Файл: Исследование проблем борьбы с вирусами и антивирусные программы (Типы компьютерных вирусов).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 29.06.2023

Просмотров: 98

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

1.Понятие. Классификация компьютерных вирусов.

1.1 Типы компьютерных вирусов.

1.2 Методы и средства борьбы с вирусами.

2. Антивирусные программы. Классификация

2.1. Виды антивирусных программ и их возможности.

Заключение

Список использованной литературы

Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением «стеле»- вирусов. Самым надежным методом защиты от вирусов является использование аппаратно-программных антивирусных средств. В настоящее время для защиты ПЭВМ используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Таким образом, можно установить защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др. При выполнении запретных действий любой программой контроллер выдает соответствующее сообщение пользователю и блокирует работу ПЭВМ.

Аппаратно-программные антивирусные средства обладают рядом достоинств перед программными:

• работают постоянно;

• обнаруживают все вирусы, независимо от механизма их действия;

• блокируют неразрешенные действия, являющиеся результатом работы вируса или неквалифицированного пользователя. Недостаток у этих средств один – зависимость от аппаратных средств ПЭВМ. Изменение ведет к необходимости замены контроллера. Примером аппаратно-программной защиты от вирусов может служить комплекс Sheriff.

Методы удаления последствий заражения вирусами. В процессе удаления последствий заражения вирусами осуществляется удаление вирусов, а также восстановление файлов и областей памяти, в которых находился вирус. Существует два метода удаления последствий воздействия вирусов антивирусными программами. Первый метод предполагает восстановление системы после воздействия известных вирусов. Разработчик программы-фага,

удаляющей вирус, должен знать структуру вируса и его характеристики размещения в среде обитания. Второй метод позволяет восстанавливать файлы и загрузочные сектора, зараженные неизвестными вирусами. Для восстановления файлов программа восстановления должна заблаговременно создать и хранить информацию о файлах, полученную в условиях отсутствия вирусов. Имея информацию о незараженном файле и используя сведения об общих принципах работы вирусов, осуществляется восстановление файлов. Если вирус подверг файл необратимым изменениям, то восстановление возможно только с использованием резервной копии или с дистрибутива. При их отсутствии существует только один выход - уничтожить файл и восстановить его вручную.

Если антивирусная программа не может восстановить главную загрузочную запись или загрузочные сектора, то можно попытаться это сделать вручную. В случае неудачи следует отформатировать диск и установить ОС. Существуют вирусы, которые, попадая в ЭВМ, становятся частью его ОС. Если просто удалить такой вирус, то система становится неработоспособной. Одним из таких вирусов является вирус One Half. При загрузке ЭВМ вирус постепенно зашифровывает жесткий диск. При обращении к уже зашифрованным секторам резидентный вирус One Half перехватывает обращения и расшифровывает информацию. Удаление вируса приведет к невозможности использовать зашифрованную часть диска. При удалении такого вируса необходимо сначала расшифровать информацию на диске. Для этого необходимо знать механизм действия вируса.

2. Антивирусные программы. Классификация

Сканеры

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода являетcя алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.

Во многих сканерах используются также алгоритмы «эвристического сканирования», т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения («возможно заражен» или «не заражен») для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.

Сканеры также можно разделить на две категории — «универсальные» и «специализированные». Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макровирусов. Специализированные сканеры, рассчитанные только на макровирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.

Сканеры также делятся на «резидентные» (мониторы), производящие сканирование «на-лету», и «нерезидентные», обеспечивающие проверку системы только по запросу. Как правило, «резидентные» сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как «нерезидентный» сканер способен опознать вирус только во время своего очередного запуска.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам — размеры антивирусных баз, которые сканерам приходится «таскать за собой», и относительно небольшую скорость поиска вирусов.

CRC-сканеры

Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них.

Блокировщики

Антивирусные блокировщики — это резидентные программы, перехватывающие «вирусо-опасные» ситуации и сообщающие об этом пользователю. К «вирусо-опасным» относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения.

К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно «выползает неизвестно откуда». К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ (мне, например, неизвестно ни об одном блокировщике для Windows95/NT — нет спроса, нет и предложения).

Необходимо также отметить такое направление антивирусных средств, как антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера («железа»). Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает «ложное срабатывание» защиты.

Существует несколько более универсальных аппаратных блокировщиков, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные блокировщики крайне непопулярными на фоне остальных типов антивирусной защиты.

Иммунизаторы

Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время.

Второй тип иммунизации защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные (пример — печально известная строка «MsDos», предохраняющая от ископаемого вируса «Jerusalem»). Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.

Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов: одни вирусы считают уже зараженными файлы, если время создания файла содержит метку 62 секунды, а другие — 60 секунд. Однако несмотря на это, подобные иммунизаторы в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.

2.1. Виды антивирусных программ и их возможности.

Пожалуй, самый знаменитый бесплатный антивирусный продукт это avast! Antivirus.

С ростом конкуренции в области разработки программ для PC платформы, компания AVAST Software выбрала, как нам кажется, единственно правильный эволюционный путь развития глобального современного разработчика антивирусного ПО и разделила свои продукты. Деление произошло на продвинутые версии с файерволом и дополнительными плюшками, такие как: avast! Internet Security, avast! Pro Antivirus и avast! Premier. А так же простые, часто обновляемые, бесплатные версии: avast! Free Antivirus 6, 7, 8. Что и стало двигателем успеха и всемирной популярности. А успех очевиден — компания AVAST Software лидер по использованию среди бесплатных антивирусов для PC.

Главные возможности антивирусной программы avast!.
Резидентный модуль антивируса, работает независимо друг от друга с различными составными компонентами («экранами»), которые вместе обеспечивают защиту от вредоносного ПО, вирусов, троянов, сетевых червей:

  • Экран файловой системы — главный компонент сканера в реальном времени . Следит за всем, что происходит на компьютере.
  • Экран почты — следит за всем входящим трафиком, предотвращая вред от заражённых писем, файлов. Фильтрует файловый обмен по протоколам POP/SMTP/IMAP/NNTP.
  • Веб-экран — анализирует взаимодействие компьютера пользователя и веб ресурсов, защищая от агрессии со стороны последних.
  • Экран P2P — мониторит трафик пир-ту-пир сетей и торрент-клиентов.
  • Экран интернет-чатов — проверяет файлы чатов.
  • Сетевой экран — посредством системы предупреждения вторжений обеспечивает защиту от заражения через сеть. Параллельно блокируя доступ к вредоносным веб сайтам.
  • Экран сценариев — перехватывает и анализирует сценарии, исполняемые на компьютере и удалённо, для определения возможного риска повреждения данных или заражения компьютера.
  • Экран поведения — так называемый поведенческий анализатор программ и утилит. Подозрительно себя ведущая программа блокируется.
  • Эвристический анализ — упрощённый искусственный интеллект для предотвращения угроз типа ZERO DAY — неизвестных, ультра новых.

Усовершенствования и дополнения, применённые в различных версиях avast!:

  • Детектирование и терминация шпионского ПО.
  • Возможность установки сканирования во время появления экранной заставки на компьютере.
  • Возможность антивируса сканировать запускаемые программные компоненты до загрузки драйверов Windows. Что в принципе исключает маскировку вредоносных процессов. avast! — единственный антивирус, в котором встречается подобного рода функция.
  • Возможность работать со своей учётной записью на официальном сайте avast после регистрации.
  • Использование облачных технологий при работе некоторых вспомогательных функций, ускоряющих процессы обновления и анализа файлов для предотвращения мгновенных вирусных эпидемий.
  • Автоматическая песочница (Auto Sandbox). Приложение, которое при первом запуске блокирует неизвестные программы и файлы, предлагает пользователю время оценить риск запуска.
  • Встраиваемые в известные браузеры модуль голосования и анализа репутации сайтов и порталов, для оценки риска при переходе на данный ресурс в интернете.
  • Модуль Site Correct для контроля правильности вводимых адресов сайтов.
  • Встроенный модуль Software Updater для напоминания пользователям важности обновления стороннего ПО, такого как, пакета Java, проигрывателя анимации в интернете Flash, архиватора RAR, а также браузеров. Устаревшие версии данных программ могут стать «входными воротами» вредоносных программ, эксплуатируя известные уязвимости.
  • Функция, помогающая вернуть браузер в дефолтное состояние – служба «Очистка браузера». Если в ваш браузер встроились ненужные тулбары и Вы хотите от них избавиться – эта функция для Вас.
  • Родительский контроль – блокировка сайтов по IP может помочь блокировать некоторые сайты – функция для чайников. Зачем она?
  • Дистанционная помощь другим пользователям антивируса, по подобию TeamViewer. Полезная функция, недоступная в avast! Free.
  • Есть спорная по надобности функция выбора в качестве второго, вспомогательного антивируса – режим совместимости.
  • Режим автоматического обновления, как сигнатур, так и версии антивирусного движка.
    Голосовая функция на русском и даже белорусском языках. Включите белорусский – звучит достаточно занятно!
  • Игровой режим — это когда информационные сообщения не отображаются пользователю. Может использоваться для того, чтобы не сворачивались окна программы или игры во время события в антивирусе (обновления сигнатур, блокирование сетевой атаки).
  • Возможность устанавливать пароль на программу.
  • Возможность делать экспорт созданных настроек антивируса для сохранения и переноса на другие компьютеры (например: при чистовой установке windows на ноутбуке или компьютере). Появилась в седьмой версии программы.
  • Функция формирования отчётов по безопасности.
  • 44 интерфейсных языка, в том числе белорусский. И справочные материалы.

Смотрите также файлы