 |
Классификация методов защиты от компьютерных вирусов
|
|
|
|
Проблему защиты от вирусов необходимо рассматривать в общем контексте проблемы защиты информации от несанкционированного доступа и технологической и эксплуатационной безопасности компьютерных технологий в целом. Основной принцип, который должен быть положен в основу разработки технологии защиты от вирусов, состоит в создании многоуровневой распределенной системы защиты.
Для решения задач антивирусной зашиты должен быть реализован комплекс известных и хорошо отработанных организационно-технических мероприятий:
Ø использование сертифицированного программного обеспечения;
Ø организация автономного испытательного стенда для проверки на вирусы нового программного обеспечения и данных. Предварительная проверка на автономном стенде нового программного обеспечения и данных позволяет значительно снизить вероятность проникновения в систему вирусов при ошибочных действиях пользователей. Это мероприятие эффективно для систем, обрабатывающих особо ценную информацию. Однако в случае эксплуатации компьютерной сети проверка на стенде входящих данных значительно снижает оперативность обработки информации;
Ø ограничение пользователей системы на ввод программ и данных с посторонних носителей информации. Отключение пользовательских дисководов для магнитных и оптических носителей информации, которые являются основным каналом проникновения вирусов в систему, позволяет значительно повысить уровень антивирусной зашиты при работе в компьютерной сети.
Для защиты от компьютерных вирусов в настоящее время используются методы, указанные на рисунке 2.
Рис.2 - Классификация антивирусов
|
|
|
Архивирование. Заключается в копировании системных областей магнитных дисков и ежедневном ведении архивов измененных файлов. Архивирование является одним из основных методов защиты от вирусов. Остальные методы защиты дополняют его, но не могут заменить полностью.
Входной контроль. Проверка всех поступающих программ детекторами, а также проверка длин и контрольных сумм, вновь поступающих программ на соответствие значениям, указанным в документации. Большинство известных файловых и бутовых вирусов можно выявить на этапе входного контроля. Для этой цели используется батарея детекторов (несколько последовательно запускаемых программ). Набор детекторов достаточно широк и постоянно пополняется по мере появления новых вирусов. Однако при этом могут быть обнаружены не все вирусы, а только распознаваемые детектором. Следующим элементом входного контроля является контекстный поиск в файлах слов и сообщений, которые могут принадлежать вирусу (например, Virus, COMMAND.COM, Kill и т. д.). Подозрительным является отсутствие в последних 2-3 кб файла текстовых строк – это может быть признаком вируса, который шифрует свое тело.
Рассмотренный контроль может быть выполнен с помощью специальной программы, которая работает с базой данных «подозрительных» слов и сообщений и формирует список файлов для дальнейшего анализа. После проведенного анализа новые программы рекомендуется несколько дней эксплуатировать в карантинном режиме. При этом целесообразно использовать ускорение календаря, т.е. изменять текущую дату при повторных запусках программы. Это позволяет обнаружить вирусы, срабатывающие в определенные дни недели (пятница, 13-е число месяца, воскресенье и т.д.).
Профилактика. Для профилактики заражения необходимо организовать раздельное хранение (на разных магнитных носителях) вновь поступающих и ранее эксплуатировавшихся программ, минимизацию периодов доступности дискет для записи, разделение общих магнитных носителей между конкретными пользователями.
|
|
|
Ревизия. Анализ вновь полученных программ специальными средствами (детекторами), контроль целостности перед считыванием информации, а также периодический контроль состояния системных файлов.
Карантин. Каждая новая программа проверяется на известные типы вирусов в течение определенного промежутка времени. Программы-доктора не только обнаруживают, но и «лечат» зараженные файлы или диски, удаляя из зараженных программ тело вируса. Программы-доктора служат для обнаружения и уничтожения большого количества разнообразных вирусов. Значительное распространение в России получили программы такого типа, как MS Antivirus, Norton Utilites, Avast, Doctor Web и др. Российским лидером в области разработки антивирусных программ является «Лаборатория Касперского». «Лаборатория Касперского» предлагает для обеспечения информационной безопасности: антивирусные программы, программы защиты электронной почты, системы контроля целостности данных и др. Антивирусные программы «Лаборатории Касперского» отслеживают потенциальные источники проникновения компьютерных вирусов, поэтому они используются на PC, серверах, Web-серверах, почтовых серверах, межсетевых экранах. Пользователи программы обеспечиваются круглосуточной технической поддержкой, ежедневными обновлениями антивирусной базы данных.
Кроме «Лаборатории Касперского» на российском рынке есть еще популярная антивирусная программа Dг.Web. В Dг.Web реализован принципиально иной подход, чем в других антивирусных программах: в программу встроен модуль эвристического анализатора, который позволяет обезвреживать не только уже известные и занесенные в базу данных вирусы, но и но вые, еще неизвестные вирусы.
Периодически проводимые специализированными организациями испытания наиболее популярных антивирусных средств показывают, что они способны обнаруживать до 99,8% известных вирусов.
Сегментация. Предполагает разбиение магнитного диска на ряд логических томов (разделов), часть из которых имеет статус READ_ONLY (только чтение). В данных разделах хранятся выполняемые программы и системные файлы. Базы данных должны храниться в других секторах, отдельно от выполняемых программ. Важным профилактическим средством в борьбе с файловыми вирусами является исключение значительной части загрузочных модулей и сферы их досягаемости. Этот метод называется сегментацией и основан на разделении магнитного диска с помощью специального драйвера, обеспечивающего присвоение отдельным логическим томам атрибута READ_ONLY (только чтение), а также поддерживающего схемы парольного доступа. При этом в защищенные от записи разделы диска помещаются исполняемые программы и системные утилиты, а также системы управления базами данных и трансляторы, т.е. компоненты программного обеспечения, наиболее подтвержденные опасности заражения. В качестве такого драйвера целесообразно использовать программы типа ADVANCED DISK MANAGER (программа для форматирования и подготовки жесткого диска), которые позволяют не только разбить диск на разделы, но и организовать доступ к ним с помощью паролей. Количество используемых логических томов и их размеры зависят от решаемых задач и объема винчестера. Рекомендуется использовать 3-4 логических тома, причем на системном диске, с которого выполняется загрузка, следует оставить минимальное количество файлов (системные файлов, командный процессор, а также программы-ловушки).
|
|
|
Фильтрация. Заключается в использовании программ-сторожей для обнаружения попыток выполнить несанкционированные действия
Вакцинация. Специальная обработка файлов и дисков, имитирующая сочетание условий, которые используются некоторым типом вируса для определения, заражена уже программа или нет.
Автоконтроль целостности. Заключается в использовании специальных алгоритмов, позволяющих после запуска программы определить, были ли внесены изменения в ее файл.
Терапия. Предполагает дезактивацию конкретного вируса в зараженным программах специальными программами (фагами). Программы-фаги «выкусывают» вирус из зараженной программы и пытаются восстановить ее код в исходного состояние (состояние до момента заражения). В общем случае технологическая схема защиты может состоять из следующих этапов:
|
|
|
Ø входной контроль новых программ;
Ø сегментация информации на магнитном диске;
Ø защита операционной системы от заражения;
Ø систематический контроль целостности информации.
Необходимо отметить, что не следует стремиться обеспечить глобальную защиту всех файлов, имеющихся на диске. Это существенно затрудняет работу, снижает производительность системы и в конечном итоге ухудшает защиту из-за частной работы в открытом режиме. Анализ показывает, что только 20-30% файлов должны быть защищены от записи.
Анализ рассмотренных методов и средств защиты показывает, что эффективная защита может быть обеспечена при комплексном использовании различных средств в рамках единой операционной среды. Для этого необходимо разработать интегрированный программный комплекс, поддерживающий рассмотренную технологию защиты. В состав программного комплекса должны входить компоненты, указанные на рисунке 4.
Рис. 4 - Состав программного комплекса защиты от компьютерных вирусов
Современные информационные технологии защиты информации включают средства обнаружения, защиты и лечения от вирусов — это специальные программы, которые называются антивирусными. Антивирусные программы (AVP) представляют собой программные комплексы, которые сочетают в себе средства профилактики заражения, средства лечения и восстановления данных. Функционирование AVP заключается в постоянном отслеживании системы на наличие вредоносных программ при запуске файлов, открытии различных документов, получении электронной почты, работе в Интернете и других процессах.
Семейство (батарея) детекторов. Детекторы, включенные в семейство, должны запускаться из операционной среды комплекса. При этом должна быть обеспечена возможность подключения к семейству новых детекторов, а также указание параметров их запуска из диалоговой среды. С помощью данной компоненты может быть организована проверка ПО на этапе входного контроля.
Программа-ловушка вирусов. Данная программа порождается в процессе функционирования комплекса, т.е. не ранится на диске, поэтому оригинал не может быть заражен. Программа-ловушка при каждом запуске контролирует свою целостность (размер, контрольную запуску и время создания). В случае обнаружения заражения программный комплекс переходит в режим анализа зараженной программы-ловушки и пытается определить тип вируса.
Программа для вакцинации. Предназначена для изменения среды функционирования вирусов таким образом, чтобы они теряли способность к размножению. Известно, что ряд вирусов помечает зараженные файлы для предотвращения повторного заражения. Используя это свойство, возможно создание программы, которая обрабатывала бы файлы таким образом, чтобы вирус считал, что они уже заражены.
|
|
|
Базы данных о вируса и их характеристиках. Предполагается, что в базе данных будет храниться информация о существующих вирусах, их особенностях и сигнатурах, а также рекомендуемая стратегия лечения. Информация из БД может использоваться при анализе зараженной программы-ловушки, а также на этапе входного контроля ПО. Кроме того, на основе информации, хранящейся в БД, можно выработать рекомендации по использованию наиболее эффективных детекторов и фагов для лечения от конкретного типа вируса.
Резидентные средства защиты. Эти средства могут резидентно разместиться в памяти и постоянно контролировать целостность системных файлов и командного процессора. Проверка может выполняться по прерываниям от таймера или при выполнении операций чтения и записи в файл.
|
|
|
