Общая классификация средств защиты от вирусов

Для обеспечения своего функционирования вирусу достаточно лишь нескольких вполне обычных операций, используемых большинством обычных программ. Поэтому принципиально не может существовать универсальный метод, защищающий операционную систему от распространения любого вируса. Тем не менее, можно существенно затруднить задачу создания вируса, применяя специальные методы, как в самой ОС, так и используя дополнительные резидентные и нерезидентные средства защиты.

Простейшим средством защиты от вируса является программа, позволяющая составить список зараженных программ. Такая программа называется детектором. Он может быть и резидентным. В этом случае после загрузки программы он проверяет ее на зараженность и, если вирус не обнаружен, передает ей управление.

Вторым и наиболее распространенным средством защиты от вирусов являются так называемые фаги — программы, "выкусывающие" вирус из зараженной программы.

Полифаги рассчитаны на несколько типов вирусов. Они умеют распознавать и выкусывать вирусы, информация о которых в них уже заложена (SOS и Aidstest).

Третьим типом антивирусных программ являются резидентные программы-сторожа, контролирующие подозрительные действия запускаемых программ (например, попытку записи в определенный раздел или файл с расширением.СОМ или.ЕХЕ) и блокирующие их. Здесь наибольший практический интерес представляют дисковые драйверы, обеспечивающие возможность сегментации винчестера и присваивания отдельным разделам статуса READ ONLY. Например, драйвер ADM (Advanced Disk Manager) блокирует доступ к первой дорожке, содержащей загрузочные сектора.

Четвертый тип — это программы-ревизоры, которые подсчитывают контрольные суммы и другие параметры файлов и сравнивают их с эталонными. Этот вид контроля представляется наиболее надежным, так как позволяет выявить даже при наличии в оперативной памяти резидентного KB, выявить все измененные программы, несмотря на то, что вирус может пытаться эти изменения замаскировать. Ревизоры также могут быть резидентными.

Наиболее изощренным типом антивирусных программ являются так называемые вакцины. Они делают вирус неспособным к размножению. Вакцины могут быть пассивными или активными. Пассивная вакцина представляет собой программу, которая обрабатывает файл или все файлы на диске таким образом, что проставляется признак, который вирус использует, чтобы отличить зараженные файлы. Например, некоторые вирусы дописывают в конец файла строку "Ms Dos". Если искусственно дописать в конец всех файлов эту строку, то файлы заражаться не будут.

Активные вакцины являются резидентными программами, действие которых основано на имитации присутствия вируса в оперативной памяти. Поэтому они применяются против резидентных вирусов. Поливакцины имитируют наличие в оперативной памяти нескольких вирусов.

Аппаратные средства защиты — это специальные платы, вставляемые в компьютер. Вместе с соответствующей резидентной программой такая плата аппаратно блокирует пути инфекции. Загрузка с дискеты происходит только по паролю, подозрительные действия с дискетами и винчестером блокируются и на экран выдаются предупреждающие сообщения. Классификация средств защиты от вирусов.

Пользователь ПК должен быть к тому, что завтра его программ и файлов на диске не окажется. Поэтому он должен иметь необходимый минимум средств защиты. Эти средства следующие:

1. Архивирование — это основной метод защиты от вирусов. Архивирование
заключается в сжатии файлов с помощью программ-архиваторов. Для резервирования
системных областей имеются служебные программы-утилиты, входящие в пакеты MS
DOS, PC SHELL, NU.

2. Сегментация — разбиение диска на разделы с атрибутом READ ONLY.
Использование для хранения ценной информации разделов, отличных от С или D.

3. Ревизия — ежедневный контроль целостности исполняемых файлов и системных
блоков с помощью Adinf или аналогичного ревизора.

4. Входной контроль — проверка поступающих программ рядом детекторов и фагов,
проверка соответствия длины и контрольных сумм приведенным в документации.

5. Профилактика — систематическое использование vformat для разметки дискет;
вакцинирование поступающих дискет; защита дискет от записи.

6. Карантин — каждая новая программа, полученная без контрольных сумм, должна
проверяться на наличие вирусов, и в течение некоторого времени за ней должно бать
организовано наблюдение в специальном разделе для хранения вновь поступивших
программ.

7. Фильтрация — применение программ-сторожей для обнаружения попыток
выполнить несанкционированные действия.

8. Терапия — проверка дискет и винчестера на вирусы и лечение зараженных программ.

Основной принцип, лежащий в основе разработки технологии защиты от вирусов состоит в создании многоуровневой системы защиты. Например, может использоваться схема:

1) архивирование по схеме неделя-месяц-год;

2) сплошной входной контроль новых программных средств;

3) предварительная вакцинация;

4) сегментация информации на винчестере;

5) систематическое использование ревизоров.

Против вирусов-червей необходимо предпринять следующие действия:

1. Сегментация сети: разделяй и здравствуй. Сегментация сети включает безопасные зоны
типа DMZ и физически разделенные сети. DMZ относится к концепту
демилитаризированной зоны. В таких случаях сеть делится на интернет и проверенную
локальную сеть. Санкционированный трафик из интернета на веб-серверы в DMZ
поступает через брандмауэры. Второй брандмауэр, который находится между веб­
серверами и конечными серверами, защищает сетевой сервер.

2. Укрепление серверов. Защита хоста — это наиболее сложный этап защиты.

От системного администратора требуется практически постоянно обновлять систему: необходимо устанавливать патчи на операционную систему, удалять ненужные сервисы и разрешения по доступу к файлам, и т.п. Любой сервер, вне зависимости от типа ОС, должен быть защищен еще до его подключения к сети.

3. Защита приложений. Защита приложений — это разработка безопасного кода.
Кодировка используется для предотвращения переполнения буфера и применения
защиты. Подтверждение входных данных по типу и размеру позволит предотвратить
переполнение буфера.

4. Пользователь как оперативная боевая единица. Объяснить пользователям компьютеров, что они должны делать для защиты сети. Эту работу нельзя оставлять системным администраторам и аналитикам ИТ-безопасности. Самое эффективное средство повышения бдительности и снижения риска — тренинг для самих пользователей. Они должны понимать риск, связанный с открытием почтовых приложений и вложенных файлов, подсоединением ноутбуков к домашней сети, и назначением «слабых», в том числе общеизвестных паролей.