بيت » رقائق من جهاز الكمبيوتر

برامج الكاشف: ما هو في مجال الحماية من الفيروسات؟ برامج مكافحة الفيروسات هل يتعرف الكاشف دائمًا على البرنامج المصاب؟

برامج الكشف عن الفيروسات والحماية

للكشف عن فيروسات الكمبيوتر وإزالتها والحماية منها، تم تطوير عدة أنواع من البرامج الخاصة التي تسمح لك باكتشاف الفيروسات وتدميرها. تسمى مثل هذه البرامج مضاد للفيروسات.

هناك الأنواع التالية من برامج مكافحة الفيروسات (الشكل 11.11):

§ برامج الكاشف.

§ برامج الطبيب أو العاثيات.

§ برامج التدقيق.

§ برامج التصفية.

§ برامج اللقاح أو التحصين.

أرز. 11.11.أنواع برامج مكافحة الفيروسات

برامج كشفيبحثون عن سلسلة من وحدات البايت المميزة لفيروس معين (توقيع الفيروس) في ذاكرة الوصول العشوائي والملفات، وعند العثور عليها، تعرض الرسالة المقابلة. عيب برامج مكافحة الفيروسات هذه هو أنها لا تستطيع العثور إلا على الفيروسات المعروفة لمطوري هذه البرامج.

برامج دكتورأو العاثيات,و برامج اللقاحاتلا يقتصر الأمر على العثور على الملفات المصابة بالفيروسات فحسب، بل "يعالجها" أيضًا، أي. إزالة نص برنامج الفيروس من الملف، وإعادة الملفات إلى حالتها الأصلية. في بداية عملهم، تبحث العاثيات عن الفيروسات في ذاكرة الوصول العشوائي (RAM)، وتقوم بتدميرها، وعندها فقط تنتقل إلى "تنظيف" الملفات. من بين العاثيات هناك متعدد العاثيات,أولئك. برامج الطبيب مصممة للبحث وتدمير عدد كبير من الفيروسات. أشهر polyphages هي البرامج مساعدات الاختبار، المسح الضوئي، نورتون مكافحة الفيروساتو دكتور ويب.

وبالنظر إلى أن الفيروسات الجديدة تظهر باستمرار، فإن برامج الكاشف وبرامج الطبيب سرعان ما تصبح قديمة، ويلزم تحديث إصداراتها بانتظام.

برامج المدققتعتبر من أكثر الوسائل الموثوقة للحماية من الفيروسات. يتذكر المدققون الحالة الأولية للبرامج والأدلة ومناطق نظام القرص عندما لا يكون الكمبيوتر مصابًا بفيروس، ثم يقومون بشكل دوري أو بناءً على طلب المستخدم بمقارنة الحالة الحالية بالحالة الأصلية. يتم عرض التغييرات المكتشفة على شاشة مراقبة الفيديو. كقاعدة عامة، تتم مقارنة الحالات مباشرة بعد تحميل نظام التشغيل. عند المقارنة، يتم التحقق من طول الملف ورمز التحكم الدوري (المجموع الاختباري للملف) وتاريخ ووقت التعديل والمعلمات الأخرى. تمتلك برامج التدقيق خوارزميات متطورة إلى حد ما، وتكتشف الفيروسات الخفية ويمكنها أيضًا التمييز بين التغييرات في إصدار البرنامج الذي يتم فحصه والتغييرات التي أجراها الفيروس. ومن بين برامج التدقيق البرنامج المستخدم على نطاق واسع في روسيا أدنفشركة "ديالوج ناوكا".

برامج التصفيةأو "رجل مراقبة"هي برامج مقيمة صغيرة مصممة لاكتشاف الإجراءات المشبوهة أثناء تشغيل الكمبيوتر، وهي سمة من سمات الفيروسات. مثل هذه الإجراءات قد تكون:



§ يحاول تصحيح الملفات بامتدادات COM وEXE؛

§ تغيير سمات الملف.

§ التسجيل المباشر على القرص على العنوان المطلق؛

§ الكتابة إلى قطاعات التمهيد من القرص؛

عندما يحاول أي برنامج تنفيذ الإجراءات المحددة، يرسل "الحارس" رسالة إلى المستخدم ويقترح حظر الإجراء المقابل أو السماح به. تعد برامج التصفية مفيدة جدًا لأنها قادرة على اكتشاف الفيروس في المرحلة الأولى من وجوده قبل النسخ. ومع ذلك، فهي لا تقوم "بتنظيف" الملفات والأقراص. لتدمير الفيروسات، تحتاج إلى استخدام برامج أخرى، مثل العاثيات. تشمل عيوب برامج المراقبة "تطفلها" (على سبيل المثال، تصدر تحذيرًا دائمًا حول أي محاولة لنسخ ملف قابل للتنفيذ)، فضلاً عن التعارضات المحتملة مع البرامج الأخرى. مثال على برنامج التصفية هو البرنامج فيسيف,مضمن في حزمة الأدوات المساعدة لنظام التشغيل MS DOS.

اللقاحاتأو التحصينات -هذه هي البرامج المقيمة التي تمنع إصابات الملفات. يتم استخدام اللقاحات في حالة عدم وجود برامج طبية "تعالج" هذا الفيروس. التطعيم ممكن فقط ضد الفيروسات المعروفة. يقوم اللقاح بتعديل البرنامج أو القرص بطريقة لا تؤثر على تشغيله، وسيعتبره الفيروس مصابًا وبالتالي لن يتجذر. حاليًا، برامج اللقاحات لها استخدام محدود.

يساعد الكشف في الوقت المناسب عن الملفات والأقراص المصابة بالفيروسات والتدمير الكامل للفيروسات المكتشفة على كل جهاز كمبيوتر على تجنب انتشار وباء الفيروس إلى أجهزة الكمبيوتر الأخرى.

مجموعة أدوات مكافحة الفيروسات JSC "Dialog-Science"

من بين وفرة الأدوات البرمجية الحديثة لمكافحة فيروسات الكمبيوتر، يجب إعطاء الأفضلية لمجموعة أدوات مكافحة الفيروسات الخاصة بشركة Dialog-Science JSC، والتي تتضمن أربعة منتجات برمجية: Aidstest وDoctor Web polyphages (اختصار Dr.Web)، ومدقق القرص ADinf ووحدة معالجة ADinf Cure Module. دعونا نلقي نظرة سريعة على كيفية ووقت استخدام برامج مكافحة الفيروسات هذه.

برنامج مساعدة polyphage.الإيدزهو برنامج يمكنه اكتشاف وتدمير أكثر من 1300 فيروس كمبيوتر منتشرة في روسيا. الإصدارات الإيدزيتم تحديثها بانتظام واستكمالها بمعلومات حول الفيروسات الجديدة.

للإتصال الإيدزيجب عليك إدخال الأمر:

الإيدز []

حيث المسار هو اسم محرك الأقراص أو الاسم الكامل أو مواصفات الملف أو قناع مجموعة الملفات:

* - جميع أقسام القرص الصلب،

** - جميع محركات الأقراص، بما في ذلك محركات أقراص الشبكة ومحركات الأقراص المضغوطة؛

الخيارات - أي مجموعة من المفاتيح التالية:

/F - إصلاح البرامج المصابة ومحو البرامج التالفة؛

/G - فحص كافة الملفات المتتالية (ليس فقط COM وEXE وSYS)؛

/S - عملية بطيئة للبحث عن الفيروسات التالفة؛

/X - مسح كافة الملفات التي بها انتهاكات في بنية الفيروس؛

/س - طلب الإذن لحذف الملفات التالفة؛

/B – لا تقدم معالجة القرص المرن التالي.

مثال 11.27. الإيدزلفحص و"علاج" القرص في:.سيتم إصلاح البرامج المصابة المكتشفة. جميع الملفات الموجودة على القرص تخضع للمسح. إذا لم يكن من الممكن إصلاح الملف، فسيطلب البرنامج الإذن بحذفه:

الإيدزستست ب: /f /g /q

برنامج دكتور ويب polyphage.تم تصميم هذا البرنامج في المقام الأول لمكافحة الفيروسات متعددة الأشكال التي ظهرت مؤخرًا نسبيًا في عالم الكمبيوتر. الاستخدام دكتور. ويبلفحص الأقراص وإزالة الفيروسات المكتشفة، وهو مشابه بشكل عام للبرنامج الإيدز.في هذه الحالة، لا يوجد عمليا أي ازدواجية في الشيكات، منذ ذلك الحين الإيدزو دكتور. ويبالعمل على مجموعات مختلفة من الفيروسات.

برنامج دكتور. ويبيمكنه محاربة الفيروسات الطافرة المعقدة التي تتجاوز قدرات البرنامج بشكل فعال الإيدز.على عكس الإيدزبرنامج دكتور. ويبقادر على اكتشاف التغييرات في كود البرنامج الخاص به، والتعرف بشكل فعال على الملفات المصابة بفيروسات جديدة غير معروفة، واختراق الملفات المشفرة والمعبأة، وكذلك التغلب على "غطاء اللقاح". يتم تحقيق ذلك بفضل وجود محلل إرشادي قوي إلى حد ما.

في وضع التحليل الإرشادي، البرنامج دكتور ويبيقوم بفحص الملفات ومناطق النظام على الأقراص، محاولاً اكتشاف الفيروسات الجديدة أو غير المعروفة عن طريق تسلسلات التعليمات البرمجية المميزة للفيروسات. إذا تم العثور على أي منها، فسيتم عرض تحذير يشير إلى أن الكائن قد يكون مصابًا بفيروس غير معروف.

هناك ثلاثة مستويات من التحليل الإرشادي. في وضع التحليل الإرشادي، من الممكن حدوث نتائج إيجابية كاذبة، أي. الكشف عن الملفات غير المصابة. يتضمن مستوى "الاستدلال" مستوى تحليل الكود دون وجود نتائج إيجابية كاذبة. كلما ارتفع مستوى الاستدلال، زادت نسبة الأخطاء أو الإيجابيات الكاذبة. يوصى بالمستويين الأولين لتشغيل المحلل الإرشادي.

يوفر المستوى الثالث من التحليل الإرشادي فحصًا إضافيًا للملفات لمعرفة الوقت "المريب" لإنشائها. تقوم بعض الفيروسات، عند إصابة الملفات، بتعيين وقت إنشاء غير صحيح، كعلامة على إصابة الملفات. على سبيل المثال، بالنسبة للملفات المصابة، يمكن ضبط الثواني على 62، ويمكن زيادة سنة الإنشاء بمقدار 100 عام.

وشملت برامج مكافحة الفيروسات دكتور. ويبوقد تتضمن أيضًا ملفات إضافية إلى قاعدة بيانات الفيروسات الرئيسية للبرنامج، مما يؤدي إلى توسيع قدراتها.

العمل مع البرنامج دكتور. ويبممكن في وضعين:

§ في وضع الواجهة بملء الشاشة باستخدام القوائم ومربعات الحوار؛

§ في وضع التحكم في سطر الأوامر.

بالنسبة للاستخدام غير المنتظم لمرة واحدة، يكون الوضع الأول أكثر ملاءمة، ولكن للاستخدام المنتظم بغرض التحكم المنهجي في إدخال الأقراص المرنة، فمن الأفضل استخدام الوضع الثاني. عند استخدام الوضع الثاني، أمر البدء المقابل دكتور. ويبيجب تضمينه إما في قائمة المستخدم الخاصة ببرنامج تشغيل Norton Commander، أو في ملف دفعي خاص.

سطر الأوامر للتشغيل دكتور. ويبعلى النحو التالي:

DrWeb [محرك الأقراص: [المسار]] [المفاتيح]

أين القرص:

X: هو جهاز محرك أقراص ثابت منطقي أو جهاز محرك أقراص مرنة فعلي، مثل F: أو A:،

* - جميع الأجهزة المنطقية الموجودة على القرص الصلب،

المسار هو مسار أو قناع الملفات المطلوبة.

أهم المفاتيح:

/AL - تشخيص جميع الملفات الموجودة على جهاز معين؛

/CU[P] - "علاج" الأقراص والملفات، وإزالة الفيروسات المكتشفة؛

ف - إزالة الفيروسات مع تأكيد المستخدم؛

/ DL - حذف الملفات التي لا يمكن معالجتها بشكل صحيح؛

/NA[level] - تحليل إرشادي للملفات والبحث عن فيروسات غير معروفة فيها، حيث المستوى

يمكن أن تأخذ القيم 0، 1، 2؛

/RP[اسم الملف] – تسجيل بروتوكول التشغيل إلى ملف (افتراضيًا، إلى ملف REPORT.WEB)؛

/CL - تشغيل البرنامج في وضع سطر الأوامر، عند اختبار الملفات و

مناطق النظام لا تستخدم واجهة ملء الشاشة؛

/ QU - الخروج إلى DOS مباشرة بعد الاختبار؛

/؟ - عرض مساعدة مختصرة.

إذا لم يتم تحديد أي تبديل في سطر أوامر Dr.Web، فستتم قراءة كافة المعلومات الخاصة بعملية التشغيل الحالية من ملف تكوين DRWEB.INI، الموجود في نفس الدليل مثل ملف DRWEB.EXE. يتم إنشاء ملف التكوين أثناء العمل مع البرنامج دكتور. ويبباستخدام الأمر لحفظ المعلمات المطلوبة للاختبار.

مثال 11.28.تشغيل برنامج مكافحة الفيروسات دكتور ويبلفحص وعلاج القرص في:.سيتم "شفاء" الملفات المصابة المكتشفة. جميع الملفات الموجودة على القرص تخضع للمسح. إذا لم يكن من الممكن "شفاء" الملف، فسيطلب البرنامج الإذن بحذفه. للبحث عن الفيروسات، يجب استخدام مستوى التحليل الإرشادي 1. يجب تنفيذ البرنامج فقط في وضع سطر الأوامر، والخروج إلى DOS بعد اكتمال الاختبار:

DrWeb В: /AL /CUP /HA1 /QU /CL

طرق الحماية.

تعريف برامج مكافحة الفيروسات وتصنيفها.

ومهما كان الفيروس، يحتاج المستخدم إلى معرفة الطرق الأساسية للحماية من فيروسات الكمبيوتر.

للحماية من الفيروسات يمكنك استخدام:

أدوات أمن المعلومات العامة والمفيدة أيضًا يحبالتأمين ضد الأضرار المادية التي تلحق بالأقراص أو البرامج المعطلة أو تصرفات المستخدم الخاطئة؛

التدابير الوقائية للحد احتمالاعدوى فيروسية؛

برامج متخصصة للحماية من الفيروسات. هناك نوعان رئيسيان من أدوات أمن المعلومات العامة، وهما:

نسخ المعلومات - إنشاء نسخ من الملفات ومناطق النظام على الأقراص؛

التحكم في الوصول الذي يمنع الاستخدام غير المصرح به للمعلومات، وخاصة الحماية ضد التغييرات في البرامج والبيانات بواسطة الفيروسات والبرامج المعطلة وإجراءات المستخدم الخاطئة.

للكشف عن فيروسات الكمبيوتر وإزالتها والحماية منها، تم تطوير عدة أنواع من البرامج الخاصة التي تسمح لك باكتشاف الفيروسات وتدميرها. تسمى هذه البرامج برامج مكافحة الفيروسات. هناك الأنواع التالية من برامج مكافحة الفيروسات:

برامج الكاشف

برامج الطبيب أو العاثيات.

برامج التدقيق؛

برامج التصفية؛

برامج اللقاحات أو التحصين.

برامج كشفيبحثون عن رمز (توقيع) مميز لفيروس معين في ذاكرة الوصول العشوائي والملفات، وإذا وجد، يعرضون الرسالة المقابلة. عيب برامج مكافحة الفيروسات هذه هو أنها لا تستطيع العثور إلا على الفيروسات المعروفة لمطوري هذه البرامج.

لا تقوم برامج Doctor أو phage، وكذلك برامج اللقاحات، بالعثور على الملفات المصابة بالفيروسات فحسب، بل "تعالجها" أيضًا، أي أنها تقوم بإزالة جسم برنامج الفيروس من الملف، مما يعيد الملفات إلى حالتها الأصلية. في بداية عملهم، تبحث العاثيات عن الفيروسات في ذاكرة الوصول العشوائي (RAM)، وتقوم بتدميرها، وعندها فقط تنتقل إلى "تنظيف" الملفات. من بين العاثيات، تتميز polyphages، أي برامج الطبيب المصممة للبحث عن عدد كبير من الفيروسات وتدميرها. وأشهرها: Aidstest، Scan، Norton AntiVirus، Doctor Web.

وبالنظر إلى أن الفيروسات الجديدة تظهر باستمرار، فإن برامج الكاشف وبرامج الطبيب سرعان ما تصبح قديمة، ويلزم تحديث الإصدارات بانتظام.

تعد برامج مكافحة الفيروسات Polyphage أكثر أدوات مكافحة البرامج الضارة شيوعًا. تاريخياً، ظهروا أولاً وما زالوا يحتفظون بالريادة بلا منازع في هذا المجال.

يعتمد عمل polyphages على مبدأ بسيط - البحث في البرامج والمستندات عن أقسام مألوفة من الكود الفيروسي (ما يسمى التوقيعاتالفيروسات). بشكل عام، التوقيع هو سجل للفيروس يسمح للشخص بالتعرف بشكل فريد على وجود رمز الفيروس في برنامج أو مستند. في أغلب الأحيان، يكون التوقيع جزءًا مباشرًا من الفيروس شفرةأو مجموعها الاختباري (الملخص).



في البداية، عملت برامج مكافحة الفيروسات polyphage على مبدأ بسيط للغاية - حيث قامت بفحص الملفات بشكل تسلسلي لمعرفة ما إذا كانت تحتوي على برامج فيروسات. إذا تم اكتشاف توقيع فيروس، فسيتم تنفيذ إجراء لإزالة رمز الفيروس من نص البرنامج أو المستند. قبل البدء في فحص الملفات، يقوم برنامج phage دائمًا بفحص ذاكرة الوصول العشوائي (RAM). إذا كان هناك فيروس في ذاكرة الوصول العشوائي، يتم إلغاء تنشيطه. ويرجع ذلك إلى حقيقة أن برامج الفيروسات غالبًا ما تصيب تلك البرامج التي يتم تشغيلها أو فتحها في الوقت الذي يكون فيه الفيروس في المرحلة النشطة (وهذا بسبب الرغبة في توفير الجهود المبذولة للعثور على كائنات العدوى). وبالتالي، إذا ظل الفيروس نشطًا في الذاكرة، فإن الفحص الشامل لجميع الملفات القابلة للتنفيذ سيؤدي إلى إصابة النظام بالكامل.

في الوقت الحاضر، أصبحت برامج الفيروسات أكثر تعقيدًا. على سبيل المثال، ظهر ما يسمى "فيروسات التخفي". يعتمد عملهم على حقيقة أن نظام التشغيل يستخدم آلية المقاطعة عند الوصول إلى الأجهزة الطرفية (بما في ذلك محركات الأقراص الثابتة). من الضروري هنا إجراء استطراد قصير حول موضوع "كيف تعمل آلية المقاطعة". عند حدوث مقاطعة، يتم نقل التحكم إلى برنامج خاص - "معالج المقاطعة". هذا البرنامج مسؤول عن إدخال وإخراج المعلومات من وإلى الأجهزة الطرفية. بالإضافة إلى ذلك، يتم تقسيم المقاطعات إلى مستويات التفاعل مع الأجهزة الطرفية (في حالتنا، مع الأقراص الصلبة والمرنة). يوجد مستوى نظام التشغيل (في بيئة MS DOS - انقطاع 25 ساعة)، ويوجد مستوى نظام الإدخال/الإخراج الأساسي (مستوى BIOS - انقطاع 13 ساعة). يمكن أيضًا لمبرمجي النظام ذوي الخبرة العمل مباشرةً عن طريق الوصول إلى منافذ الإدخال/الإخراج الخاصة بالجهاز. لكن هذه مهمة خطيرة وصعبة إلى حد ما. تم إنشاء هذا النظام متعدد المستويات في المقام الأول بهدف الحفاظ على إمكانية نقل التطبيق. وبفضل هذا النظام، على سبيل المثال، أصبح من الممكن تشغيل تطبيقات DOS في بيئات متعددة المهام مثل MS Windows أو IBM OS/2.

ولكن في مثل هذا النظام، يتم إخفاء الثغرة الأمنية في البداية: من خلال التحكم في معالج المقاطعة، يمكنك التحكم في تدفق المعلومات من الجهاز الطرفي إلى المستخدم. تستخدم فيروسات التخفي، على وجه الخصوص، آلية لاعتراض التحكم عند حدوث مقاطعة. من خلال استبدال معالج المقاطعة الأصلي بالرمز الخاص بها، تتحكم الفيروسات الخفية في قراءة البيانات من القرص.

إذا تمت قراءة برنامج مصاب من قرص، فإن الفيروس "يحذف" الكود الخاص به (عادة لا يتم "حذف" الكود حرفيًا، ولكن يتم استبدال رقم قطاع القرص الذي تتم قراءته). ونتيجة لذلك، يتلقى المستخدم رمزًا "نظيفًا" لقراءته. وبالتالي، طالما تم تعديل ناقل معالج المقاطعة بواسطة كود الفيروس، فإن الفيروس نفسه نشط في ذاكرة الكمبيوتر، ومن المستحيل اكتشافه بمجرد قراءة القرص باستخدام نظام التشغيل. يتم استخدام آلية تمويه مماثلة بواسطة فيروسات التمهيد، والتي سيتم مناقشتها لاحقًا. من أجل مكافحة الفيروسات الخفية، كان يوصى سابقًا (ولا يزال يوصى بها من حيث المبدأ) بتمهيد النظام بدلاً من ذلك من قرص مرن وبعد ذلك فقط البحث عن برامج الفيروسات وإزالتها. في الوقت الحالي، قد يكون التمهيد من قرص مرن مشكلة (في حالة Win32، لن تتمكن تطبيقات مكافحة الفيروسات من تشغيلها). في ضوء كل ما سبق، تكون مضادات الفيروسات polyphage أكثر فعالية فقط عند مكافحة الفيروسات المعروفة بالفعل، أي تلك التي تكون توقيعاتها وأساليب سلوكها مألوفة لدى المطورين.

في هذه الحالة فقط سيتم اكتشاف الفيروس وإزالته بدقة 100% من ذاكرة الكمبيوتر، ثم من جميع الملفات التي تم فحصها. إذا كان الفيروس غير معروف، فيمكنه مقاومة محاولات اكتشافه وعلاجه بنجاح. لذلك، فإن الشيء الرئيسي عند استخدام أي Polyphage هو تحديث إصدارات البرنامج وقواعد بيانات الفيروسات في كثير من الأحيان قدر الإمكان.

يقف هنا ما يسمى ب محللون ارشادي.الحقيقة هي أن هناك عددًا كبيرًا من الفيروسات التي يتم نسخ خوارزميتها عمليًا من خوارزمية الفيروسات الأخرى.

كقاعدة عامة، يتم إنشاء مثل هذه الاختلافات من قبل مبرمجين غير محترفين، لسبب ما، قرروا كتابة فيروس. لمكافحة مثل هذه "النسخ" تم اختراع محللات إرشادية. وبمساعدتهم، يستطيع برنامج مكافحة الفيروسات العثور على نظائر مماثلة للفيروسات المعروفة، وإبلاغ المستخدم بأنه يبدو أنه مصاب بفيروس. وبطبيعة الحال، فإن موثوقية المحلل التجريبي ليست 100٪، ولكن لا تزال كفاءته أكثر من 50٪. لا يمكن كتابة الفيروسات التي لا تتعرف عليها أجهزة الكشف عن الفيروسات إلا من قبل المبرمجين الأكثر خبرة ومؤهلين.

محلل الكود الإرشادي عبارة عن مجموعة من الإجراءات الروتينية التي تحلل كود الملفات القابلة للتنفيذ أو الذاكرة أو قطاعات التمهيد لاكتشاف أنواع مختلفة من فيروسات الكمبيوتر الموجودة فيها. الجزء الرئيسي من المحلل الإرشادي هو محاكي الكود. يعمل محاكي التعليمات البرمجية في وضع العرض، أي أن مهمته الرئيسية ليست تنفيذ التعليمات البرمجية، ولكن الكشف عن جميع أنواع الأحداث الموجودة فيه، أي مجموعة من التعليمات البرمجية أو استدعاء وظيفة معينة في نظام التشغيل تهدف إلى تحويل بيانات النظام أو العمل مع الملفات أو اكتشاف التركيبات الفيروسية المستخدمة بشكل متكرر. بشكل تقريبي، ينظر المحاكي إلى كود البرنامج ويحدد الإجراءات التي يقوم بها هذا البرنامج. إذا كانت تصرفات هذا البرنامج تتناسب مع نمط معين، فسيتم التوصل إلى استنتاج حول وجود رمز الفيروس في البرنامج.

وبطبيعة الحال، فإن احتمال الخطأ والإيجابية الكاذبة مرتفع للغاية. ومع ذلك، من خلال الاستخدام الصحيح لآلية الكشف عن مجريات الأمور، يمكن للمستخدم أن يتوصل بشكل مستقل إلى الاستنتاجات الصحيحة. على سبيل المثال، إذا قام أحد برامج مكافحة الفيروسات بإنشاء رسالة حول فيروس مشتبه به لملف واحد، فإن احتمال النتيجة الإيجابية الخاطئة يكون مرتفعًا جدًا. إذا تكرر ذلك في العديد من الملفات (وقبل ذلك لم يكتشف برنامج مكافحة الفيروسات أي شيء مريب في هذه الملفات)، فيمكننا التحدث عن إصابة النظام بفيروس باحتمال قريب من 100٪. يحتوي Dr.Web Antivirus حاليًا على أقوى محلل إرشادي.

استخدام محلل إرشادي، بالإضافة إلى كل ما سبق، يسمح لك أيضًا بالتعامل معه مولدات الفيروساتو فيروسات متعددة الأشكال.

تعتبر الطريقة الكلاسيكية للتعرف على الفيروسات عن طريق التوقيع في هذه الحالة غير فعالة بشكل عام. مولدات الفيروسات عبارة عن مجموعة متخصصة من المكتبات التي تتيح للمستخدم إنشاء فيروس خاص به بسهولة، حتى مع وجود معرفة قليلة بالبرمجة يتم إدراجها في الأماكن المطلوبة لإجراءات خارجية - والآن تحول فيروس أولي إلى منتج معقد إلى حد ما، والأمر الأكثر حزنًا هو أنه في هذه الحالة سيكون توقيع الفيروس مختلفًا في كل مرة، لذلك من الممكن تتبعه الفيروس فقط من خلال الاستدعاءات المميزة للإجراءات الخارجية - وهذا عمل محلل إرشادي له بنية أكثر تعقيدًا. يتغير جسم الفيروس نفسه من عدوى إلى عدوى، مع الحفاظ على محتواه الوظيفي.

في أبسط الحالات، إذا قمت بشكل عشوائي بتوزيع العوامل الفارغة التي لا تفعل شيئًا (مثل "mov ax أو ax" أو "por") في جميع أنحاء جسم الفيروس، فإن جسم رمز الفيروس سيخضع لتغييرات كبيرة، ولكن الخوارزمية سيبقى كما هو. في هذه الحالة، يأتي محلل الكشف عن مجريات الأمور أيضا إلى الإنقاذ.

اللقاحات أو أدوات التحصين هي برامج مقيمة تمنع إصابة الملفات. يتم استخدام اللقاحات في حالة عدم وجود برامج طبية "لعلاج" هذا الفيروس. لا يمكن استخدام التطعيم إلا ضد الفيروسات المعروفة. جوهر هذه الطريقة هو أن اللقاح يعدل البرنامج أو القرص بحيث لا ينعكس ذلك في تشغيلهما، وسيعتبرهما الفيروس مصابين، وبالتالي لن يخترقهما. حاليًا، برامج اللقاحات محدودة الاستخدام.

هناك نوعان من التحصينات: التحصينات التي تنبهك إلى الإصابة، والتحصينات التي تمنع الإصابة بأي فيروس. غالبًا ما تتم كتابة الأول في نهاية الملفات ويتم التحقق من التغييرات في كل مرة يتم فيها تشغيل الملف. النوع الثاني من التحصين يحمي النظام من التلف الناتج عن نوع معين من الفيروسات.

برامج التصفية

توجد برامج التصفية، والتي تسمى أيضًا الحراس والمراقبين المقيمين، دائمًا في ذاكرة الوصول العشوائي (RAM) وتعترض المقاطعات المحددة من أجل التحقق من وجود إجراءات مشبوهة. كما يمكنهم أيضًا حظر الإجراءات "الخطيرة" أو إصدار طلب للمستخدم.

قد تكون الإجراءات الخاضعة للتحكم كما يلي: تعديل سجل التمهيد الرئيسي (MBR) وسجلات التمهيد للأقراص المنطقية وGMD، والكتابة إلى عنوان مطلق، وتنسيق القرص منخفض المستوى، وترك وحدة مقيمة في ذاكرة الوصول العشوائي (RAM)، وما إلى ذلك. غالبًا ما تكون المرشحات "متطفلة" وتخلق بعض الإزعاجات في عمل المستخدم.

تهدف جميع أنواع برامج مكافحة الفيروسات، في المقام الأول، إلى حماية جهاز الكمبيوتر الخاص بك من الفيروسات.

يسعى كل شخص عند تثبيت برنامج مكافحة الفيروسات إلى تحقيق نتائج معينة. بالنسبة للبعض، المهمة الرئيسية هي منع تسرب المعلومات. ويركز آخرون على سلامة المعلومات. وبالنسبة للآخرين، فإن التشغيل الخالي من المشاكل لأنظمة المعلومات يأتي في المقام الأول. كانت هناك حالات منعت فيها الفيروسات عمل المنظمات والمؤسسات. علاوة على ذلك، منذ عدة سنوات، تم تسجيل حالة تسبب فيها فيروس كمبيوتر في وفاة شخص - في أحد المستشفيات في هولندا، تم إعطاء جرعة قاتلة من المورفين لمريض لأن الكمبيوتر كان مصابًا بالفيروس وكان تقديم معلومات غير صحيحة.

هناك عدة أنواع من البرامج لاكتشاف فيروسات الكمبيوتر وإزالتها والحماية منها. تسمى هذه البرامج برامج مكافحة الفيروسات. هناك الأنواع التالية من برامج مكافحة الفيروسات:

1. اللقاحات؛

2. أجهزة الكشف.

3. مدققو الحسابات؛

4. الحارس.

5. المراقبين.

6. polyphages.

7. المحللون الكشفيون.

في الآونة الأخيرة، قام مطورو برامج مكافحة الفيروسات بتقديم حلول شاملة للمستخدمين تشمل معظم أو حتى جميع البرامج المذكورة أعلاه.

اللقاحات- هذه برامج مصممة لمنع إصابة الملفات بفيروس معين. يتم استخدام اللقاحات في حالة عدم وجود برامج يمكنها تحييد الفيروس. التطعيم ممكن فقط ضد الفيروسات المعروفة التي يمكن اكتشافها، ولكن لسبب ما لا يمكن تحييدها. يقوم برنامج اللقاح بتعديل البرنامج أو القرص المحمي بحيث لا يؤثر ذلك على تشغيله، ولكن الفيروس الحقيقي يعتبر البرنامج المحمي مصاباً وبالتالي لا يحقن نفسه في الكود القابل للتنفيذ الخاص به.

تعتمد إجراءات برامج اللقاحات على إحدى الخصائص الأساسية لفيروسات الكمبيوتر - وهي عدم إعادة إصابة برنامج مصاب بالفعل. لهذه الأغراض، عند إصابة البرامج، تستخدم الفيروسات ما يسمى "العلامة السوداء"، والتي من شأنها أن تسمح لها بالتمييز بين البرامج المصابة بالفعل وتلك غير المصابة. يمكن أن يكون هذا، على سبيل المثال، ضبط وقت إنشاء الملف على 24 ساعة ودقيقة واحدة و62 ثانية. لأن لا يمكن أن يكون للبرامج العادية مثل هذا الوقت للإنشاء، وبعد اكتشاف أن الملف قد تم إنشاؤه في هذا الوقت، يعتبر الفيروس أنه مصاب ولا يحاول إصابته مرة أخرى.

وبالتالي، يقوم برنامج اللقاح ببساطة بإنشاء "علامة سوداء" لفيروس معين على البرنامج المحمي دون تغيير الكود القابل للتنفيذ، وبعد أن اكتشف الفيروس مثل هذه العلامة، لم يعد يحاول إصابة هذا الملف.

"كاشفات"أو "الماسحات الضوئية"- وهي البرامج التي تبحث عن خاصية التوقيع لفيروس معين في ذاكرة الوصول العشوائي للكمبيوتر أو في الملفات الموجودة على القرص الصلب، وعند العثور عليها تعرض الرسالة المقابلة. عيب هذه الفئة من برامج مكافحة الفيروسات هو أنها لا تستطيع العثور إلا على الفيروسات المعروفة للمطورين.

"المفتشون"- تعتبر هذه البرامج من أكثر وسائل الحماية الموثوقة ضد الفيروسات.

عند إصابة جهاز كمبيوتر، يقوم الفيروس بإجراء تغييرات على القرص الصلب: فهو يضيف الكود الخاص به إلى الملف المصاب، ويغير مناطق النظام في القرص، وما إلى ذلك. ويعتمد عمل برامج مكافحة الفيروسات التي تسمى "المراجعون" على اكتشاف مثل هذه التغييرات.

إنها مبنية على المبدأ المعاكس لمبدأ بناء الماسحات الضوئية. لا يعرف المدققون فيروسات محددة عن طريق النظر، لكنهم يتذكرون معلومات حول كل محرك أقراص منطقي محدد، ومن خلال تغيير هذه المعلومات، يمكنهم اكتشاف الفيروسات المعروفة والجديدة غير المعروفة بشكل موثوق.

إذا تم اكتشاف تغيير في المعلومات حول البيانات الموجودة على القرص، فسيتم توفير جميع المعلومات ذات الصلة حول الكائن الذي تم تغييره للمستخدم. وعليه هو نفسه أن يتخذ قرارًا: هل يستحق، على سبيل المثال، فحص هذا الملف بحثًا عن فيروس (إذا كان ملفًا قابلاً للتنفيذ) أو تجاهل الرسالة إذا تم تعديل الملف بواسطة المستخدم نفسه.

كقاعدة عامة، تتم مقارنة الحالات مباشرة بعد تحميل نظام التشغيل. عند المقارنة، يتم التحقق من طول الملف ومجموعه الاختباري وتاريخ ووقت التعديل وبعض المعلمات الأخرى. تمتلك برامج التدقيق خوارزميات متطورة إلى حد ما تسمح لها باكتشاف حتى الفيروسات من فئات مثل الفيروسات "الخفية" والفيروسات "متعددة الأشكال"، ويمكن لبعضها أيضًا استعادة الإصدار الأصلي من البرنامج الذي يتم فحصه عن طريق إزالة التغييرات التي أجراها الفيروس.

تتمثل مزايا المدققين في السرعة القصوى لفحص الأقراص (أعلى بعشرات المرات من سرعة الماسحات الضوئية) والموثوقية العالية في اكتشاف حتى الفيروسات غير المعروفة.

"الحراس"- هذه برامج صغيرة مقيمة مصممة لاكتشاف الإجراءات المشبوهة التي تحدث عندما يعمل المستخدم على جهاز كمبيوتر وتكون من سمات الفيروسات. قد تشمل هذه الإجراءات ما يلي:

1. يحاول تصحيح الملفات ذات الامتدادات COM، وEXE، وDLL، وما إلى ذلك، والتي عادة ما تكون غير قابلة للتغيير؛

2. تغيير سمات الملف.

4. الكتابة إلى قطاعات التمهيد على القرص؛

عندما يحاول أي برنامج تنفيذ الإجراءات المحددة، يرسل "الحارس" رسالة إلى المستخدم ويقترح حظر الإجراء المقابل أو السماح به.

أحد أكبر عيوب برامج هذه الفئة هو أنه إذا تم تكوينها بشكل غير صحيح (وأحيانًا بشكل صحيح)، فإنها "تقصف" المستخدم حرفيًا بالتحذيرات، ونتيجة لذلك يتم تعطيلها عادةً.

"المراقبون"(أو برامج التصفية) هي برامج مكافحة فيروسات تعتمد على مبدأ polyphage وتستخدم قاعدة بيانات لتوقيعاتها للكشف عن الفيروسات. توجد وحدة مكافحة الفيروسات في ذاكرة الكمبيوتر، وتقوم بالتحقق من الفيروسات فقط تلك البرامج التي يتم التعامل معها من قبل المستخدم أو نظام التشغيل.

عادةً ما تقوم مراقبو مكافحة الفيروسات بفحص جميع الملفات التي يتم فيها تنفيذ المعالجات التالية:

1. إطلاق البرنامج للتنفيذ.

2. تغيير سمات الملف.

3. فتح مستند (مايكروسوفت أوفيس)؛

4. نسخ أو نقل ملف.

5. تحرير الملف؛

تعد برامج التصفية مفيدة من حيث أنها تساعد المستخدم على اكتشاف الفيروس في المرحلة الأولى من وجوده، حتى قبل أن يتحول انتشار الفيروس إلى وباء.

"العاثيات"- هذه هي البرامج التي يمكنها إزالة الفيروس بأمان واستعادة وظائف البرامج التالفة.

لكل فيروس من خلال تحليل الكود الخاص به وطرق إصابة الملفات وغيرها. يتم تمييز تسلسل معين من البايتات المميزة له فقط. ويسمى هذا التسلسل توقيع هذا الفيروس. البحث عن الفيروسات، في أبسط الحالات، يتلخص في البحث عن توقيعاتها. بعد اكتشاف فيروس في نص البرنامج (أو في قطاع التمهيد، والذي يحتوي أيضًا على برنامج التمهيد)، تقوم polyphage بتحييده. للقيام بذلك، يقوم مطورو منتجات مكافحة الفيروسات بدراسة عمل كل فيروس محدد بعناية: ما الذي يفسده، وكيف يفسده، وأين يخفي ما يفسده، وما إلى ذلك.

المسح هو الطريقة الأكثر تقليدية للبحث عن الفيروسات. وهو يتألف من البحث عن التوقيعات المعزولة من الفيروسات المكتشفة مسبقًا. تحتوي قواعد بيانات الفيروسات الخاصة بالماسحات الضوئية الحديثة على أكثر من 40.000 قناع فيروسي.

عيب الماسحات الضوئية البسيطة هو عدم قدرتها على اكتشاف الفيروسات "متعددة الأشكال" التي تغير كودها بالكامل. تستخدم polyphages الحديثة طرقًا أخرى للبحث عن الفيروسات. للقيام بذلك، يستخدمون خوارزميات بحث أكثر تعقيدًا، بما في ذلك التحليل الإرشادي للبرامج التي يتم فحصها. وبالنظر إلى أن الفيروسات الجديدة تظهر باستمرار، فإن برامج الكشف وبرامج polyphage سرعان ما تصبح قديمة، ويلزم التحديث المنتظم لإصدارات قاعدة البيانات التي تحتوي على توقيعات الفيروسات الناشئة حديثًا. ونتيجة لذلك، تصبح الماسحات الضوئية قديمة في اللحظة التي يتم فيها إصدار إصدار جديد.

محللون ارشادي– البرامج التي تنفذ البرامج الممسوحة ضوئيًا تحت سيطرتها وتكتشف الإجراءات المميزة للفيروسات. بفضل هذا، يتمكن المحللون الإرشاديون من العثور على الفيروسات "متعددة الأشكال" بسهولة مثل الفيروسات العادية التي لا تستخدم آلية التمويه، بالإضافة إلى ذلك، يمكنهم اكتشاف الفيروسات التي لم تكن معروفة من قبل لمؤلفي برنامج مكافحة الفيروسات.

وللتعرف على هذه الفيروسات المتنكرة، يتم استخدام أساليب خاصة. وتشمل هذه طريقة مضاهاة المعالج. تتضمن الطريقة محاكاة تنفيذ المعالج لأحد البرامج وتغذية الفيروس بموارد التحكم الوهمية. يقوم الفيروس، الذي يتم خداعه بهذه الطريقة وتحت سيطرة برنامج مكافحة الفيروسات، بفك تشفير الكود الخاص به. بعد ذلك، يقوم الماسح الضوئي بمقارنة الكود الذي تم فك تشفيره مع الرموز الموجودة في قاعدة بيانات المسح الخاصة به.

وتنقسم برامج مكافحة الفيروسات إلى: برامج كاشفة، برامج طبيب، برامج مدقق، برامج تصفية، برامج لقاحات.

· برامج كشف .والغرض منها هو فقط الكشف عن الفيروس. يمكن لأجهزة كشف الفيروسات اكتشاف فيروسات التمهيد في قطاعات التمهيد للأقراص المرنة، وفحص الملفات الموجودة على الأقراص المغناطيسية، بالإضافة إلى رسائل البريد الإلكتروني (الملفات) الواردة لاكتشاف توقيعات الفيروسات المعروفة. بعد التعرف على الفيروس، يعرض الكاشف متابعة الفحص الكامل للأقراص و"تنظيف" الملفات المصابة. تعتبر مثل هذه البرامج في شكلها النقي نادرة حاليًا، لكن وظيفة اكتشاف الفيروسات في الخلفية متوفرة في جميع برامج مكافحة الفيروسات الشاملة تقريبًا.

هناك أجهزة كشف عالمية ومتخصصة.

· أجهزة كشف عالميةيستخدمون في عملهم التحقق من ثبات الملفات عن طريق العد والمقارنة بمعيار المجموع الاختباري. يرتبط عيب أجهزة الكشف العالمية بعدم القدرة على تحديد أسباب تلف الملف.

· أجهزة كشف متخصصةيبحثون عن الفيروسات المعروفة من خلال توقيعهم (قسم متكرر من التعليمات البرمجية). عيب هذه الكاشفات هو أنها غير قادرة على اكتشاف جميع الفيروسات المعروفة.

يسمى الكاشف الذي يمكنه اكتشاف فيروسات متعددة polydetector.

عيب برامج مكافحة الفيروسات هذه هو أنها لا تستطيع العثور إلا على الفيروسات المعروفة لمطوري هذه البرامج.

· برامج دكتور (phages) . العاثيات عبارة عن برنامج لا يمكنه اكتشاف الفيروس فحسب، بل يمكنه تدميره أيضًا، على سبيل المثال. إزالة التعليمات البرمجية الخاصة به من الملفات المصابة واستعادة وظائفها.

أدوات مكافحة الفيروسات القوية والفعالة للغاية هي Doctor Web phages (التي أنشأها I. Danilov) وKAV (المؤلف E. Kaspersky).

لا تقوم أجهزة الكشف عن هذه العاثيات بفحص الملفات بحثًا عن أحد توقيعات الفيروسات المعروفة فحسب، بل تقوم أيضًا بتنفيذ طريقة إرشادية للبحث عن الفيروسات، ويمكنها العثور على ما يسمى بالفيروسات متعددة الأشكال وتحييدها، وفحص الملفات الموجودة في الأرشيف. من بين العاثيات، تتميز polyphages , أولئك. برامج الطبيب مصممة للبحث وتدمير عدد كبير من الفيروسات.

وبالنظر إلى أن الفيروسات الجديدة تظهر باستمرار، فإن برامج الكاشف وبرامج الطبيب سرعان ما تصبح قديمة، ويلزم تحديث إصداراتها بانتظام.

· برامج المدقق.يقوم برنامج التدقيق بمراقبة الطرق المحتملة لنشر الفيروسات وإصابة أجهزة الكمبيوتر. تعد برامج التدقيق من أكثر الوسائل الموثوقة للحماية من الفيروسات. يعتمد المدققون على الأدوات التي تسمح لك بمراقبة سلامة وتغييرات الملفات ومناطق النظام الخاصة بالأقراص المغناطيسية، ونقل المعلومات عن طريق الكمبيوتر إلى الإنترنت.

تمتلك برامج التدقيق خوارزميات متطورة إلى حد ما، وتكتشف الفيروسات الخفية ويمكنها أيضًا التمييز بين التغييرات في إصدار البرنامج الذي يتم فحصه والتغييرات التي أجراها الفيروس.

· البرامج عبارة عن مرشحات (الحراس). Watchman هو برنامج مقيم يتواجد بشكل دائم في ذاكرة الكمبيوتر ويراقب عمليات الكمبيوتر، وهو مصمم لاكتشاف الإجراءات المشبوهة أثناء تشغيل الكمبيوتر، وهي سمة من سمات الفيروسات. مثل هذه الإجراءات قد تكون:

· محاولات لتصحيح الملفات بامتدادات COM وEXE.

· تغيير سمات الملف.

· التسجيل المباشر على القرص على العنوان المطلق.

· الكتابة إلى قطاعات تمهيد القرص.

عندما يحاول أي برنامج تنفيذ الإجراءات المحددة، يرسل "الحارس" للمستخدم رسالة يطلب فيها حظر الإجراء المقابل أو السماح به. تعد برامج التصفية مفيدة جدًا لأنها قادرة على اكتشاف الفيروس في المرحلة الأولى من وجوده قبل النسخ. ومع ذلك، فهي لا تقوم "بتنظيف" الملفات والأقراص. لتدمير الفيروسات، تحتاج إلى استخدام برامج أخرى، مثل العاثيات. تشمل عيوب برامج المراقبة "تطفلها" (على سبيل المثال، تصدر تحذيرًا دائمًا حول أي محاولة لنسخ ملف قابل للتنفيذ)، فضلاً عن التعارضات المحتملة مع البرامج الأخرى.

· اللقاحات(المحصنون) هي برامج مقيمة تمنع إصابة الملفات. يتم استخدام اللقاحات في حالة عدم وجود برامج طبية "تعالج" هذا الفيروس. التطعيم ممكن فقط ضد الفيروسات المعروفة.

يقوم اللقاح بتعديل البرنامج أو القرص بطريقة لا تؤثر على تشغيله، وسيعتبره الفيروس مصابًا وبالتالي لن يتجذر. حاليًا، برامج اللقاحات لها استخدام محدود.

ومن العيوب الكبيرة لهذه البرامج قدرتها المحدودة على منع الإصابة بعدد كبير من الفيروسات المختلفة.