Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Характеристика антивирусных программ




Рис. 2. Классификация антивирусных программ

 
 

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Классификация антивирусов представлена на рис.2.

Программы-детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры, тело вируса или маска вируса) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные.

Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.

Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.

Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором.

Недостатком таких антивирусных про грамм является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Сканеры или программы-доктора, не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. Принцип работы сканеров основан на проверке системной памяти, затем файлов и секторов и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются маски вируса (некоторая постоянная последовательность кода, специфичная для конкретного вируса), содержащиеся в антивирусных базах.

Если же вирус не содержит постоянной маски (полиморфы), то может использоваться алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Во многих сканерах используются алгоритмы эвристического сканирования, заключающиеся в поиске признаков деятельности вирусов, таких как подозрительный код или неожиданные изменения в файлах. Поскольку эвристическое сканирование является вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний

Эвристическим анализатором называют алгоритм, предназначенный для обнаружения фрагментов программ, типичных для компьютерных вирусов. Эвристические анализаторы используются полифагами для обнаружения вирусов, не входящих в базу данных полифага. Эффективность эвристического анализатора определяется двумя параметрами: процентом обнаруженных вирусов и процентом так называемых ложных срабатываний (подозрений на наличие вируса в файлах, в которых его нет). Российский полифаг Doctor Web имеет один из лучших в мире эвристических анализаторов.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и про­граммы-доктора быстро устаревают, и требуется регулярное обновление их антивирусных баз. К достоинствам сканеров относится их универсальность, к недостаткам - размеры антивирусных баз, которые сканерам приходится "таскать за собой", и относительно небольшая скорость поиска вирусов.

Ревизоры (CRC-сканеры.) Ревизор дисков – программа, предназначенная для контроля целостности информации на диске. Ревизор контролирует целостность файлов, загрузочных секторов и системных областей, сообщая обо всех изменениях Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (CRC-сумма или контрольная сумма файла Контрольная сумма – функция от файла, вычисляемая по специальному алгоритму. Контрольные суммы строятся таким образом, чтобы изменения в файле влекли изменения контрольной суммы. Контрольные суммы используются программой-ревизором для контроля целостности файлов), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от измене­ний, внесенных вирусом: практически 100% оказываются обнаруженными почти сразу после их появления в системе. Однако у этого типа антивирусов есть врожденный недостаток: они не способны поймать вирус в новых файлах (в электронной почте, на дискете, в файлах, восстанавливаемых из архивов).

Но они могут лечить не от всех вирусов, а только от тех, которые используют "стандартные", известные на момент написания программы, механизмы заражения файлов.

Мониторы или "сторожа" (блокировщики.) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

- попытки коррекции файлов с расширениями СОМ и ЕХЕ;

- изменение атрибутов файлов;

- прямая запись на диск по абсолютному адресу;

- запись в загрузочные сектора диска;

- загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия "сторож" посы­лает пользователю сообщение и предлагает запретить или разрешить соответствующее дей­ствие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недо­статкам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также воз­можные конфликты с другим программным обеспечением.

Вакцины или иммунизаторы это программы, блокирующие заражение каким-либо типом вируса. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Файлы на диске моди­фицируются таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными. Для защиты от резидентного вируса в память заносится программа, имитирующая копию вируса, при запуске вирус натыкается на нее и считает, что система уже заражена. В настоящее время программы-вакцины имеют ограниченное применение.

 

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...