Для обнаружения, удаления и защиты от компьютерных вирусов существует несколько разновидностей программ. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
1. вакцины;
2. детекторы;
3. ревизоры;
4. сторожа;
5. мониторы;
6. полифаги;
7. эвристические анализаторы.
В последнее время, разработчики антивирусных программ, предлагают пользователям комплексные решения, которые включают в себя большую часть или даже все вышеуказанные программы.
Вакцины – это программы, предназначенные для предотвращения заражения файлов от какого-либо одного, конкретного вируса. Вакцины применяются, если отсутствуют программы, могущие обезвредить данный вирус. Вакцинация возможна только от известных вирусов, которые можно обнаружить, но по какой-либо причине невозможно обезвредить. Программа-вакцина модифицирует защищаемую программу или диск таким образом, чтобы это не отражалось на их работе, но при этом настоящий вирус считал защищаемую программу зараженной и поэтому не внедрялся в ее исполняемый код.
Действия программ-вакцин основано на одном из базовых свойств компьютерных вирусов, – не заражать повторно уже инфицированную программу. Для этих целей, при заражении программ, вирусы используют так называемую «черную метку», которая бы позволяла отличать уже инфицированные программы от неинфицированных. Это может быть, например, установка времени создания файла в 24 часа 1 минуту и 62 секунды. Т.к. нормальные программы не могут иметь подобного времени создания, то, обнаружив, что файл создан в это время, вирус считает, что он заражен и не пытается инфицировать его повторно.
Таким образом, программа вакцина просто создает «черную метку» конкретного вируса на защищаемой программе, не изменяя её исполняемого кода, а вирус, обнаруживая такую метку, уже не пытается заразить данный файл.
«Детекторы» или «сканеры» - это программы, которые осуществляют поиск характерной для конкретного вируса сигнатуры, в оперативной памяти компьютера или в файлах на жестком диске, и при обнаружении, выдают соответствующее сообщение. Недостатком этого класса антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам.
«Ревизоры» - это программы, которые относятся к самым надёжным средствам защиты от вирусов.
Заражая компьютер, вирус делает изменения на жестком диске: дописывает свой код в заражаемый файл, изменяет системные области диска и т.д. На обнаружении таких изменений основывается работа антивирусных программ, называемых «ревизорами».
Они построены на принципе, обратном принципу построения сканеров. Ревизоры не знают в лицо конкретные вирусы, но они запоминают информацию о каждом конкретном логическом диске и по изменению этой информации, позволяют надежно обнаруживать как известные, так и новые, неизвестные вирусы.
В случае обнаружения изменения сведений об имеющихся на диске данных, вся соответствующая информация об измененном объекте предоставляется пользователю. А тот уже сам должен принять решение: стоит ли, например, проверять данный файл на вирус (если это исполняемый файл) или проигнорировать сообщение, если файл изменялся самим пользователем.
Как правило, сравнение состояний производится сразу после загрузки операционной системы. При сравнении проверяются длина файла, его контрольная сумма, дата и время модификации, и некоторые другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, позволяющие обнаруживать даже вирусы таких классов как «стелс» - вирусы и «полиморфные» вирусы, а некоторые даже могут восстановить исходную версию проверяемой программы, удалив изменения, внесенные вирусом.
Преимуществом ревизоров являются – высочайшая скорость проверки дисков (во много десятков раз превышающая скорость работы сканеров) и высокая надежность обнаружения даже неизвестных вирусов.
«Сторожа» - это небольшие резидентные программы, предназначенные для обнаружения подозрительных действий, возникающих при работе пользователя на компьютере, и характерных для вирусов. К числу таких действий могут относиться:
1. попытки коррекции файлов с расширениями COM, EXE, DLL и т.д., обычно неизменяемых;
2. изменение атрибутов файла;
4. запись в загрузочные сектора диска;
При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие.
Одним из самых крупных недостатков программ этого класса является то, что при неправильной (а иногда даже и при правильной) настройке, они буквально «засыпают» пользователя предупреждениями, в результате чего их обычно отключают.
«Мониторы» (или программы-фильтры) – это антивирусные программы, основанные по принципу полифага, и использующие для обнаружения вирусов базу данных их сигнатур. Антивирусный монитор располагается резидентно в памяти компьютера, и проверяет на наличие вирусов только те программы, над которыми производит какие-либо манипуляции пользователь, или операционная система.
Обычно антивирусные мониторы проверяют все файлы, над которыми производятся следующие манипуляции:
1. запуск программы на выполнение;
2. изменение атрибутов файла;
3. открытие документ (Microsoft Office);
4. копирование или перемещение файла;
5. редактирование файла;
Программы-фильтры являются полезными с той точки зрения, что помогают пользователю обнаружить вирус на самой ранней стадии его существования, еще до того момента, когда распространение вируса примет характер эпидемии.
«Полифаги» - это программы, которые способны благополучно удалить вирус и восстановить работоспособность испорченных программ.
Для каждого вируса, путем анализа его кода, способов заражения файлов и т.д. выделяется некоторая, характерная только для него, последовательность байт. Эта последовательность называется сигнатурой данного вируса. Поиск вирусов, в простейшем случае, сводится к поиску их сигнатур. После обнаружения вируса в теле программы (или загрузочного сектора, который тоже, впрочем, содержит программу начальной загрузки), полифаг обезвреживает его. Для этого разработчики антивирусных средств тщательно изучают работу каждого конкретного вируса: что он портит, как он портит, где он прячет то, что испортит и т.д.
Сканирование является наиболее традиционным методом поиска вирусов. Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Вирусные базы современных сканеров содержат более 40000 масок вирусов.
Недостатком простых сканеров является их неспособность обнаруживать «полиморфные» вирусы, полностью меняющие свой код. Современные полифаги используют другие методы поиска вирусов. Для этого они используют более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-полифаги быстро устаревают, и требуется регулярное обновление версий баз данных, содержащих сигнатуры вновь появившихся вирусов. Как результат, сканеры устаревают уже в момент выхода новой версии.
Эвристические анализаторы – программы, выполняющие под своим контролем, проверяемые программы и обнаруживающие действия, характерные для вирусов. Благодаря этому эвристические анализаторы способны находить «полиморфные» вирусы также легко, как и обычные вирусы, не использующие механизма маскировки, кроме того, они могут обнаруживать вирусы, ранее неизвестные авторам антивирусной программы.
Для выявления указанных маскирующихся вирусов используются специальные методы. К ним можно отнести метод эмуляции процессора. Метод заключается в имитации выполнения процессором программы и подсовывания вирусу фиктивных управляющих ресурсов. Обманутый таким образом вирус, находящийся под контролем антивирусной программы, расшифровывает свой код. После этого, сканер сравнивает расшифрованный код с кодами из своей базы данных сканирования.
Основные методы определения вирусов
нтивирусные программы развивались параллельно с эволюцией вирусов. По мере того как появлялись новые технологии создания вирусов, усложнялся и математический аппарат, который использовался в разработке антивирусов.
Первые антивирусные алгоритмы строились на основе сравнения с эталоном. Речь идет о программах, в которых вирус определяется классическим ядром по некоторой маске. Смысл алгоритма заключается в использовании статистических методов. Маска должна быть, с одной стороны, маленькой, чтобы объем файла был приемлемых размеров, а с другой достаточно большой, чтобы избежать ложных срабатываний (когда «свой» воспринимается как «чужой», и наоборот).
Первые антивирусные программы, построенные по этому принципу (так называемые сканеры-полифаги), знали некоторое количество вирусов и умели их лечить. Создавались эти программы следующим образом: разработчик, получив код вируса (код вируса поначалу был статичен), составлял по этому коду уникальную маску (последовательность 10-15 байт) и вносил ее в базу данных антивирусной программы. Антивирусная программа сканировала файлы и, если находила данную последовательность байтов, делала заключение о том, что файл инфицирован. Данная последовательность (сигнатура) выбиралась таким образом, чтобы она была уникальной и не встречалась в обычном наборе данных.
Описанные подходы использовались большинством антивирусных программ вплоть до середины 90-х годов, когда появились первые полиморфные вирусы, которые изменяли свое тело по непредсказуемым заранее алгоритмам. Тогда сигнатурный метод был дополнен так называемым эмулятором процессора, позволяющим находить шифрующиеся и полиморфные вирусы, не имеющие в явном виде постоянной сигнатуры.
Принцип эмуляции процессора демонстрируется на рис. 1 . Если обычно условная цепочка состоит из трех основных элементов: ЦПУ®ОС®Программа, то при эмуляции процессора в такую цепочку добавляется эмулятор. Эмулятор как бы воспроизводит работу программы в некотором виртуальном пространстве и реконструирует ее оригинальное содержимое. Эмулятор всегда способен прервать выполнение программы, контролирует ее действия, не давая ничего испортить, и вызывает антивирусное сканирующее ядро.
Второй механизм, появившийся в середине 90-х годов и использующийся всеми антивирусами, это эвристический анализ. Дело в том, что аппарат эмуляции процессора, который позволяет получить выжимку действий, совершаемых анализируемой программой, не всегда дает возможность осуществлять поиск по этим действиям, но позволяет произвести некоторый анализ и выдвинуть гипотезу типа «вирус или не вирус?».
В данном случае принятие решения основывается на статистических подходах. А соответствующая программа называется эвристическим анализатором.
Для того чтобы размножаться, вирус должен совершать какие-либо конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор (он является частью антивирусного ядра) содержит список таких действий, просматривает выполняемый код программы, определяет, что она делает, и на основе этого принимает решение, является данная программа вирусом или нет.
При этом процент пропуска вируса, даже неизвестного антивирусной программе, очень мал. Данная технология сейчас широко используется во всех антивирусных программах.
Классификация антивирусных программ
лассифицируются антивирусные программы на чистые антивирусы и антивирусы двойного назначения (рис. 2).
Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Чистые антивирусы, в свою очередь, по типу доступа к файлам подразделяются на две категории: осуществляющие контроль по доступу (on access) или по требованию пользователя (on demand). Обычно on access-продукты называют мониторами, а on demand-продукты - сканерами.
Оn demand-продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка. On access-продукт это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.
Кроме того, антивирусные программы, так же как и вирусы, можно разделить в зависимости от платформы, внутри которой данный антивирус работает. В этом смысле наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.
Программы двойного назначения - это программы, используемые как в антивирусах, так и в ПО, которое антивирусом не является. Например, CRC-checker - ревизор изменений на основе контрольных сумм - может использоваться не только для ловли вирусов. Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их. От классического антивируса с антивирусным ядром, распознающего и лечащего от вирусов, которые анализировались в лаборатории и которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов они не умеют, поскольку ничего о них не знают. Данное свойство блокираторов позволяет им работать с любыми вирусами, в том числе и с неизвестными. Это сегодня приобретает особую актуальность, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.
Обзор наиболее популярных персональных антивирусов
Обзор вошли наиболее популярные антивирусы для персонального использования от пяти известных разработчиков. Следует отметить, что некоторые из рассмотренных ниже компаний предлагают несколько версий персональных программ, различающихся по функциональности и соответственно по цене. В нашем обзоре мы рассмотрели по одному продукту от каждой компании, выбрав наиболее функциональную версию, которая, как правило, носит название Personal Pro. Другие варианты персональных антивирусов можно найти на соответствующих сайтах.
Антивирус Касперского
Personal Pro v. 4.0
Разработчик: «Лаборатория Касперского». Web-сайт: http://www.kaspersky.ru/ . Цена 69 долл. (лицензия на 1 год).
Антивирус Касперского Personal Pro (рис. 3) одно из наиболее популярных решений на российском рынке и содержит целый ряд уникальных технологий.
Поведенческий блокиратор модуль Office Guard держит под контролем выполнение макросов, пресекая все подозрительные действия. Наличие модуля Office Guard дает стопроцентную защиту от макровирусов.
Ревизор Inspector отслеживает все изменения в вашем компьютере и при обнаружении несанкционированных изменений в файлах или в системном реестре позволяет восстановить содержимое диска и удалить вредоносные коды. Inspector не требует обновлений антивирусной базы: контроль целостности осуществляется на основе снятия оригинальных отпечатков файлов (CRC-сумм) и их последующего сравнения с измененными файлами. В отличие от других ревизоров, Inspector поддерживает все наиболее популярные форматы исполняемых файлов.
Эвристический анализатор дает возможность защитить компьютер даже от неизвестных вирусов.
Фоновый перехватчик вирусов Monitor, постоянно присутствующий в памяти компьютера, проводит антивирусную проверку всех файлов непосредственно в момент их запуска, создания или копирования, что позволяет контролировать все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами.
Антивирусная фильтрация электронной почты предотвращает возможность проникновения вирусов на компьютер. Встраиваемый модуль Mail Checker не только удаляет вирусы из тела письма, но и полностью восстанавливает оригинальное содержимое электронных писем. Комплексная проверка почтовой корреспонденции не позволяет вирусу укрыться ни в одном из элементов электронного письма за счет проверки всех участков входящих и исходящих сообщений, включая прикрепленные файлы (в том числе архивированные и упакованные) и другие сообщения любого уровня вложенности.
Антивирусный сканер Scanner дает возможность проводить полномасштабную проверку всего содержимого локальных и сетевых дисков по требованию.
Перехватчик скрипт-вирусов Script Checker обеспечивает антивирусную проверку всех запускаемых скриптов до того, как они будут выполнены.
Поддержка архивированных и компрессированных файлов обеспечивает возможность удаления вредоносного кода из зараженного компрессированного файла.
Изоляция инфицированных объектов обеспечивает изоляцию зараженных и подозрительных объектов с последующим их перемещением в специально организованную директорию для дальнейшего анализа и восстановления.
Автоматизация антивирусной защиты позволяет создавать расписание и порядок работы компонентов программы; автоматически загружать и подключать новые обновления антивирусной базы через Интернет; рассылать предупреждения об обнаруженных вирусных атаках по электронной почте и т.д.
Norton AntiVirus 2003 Professional Edition
Разработчик: Компания Symantec. Web-сайт: http://www.symantec.ru/ .
Цена 89,95 евро.
Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.
Цена 39,95 долл.
Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.
Евгений Касперский в 1992 году использовал следующую классификацию антивирусов в зависимости от их принципа действия (определяющего функциональность):
Ø Сканеры (устаревший вариант - «полифаги», «детекторы») - определяют наличие вируса по базе сигнатур, хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективность определяется актуальностью вирусной базы и наличием эвристического анализатора.
Ø Ревизоры (класс, близкий к IDS) - запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений.
Ø Сторожа (резидентные мониторы или фильтры ) - отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.
Ø Вакцины (иммунизаторы ) - изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл заражённым. В современных условиях, когда количество возможных вирусов измеряется сотнями тысяч, этот подход неприменим.
Современные антивирусы сочетают все вышесказанные функции.
Антивирусы так же можно разделить на:
Продукты для домашних пользователей:
Собственно антивирусы;
Комбинированные продукты (например, к классическому антивирусу добавлен антиспам, файрвол, антируткит и т. д.);
Корпоративные продукты:
Серверные антивирусы;
Антивирусы на рабочих станциях («endpoint»).
Совместное использование антивирусных программ дает неплохие результаты, так как они хорошо дополняют друг друга:
Поступающие из внешних источников данные проверяются программой-детектором . Если эти данные забыли проверить и зараженная программа была запущена, её может поймать программа-сторож. Правда, в обоих случаях надёжно обнаруживаются вирусы, известные этим антивирусным программам. Это составляет не более чем 80-90 % случаев.
- сторожа могут обнаруживать даже неизвестные вирусы, если те ведут себя очень нагло (пытаются отформатировать жёсткий диск или внести изменения в системные файлы). Но некоторые вирусы умеют обходить такой контроль.
Если вирус не был обнаружен детектором или сторожем, то результаты его деятельности обнаружит программа - ревизор .
Как правило, программы-сторожа должны работать на компьютере постоянно, детекторы – использоваться для проверки поступающих из внешних источников данных (файлов и дискет), а ревизоры - запускаться раз в день для выявления и анализа изменений на дисках. Всё это должно сочетаться с регулярным резервированием данных и использованием профилактических мер, позволяющих уменьшить вероятность заражения вирусом.
Любая антивирусная программа ″тормозит″ работу компьютера, но является надёжным средством от вредного воздействия от вирусов.
Ложные антивирусы (лже-антивирусы).
В 2009 г. различные производители антивирусов стали сообщать о широком распространении нового типа антивирусов - ложные антивирусы или лже-антивирусы (rogueware). По сути эти программы или вовсе не являются антивирусами (то есть не способны бороться с вредоносным ПО) или даже являются вирусами (воруют данные кредитных карт и т.п.).
Ложные антивирусы используются для вымогательства денег у пользователей путем обмана. Один из способов заражения ПК ложным антивирусом следующий. Пользователь попадает на "инфицированный" сайт, который выдает ему предупреждающее сообщение вроде: "На вашем компьютере обнаружен вирус". После чего пользователю предлагается скачать бесплатную программу (ложный антивирус) для удаления вируса. После установки ложный антивирус производит сканирование ПК и якобы обнаруживает на компьютере еще массу вирусов. Для удаления вредоносного ПО ложный антивирус предлагает купить платную версию программы. Шокированный пользователь платит (суммы от $50 до $80) и ложный антивирус очищает ПК от несуществующих вирусов.
Антивирусы на SIM, флэш-картах и USB устройствах
Выпускаемые сегодня мобильные телефоны обладают широким спектром интерфейсов и возможностями передачи данных. Потребителям следует тщательно изучить методы защиты прежде, чем подсоединять какие-либо небольшие устройства.
Такие методы защиты, как аппаратные, возможно, антивирусы на USB устройствах или на SIM, больше подойдут потребителям мобильных телефонов. Техническая оценка и обзор того, как установить антивирусную программу на сотовый мобильный телефон, должны рассматриваться, как процесс сканирования, который может повлиять на другие легальные приложения на этом телефоне.
Антивирусные программы на SIM с антивирусом, встроенном в зону памяти небольшой емкости, обеспечивают борьбу с вредоносным ПО/вирусами, защищая PIN и информацию пользователя телефона. Антивирусы на флэш-картах дают пользователю возможность обмениваться информацией и использовать эти продукты с различными аппаратными устройствами, а также отправлять эти данные на другие устройства, используя различные каналы связи.
Антивирусы, мобильные устройства и инновационные решения
В будущем возможно заражение мобильных телефонов вирусом. Все больше разработчиков этой области предлагают антивирусные программы для борьбы с вирусами и защиты мобильных телефонов. В мобильных устройствах есть следующие виды борьбы с вирусами:
– ограничения процессора;
– ограничение памяти;
– определение и обновление сигнатур этих мобильных устройств.
Вывод: Антивирусная программа (антивирус) - изначально программа для обнаружения и лечения вредоносных объектов или инфицированных файлов, а также для профилактики - предотвращения заражения файла или операционной системы вредоносным кодом. В зависимости от принципа действия антивирусных программ существует следующую классификацию антивирусов: сканеры (устаревший вариант - «полифаги», «детекторы»); ревизоры (класс, близкий к IDS); сторожа (резидентные мониторы или фильтры); вакцины (иммунизаторы).
ЗАКЛЮЧЕНИЕ
Достижения в компьютерных технологиях за последние годы не только способствовали развитию экономики, торговли и коммуникаций; обеспечили эффективный информационный обмен, но и предоставили уникальный инструментарий лицам, совершающим компьютерные преступления. Чем более интенсивно идет процесс компьютеризации, тем более реальным становится рост компьютерной преступности, причем современное общество не только ощущает экономические последствия компьютерных преступлений, но и становится все более зависимым от компьютеризации. Все указанные аспекты обязывают обращать все больше внимания на защиту информации, дальнейшее развитие законодательной базы в области информационной безопасности. Весь комплекс мероприятий должен сводиться к защите государственных информационных ресурсов; к регулированию отношений, возникающих при формировании и использовании информационных ресурсов; создании и использовании информационных технологий; защите информации и прав субъектов, участвующих в информационных процессах; а также определении основных понятий, используемых в законодательстве.
Доцент кафедры организации охраны и конвоирования в УИС
кандидат технических наук
подполковник внутренней службы В.Г. Зарубский
Несмотря на то что общие средства защиты информации и профилактические меры очень важны для защиты от вирусов, необходимо применение специализированных программ. Эти программы можно разделить на несколько видов:
- ? Программы-детекторы проверяют, имеются ли в файлах на диске специфическая комбинация байтов (сигнатура) для известного вируса и сообщают об этом пользователю (VirusScan/SCAN/фир- мы McAfee Associates).
- ? Программы-доктора или фаги «лечат» зараженные программы, «выкусывая» из зараженных программ тело вируса, как с восстановлением, так и без восстановления среды обитания (зараженного файла) - лечащий модуль программы SCAN - программа CLEAN.
- ? Программы доктора-детекторы (Aidstest Лозинского, Doctor Web Данилова, MSAV, Norton Antivirus, AVP Касперского) способны определить наличие известного вируса на диске и исцелить зараженный файл. Самая распространенная группа антивирусных программ на сегодняшний день.
В самом простом случае команда проверки содержимого диска на наличие вирусов имеет вид: aidstest /ключ1/ключ 2 /ключ 3 /---
- ? Программы-фильтры (сторожа) располагаются резидентно в оперативной памяти ПК и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда и сообщают о них пользователю:
- - попытка испортить главный файл OS COMMAND.COM;
- - попытка прямой записи на диск (предыдущая запись удаляется), при этом выдается сообщение, что какая-то программа пытается копировать на диск;
- - форматирование диска,
- - резидентное размещение программы в памяти.
Выявив попытку одного из этих действий, программа-фильтр выдает пользователю описание ситуации и требует от него подтверждения. Пользователь может разрешить или запретить выполнение данной операции. Контроль действий, характерный для вирусов, осуществляется путем подмены обработчиков соответствующих прерываний. К недостаткам этих программ можно отнести назойливость (сторож, например, выдает предупреждение о любой попытке копирования исполняемого файла), возможные конфликты с другим программным обеспечением, обход сторожей некоторыми вирусами. Примеры фильтров: Anti4us, Vsafe, Disk Monitor.
Следует заметить, что на сегодняшний день многие программы класса доктор-детектор еще и имеют резидентный модуль - фильтр (сторож), например, DR Web, AVP, Norton Antivirus. Таким образом, такие программы можно классифицировать как доктор-детектор-сторж.
- ? Аппаратно-программные антивирусные средства (Аппаратно-программный комплекс Sheriff). В одном ряду с программами-сторожами стоят аппаратно-программные антивирусные средства, обеспечивающие более надежную защиту от проникновения вируса в систему. Такие комплексы состоят из двух частей: аппаратной, которая устанавливается в виде микросхемы на Материнскую плату и программной, записывающейся на диск. Аппаратная часть (контроллер) отслеживает все операции записи на диск, программная часть, находясь в Оперативной памяти резидентно, отслеживает все операции ввода/вывода информации. Однако возможность применения этих средств требует внимательного рассмотрения с точки зрения конфигурации используемого на ПК дополнительного оборудования, например, дисковых контроллеров, модемов или сетевых плат.
- ? Программы-ревизоры (Adinf/Advanced Disk infoscope/c лечащим блоком ADinf Cure Module Мостового). Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска на логические разделы). Предполагается, что в этот момент программы и системные области дисков не заражены. Затем при сравнении системных областей и дисков с исходными в случае обнаружения несоответствия сообщается пользователю. Программы-ревизоры способны обнаружить невидимые (STEALTH) вирусы. Проверка длины файла недостаточна, некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму (побитно). Изменить весь файл так, чтобы его контрольная сумма осталась прежней, практически невозможно. К незначительным недостаткам ревизоров можно отнести то, что для обеспечения безопасности они должны использоваться регулярно, например, ежедневно вызываться из файла AUTOEXEC.BAT. Но несомненными их преимуществами являются высокая скорость проверок и то, что они не требуют частого обновления версий. Версии ревизора даже полугодовой давности надежно обнаруживают и удаляют современные вирусы.
- ? Программы-вакцины или иммунизаторы (CPAV). Программы-вакцины модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы и диски уже зараженными. Работа этих программ недостаточно эффективна.
Условно стратегию зашиты от вируса можно определить как многоуровневую «эшелонированную» оборону. Структурно это может выглядеть так. Средствам разведки в «обороне» от вирусов соответствуют программы-детекторы, позволяющие определять вновь полученное программное обеспечение на наличие вирусов. На переднем крае обороны находятся программы-фильтры, которые находятся резидентно в памяти компьютера. Эти программы могут первыми сообщить о работе вируса. Второй эшелон «обороны» составляют программы-ревизоры. Ревизоры обнаруживают нападение вируса даже тогда, когда он сумел «просочиться» через передний край обороны. Программы-доктора применяются для восстановления зараженных программ, если копии зараженной программы нет в архиве, но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные программы, причем контролируют правильность лечения. Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в ПК, испортить важные данные. В «стратегическом резерве» находятся архивные копии информации и «эталонные» дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении.
Вредоносные действия вирусов каждого типа могут быть самыми разнообразными. Это и удаление важных файлов или даже «прошивки» BIOS, и передача личной информации, например паролей, по определенному адресу, организация несанкционированных рассылок электронной почты и атак на некоторые сайты. Возможен и запуск дозвона через сотовый телефон на платные номера. Утилиты скрытого администрирования (backdoor) способны даже передать злоумышленнику всю полноту управления компьютером. К счастью, со всеми этими бедами можно успешно бороться, и основным оружием в этой борьбе будет, конечно, антивирусное ПО.
Антивирус Касперского. Пожалуй, «Антивирус Касперского» - самый известный в России продукт этого типа, а фамилия «Касперский» стала синонимом борца с вредоносными кодами. Одноименная лаборатория не только постоянно выпускает новые версии своего защитного ПО, но и ведет просветительскую работу среди пользователей компьютеров. Самая свежая, девятая версия «Антивируса Касперского», как и предыдущие релизы, отличается простым и максимально прозрачным интерфейсом, объединяющим все необходимые утилиты в одном окне. Благодаря мастеру установки и интуитивно понятным пунктам меню настроить этот продукт способен даже начинающий пользователь. Мощность используемых алгоритмов удовлетворит и профессионалов. С детальным описанием каждого из обнаруженных вирусов можно ознакомиться, вызвав соответствующую страницу в Интернете непосредственно из программы.
Dr. Web. Еще один популярный российский антивирус, соперничающий по известности с «Антивирусом Касперского», - Dr. Web. Его ознакомительная версия обладает интересной особенностью: она требует обязательной регистрации через Интернет. С одной стороны, это очень хорошо - сразу после регистрации производится обновление антивирусных баз и пользователь получает самые новые данные о сигнатурах. С другой стороны, установить ознакомительную версию автономно невозможно, да и, как показал опыт, при неустойчивом соединении неизбежны проблемы.
Panda Antivirus + Firewall 2007. Комплексное решение в области компьютерной безопасности - пакет Panda Antivirus+Firewall 2007 - включает в себя помимо антивирусной программы брандмауэр, отслеживающий сетевую активность. Интерфейс основного окна программы решен в «природных» зеленых тонах, но, несмотря на внешнюю привлекательность, система переходов по меню выстроена неудобно, и начинающий пользователь вполне может запутаться в настройках.
Пакет Panda содержит сразу несколько оригинальных решений, таких как фирменная технология поиска неизвестных угроз TruePrevent, основанная на самых современных эвристических алгоритмах. Стоит обратить внимание и на утилиту поиска уязвимых мест компьютера - она оценивает опасность «дыр» в системе безопасности и предлагает скачать необходимые обновления.
Norton Antivirus 2005. Основное впечатление от продукта знаменитой компании Symantec - антивирусного комплекса Norton Antivirus 2005 - его ориентация на мощные вычислительные системы. Реакция интерфейса Norton Antivirus 2005 на действия пользователя ощутимо запаздывает. Кроме того, при инсталляции она предъявляет достаточно жесткие требования к версиям операционной системы и Internet Explorer. В отличие от Dr.Web, Norton Antivirus не требует обязательного обновления вирусных баз при установке, но о том, что они устарели, будет напоминать в течение всего времени работы.
McAfee VirusScan. Любопытный антивирусный продукт, являющийся, по уверениям разработчиков, сканером № 1 в мире - McAfee VirusScan, - мы выбрали для испытаний потому, что в ряду аналогичных приложений он выделялся большим размером дистрибутива (более 40 Мбайт). Полагая, что такая величина обусловлена широким функционалом, мы приступили к инсталляции и обнаружили, что помимо антивирусного сканера в него входят брандмауэр, а также утилиты очистки жесткого диска и гарантированного удаления объектов с винчестера (файл-шреддер).
Вопросы к главам 6 и 7
- 1. Этапы развития средств и технологий информационной безопасности.
- 2. Составляющие стандартной модели безопасности.
- 3. Источники угроз безопасности и их классификация.
- 4. Непреднамеренные угрозы информационной безопасности.
- 5. Умышленные угрозы информационной безопасности.
- 6. Классификация каналов утечки информации.
- 7. Регулирование проблем информационной безопасности.
- 8. Структура государственной системы защиты информации.
- 9. Методы и средства защиты информации.
- 10. Классификация угроз безопасности данных.
- 11. Методы защиты информации от вирусов.
- 12. Методы контроля целостности.
- 13. Классификация компьютерных вирусов.
- 14. Средства защиты против вирусов.
- 15. Профилактические антивирусные меры.
- 16. Классификация программных антивирусных продуктов.
вредоносный программа антивирусный заражение
Для своей успешной работы вирусам необходимо проверять, не является ли файл уже зараженным (этим же вирусом). Так они избегают самоуничтожения. Для этого вирусы используют сигнатуру. Большинство обычных вирусов (включая и макровирусы) использует символьные сигнатуры. Более сложные вирусы (полиморфные) используют сигнатуры алгоритмов. Независимо от типа сигнатуры вируса антивирусные программы используют их для обнаружения «компьютерных инфекций». После этого антивирусная программа пытается уничтожить обнаруженный вирус. Однако этот процесс зависит от сложности вируса и качества антивирусной программы. Как уже говорилось, наиболее сложно обнаружить троянских коней и полиморфные вирусы. Первые из них не добавляют свое тело к программе, а внедряют внутрь нее. С другой стороны, антивирусные программы должны потратить достаточно много времени, чтобы определить сигнатуру полиморфных вирусов. Дело в том, что их сигнатуры меняются с каждой новой копией.
Для обнаружения, удаления и защиты от компьютерных вирусов существуют специальные программы, которые называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как профилактические средства, так и средства лечения вирусов и восстановления данных.
Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам:
1. Стабильность и надежность работы.
2. Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой): с учетом постоянного появления новых вирусов база данных должна регулярно обновляться.
3. Возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы).
4. Наличие резидентного монитора, осуществляющего проверку всех новых файлов «на лету» (то есть автоматически, по мере их записи на диск).
5. Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование).
6. Возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы.
7. Процент ложных срабатываний программы (ошибочное определение вируса в «чистом» файле).
8. Кроссплатформенность (наличие версий программы под различные операционные системы).
Классификация антивирусных программ:
1. Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы:
Универсальные - используют в своей работе проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы;
Специализированные - выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода).
2. Программы-доктора (фаги) не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.
3. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора.
4. Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
Попытки коррекции файлов с расширениями СОМ и ЕХЕ;
Изменение атрибутов файлов;
Прямая запись на диск по абсолютному адресу;
Запись в загрузочные сектора диска;
5. Программы-вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов Безруков Н. Компьютерная вирусология: Учебник [Электронный ресурс]: http://vx.netlux.org/lib/anb00.html..
На самом деле архитектура антивирусных программ намного сложнее и зависит от конкретного разработчика. Но один факт неоспорим: все технологии, о которых я рассказывал, настолько тесно переплелись друг в друге, что порой невозможно понять, когда в ход пускаются одни и начинают работать другие. Подобное взаимодействие антивирусных технологий позволяет наиболее эффективно их использовать в борьбе с вирусами. Но не стоит забывать, что не существует идеальной защиты, и единственный способ предостеречь себя от подобных проблем -- постоянные обновления ОС, хорошо настроенный файрволл, часто обновляемый антивирус, и -- главное -- не запускать/загружать подозрительные файлы из интернета.