mājas » Mikroshēmas no datora

Detektoru programmas: kas tas ir pretvīrusu aizsardzības jomā? Pretvīrusi Vai detektors vienmēr atpazīst inficētu programmu?

VĪRUSU ATKLĀŠANAS UN AIZSARDZĪBAS PROGRAMMAS

Datorvīrusu atklāšanai, noņemšanai un aizsardzībai pret tiem ir izstrādātas vairāku veidu īpašas programmas, kas ļauj atklāt un iznīcināt vīrusus. Šādas programmas sauc antivīruss.

Ir šādi pretvīrusu programmu veidi (11.11. att.):

§ detektoru programmas;

§ ārstu programmas vai fāgi;

§ audita programmas;

§ filtru programmas;

§ vakcīnu vai imunizatoru programmas.

Rīsi. 11.11. Pretvīrusu programmu veidi

Detektoru programmas Viņi RAM un failos meklē konkrētam vīrusam raksturīgu baitu secību (vīrusa parakstu) un, kad atrod, parāda atbilstošu ziņojumu. Šādu pretvīrusu programmu trūkums ir tāds, ka tās var atrast tikai tādus vīrusus, kas ir zināmi šādu programmu izstrādātājiem.

Ārstu programmas vai fāgi, un vakcīnu programmas ne tikai atrast ar vīrusiem inficētos failus, bet arī tos “apstrādāt”, t.i. noņemiet vīrusa programmas pamattekstu no faila, atgriežot failus to sākotnējā stāvoklī. Sava darba sākumā fāgi meklē vīrusus RAM, tos iznīcinot un tikai pēc tam pāriet uz failu “tīrīšanu”. Starp fāgiem ir polifāgi, tie. Ārstu programmas, kas paredzētas liela skaita vīrusu meklēšanai un iznīcināšanai. Slavenākie polifāgi ir programmas Aidstest, Scan, Norton AntiVirus Un Doctor Web.

Ņemot vērā, ka pastāvīgi parādās jauni vīrusi, detektoru programmas un ārstu programmas ātri noveco, un ir nepieciešama regulāra to versiju atjaunināšana.

Auditoru programmas ir viens no uzticamākajiem aizsardzības līdzekļiem pret vīrusiem. Auditori atceras sākotnējo programmu, direktoriju un diska sistēmas apgabalu stāvokli, kad dators nav inficēts ar vīrusu, un pēc tam periodiski vai pēc lietotāja pieprasījuma salīdzina pašreizējo stāvokli ar sākotnējo. Konstatētās izmaiņas tiek parādītas video monitora ekrānā. Parasti stāvokļu salīdzināšana tiek veikta tūlīt pēc operētājsistēmas ielādes. Salīdzinot, tiek pārbaudīts faila garums, cikliskais kontroles kods (faila kontrolsumma), modifikācijas datums un laiks un citi parametri. Auditoru programmām ir diezgan izstrādāti algoritmi, tās atklāj slepenus vīrusus un pat var atšķirt pārbaudāmās programmas versijas izmaiņas no vīrusa veiktajām izmaiņām. Starp revīzijas programmām ir Krievijā plaši izmantotā programma ADinf Uzņēmums "Dialogs-Nauka".

Filtrēšanas programmas vai "sargi" ir nelielas rezidentu programmas, kas paredzētas, lai atklātu aizdomīgas darbības datora darbības laikā, kas raksturīgas vīrusiem. Šādas darbības var būt:



§ mēģinājumi labot failus ar COM un EXE paplašinājumiem;

§ mainot faila atribūtus;

§ tieša ierakstīšana diskā absolūtā adresē;

§ rakstīšana diska sāknēšanas sektoros;

Kad kāda programma mēģina veikt norādītās darbības, “apsargs” nosūta lietotājam ziņojumu un piedāvā aizliegt vai atļaut attiecīgo darbību. Filtru programmas ir ļoti noderīgas, jo tās spēj atklāt vīrusu agrīnākajā tā pastāvēšanas stadijā pirms replikācijas. Tomēr tie “netīra” failus un diskus. Lai iznīcinātu vīrusus, jāizmanto citas programmas, piemēram, fāgi. Uzraudzības programmu trūkumi ietver to "uzbāzību" (piemēram, tās pastāvīgi brīdina par jebkuru mēģinājumu kopēt izpildāmo failu), kā arī iespējamie konflikti ar citu programmatūru. Filtrēšanas programmas piemērs ir programma Vsafe, iekļauts operētājsistēmas MS DOS utilītu komplektā.

Vakcīnas vai imunizatori -Šīs ir pastāvīgas programmas, kas novērš failu inficēšanos. Vakcīnas tiek izmantotas, ja nav ārstu programmu, kas "ārstē" šo vīrusu. Vakcinācija iespējama tikai pret zināmiem vīrusiem. Vakcīna modificē programmu vai disku tā, lai tas neietekmētu tās darbību, un vīruss to uztvers kā inficētu un tāpēc neiesakņosies. Pašlaik vakcīnu programmas ir ierobežotas.

Savlaicīga vīrusu inficēto failu un disku atklāšana un atklāto vīrusu pilnīga iznīcināšana katrā datorā palīdz izvairīties no vīrusu epidēmijas izplatīšanās uz citiem datoriem.

Pretvīrusu komplekts AS "Dialog-Science"

No mūsdienu programmatūras rīku pārpilnības datorvīrusu apkarošanai priekšroka jādod Dialog-Science AS pretvīrusu komplektam, kurā ietilpst četri programmatūras produkti: Aidstest un Doctor Web polifāgi (saīsināti Dr.Web), ADinf disku auditors. un ADinf Cure Module ārstēšanas vienība. Īsi apskatīsim, kā un kad izmantot šīs pretvīrusu programmas.

Aidstest polifāgu programma.Aidstest ir programma, kas spēj atklāt un iznīcināt vairāk nekā 1300 datorvīrusus, kas ir visizplatītākie Krievijā. Versijas Aidstest tiek regulāri atjaunināti un papildināti ar informāciju par jauniem vīrusiem.

Zvanīt Aidstest jums jāievada komanda:

AIDS TESTS []

kur ceļš ir diska nosaukums, pilns nosaukums vai faila specifikācija, failu grupas maska:

* - visi cietā diska nodalījumi,

** – visi diskdziņi, tostarp tīkla diskdziņi un CD ROM diskdziņi;

opcijas — jebkura šo taustiņu kombinācija:

/F - labot inficētās programmas un izdzēst bojātās;

/G – skenēt visus failus pēc kārtas (ne tikai COM, EXE un SYS);

/S – lēna darbība bojātu vīrusu meklēšanai;

/X – dzēst visus failus ar vīrusa struktūras pārkāpumiem;

/Q – lūgt atļauju dzēst bojātus failus;

/B – nepiedāvā nākamā disketes apstrādi.

Piemērs 11.27. Aidstest lai pārbaudītu un “apstrādātu” disku IN:. Atklātās inficētās programmas tiks labotas. Visi diskā esošie faili tiek skenēti. Ja failu nevar salabot, programma lūgs atļauju tā dzēšanai:

aidstest b: /f /g /q

Doctor Web polifāgu programma.Šī programma galvenokārt ir paredzēta, lai apkarotu polimorfos vīrusus, kas datoru pasaulē parādījās salīdzinoši nesen. Lietošana Dr. Web lai skenētu diskus un noņemtu atklātos vīrusus, kas parasti ir līdzīgi programmai Aidstest.Šajā gadījumā pārbaužu dublēšanās praktiski nav, jo Aidstest Un Dr. Web strādāt ar dažādiem vīrusu komplektiem.

Programma Dr. Web var efektīvi cīnīties pret sarežģītiem mutantiem vīrusiem, kas pārsniedz programmas iespējas Aidstest. Atšķirībā no Aidstest programma Dr. Web spēj atklāt izmaiņas savā programmas kodā, efektīvi identificēt failus, kas inficēti ar jauniem, nezināmiem vīrusiem, iekļūt šifrētos un iepakotajos failos, kā arī pārvarēt "vakcīnas vāku". Tas tiek panākts, pateicoties diezgan spēcīgam heiristiskajam analizatoram.

Heiristiskās analīzes režīmā programma Dr.Web pārbauda failus un disku sistēmas apgabalus, mēģinot atklāt jaunus vai nezināmus vīrusus pēc vīrusiem raksturīgām kodu sekvencēm. Ja tādi tiek atrasti, tiek parādīts brīdinājums, kas norāda, ka objekts, iespējams, ir inficēts ar nezināmu vīrusu.

Ir trīs heiristiskās analīzes līmeņi. Heiristiskās analīzes režīmā ir iespējami kļūdaini pozitīvi rezultāti, t.i. neinficētu failu noteikšana. "Heiristikas" līmenis nozīmē koda analīzes līmeni bez viltus pozitīvu rezultātu klātbūtnes. Jo augstāks heiristikas līmenis, jo lielāks ir kļūdu vai viltus pozitīvu rezultātu procentuālais daudzums. Ieteicami pirmie divi heiristiskā analizatora darbības līmeņi.

Trešais heiristiskās analīzes līmenis nodrošina failu papildu pārbaudi, lai noteiktu to “aizdomīgo” izveidošanas laiku. Daži vīrusi, inficējot failus, iestata nepareizu izveides laiku kā zīmi, ka faili ir inficēti. Piemēram, inficētiem failiem sekundes var iestatīt uz 62, un izveides gadu var palielināt par 100 gadiem.

Komplektā pretvīrusu programmatūra Dr. Web var ietvert arī programmas galvenās vīrusu datubāzes pievienojumfailus, paplašinot tās iespējas.

Darbs ar programmu Dr. Web iespējams divos režīmos:

§ pilnekrāna interfeisa režīmā, izmantojot izvēlnes un dialoglodziņus;

§ komandrindas vadības režīmā.

Vienreizējai neregulārai lietošanai ērtāks ir pirmais režīms, bet regulārai lietošanai sistemātiskas diskešu ievades kontroles nolūkā labāk izmantot otro režīmu. Lietojot otro režīmu, atbilstošā starta komanda Dr. Web jāiekļauj vai nu Norton Commander darbības čaulas lietotāja izvēlnē, vai īpašā sērijveida failā.

Komandrinda, lai palaistu Dr. Web sekojoši:

DrWeb [disks: [ceļš]] [atslēgas]

kur ir disks:

X: ir loģiska cietā diska ierīce vai fiziska disketes ierīce, piemēram, F: vai A:,

* - visas loģiskās ierīces cietajā diskā,

ceļš ir nepieciešamo failu ceļš vai maska.

Vissvarīgākās atslēgas:

/AL - visu noteiktā ierīcē esošo failu diagnostika;

/CU[P] - "izārstēt" diskus un failus, noņemt atklātos vīrusus;

P - vīrusu noņemšana ar lietotāja apstiprinājumu;

/DL - tādu failu dzēšana, kurus nevar pareizi apstrādāt;

/NA[līmenis] - failu heiristiskā analīze un nezināmu vīrusu meklēšana tajos, kur līmenis

var ņemt vērtības 0, 1, 2;

/RP[faila nosaukums] – darbības protokola ierakstīšana failā (pēc noklusējuma failā REPORT.WEB);

/CL - palaidiet programmu komandrindas režīmā, pārbaudot failus un

sistēmas apgabalos netiek izmantots pilnekrāna interfeiss;

/QU - iziet uz DOS tūlīt pēc testēšanas;

/? – īsas palīdzības parādīšana.

Ja Dr.Web komandrindā nav norādīts neviens slēdzis, visa informācija par pašreizējo palaišanu tiks nolasīta no DRWEB.INI konfigurācijas faila, kas atrodas tajā pašā direktorijā, kur fails DRWEB.EXE. Konfigurācijas fails tiek izveidots, strādājot ar programmu Dr. Web izmantojot komandu, lai saglabātu testēšanai nepieciešamos parametrus.

Piemērs 11.28. Pretvīrusu programmas palaišana Dr.Web diska pārbaudei un apstrādei IN:. Atklātie inficētie faili tiks “izārstēti”. Visi diskā esošie faili tiek skenēti. Ja failu nevar “ārstēt”, programma lūgs atļauju to dzēst. Lai meklētu vīrusus, jāizmanto heiristiskās analīzes līmenis 1. Programma jāizpilda tikai komandrindas režīmā, izejot no DOS pēc testēšanas pabeigšanas:

DrWeb В: /AL /CUP /HA1 /QU /CL

Aizsardzības metodes.

Antivīrusu programmu definīcija un to klasifikācija.

Lai kāds arī būtu vīruss, lietotājam ir jāzina pamatmetodes aizsardzībai pret datorvīrusiem.

Lai aizsargātu pret vīrusiem, varat izmantot:

Vispārīgi informācijas drošības rīki, kas arī ir noderīgi patīk apdrošināšana pret fiziskiem disku bojājumiem, nepareizi funkcionējošām programmām vai kļūdainām lietotāja darbībām;

Profilaktiski pasākumi, lai samazinātu varbūtība vīrusa infekcija;

Specializētas programmas aizsardzībai pret vīrusiem. Pastāv divi galvenie vispārīgo informācijas drošības rīku veidi, kas nodrošina:

Informācijas kopēšana - failu un disku sistēmas apgabalu kopiju veidošana;

Piekļuves kontrole, kas novērš nesankcionētu informācijas izmantošanu, jo īpaši aizsardzība pret vīrusu izmaiņām programmās un datos, nepareizi funkcionējošām programmām un kļūdainām lietotāju darbībām.

Datorvīrusu atklāšanai, noņemšanai un aizsardzībai pret tiem ir izstrādātas vairāku veidu īpašas programmas, kas ļauj atklāt un iznīcināt vīrusus. Šādas programmas sauc par pretvīrusu programmām. Ir šādi pretvīrusu programmu veidi:

Detektoru programmas;

Ārstu programmas vai fāgi;

Audita programmas;

Filtru programmas;

Vakcīnu vai imunizatoru programmas.

Detektoru programmas Viņi RAM un failos meklē kodu (parakstu), kas raksturīgs konkrētam vīrusam, un, ja tiek atrasts, parāda atbilstošu ziņojumu. Šādu pretvīrusu programmu trūkums ir tāds, ka tās var atrast tikai tādus vīrusus, kas ir zināmi šādu programmu izstrādātājiem.

Doktora vai fāga programmas, kā arī vakcīnu programmas ne tikai atrod ar vīrusiem inficētos failus, bet arī tos “apstrādā”, tas ir, izņem no faila vīrusa programmas korpusu, atgriežot failus sākotnējā stāvoklī. Sava darba sākumā fāgi meklē vīrusus RAM, tos iznīcinot un tikai pēc tam pāriet uz failu “tīrīšanu”. Starp fāgiem izšķir polifāgus, t.i., ārsta programmas, kas paredzētas liela skaita vīrusu meklēšanai un iznīcināšanai. Slavenākie no tiem: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Ņemot vērā to, ka pastāvīgi parādās jauni vīrusi, detektoru programmas un ārstu programmas ātri noveco, un ir nepieciešami regulāri versiju atjauninājumi.

Polyphage antivīrusi ir visizplatītākie ļaunprogrammatūras apkarošanas rīki. Vēsturiski viņi parādījās pirmie un joprojām ieņem neapstrīdamu vadību šajā jomā.

Polifāgu darbs balstās uz vienkāršu principu - meklējot programmās un dokumentos pazīstamas vīrusu koda sadaļas (t.s. paraksti vīrusi). Parasti paraksts ir vīrusa ieraksts, kas ļauj unikāli identificēt vīrusa koda klātbūtni programmā vai dokumentā. Visbiežāk paraksts ir tieši vīrusa daļa kodu vai tā kontrolsumma (sagremots).



Sākotnēji polifāgu antivīrusi darbojās pēc ļoti vienkārša principa – tie secīgi skenēja failus, lai noskaidrotu, vai tajos nav vīrusu programmas. Ja tika atklāts vīrusa paraksts, tika veikta procedūra vīrusa koda noņemšanai no programmas vai dokumenta korpusa. Pirms failu skenēšanas fāga programma vienmēr pārbauda RAM. Ja RAM ir vīruss, tas tiek deaktivizēts. Tas ir saistīts ar faktu, ka vīrusu programmas bieži inficē tās programmas, kuras tiek palaistas vai atvērtas brīdī, kad vīruss ir aktīvā stadijā (tas ir saistīts ar vēlmi ietaupīt uz pūlēm, lai atrastu infekcijas objektus). Tādējādi, ja vīruss paliek aktīvs atmiņā, visu izpildāmo failu pilnīga skenēšana novedīs pie pilnīgas sistēmas inficēšanās.

Mūsdienās vīrusu programmas ir kļuvušas daudz sarežģītākas. Piemēram, parādījās tā sauktie “stealth vīrusi”. Viņu darbs ir balstīts uz faktu, ka, piekļūstot perifērijas ierīcēm (tostarp cietajiem diskiem), operētājsistēma izmanto pārtraukuma mehānismu. Šeit ir jāveic īsa atkāpe par tēmu “Kā darbojas pārtraukuma mehānisms”. Kad notiek pārtraukums, vadība tiek nodota īpašai programmai - "Pārtraukumu apstrādātājam". Šī programma ir atbildīga par informācijas ievadi un izvadi no perifērijas ierīces. Turklāt pārtraukumi ir sadalīti mijiedarbības līmeņos ar perifērijas ierīcēm (mūsu gadījumā ar cietajiem un disketēm). Ir operētājsistēmas līmenis (MS DOS vidē - pārtraukums 25h), ir pamata ievades/izvades sistēmas līmenis (BIOS līmenis - pārtraukums 13h). Pieredzējuši sistēmu programmētāji var strādāt arī tieši, piekļūstot ierīces I/O portiem. Bet tas ir diezgan nopietns un grūts uzdevums. Šāda daudzlīmeņu sistēma tika izveidota galvenokārt ar mērķi saglabāt lietojumprogrammu pārnesamību. Pateicoties šādai sistēmai, piemēram, kļuva iespējams palaist DOS lietojumprogrammas daudzuzdevumu vidēs, piemēram, MS Windows vai IBM OS/2.

Bet šādā sistēmā sākotnēji tiek paslēpta ievainojamība: kontrolējot pārtraukumu apstrādātāju, jūs varat kontrolēt informācijas plūsmu no perifērijas ierīces līdz lietotājam. Jo īpaši slepenie vīrusi izmanto mehānismu, lai pārtvertu kontroli, kad notiek pārtraukums. Aizstājot sākotnējo pārtraukumu apstrādātāju ar savu kodu, slepenie vīrusi kontrolē datu nolasīšanu no diska.

Ja inficētā programma tiek nolasīta no diska, vīruss “izkož” pats savu kodu (parasti kods netiek burtiski “izkodēts”, bet tiek aizstāts nolasāmā diska sektora numurs). Rezultātā lietotājs saņem “tīru” kodu lasīšanai. Līdz ar to, kamēr pārtraukumu apstrādātāja vektors tiek modificēts ar vīrusa kodu, pats vīruss ir aktīvs datora atmiņā, un to nav iespējams noteikt, vienkārši nolasot disku, izmantojot operētājsistēmu. Līdzīgu maskēšanās mehānismu izmanto sāknēšanas vīrusi, kas tiks apspriesti vēlāk. Lai cīnītos pret slepenajiem vīrusiem, iepriekš tika ieteikts (un principā joprojām ir ieteicams) alternatīvi boot sistēmu no disketes un tikai pēc tam meklēt un noņemt vīrusu programmas. Pašlaik sāknēšana no disketes var būt problemātiska (Win32 gadījumā pretvīrusu lietojumprogrammas nevarēs tās palaist). Ņemot vērā visu iepriekš minēto, polifāgu antivīrusi ir visefektīvākie tikai tad, ja cīnās ar jau zināmiem vīrusiem, tas ir, tiem, kuru paraksti un uzvedības metodes ir pazīstamas izstrādātājiem.

Tikai šajā gadījumā vīruss tiks atklāts un noņemts ar 100% precizitāti no datora atmiņas un pēc tam no visiem skenētajiem failiem. Ja vīruss nav zināms, tas var diezgan veiksmīgi pretoties mēģinājumiem to atklāt un ārstēt. Tāpēc galvenais, izmantojot jebkuru polifāgu, ir pēc iespējas biežāk atjaunināt programmu versijas un vīrusu datu bāzes.

Šeit atsevišķi stāv ts heiristiskie analizatori. Fakts ir tāds, ka ir liels skaits vīrusu, kuru algoritms ir praktiski kopēts no citu vīrusu algoritma.

Parasti šādas variācijas rada neprofesionāli programmētāji, kuri kaut kādu iemeslu dēļ nolēma uzrakstīt vīrusu. Lai cīnītos pret šādām “kopijām”, tika izgudroti heiristiskie analizatori. Ar viņu palīdzību antivīruss spēj atrast līdzīgus zināmo vīrusu analogus, informējot lietotāju, ka viņam, šķiet, ir vīruss. Protams, heiristiskā analizatora uzticamība nav 100%, taču tā efektivitāte tomēr ir lielāka par 50%. Vīrusus, kurus neatpazīst pretvīrusu detektori, var rakstīt tikai pieredzējušākie un kvalificētākie programmētāji.

Heiristiskā koda analizators ir darbību kopums, kas analizē izpildāmo failu kodu, atmiņu vai sāknēšanas sektorus, lai tajā atklātu dažāda veida datorvīrusus. Galvenā heiristiskā analizatora daļa ir koda emulators. Koda emulators darbojas skata režīmā, tas ir, tā galvenais uzdevums ir nevis izpildīt kodu, bet gan atklāt tajā visa veida notikumus, t.i., koda kopu vai izsaukumu uz noteiktu operētājsistēmas funkciju, kuras mērķis ir pārveidot sistēmas datus. , strādājot ar failiem vai atklājot bieži izmantotas vīrusu konstrukcijas. Aptuveni runājot, emulators aplūko programmas kodu un identificē darbības, kuras šī programma veic. Ja šīs programmas darbības iekļaujas noteiktā modelī, tiek izdarīts secinājums par vīrusa koda klātbūtni programmā.

Protams, gan garām, gan kļūdaini pozitīva iespējamība ir ļoti augsta. Tomēr, pareizi izmantojot heiristisko mehānismu, lietotājs var patstāvīgi izdarīt pareizos secinājumus. Piemēram, ja antivīruss ģenerē ziņojumu par aizdomām par vīrusu vienam failam, tad viltus pozitīva iespējamība ir ļoti augsta. Ja tas atkārtojas daudzos failos (un pirms tam antivīruss šajos failos neko aizdomīgu neatklāja), tad mēs varam runāt par sistēmas inficēšanos ar vīrusu ar varbūtību tuvu 100%. Dr.Web antivīrusam šobrīd ir visspēcīgākais heiristiskais analizators.

Heiristiskā analizatora izmantošana papildus visam iepriekšminētajam ļauj arī tikt galā ar vīrusu ģeneratori Un polimorfie vīrusi.

Klasiskā vīrusu identificēšanas metode pēc paraksta šajā gadījumā parasti ir neefektīva.Vīrusu ģeneratori ir specializēts bibliotēku komplekts, kas ļauj lietotājam viegli konstruēt savu vīrusu pat ar mazām programmēšanas zināšanām.Ģeneratoru bibliotēkas ir savienotas ar rakstīto programmu un vietām ievietots vajadzīgajos izsaukumos uz ārējām procedūrām - un tagad elementārs vīruss ir pārvērties par diezgan sarežģītu produktu.Skumjākais ir tas, ka šajā gadījumā vīrusa paraksts katru reizi būs atšķirīgs, tāpēc kļūst iespējams izsekot vīruss tikai ar raksturīgiem izsaukumiem uz ārējām procedūrām - un tas ir heiristiskā analizatora darbs.Polimorfajam vīrusam ir vēl sarežģītāka uzbūve.Pats vīrusa ķermenis mainās no infekcijas uz infekciju, vienlaikus saglabājot savu funkcionālo saturu.

Vienkāršākajā gadījumā, ja nejauši izkaisīsit tukšus operatorus, kas neko nedara (piemēram, “mov ax, ax” vai “por”) pa visu vīrusa ķermeni, tad vīrusa koda pamattekstā tiks veiktas būtiskas izmaiņas, bet algoritms paliks tāds pats. Šajā gadījumā palīgā nāk arī heiristiskais analizators.

Vakcīnas vai imunizētāji ir pastāvīgas programmas, kas novērš failu inficēšanos. Vakcīnas tiek izmantotas, ja nav ārstu programmu šī vīrusa “ārstēšanai”. Vakcināciju var izmantot tikai pret zināmiem vīrusiem. Šīs metodes būtība ir tāda, ka vakcīna modificē programmu vai disku tā, lai tas neatspoguļotos tās darbībā, un vīruss uzskatīs to par inficētu un līdz ar to neiekļūst. Pašlaik vakcīnu programmu izmantošana ir ierobežota.

Ir divu veidu imunizētāji: imunizētāji, kas paziņo par infekciju, un imunizētāji, kas novērš inficēšanos ar jebkuru vīrusu. Pirmie visbiežāk tiek rakstīti failu beigās un katru reizi, kad fails tiek palaists, pārbauda izmaiņas. Otrs imunizācijas veids aizsargā sistēmu no noteikta veida vīrusa bojājumiem.

Filtrēšanas programmas

Filtru programmas, ko sauc arī par pastāvīgajiem uzraugiem un monitoriem, vienmēr atrodas RAM un pārtver noteiktus pārtraukumus, lai pārbaudītu, vai tajās nav veiktas aizdomīgas darbības. Viņi var arī bloķēt “bīstamas” darbības vai nosūtīt lietotājam pieprasījumu.

Kontrolējamās darbības var būt šādas: galvenā sāknēšanas ieraksta (MBR) un loģisko disku un GMD sāknēšanas ierakstu modificēšana, rakstīšana uz absolūtu adresi, diska zema līmeņa formatēšana, pastāvīga moduļa atstāšana RAM utt. auditori, filtri bieži ir “uzbāzīgi” un rada zināmas neērtības lietotāja darbā.

Visu veidu pretvīrusu programmas, pirmkārt, ir paredzētas datora aizsardzībai pret vīrusiem.

Katrs cilvēks, instalējot pretvīrusu programmu, cenšas sasniegt noteiktus rezultātus. Dažiem galvenais uzdevums ir novērst informācijas noplūdi. Citi koncentrējas uz informācijas integritāti. Vēl citiem pirmajā vietā ir informācijas sistēmu darbība bez problēmām. Ir bijuši gadījumi, kad vīrusi bloķējuši organizāciju un uzņēmumu darbu. Turklāt pirms vairākiem gadiem fiksēts gadījums, kad datorvīruss izraisījis cilvēka nāvi - vienā no Nīderlandes slimnīcām pacientam tika ievadīta nāvējoša morfija deva, jo dators bija inficēts ar vīrusu un tika nepareizas informācijas sniegšana.

Datorvīrusu noteikšanai, noņemšanai un aizsardzībai pret tiem ir vairāki programmu veidi. Šādas programmas sauc par pretvīrusu programmām. Ir šādi pretvīrusu programmu veidi:

1. vakcīnas;

2. detektori;

3. auditori;

4. sargs;

5. monitori;

6. polifāgi;

7. heiristiskie analizatori.

Pēdējā laikā pretvīrusu programmu izstrādātāji lietotājiem piedāvā visaptverošus risinājumus, kas ietver lielāko daļu vai pat visas iepriekšminētās programmas.

Vakcīnas- Tās ir programmas, kas izstrādātas, lai novērstu failu inficēšanu ar kādu konkrētu vīrusu. Vakcīnas tiek izmantotas, ja nav programmu, kas varētu neitralizēt vīrusu. Vakcinācija iespējama tikai pret zināmiem vīrusiem, kurus var atklāt, bet kādu iemeslu dēļ nevar neitralizēt. Vakcīnas programma modificē aizsargāto programmu vai disku tā, lai tas neietekmētu tās darbību, bet īsts vīruss uzskata aizsargāto programmu par inficētu un tāpēc neinjicējas tās izpildāmajā kodā.

Vakcīnu programmu darbības pamatā ir viena no datorvīrusu pamatīpašībām – nepārinficēt jau inficētu programmu. Šiem nolūkiem, inficējot programmas, vīrusi izmanto tā saukto “melno atzīmi”, kas ļautu atšķirt jau inficētas programmas no neinficētām. Tas varētu būt, piemēram, faila izveides laika iestatīšana uz 24 stundām 1 minūti un 62 sekundēm. Jo parastajām programmām nevar būt šāds izveides laiks, tad, konstatējis, ka fails ir izveidots tieši šajā laikā, vīruss uzskata, ka tas ir inficēts un nemēģina to inficēt vēlreiz.

Tādējādi vakcīnas programma vienkārši izveido konkrēta vīrusa “melno atzīmi” uz aizsargātās programmas, nemainot tās izpildāmo kodu, un vīruss, konstatējis šādu atzīmi, vairs nemēģina inficēt šo failu.

"detektori" vai "skeneri"- tās ir programmas, kas datora operatīvajā atmiņā vai failos cietajā diskā meklē noteiktam vīrusam raksturīgu parakstu un, kad tas tiek atrasts, parāda atbilstošu ziņojumu. Šīs klases pretvīrusu programmu trūkums ir tāds, ka tās var atrast tikai tādus vīrusus, kas ir zināmi izstrādātājiem.

"Inspektori"- šīs ir programmas, kas ir vieni no uzticamākajiem aizsardzības līdzekļiem pret vīrusiem.

Inficējot datoru, vīruss veic izmaiņas cietajā diskā: pievieno savu kodu inficētajam failam, maina diska sistēmas apgabalus utt. Pretvīrusu programmu, ko sauc par "auditoriem", darbs ir balstīts uz šādu izmaiņu noteikšanu.

Tie ir veidoti pēc pretēja principa skeneru konstruēšanas principam. Auditori konkrētus vīrusus nepazīst pēc skata, taču viņi atceras informāciju par katru konkrēto loģisko disku un, mainot šo informāciju, var droši atklāt gan zināmus, gan jaunus, nezināmus vīrusus.

Ja tiek konstatētas izmaiņas informācijā par diskā esošajiem datiem, lietotājam tiek sniegta visa būtiskā informācija par mainīto objektu. Un viņam pašam jāpieņem lēmums: vai ir vērts, piemēram, pārbaudīt, vai šajā failā nav vīrusa (ja tas ir izpildāmais fails) vai ignorēt ziņojumu, ja failu modificējis pats lietotājs.

Parasti stāvokļu salīdzināšana tiek veikta tūlīt pēc operētājsistēmas ielādes. Salīdzinot, tiek pārbaudīts faila garums, tā kontrolsumma, modifikācijas datums un laiks, kā arī daži citi parametri. Auditoru programmām ir diezgan izstrādāti algoritmi, kas ļauj atklāt pat tādu šķiru vīrusus kā “slepenie” vīrusi un “polimorfie” vīrusi, un dažas var pat atjaunot pārbaudāmās programmas sākotnējo versiju, noņemot vīrusa veiktās izmaiņas.

Auditoru priekšrocības ir lielākais disku pārbaudes ātrums (daudz desmitiem reižu lielāks par skeneru ātrumu) un augsta pat nezināmu vīrusu noteikšanas uzticamība.

"sargi"- tās ir nelielas rezidentu programmas, kas paredzētas, lai atklātu aizdomīgas darbības, kas rodas, lietotājam strādājot pie datora un ir raksturīgas vīrusiem. Šādas darbības var ietvert:

1. mēģinājumi labot failus ar paplašinājumiem COM, EXE, DLL utt., parasti nemaināmi;

2. mainot faila atribūtus;

4. ierakstīšana diska sāknēšanas sektoros;

Kad kāda programma mēģina veikt norādītās darbības, “apsargs” nosūta lietotājam ziņojumu un piedāvā aizliegt vai atļaut attiecīgo darbību.

Viens no lielākajiem šīs klases programmu trūkumiem ir tas, ka nepareizi (un dažreiz pat pareizi) konfigurētas tās burtiski “bombardē” lietotāju ar brīdinājumiem, kā rezultātā tās parasti tiek atspējotas.

"Monitori"(vai filtrēšanas programmas) ir pretvīrusu programmas, kuru pamatā ir polifāgu princips, un vīrusu noteikšanai izmanto to parakstu datubāzi. Pretvīrusu monitors atrodas datora atmiņā un pārbauda, ​​vai nav vīrusu, tikai tās programmas, ar kurām manipulē lietotājs vai operētājsistēma.

Parasti pretvīrusu monitori pārbauda visus failus, ar kuriem tiek veiktas šādas manipulācijas:

1. programmas palaišana izpildei;

2. mainot faila atribūtus;

3. dokumenta atvēršana (Microsoft Office);

4. faila kopēšana vai pārvietošana;

5. failu rediģēšana;

Filtru programmas ir noderīgas no tā viedokļa, ka tās palīdz lietotājam atklāt vīrusu agrīnākajā tā pastāvēšanas stadijā, pat pirms vīrusa izplatīšanās kļūst par epidēmiju.

"polifāgi"- tās ir programmas, kas var droši noņemt vīrusu un atjaunot bojāto programmu funkcionalitāti.

Katram vīrusam, analizējot tā kodu, failu inficēšanas metodes utt. tiek izcelta noteikta baitu secība, kas raksturīga tikai tai. Šo secību sauc par šī vīrusa parakstu. Vīrusu meklēšana vienkāršākajā gadījumā nozīmē to parakstu meklēšanu. Pēc vīrusa konstatēšanas programmas pamattekstā (vai sāknēšanas sektorā, kurā tomēr ir arī sāknēšanas programma), polifāgs to neitralizē. Lai to izdarītu, pretvīrusu produktu izstrādātāji rūpīgi izpēta katra konkrētā vīrusa darbību: ko tas sabojā, kā sabojā, kur slēpj, ko sabojā utt.

Skenēšana ir vistradicionālākā vīrusu meklēšanas metode. Tas sastāv no parakstu meklēšanas, kas izolēti no iepriekš atklātiem vīrusiem. Mūsdienu skeneru vīrusu datubāzēs ir vairāk nekā 40 000 vīrusu masku.

Vienkāršo skeneru trūkums ir to nespēja atklāt "polimorfus" vīrusus, kas pilnībā maina to kodu. Mūsdienu polifāgi izmanto citas vīrusu meklēšanas metodes. Lai to izdarītu, viņi izmanto sarežģītākus meklēšanas algoritmus, tostarp pārbaudāmo programmu heiristisko analīzi. Ņemot vērā, ka pastāvīgi parādās jauni vīrusi, detektoru programmas un polifāgu programmas ātri noveco, un ir regulāri jāatjaunina datu bāzes versijas, kurās ir jaunizveidoto vīrusu paraksti. Tā rezultātā skeneri kļūst novecojuši brīdī, kad tiek izlaista jauna versija.

Heiristiskie analizatori– programmas, kas izpilda skenētās programmas savā kontrolē un atklāj vīrusiem raksturīgas darbības. Pateicoties tam, heiristiskie analizatori spēj atrast “polimorfos” vīrusus tikpat viegli kā parastus vīrusus, kas neizmanto maskēšanās mehānismu, turklāt tie spēj atklāt pretvīrusu programmas autoriem līdz šim nezināmus vīrusus.

Lai identificētu šos maskējošos vīrusus, tiek izmantotas īpašas metodes. Tie ietver procesora emulācijas metodi. Metode ietver procesora programmas izpildes simulāciju un vīrusa fiktīvu kontroles resursu padevi. Šādi maldināts un pretvīrusu programmas kontrolē esošais vīruss atšifrē savu kodu. Pēc tam skeneris salīdzina atšifrēto kodu ar kodiem no skenēšanas datu bāzes.

Pretvīrusu programmas iedala: detektoru programmās, ārstu programmās, auditoru programmās, filtru programmās, vakcīnu programmās.

· Detektoru programmas. To mērķis ir tikai atklāt vīrusu. Vīrusu detektori var atklāt sāknēšanas vīrusus diskešu sāknēšanas sektoros, skenēt failus magnētiskajos diskos, kā arī ienākošos e-pasta ziņojumus (failus), lai noteiktu zināmu vīrusu parakstus. Pēc vīrusa identificēšanas detektors piedāvā veikt pilnu disku skenēšanu un inficēto failu “iztīrīšanu”. Šādas programmas tīrā veidā pašlaik ir reti sastopamas, taču vīrusu noteikšanas funkcija fonā ir pieejama gandrīz visās visaptverošajās pretvīrusu programmās.

Ir universāli un specializēti detektori.

· Universālie detektori Savā darbā viņi izmanto failu nemainīguma pārbaudi, skaitot un salīdzinot ar kontrolsummas standartu. Universālo detektoru trūkums ir saistīts ar nespēju noteikt failu bojājuma cēloņus.

· Specializēti detektori Viņi meklē zināmus vīrusus pēc paraksta (atkārtota koda sadaļa). Šādu detektoru trūkums ir tāds, ka tie nespēj atklāt visus zināmos vīrusus.

Tiek izsaukts detektors, kas spēj atklāt vairākus vīrusus polidetektors.

Šādu pretvīrusu programmu trūkums ir tāds, ka tās var atrast tikai tādus vīrusus, kas ir zināmi šādu programmu izstrādātājiem.

· Ārstu programmas (fāgi) . Fāgs ir programma, kas var ne tikai atklāt, bet arī iznīcināt vīrusu, t.i. noņemt tā kodu no inficētajiem failiem un atjaunot to funkcionalitāti.

Ļoti jaudīgi un efektīvi pretvīrusu rīki ir Doctor Web fāgi (izveidojis I. Daņilovs) un KAV (autors E. Kasperskis).

Šo fāgu detektori ne tikai skenē failus, meklējot kādu no zināmajiem vīrusu parakstiem, bet arī ievieš heiristisku vīrusu meklēšanas metodi, spēj atrast un neitralizēt tā sauktos polimorfos vīrusus, kā arī skenēt failus, kas atrodas arhīvos. Starp fāgiem izšķir polifāgus , tie. Ārstu programmas, kas paredzētas liela skaita vīrusu meklēšanai un iznīcināšanai.

Ņemot vērā, ka pastāvīgi parādās jauni vīrusi, detektoru programmas un ārstu programmas ātri noveco, un ir nepieciešama regulāra to versiju atjaunināšana.

· Auditoru programmas. Audita programma uzrauga iespējamos vīrusu izplatīšanas un datoru inficēšanas veidus. Audita programmas ir viens no uzticamākajiem aizsardzības līdzekļiem pret vīrusiem. Auditori ir balstīti uz rīkiem, kas ļauj uzraudzīt magnētisko disku failu un sistēmas apgabalu integritāti un izmaiņas, kā arī informācijas pārsūtīšanu no datora uz internetu.

Auditoru programmām ir diezgan izstrādāti algoritmi, tās atklāj slepenus vīrusus un pat var atšķirt pārbaudāmās programmas versijas izmaiņas no vīrusa veiktajām izmaiņām.

· Programmas ir filtri (sargi). Watchman ir pastāvīga programma, kas pastāvīgi atrodas datora atmiņā un uzrauga datora darbības. Paredzēta, lai datora darbības laikā noteiktu aizdomīgas darbības, kas raksturīgas vīrusiem. Šādas darbības var būt:

· Mēģinājumi labot failus ar COM un EXE paplašinājumiem;

· Failu atribūtu maiņa;

· Tieša ierakstīšana diskā absolūtā adresē;

· Rakstīt diska sāknēšanas sektoros.

Kad kāda programma mēģina veikt norādītās darbības, “sargs” nosūta lietotājam ziņojumu ar lūgumu aizliegt vai atļaut attiecīgo darbību. Filtru programmas ir ļoti noderīgas, jo tās spēj atklāt vīrusu agrīnākajā tā pastāvēšanas stadijā pirms replikācijas. Tomēr tie “netīra” failus un diskus. Lai iznīcinātu vīrusus, jāizmanto citas programmas, piemēram, fāgi. Uzraudzības programmu trūkumi ietver to "uzbāzību" (piemēram, tās pastāvīgi brīdina par jebkuru mēģinājumu kopēt izpildāmo failu), kā arī iespējamie konflikti ar citu programmatūru.

· Vakcīnas(imunizatori) ir pastāvīgas programmas, kas novērš failu inficēšanos. Vakcīnas tiek izmantotas, ja nav ārstu programmu, kas "ārstē" šo vīrusu. Vakcinācija iespējama tikai pret zināmiem vīrusiem.

Vakcīna modificē programmu vai disku tā, lai tas neietekmētu tās darbību, un vīruss to uztvers kā inficētu un tāpēc neiesakņosies. Pašlaik vakcīnu programmas ir ierobežotas.

Būtisks šādu programmu trūkums ir to ierobežotā spēja novērst inficēšanos ar lielu skaitu dažādu vīrusu.