Файл: Исследование проблем борьбы с вирусами и антивирусные программы.pdf
Добавлен: 29.03.2023
Просмотров: 99
Скачиваний: 1
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными. Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора.
Использование Стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации.
Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Достигается это двумя основными способами - шифрованием основного кода вируса с непостоянным ключом и случайным набором команд расшифровщика или изменением самого выполняемого кода вируса.
Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса и т.д.
4. По деструктивным возможностям вирусные программы можно разделить на:
• безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
• неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
• опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
• очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров.
1.4 Основные меры по защите от вирусов
На сегодняшний день выделяют несколько эффективных мер по защите информации от вирусов:
- профилактические меры;
- специализированные программы;
- аппаратные средства.
На рисунке 2, приведенном ниже можно наглядно увидеть все методы защиты информации от вредоносных программ –вирусов.
Рисунок 2. Методы защиты информации от вирусов
Рассмотрим их немного подробнее:
Компьютерная профилактика состоит из небольшого количества правил, соблюдение которых значительно снижает вероятность заражения вирусом и утери каких- либо данных:
- На постоянной основе проводить резервное копирование.
- Покупать дистрибутивные копии программного обеспечения у официальных продавцов.
- Создать системный диск. Записать на него антивирусные программы. Защитить диск от записи.
- Периодически сохранять информацию с компьютера на внешний носитель.
- Перед использованием внешнего носителя информации проводить его проверку на присутствие на нем вирусов.
- Ограничить круг лиц, допущенных к работе на конкретном компьютере.
- Периодически проверять компьютер на наличие вирусов. При этом пользуйтесь свежими версиями антивирусных программ с актуальными антивирусными базами.
Антивирусные программы. Современные антивирусные программы представляют собой программные многофункциональные комплексы, в которые входят следующие модули:
- программа монитор;
- программа-сканер;
- обновление антивирусных баз;
- создание «аварийной» дискеты и др.
Мониторы являются резидентными модулями, обычно они помещаются в оперативную память после загрузки операционной системы, находятся в памяти во время сеанса работы и отслеживают все действия пользователя и операции, выполняемые операционной системой, с дисками и памятью. При обнаружении подозрительного файла монитор выдает сообщение. К недостаткам можно отнести значительный объем занимаемой стандартной памяти, что может замедлять работу ПК. Сканеры запускаются в работу пользователем и позволяют выбрать область сканирования (диск, папку), и параметры сканирования. Обычно сканеры по окончании работы генерируют отчет, записываемый в текстовый файл.
Аппаратные средства. Представляют собой интерфейсные платы, устанавливаемые в каждом отдельном ПК. Обеспечиваю защиту от вируса на аппаратном уровне, поэтому конкретный вид вируса в данном случае не важен. Недостатком является высокая стоимость и невозможность работы в компьютерных сетях.
2. Антивирусные средства
2.1 Способы противодействия компьютерным вирусам
Способы противодействия компьютерным вирусам можно разделить на несколько групп:
- профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения;
- методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса;
- способы обнаружения и удаления неизвестного вируса.
Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы.
2.2 Антивирусные программы
Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.
Существуют определенные требования к антивирусным программам, самым основным из которых является стабильность и надежность работы антивирусной программы. Так же должны учитываться следующие принципы:
1. Размеры вирусной базы антивирусной программы. Данный принцип заключается в том, что на постоянной основе должно проводится обновление антивирусной базы, пополняя ее вновь разработанными вирусами, для их нахождения.
2. Скорость работы антивирусной программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование).
3. Многоплатформенность. Данный принцип действия антивирусной программы в большей степени относится не к одиночному компьютеры, например, стоящему дома, а к большим организациям, в которых все компьютеры связанны сетью.
программы-доктора
программы-детекторы
программы-ревизоры
Антивирусные программы
программы-фильтры
программы-вакцины
Рисунок 3. Классификация антивирусных программ
Рассмотрим данную классификацию антивирусных программ подробнее.
Программы-детекторы осуществляют поиск и обнаружение вирусов в ОЗУ и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Данный тип антивируса достаточно эффективен, но находит только те вирусы, которые заложили в антивирус программисты разработчики.
Программы-доктора (фаги) осуществляют поиск вирусов и производят лечение файла, который подвергся заражению вирусом.
В связи с тем, что постоянно происходит появление новых вирусных программ, первые два типа антивирусных программ быстро устаревают и становятся неактуальными.
Программы-ревизоры являются самым распространенным и востребованным типов антивирусных программ. Данный вид антивируса проникает в компьютер, внедряется в файлы и находится в режиме ожидания, пока все файлы являются чистыми от вирусных программ. Периодически программа –ревизор проводит проверку методов сравнения файла в котором она находится: проверяется размер файла, если он изменении, то программа выдает сообщение о появлении вируса.
Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов.
Вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов.
Самым важным и существенным недостатком всех антивирусных программ является обнаружение вирусов, которые известны разработчикам данных антивирусов.
На практическом применении выделяют несколько различных методик действия антивирусных программ:
- Сканирование
- Эвристический анализ
- Обнаружение изменений
- Резидентные мониторы
Рассмотрим их немного подробнее.
Метод сканирования заключается в том, что антивирусная программа осуществляет поиск известных ей вирусов и выдает сообщение о находке. Данный метод является самым распространённым. Антивирусы, которые осуществляют работу данным методов быстро устаревают, поэтому разработчики постоянно, практически ежедневно , выпускают обновления базы данных антивируса.
Метод эвристического анализа в большинстве случаев применяется совместно с методом сканирования для поиска вирусов.
Метод обнаружения изменений. При появлении вируса на компьютере он заражает файлы с информацией, у которых при заражении изменяются исходные данные, например: размер, дата и т.д.
Метод резидентных мониторов. Данный метод используется антивирусными программами как пассивный. Антивирусная программа, постоянно находящаяся в ОЗУ отслеживает все подозрительные действия, которые выполняют другие программы. Антивирусные программы с данным методом действия являются самыми неэффективными и малопригодными для использования.
2.3 Восстановление пораженных объектов
В процессе заражения вирусом файла происходит нарушение структуры файла и как следствие невозможность считывания информации.
На сегодняшний день существует несколько способов восстановления пораженных вирусными программами объектов компьютера.
- Восстановление файлов-документов и таблиц:
Для обезвреживания Word и Excel достаточно сохранить всю необходимую информацию в формате не документов и не таблиц -- наиболее подходящим является текстовый RTF-формат, содержащий практически всю информацию из первоначальных документов и не содержащий макросов. Затем следует выйти из Word/Excel, уничтожить все зараженные Word-документы, Excel-таблицы, NORMAL.DOT у Word и все документы/таблицы в StartUp-каталогах Word/Excel. После этого следует запустить Word/Excel и восстановить документы/таблицы из RTF-файлов.
- Восстановление файлов:
При лечении файлов следует учитывать следующие правила:
- необходимо протестировать и вылечить все выполняемые файлы (COM, EXE, SYS, OVL) во всех каталогах всех дисков вне зависимости от атрибутов файлов (т.е. файлы read-only, системные и скрытые);
- желательно сохранить неизменными атрибуты и дату последней модификации файла;
- необходимо учесть возможность многократного поражения файла вирусом («бутерброд» из вирусов).
2.4 Антивирусная профилактика
Необходимо всегда иметь диск, записанный на не зараженном компьютере. На этот диск надо записать последние версии антивирусных программ-полифагов, таких как Doctor Web или Antiviral Toolkit Pro. Кроме антивирусных программ, на диск полезно записать драйверы внешних устройств компьютера, например драйвер устройства чтения компакт-дисков, программы для форматирования дисков - format и переноса операционной системы - sys, программу для ремонта файловой системы Norton Disk Doctor или ScanDisk.