Компьютерные

Вирусы

Существует много программ, позволяющих защитить компьютер от вирусной атаки. Их разновидности можно перечислить следующим образом:

Программы- ревизоры. Антивирусные ревизоры имеют единый алгоритм поиска изменений. В процессе работы они выполняют следующие операции:

1. Подсчитывают контрольные суммы (CRC-суммы) для дисковых секторов и файлов.

2. Сохраняют CRC-суммы в специальной базе данных (таблице).

3. Сравнивают при следующих проверках реальные (новые) CRC-суммы с прежними значениями, хранящимися в базе данных. 

В базе данных также хранится дополнительная информация о файлах - их длины, время создания последней модификации, атрибуты и данные, необходимые для

восстановления изменённых (зараженных) файлов. Помимо этого, ревизоры запоминают и затем при каждом запуске проверяют информацию об операционной системе и установленном аппаратном обеспечении: объем оперативной памяти (контроль на заражение загрузочным вирусом), количество установленных жестких дисков.

Данная особенность работы позволяет им успешно обнаруживать  так называемые стелс-вирусы (вирусы-невидимки).

 Другой разновидностью этих программ являются  Доктора – ревизоры.

Программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными. При лечении используются ранее сохранённые данные о состоянии файлов и системных областей диска. Данная информация практически восстанавливается.

           Программы - фильтры (Блокировщики).

 Антивирусные блокировщики - это резидентные программы, перехватывающие "вирусо-опасные" ситуации и сообщающие об этом пользователю. К "вирусо-опасным" относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно

известный вирус постоянно "выползает неизвестно откуда". К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ. Все это делает аппаратные блокировщики крайне непопулярными на фоне остальных типов антивирусной защиты.

Иммунизаторы.

Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом.

Второй тип иммунизации защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус

принимает их за уже заражённые. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на неё и считает, что система уже заражена.

Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов.

Сканеры.

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски". Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Во многих сканерах используются также алгоритмы "эвристического сканирования", т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения ("возможно заражен" или "не заражен") для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.

Сканеры также делятся на "резидентные" (мониторы), производящие сканирование "на лету", и "нерезидентные", обеспечивающие проверку системы только по запросу.    Как правило, "резидентные" сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как "нерезидентный" сканер способен опознать вирус только во время своего очередного запуска.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам - размеры антивирусных баз, которые сканерам приходится "таскать за собой", и относительно небольшую скорость поиска вирусов.

Наиболее распространённым в России является пакет антивирусных программ, разработанный Санкт-Петербургским «вирусологом» Евгением Касперским, носящий его имя «Kaspersky Anti-Virus». Данный пакет сочетает в себе все перечисленные выше

программы защиты от вирусов. В нём представлены  и сканеры, и имунизаторы, и блокировщики, и ревизоры и т.д.

В последнее время стремительно растет популярность другой антивирусной программы - Doctor Web, которую предлагает  фирма «Диалог-Наука». Эта программа была создана в 1994 г. И. А. Даниловым. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов - мутантов, которые при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса. В пользу этой программы говорит тот факт, что крупную лицензию (на 2000 компьютеров) приобрело Главное управление информационных ресурсов при Президенте РФ, а второй по величине покупатель "паутины" - "Инкомбанк". Антивирусные базы - сердце любого антивируса. Без новейших антивирусных баз программа становится набором красивых, но бесполезных окошек.

Глава IV. Антивирусные программы.