен нормально функционировать на компьютере. Особенно если в результате непредвиденного сбоя в работе программы, проверка компьютера не пройдет успешно до конца. Тогда существует вероятность, что какие-то зараженные файлы остались незамеченными на компьютере.
Размеры вирусной базы программы (список вирусов, которые программа способна правильно распознать). Если учесть, что постоянно появляются новые вирусы, базе данных необходимо регулярно обновляться. Программа, которая не способна увидеть и половины новых угроз, создает ошибочное ощущение безопасности компьютера. Такая программа по факту является бесполезной. Сюда же можно отнести и возможность программы определять большое разнообразие типов вирусов, и умение работать с файлами различных типов, таких как архивы и документы. Немаловажным является способность резидентного монитора, который может осуществлять проверку всех новых файлов, по мере их записи на диск в автоматическом режиме.
Скорость работы программы, наличие дополнительных возможностей. Типы и виды алгоритмов определения даже неизвестных программе вирусов, называемых эвристическим сканированием. Хорошо, если есть функция восстановления зараженных файлов, не стирая их с жесткого диска, а только удалив вирусы, поселившиеся в них. Очень важным является и процент ложных срабатываний программы.
Многоплатформенность (наличие версий программы под различные операционные системы). Здесь необходимо учитывать то, что если антивирус планируется использовать только дома и на одном компьютере, то этот параметр не имеет большого значения. Но вот если же антивирус был приобретен для крупной организации, то он просто обязан поддерживать все распространенные операционные системы. При работе в сети просто необходимо наличие серверных функций, которые предназначены для административной работы. Кроме того, немаловажной является возможность работы на различных видах серверов.
Антивирусные программы принято делить на следующие:
- программы-детекторы
- программы-доктора
- программы-ревизоры
- программы-фильтры
- программы-вакцины.
Программы-детекторы предназначены обеспечивать поиск и обнаружение вирусов в оперативной памяти и на внешних носителях информации. При обнаружении угрозы они выдают соответствующее сообщение об обнаружении возможной угрозы. Бывают детекторы универсальные и специализированные.
Универсальные детекторы при своей работе пользуются проверкой неизменности файлов с помощью подсчета и сравнения с эталоном контрольной суммы. Большой недостаток универсальных детекторов невозможность определения причины изменения файлов.
Специализированные детекторы предназначены выполнять поиск заранее известных вирусов по их сигнатуре, т.е. по повторяющемуся участку кода угрозы. Минус таких детекторов то, что они не могут обнаружить абсолютно все вирусы.
Детектор, способный обнаруживать только несколько видов вирусов, называется полидетектором.
Недостаток подобных антивирусных программ заключается в том, что эти программы способны обнаружить только те вирусы, которые заранее известны разработчикам этих программ.
Программы-доктора (фаги), умеют не только находить зараженные вирусами файлы, но способны излечить их, т.е. происходит удаление из файла тела вируса, после чего файлы возвращаются в исходное состояние. При старте своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только потом преступают к "лечению" зараженных файлов. Среди фагов заметно выделяются полифаги, программы-доктора, задача которых поиск и уничтожение большого количества вирусов.
Если учесть, что практически все время появляются новые вирусы, программы-детекторы и программы-доктора весьма быстро устаревают, в связи с этим требуется регулярное их обновление и проверка актуальных их версий.
Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры предназначены запоминать исходное состояние программ, каталогов и системных областей диска в тот момент, когда компьютер еще не подвергся заражению вирусом, и затем периодически или же по желанию пользователя занимаются сравнительным анализом текущего состояния с исходным заданным состоянием программ. Выявленные изменения выводятся на экран монитора. Сравнительный анализ состояний производится сразу же после загрузки операционной системы. При сравнивании проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, а так же другие параметры.
Программы-ревизоры обладают развитыми алгоритмами. Они способны обнаружить стелс-вирусы, и научены отличать изменения версий проверяемой программы от изменений, которые внес вирус.
Программы-фильтры представляют собой небольшие резидентные программы, предназначающиеся для обнаружения подозрительных действий, попавших в поле зрения программы при работе компьютера, характерных только для вирусов. Подобными действиями могут являться:
- попытки коррекции файлов с расширениями СОМ и ЕХЕ;
- изменение атрибутов файлов;
- прямая запись на диск по абсолютному адресу;
- запись в загрузочные сектора диска.
- загрузка резидентной программы.
Если какая-либо программа пытается произвести указанные действия, программа-фильтр выдает пользователю сообщение о неизвестном действии и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они разве что не могут лечить файлы и диски. К недостаткам программ-фильтров относится их назойливость, а именно они постоянно выдают предупреждение о любой попытке копирования исполняемого файла, а также возможные конфликты с другим программным обеспечением.
Вакцины (иммунизаторы) - резидентные программы, направленные на предотвращающие заражения файлов. Вакцины применяются, если отсутствуют программы-доктора, которые могут излечить вирус. Вакцинация возможна только от известных видов вирусов. Вакцина призвана модифицировать программу или диск таким образом, чтобы ее действие не отражалось на их работе. В свою очередь вирус будет воспринимать их зараженными и поэтому не станет внедряться. На сегодняшний день программы-вакцины имеют узкий круг применения.
Существенным недостатком таких программ является их ограниченные возможности для предотвращения заражения от большого числа разнообразных вирусов.
2.2. Методы работы антивирусных программ
Различают несколько основополагающих методов поиска вирусов, которые применяют антивирусные программы:
- Сканирование
- Эвристический анализ
- Обнаружение изменений
- Резидентные мониторы
Антивирусные программы могут реализовывать либо все перечисленные методы, либо только некоторые из них.
Сканирование
Сканирование наиболее традиционный метод обнаружения вирусов. Он заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Антивирусные программы-сканеры, которые способны удалить обнаруженные вирусы, называются полифагами.
Недостатком простых сканеров является их неспособность обнаружить полиморфные вирусы, полностью меняющие свой код. Для этого необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.
Сканеры способны обнаруживать только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Именно поэтому программы-сканеры не защищают компьютер от заражения новыми вирусами. Как следствие, сканеры считаются устаревшими уже в момент выхода более новой актуальной версии.
Эвристический анализ
Эвристический анализ используется совместно со сканированием для поиска шифрующихся и полиморфных вирусов. В большинстве случаев эвристический анализ позволяет также обнаруживать и ранее неизвестные вирусы. В этом случае, скорее всего их лечение будет невозможно.
Если эвристический анализатор сообщает, что файл или загрузочный сектор заражен вирусом, необходимо отнестись к этому сообщению с высокой долей внимания. Важно дополнительно проверить файлы при помощи самых свежих версий антивирусных сканеров или отправить их для проверки разработчикам этих антивирусных программ.
Обнаружение изменений
Заразив компьютер, вирус непременно сделает изменения на жестком диске: дописав свой код в заражаемый файл, изменит системные области диска и т. д. В обнаружении таких изменений и основываются работа антивирусных программ-ревизоров.
Программы-ревизоры предназначены запоминать характеристики абсолютно всех областей системного диска, которые могут попасть под воздействие вируса, а затем периодически проверяют их состояние. При обнаружении изменений, на экран монитора выводится сообщение о том, что возможно на компьютер попал вирус.
Необходимо принять во внимание, что не все изменения на компьютере вызваны вторжением вирусов. Например, загрузочная запись может измениться и при обновлении версии операционной системы, а некоторые программы записывают внутри своего выполнимого файла данные, необходимые для корректной их работы.
Резидентные мониторы
Антивирусные программы, работающие постоянно и находящиеся в оперативной памяти компьютера, производящие мониторинг всех подозрительных действий, исполняемых другими программами, носят название резидентных мониторов или сторожей. Резидентные мониторы, к сожалению, имеют достаточное количество недостатков, из-за которых класс этих программ становится малопригодными для использования. Они выдают пользователям большое количество сообщений, по большей части не имеющие отношения к заражению вирусами, в результате чего их просто отключают.
2.3. Восстановление пораженных вирусами объектов
Часто после заражения вирусом процедура восстановления зараженных файлов сводится к запуску подходящего для этого антивируса, которому по силам обезвредить систему. Бывает и такое, что вирус неизвестен ни одному антивирусу. В этом случае достаточно отправить зараженный файл разработчикам данного антивируса или же фирмам, которые занимаются продажей антивирусных средств и через некоторое время, обычно это не более нескольких дней или недель, получить лекарство против данного типа вируса, называемого так же «апдейт». Если нет времени ждать, то придется обезвредить вирус самостоятельно.