hjem » Chips fra PC

Detektorprogrammer: hva er det innen antivirusbeskyttelse? Antivirus Gjenkjenner detektoren alltid et infisert program?

PROGRAMMER FOR VIRUSDETEKSJON OG BESKYTTELSE

For å oppdage, fjerne og beskytte mot datavirus er det utviklet flere typer spesialprogrammer som lar deg oppdage og ødelegge virus. Slike programmer kalles antivirus.

Det finnes følgende typer antivirusprogrammer (fig. 11.11):

§ detektorprogrammer;

§ legeprogrammer eller fager;

§ revisjonsprogrammer;

§ filterprogrammer;

§ vaksine- eller immuniseringsprogrammer.

Ris. 11.11. Typer antivirusprogrammer

Detektorprogrammer De søker etter en sekvens av byte som er karakteristisk for et bestemt virus (virussignatur) i RAM og filer, og når de blir funnet, viser de en tilsvarende melding. Ulempen med slike antivirusprogrammer er at de kun kan finne virus som er kjent for utviklerne av slike programmer.

Legeprogrammer eller fager, og vaksineprogrammer ikke bare finne filer infisert med virus, men også "behandle" dem, dvs. fjern hoveddelen av virusprogrammet fra filen, og returner filene til deres opprinnelige tilstand. I begynnelsen av arbeidet søker fager etter virus i RAM, ødelegger dem, og bare deretter fortsetter de med å "rense" filer. Blant fagene er det polyfager, de. Legeprogrammer utviklet for å søke og ødelegge et stort antall virus. De mest kjente polyfagene er programmer Aidstest, Scan, Norton AntiVirus Og Doktor Web.

Tatt i betraktning at det stadig dukker opp nye virus, blir detektorprogrammer og legeprogrammer raskt utdaterte, og det kreves jevnlige oppdateringer av deres versjoner.

Revisorprogrammer er blant de mest pålitelige beskyttelsesmidlene mot virus. Revisorer husker den opprinnelige tilstanden til programmer, kataloger og systemområder på disken når datamaskinen ikke er infisert med et virus, og sammenligner deretter med jevne mellomrom eller på brukerens forespørsel den nåværende tilstanden med den opprinnelige. Registrerte endringer vises på videoskjermen. Som regel utføres sammenligning av tilstander umiddelbart etter innlasting av operativsystemet. Ved sammenligning kontrolleres fillengden, syklisk kontrollkode (filkontrollsum), dato og klokkeslett for endring og andre parametere. Revisorprogrammer har ganske utviklet algoritmer, oppdager stealth-virus og kan til og med skille endringer i versjonen av programmet som kontrolleres fra endringer gjort av viruset. Blant revisjonsprogrammene er det mye brukte programmet i Russland ADinf"Dialog-Nauka" selskap.

Filtrer programmer eller "vaktmann" er små residente programmer utviklet for å oppdage mistenkelige handlinger under datamaskindrift, karakteristisk for virus. Slike handlinger kan være:



§ forsøker å korrigere filer med COM- og EXE-utvidelser;

§ endre filattributter;

§ direkte opptak til disk på en absolutt adresse;

§ skrive til oppstartssektorer på disken;

Når et program prøver å utføre de spesifiserte handlingene, sender "vakten" en melding til brukeren og tilbyr å forby eller tillate den tilsvarende handlingen. Filterprogrammer er svært nyttige fordi de er i stand til å oppdage et virus på det tidligste stadiet av dets eksistens før replikering. Imidlertid "renser" de ikke filer og disker. For å ødelegge virus må du bruke andre programmer, for eksempel fager. Ulempene med watchdog-programmer inkluderer deres "påtrengende" (for eksempel advarer de konstant om ethvert forsøk på å kopiere en kjørbar fil), samt mulige konflikter med annen programvare. Et eksempel på et filterprogram er programmet Vsafe, inkludert i pakken med verktøy for MS DOS-operativsystemet.

Vaksiner eller immunisatorer - Dette er residente programmer som forhindrer filinfeksjoner. Vaksiner brukes hvis det ikke finnes legeprogrammer som "behandler" dette viruset. Vaksinasjon er kun mulig mot kjente virus. Vaksinen modifiserer programmet eller disken på en slik måte at den ikke påvirker driften, og viruset vil oppfatte den som infisert og vil derfor ikke slå rot. For tiden har vaksineprogrammer begrenset bruk.

Rettidig oppdagelse av virusinfiserte filer og disker og fullstendig ødeleggelse av oppdagede virus på hver datamaskin bidrar til å unngå spredning av en virusepidemi til andre datamaskiner.

Antivirussett JSC "Dialog-Science"

Blant overfloden av moderne programvareverktøy for å bekjempe datavirus, bør antivirussettet til Dialog-Science JSC foretrekkes, som inkluderer fire programvareprodukter: Aidstest og Doctor Web polyphages (Dr.Web for kort), ADinf disk auditor og ADinf Cure Module behandlingsenhet. La oss ta en kort titt på hvordan og når du skal bruke disse antivirusprogrammene.

Aidstest polyfagprogram.Aidstest er et program som kan oppdage og ødelegge mer enn 1300 datavirus som er mest utbredt i Russland. Versjoner Aidstest blir jevnlig oppdatert og supplert med informasjon om nye virus.

Å ringe Aidstest du bør skrive inn kommandoen:

AIDSTEST []

der banen er stasjonsnavnet, fullt navn eller filspesifikasjon, filgruppemaske:

* – alle harddiskpartisjoner,

** – alle stasjoner, inkludert nettverksstasjoner og CD-ROM-stasjoner;

alternativer - hvilken som helst kombinasjon av følgende taster:

/F - fiks infiserte programmer og slett skadede;

/G – skann alle filer på rad (ikke bare COM, EXE og SYS);

/S – sakte operasjon for å søke etter ødelagte virus;

/X – slett alle filer med brudd i virusstrukturen;

/Q – be om tillatelse til å slette ødelagte filer;

/B – tilbyr ikke behandling av neste diskett.

Eksempel 11.27. Aidstest for å sjekke og "behandle" disken I:. Oppdagede infiserte programmer vil bli fikset. Alle filer på disken er gjenstand for skanning. Hvis filen ikke kan fikses, vil programmet be om tillatelse til å slette den:

hjelpetest b: /f /g /q

Doctor Web polyfagprogram. Dette programmet er først og fremst utviklet for å bekjempe polymorfe virus som har dukket opp relativt nylig i dataverdenen. Bruk Dr. Web for å skanne disker og fjerne oppdagede virus, vanligvis lik programmet Aidstest. I dette tilfellet er det praktisk talt ingen duplisering av kontroller, siden Aidstest Og Dr. Web arbeid med forskjellige sett med virus.

Program Dr. Web kan effektivt bekjempe komplekse mutante virus som er utenfor programmets evner Aidstest. I motsetning til Aidstest program Dr. Web er i stand til å oppdage endringer i sin egen programkode, effektivt identifisere filer infisert med nye, ukjente virus, trenge inn i krypterte og pakkede filer, og også overvinne "vaksinedekselet". Dette oppnås takket være tilstedeværelsen av en ganske kraftig heuristisk analysator.

I heuristisk analysemodus, programmet Dr.Web undersøker filer og systemområder på disker, og prøver å oppdage nye eller ukjente virus ved hjelp av kodesekvenser som er karakteristiske for virus. Hvis noen blir funnet, vises en advarsel som indikerer at objektet kan være infisert med et ukjent virus.

Det er tre nivåer av heuristisk analyse. I heuristisk analysemodus er falske positive mulige, dvs. gjenkjenning av filer som ikke er infisert. "Heuristikk"-nivået innebærer et nivå av kodeanalyse uten tilstedeværelse av falske positiver. Jo høyere nivå av heuristikk, desto høyere prosentandel av feil eller falske positive. De to første driftsnivåene til den heuristiske analysatoren anbefales.

Det tredje nivået av heuristisk analyse sørger for ytterligere kontroll av filer for det "mistenkelige" tidspunktet de ble opprettet. Noen virus, når de infiserer filer, angir feil opprettelsestidspunkt, som et tegn på at filene er infisert. For infiserte filer kan for eksempel sekundene settes til 62, og opprettelsesåret kan økes med 100 år.

Antivirusprogramvare inkludert Dr. Web kan også inkludere tilleggsfiler til hovedvirusdatabasen til programmet, og utvide dets muligheter.

Arbeid med programmet Dr. Web mulig i to moduser:

§ i fullskjermsgrensesnittmodus ved hjelp av menyer og dialogbokser;

§ i kommandolinjekontrollmodus.

For engangsbruk, uregelmessig bruk, er den første modusen mer praktisk, men for vanlig bruk for systematisk inngangskontroll av disketter, er det bedre å bruke den andre modusen. Når du bruker den andre modusen, den tilsvarende startkommandoen Dr. Web må inkluderes enten i brukermenyen til Norton Commander-operativskallet, eller i en spesiell batch-fil.

Kommandolinje for å kjøre Dr. Web følgende:

DrWeb [stasjon: [bane] ] [nøkler]

hvor er disken:

X: er en logisk harddiskenhet eller en fysisk diskettstasjonsenhet, slik som F: eller A:,

* - alle logiske enheter på harddisken,

path er banen eller masken til de nødvendige filene.

De viktigste nøklene:

/AL - diagnostikk av alle filer på en gitt enhet;

/CU[P] - "kur" disker og filer, fjern oppdagede virus;

P - fjerning av virus med brukerbekreftelse;

/DL - sletting av filer som ikke kan behandles korrekt;

/NA[nivå] - heuristisk analyse av filer og søk etter ukjente virus i dem, hvor nivået

kan ta verdier 0, 1, 2;

/RP[filnavn] – registrerer operasjonsprotokollen til en fil (som standard til filen REPORT.WEB);

/CL - start programmet i kommandolinjemodus, når du tester filer og

systemområder bruker ikke fullskjermsgrensesnitt;

/QU - gå ut til DOS umiddelbart etter testing;

/? – Visning av kort hjelp.

Hvis ingen bryter er spesifisert i Dr.Web-kommandolinjen, vil all informasjon for gjeldende lansering bli lest fra DRWEB.INI-konfigurasjonsfilen, som ligger i samme katalog som DRWEB.EXE-filen. Konfigurasjonsfilen opprettes mens du arbeider med programmet Dr. Web ved å bruke kommandoen for å lagre parametrene som kreves for testing.

Eksempel 11.28. Kjører et antivirusprogram Dr.Web for kontroll og behandling av disken I:. Oppdagede infiserte filer vil bli "kurert". Alle filer på disken er gjenstand for skanning. Hvis filen ikke kan "kureres", vil programmet be om tillatelse til å slette den. For å søke etter virus bør heuristisk analysenivå 1 brukes. Programmet skal kun kjøres i kommandolinjemodus, og avsluttes til DOS etter at testen er fullført:

DrWeb В: /AL /CUP /HA1 /QU /CL

Beskyttelsesmetoder.

Definisjon av antivirusprogrammer og deres klassifisering.

Uansett virus, må brukeren kjenne til de grunnleggende metodene for å beskytte mot datavirus.

For å beskytte mot virus kan du bruke:

Generelle informasjonssikkerhetsverktøy som også er nyttige som forsikring mot fysisk skade på disker, programmer som ikke fungerer eller feilaktige brukerhandlinger;

Forebyggende tiltak for å redusere sannsynlighet virusinfeksjon;

Spesialiserte programmer for virusbeskyttelse. Det er to hovedtyper av generelle informasjonssikkerhetsverktøy, som gir:

Kopiere informasjon - lage kopier av filer og systemområder på disker;

Tilgangskontroll som forhindrer uautorisert bruk av informasjon, spesielt beskyttelse mot endringer i programmer og data av virus, programmer som ikke fungerer og feilaktige brukerhandlinger.

For å oppdage, fjerne og beskytte mot datavirus er det utviklet flere typer spesialprogrammer som lar deg oppdage og ødelegge virus. Slike programmer kalles antivirusprogrammer. Det finnes følgende typer antivirusprogrammer:

Detektor programmer;

Legeprogrammer eller fager;

Revisjonsprogrammer;

Filtrer programmer;

Vaksine- eller immuniseringsprogrammer.

Detektorprogrammer De søker etter en kode (signatur) som er karakteristisk for et bestemt virus i RAM og filer, og hvis de blir funnet, viser de en tilsvarende melding. Ulempen med slike antivirusprogrammer er at de kun kan finne virus som er kjent for utviklerne av slike programmer.

Lege- eller fagprogrammer, så vel som vaksineprogrammer, finner ikke bare filer infisert med virus, men "behandler" dem også, det vil si at de fjerner kroppen til virusprogrammet fra filen, og returnerer filene til sin opprinnelige tilstand. I begynnelsen av arbeidet søker fager etter virus i RAM, ødelegger dem, og bare deretter fortsetter de med å "rense" filer. Blant fagene skilles polyfager ut, dvs. legeprogrammer designet for å søke etter og ødelegge et stort antall virus. Den mest kjente av dem: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Tatt i betraktning at det stadig dukker opp nye virus, blir detektorprogrammer og legeprogrammer raskt utdaterte, og det kreves jevnlige versjonsoppdateringer.

Polyphage-antivirus er de vanligste anti-malware-verktøyene. Historisk sett dukket de opp først og har fortsatt den ubestridte ledelsen på dette området.

Arbeidet med polyfager er basert på et enkelt prinsipp - søk i programmer og dokumenter etter kjente deler av viruskoden (den s.k. signaturer virus). Generelt er en signatur en registrering av et virus som lar en unik identifisere tilstedeværelsen av viruskode i et program eller dokument. Oftest er signaturen direkte en del av viralen kode eller dens kontrollsum (digest).



Til å begynne med fungerte polyfag-antivirus etter et veldig enkelt prinsipp - de skannet filer sekvensielt for å se om de inneholdt virusprogrammer. Hvis en virussignatur ble oppdaget, ble det utført en prosedyre for å fjerne viruskoden fra hoveddelen av programmet eller dokumentet. Før du begynner å skanne filer, sjekker fagprogrammet alltid RAM-en. Hvis det er et virus i RAM, er det deaktivert. Dette skyldes det faktum at virusprogrammer ofte infiserer de programmene som startes eller åpnes i det øyeblikket viruset er i det aktive stadiet (dette er på grunn av ønsket om å spare på innsatsen for å finne infeksjonsobjekter). Derfor, hvis viruset forblir aktivt i minnet, vil en total skanning av alle kjørbare filer føre til en total infeksjon av systemet.

Nå for tiden har virusprogrammer blitt mye mer komplekse. For eksempel dukket det opp såkalte "stealth-virus". Arbeidet deres er basert på det faktum at operativsystemet bruker en avbruddsmekanisme når de får tilgang til eksterne enheter (inkludert harddisker). Her er det nødvendig å gjøre en kort digresjon om emnet "Hvordan avbruddsmekanismen fungerer." Når et avbrudd oppstår, overføres kontrollen til et spesielt program - "avbruddshåndtereren". Dette programmet er ansvarlig for input og output av informasjon til/fra en perifer enhet. I tillegg er avbrudd delt inn i nivåer av interaksjon med periferiutstyr (i vårt tilfelle med harddisker og disketter). Det er et operativsystemnivå (i MS DOS-miljø - avbrudd 25 timer), det er et nivå for det grunnleggende inn-/utdatasystemet (BIOS-nivå - avbrudd 13 timer). Erfarne systemprogrammerere kan også jobbe direkte ved å få tilgang til enhetens I/O-porter. Men dette er en ganske alvorlig og vanskelig oppgave. Et slikt flernivåsystem ble laget primært med sikte på å opprettholde applikasjonsportabilitet. Det var for eksempel takket være et slikt system at det ble mulig å kjøre DOS-applikasjoner i multitasking-miljøer som MS Windows eller IBM OS/2.

Men i et slikt system er en sårbarhet i utgangspunktet skjult: Ved å kontrollere avbruddsbehandleren kan du kontrollere informasjonsflyten fra den perifere enheten til brukeren. Spesielt stealth-virus bruker en mekanisme for å avskjære kontroll når et avbrudd oppstår. Ved å erstatte den originale avbruddsbehandleren med sin egen kode, kontrollerer stealth-virus lesingen av data fra disken.

Hvis et infisert program leses fra en disk, "biter" viruset ut sin egen kode (vanligvis blir koden ikke bokstavelig talt "bitt ut", men nummeret på disksektoren som leses erstattes). Som et resultat mottar brukeren "ren" kode å lese. Så lenge avbruddsbehandlervektoren er modifisert av viruskoden, er viruset i seg selv aktivt i datamaskinens minne, og det er umulig å oppdage det ved å lese disken ved hjelp av operativsystemet. En lignende kamuflasjemekanisme brukes av oppstartsvirus, som vil bli diskutert senere. For å bekjempe stealth-virus ble det tidligere anbefalt (og er i prinsippet fortsatt anbefalt) å alternativt starte opp systemet fra en diskett og først etter det søke etter og fjerne virusprogrammer. For øyeblikket kan oppstart fra en diskett være problematisk (i tilfelle av Win32 vil ikke antivirusapplikasjoner kunne kjøre dem). I lys av alt det ovennevnte, er polyfag-antivirus mest effektive bare når de bekjemper allerede kjente virus, det vil si de hvis signaturer og oppførselsmetoder er kjent for utviklere.

Bare i dette tilfellet vil viruset bli oppdaget og fjernet med 100% nøyaktighet fra datamaskinens minne, og deretter fra alle skannede filer. Hvis viruset er ukjent, kan det ganske vellykket motstå forsøk på å oppdage og behandle det. Derfor er det viktigste når du bruker en polyfag å oppdatere programversjoner og virusdatabaser så ofte som mulig.

Stående her er de såkalte heuristiske analysatorer. Faktum er at det er et stort antall virus, hvis algoritme er praktisk talt kopiert fra algoritmen til andre virus.

Som regel lages slike variasjoner av uprofesjonelle programmerere som av en eller annen grunn bestemte seg for å skrive et virus. For å bekjempe slike "kopier" ble heuristiske analysatorer oppfunnet. Med deres hjelp er antiviruset i stand til å finne lignende analoger av kjente virus, og informere brukeren om at han ser ut til å ha et virus. Naturligvis er påliteligheten til den heuristiske analysatoren ikke 100%, men effektiviteten er fortsatt mer enn 50%. Virus som ikke gjenkjennes av antivirusdetektorer kan bare skrives av de mest erfarne og kvalifiserte programmererne.

En heuristisk kodeanalysator er et sett med rutiner som analyserer koden til kjørbare filer, minne eller oppstartssektorer for å oppdage forskjellige typer datavirus i den. Hoveddelen av den heuristiske analysatoren er kodeemulatoren. Kodemulatoren fungerer i visningsmodus, det vil si at hovedoppgaven ikke er å kjøre kode, men å oppdage alle slags hendelser i den, det vil si et sett med kode eller et kall til en bestemt operativsystemfunksjon som tar sikte på å konvertere systemdata , arbeide med filer eller oppdage virale konstruksjoner som brukes ofte. Grovt sett ser emulatoren på programkoden og identifiserer handlingene som dette programmet utfører. Hvis handlingene til dette programmet passer inn i et bestemt mønster, trekkes en konklusjon om tilstedeværelsen av viruskode i programmet.

Sannsynligheten for både en glipp og en falsk positiv er selvfølgelig veldig høy. Men ved å bruke den heuristiske mekanismen riktig, kan brukeren uavhengig komme til de riktige konklusjonene. For eksempel, hvis et antivirus genererer en melding om et mistenkt virus for en enkelt fil, er sannsynligheten for en falsk positiv svært høy. Hvis dette gjentas på mange filer (og før dette oppdaget ikke antiviruset noe mistenkelig i disse filene), så kan vi snakke om at systemet er infisert med et virus med en sannsynlighet nær 100%. Dr.Web antivirus har for tiden den kraftigste heuristiske analysatoren.

Bruken av en heuristisk analysator, i tillegg til alt det ovennevnte, lar deg også håndtere virus generatorer Og polymorfe virus.

Den klassiske metoden for å identifisere virus med signatur i dette tilfellet er generelt ineffektiv. Virusgeneratorer er et spesialisert sett med biblioteker som lar brukeren enkelt konstruere sitt eget virus, selv med lite kunnskap om programmering. Generatorbiblioteker er koblet til det skrevne programmet og satt inn i de nødvendige kallene til eksterne prosedyrer på steder - og nå har et elementært virus blitt til et ganske komplekst produkt. Det tristeste er at i dette tilfellet vil signaturen til viruset være forskjellig hver gang, så det blir mulig å spore virus bare ved karakteristiske samtaler til eksterne prosedyrer - og dette er arbeidet til en heuristisk analysator. Polymorfisk virus har en enda mer kompleks struktur.Kroppen til viruset selv endres fra infeksjon til infeksjon, samtidig som det opprettholder sitt funksjonelle innhold.

I det enkleste tilfellet, hvis du tilfeldig sprer tomme operatører som ikke gjør noe (som "mov axe, axe" eller "por") i hele viruskroppen, vil kroppen til viruskoden gjennomgå betydelige endringer, men algoritmen vil forbli den samme. I dette tilfellet kommer den heuristiske analysatoren også til unnsetning.

Vaksiner eller immunisatorer er hjemmeprogrammer som forhindrer at filer blir infisert. Vaksiner brukes når det ikke finnes legeprogrammer for å "behandle" dette viruset. Vaksinasjon kan kun brukes mot kjente virus. Essensen av denne metoden er at vaksinen modifiserer programmet eller disken på en slik måte at dette ikke gjenspeiles i driften, og viruset vil vurdere dem som infiserte og vil derfor ikke trenge inn. For tiden er vaksineprogrammer begrenset i bruk.

Det finnes to typer immunisatorer: immunisatorer som varsler om infeksjon, og immunisatorer som forhindrer infeksjon med virus. Førstnevnte skrives oftest på slutten av filene og se etter endringer hver gang filen startes. Den andre typen immunisering beskytter systemet mot skade av en bestemt type virus.

Filtrer programmer

Filterprogrammer, også kalt resident watchmen og monitorer, er alltid plassert i RAM og avskjærer spesifiserte avbrudd for å sjekke dem for mistenkelige handlinger. De kan også blokkere "farlige" handlinger eller sende en forespørsel til brukeren.

Handlinger som er underlagt kontroll kan være følgende: modifisering av master boot record (MBR) og boot records for logiske disker og GMD, skriving til en absolutt adresse, lavnivå diskformatering, la en resident modul ligge i RAM, osv. Akkurat som revisorer, er filtre ofte «påtrengende» og skaper visse ulemper i brukerens arbeid.

Alle typer antivirusprogrammer er først og fremst rettet mot å beskytte datamaskinen din mot virus.

Hver person, når du installerer et antivirusprogram, streber etter å oppnå visse resultater. For noen er hovedoppgaven å forhindre informasjonslekkasje. Andre fokuserer på integriteten til informasjon. For atter andre kommer problemfri drift av informasjonssystemer først. Det har vært tilfeller der virus blokkerte arbeidet til organisasjoner og bedrifter. Dessuten ble det registrert et tilfelle for flere år siden da et datavirus forårsaket en persons død - på et av sykehusene i Nederland ble en dødelig dose morfin administrert til en pasient fordi datamaskinen var infisert med et virus og ble gi uriktige opplysninger.

Det finnes flere typer programmer for å oppdage, fjerne og beskytte mot datavirus. Slike programmer kalles antivirusprogrammer. Det finnes følgende typer antivirusprogrammer:

1. vaksiner;

2. detektorer;

3. revisorer;

4. vaktmann;

5. monitorer;

6. polyfager;

7. heuristiske analysatorer.

Nylig har utviklere av antivirusprogrammer tilbudt brukere omfattende løsninger som inkluderer de fleste eller til og med alle de ovennevnte programmene.

Vaksiner- Dette er programmer utviklet for å forhindre at filer blir infisert av et bestemt virus. Vaksiner brukes dersom det ikke finnes programmer som kan nøytralisere viruset. Vaksinasjon er kun mulig mot kjente virus som kan påvises, men som av en eller annen grunn ikke kan nøytraliseres. Vaksineprogrammet modifiserer det beskyttede programmet eller disken på en slik måte at dette ikke påvirker driften, men det virkelige viruset anser det beskyttede programmet for å være infisert og injiserer seg derfor ikke i den kjørbare koden.

Handlingene til vaksineprogrammer er basert på en av de grunnleggende egenskapene til datavirus - ikke å re-infisere et allerede infisert program. For disse formålene, når de infiserer programmer, bruker virus et såkalt "svart merke", som vil tillate dem å skille allerede infiserte programmer fra uinfiserte. Dette kan for eksempel være å sette filopprettingstiden til 24 timer 1 minutt og 62 sekunder. Fordi Normale programmer kan ikke ha en slik opprettelsestid, og etter å ha oppdaget at filen ble opprettet på dette tidspunktet, anser viruset at den er infisert og prøver ikke å infisere den igjen.

Dermed oppretter vaksineprogrammet ganske enkelt et "svart merke" av et spesifikt virus på det beskyttede programmet uten å endre den kjørbare koden, og viruset, etter å ha oppdaget et slikt merke, prøver ikke lenger å infisere denne filen.

"Detektorer" eller "skannere"- dette er programmer som søker etter en signatur som er karakteristisk for et bestemt virus i datamaskinens RAM eller i filer på harddisken, og når de blir funnet, viser en tilsvarende melding. Ulempen med denne klassen av antivirusprogrammer er at de bare kan finne virus som er kjent for utviklerne.

"Inspektører"- Dette er programmer som er blant de mest pålitelige beskyttelsesmidlene mot virus.

Når du infiserer en datamaskin, gjør viruset endringer på harddisken: det legger til koden i den infiserte filen, endrer systemområder på disken, etc. Arbeidet til antivirusprogrammer kalt "revisorer" er basert på oppdagelse av slike endringer.

De er bygget på det motsatte prinsippet til prinsippet om å konstruere skannere. Revisorer kjenner ikke spesifikke virus ved synet, men de husker informasjon om hver spesifikke logiske stasjon og ved å endre denne informasjonen kan de på en pålitelig måte oppdage både kjente og nye, ukjente virus.

Hvis en endring i informasjon om dataene på disken oppdages, gis all relevant informasjon om det endrede objektet til brukeren. Og han må selv ta en avgjørelse: er det verdt for eksempel å sjekke denne filen for virus (hvis det er en kjørbar fil) eller ignorere meldingen hvis filen ble endret av brukeren selv.

Som regel utføres sammenligning av tilstander umiddelbart etter innlasting av operativsystemet. Ved sammenligning kontrolleres lengden på filen, kontrollsummen, dato og klokkeslett for endring og noen andre parametere. Revisorprogrammer har ganske utviklet algoritmer som lar dem oppdage til og med virus av slike klasser som "stealth"-virus og "polymorfe" virus, og noen kan til og med gjenopprette den originale versjonen av programmet som kontrolleres ved å fjerne endringene som er gjort av viruset.

Fordelene med revisorer er den høyeste hastigheten for å sjekke disker (mange titalls ganger høyere enn hastigheten til skannere) og høy pålitelighet for å oppdage selv ukjente virus.

"Vaktere"- Dette er små residente programmer designet for å oppdage mistenkelige handlinger som oppstår når en bruker jobber på en datamaskin og er karakteristiske for virus. Slike handlinger kan omfatte:

1. forsøker å korrigere filer med utvidelser COM, EXE, DLL, etc., vanligvis uforanderlige;

2. endre filattributter;

4. skrive til oppstartssektorene på disken;

Når et program prøver å utføre de spesifiserte handlingene, sender "vakten" en melding til brukeren og tilbyr å forby eller tillate den tilsvarende handlingen.

En av de største ulempene med programmer i denne klassen er at hvis de er konfigurert feil (og noen ganger til og med riktig), "bombarderer" de brukeren bokstavelig talt med advarsler, som et resultat av at de vanligvis er deaktivert.

"Monitorer"(eller filterprogrammer) er antivirusprogrammer basert på polyfagprinsippet og bruker en database med signaturene deres for å oppdage virus. Antivirusmonitoren er plassert i datamaskinens minne, og sjekker for virus kun de programmene som er manipulert av brukeren eller operativsystemet.

Vanligvis sjekker antivirusovervåkere alle filer som følgende manipulasjoner utføres på:

1. lansering av programmet for utførelse;

2. endre filattributter;

3. åpne et dokument (Microsoft Office);

4. kopiere eller flytte en fil;

5. filredigering;

Filterprogrammer er nyttige fra det synspunkt at de hjelper brukeren med å oppdage et virus på det tidligste stadiet av dets eksistens, selv før spredningen av viruset blir en epidemi.

"Polyfager"- Dette er programmer som trygt kan fjerne et virus og gjenopprette funksjonaliteten til skadede programmer.

For hvert virus, ved å analysere koden, metoder for å infisere filer, etc. en viss sekvens av byte, som bare er karakteristisk for den, er uthevet. Denne sekvensen kalles signaturen til dette viruset. Å søke etter virus kommer i det enkleste tilfellet ned til å søke etter deres signaturer. Etter å ha oppdaget et virus i programmets kropp (eller oppstartssektoren, som imidlertid også inneholder oppstartsprogrammet), nøytraliserer polyfagen det. For å gjøre dette studerer utviklere av antivirusprodukter nøye arbeidet til hvert enkelt virus: hva det ødelegger, hvordan det ødelegger det, hvor det skjuler det det ødelegger, etc.

Skanning er den mest tradisjonelle metoden for å søke etter virus. Den består i å søke etter signaturer isolert fra tidligere oppdagede virus. Virusdatabaser til moderne skannere inneholder mer enn 40 000 virusmasker.

Ulempen med enkle skannere er deres manglende evne til å oppdage "polymorfe" virus som fullstendig endrer koden deres. Moderne polyfager bruker andre metoder for å søke etter virus. For å gjøre dette bruker de mer komplekse søkealgoritmer, inkludert heuristisk analyse av programmene som sjekkes. Tatt i betraktning at det stadig dukker opp nye virus, blir detektorprogrammer og polyfagprogrammer raskt utdaterte, og det kreves regelmessig oppdatering av databaseversjoner som inneholder signaturer av nylig oppståtte virus. Som et resultat blir skannere utdaterte i det øyeblikket en ny versjon utgis.

Heuristiske analysatorer– programmer som kjører skannede programmer under deres kontroll og oppdager handlinger som er karakteristiske for virus. Takket være dette er heuristiske analysatorer i stand til å finne "polymorfe" virus like enkelt som vanlige virus som ikke bruker en kamuflasjemekanisme; i tillegg kan de oppdage virus som tidligere var ukjent for forfatterne av antivirusprogrammet.

For å identifisere disse maskerende virusene brukes spesielle metoder. Disse inkluderer prosessoremuleringsmetoden. Metoden innebærer å simulere prosessorens utførelse av et program og mate viruset fiktive kontrollressurser. Viruset, lurt på denne måten og under kontroll av antivirusprogrammet, dekrypterer koden. Etter dette sammenligner skanneren den dekrypterte koden med koder fra skannedatabasen.

Antivirusprogrammer er delt inn i: detektorprogrammer, legeprogrammer, auditørprogrammer, filterprogrammer, vaksineprogrammer.

· Detektorprogrammer. Deres formål er bare å oppdage viruset. Virusdetektorer kan oppdage oppstartsvirus i oppstartssektorene til disketter, skanne filer på magnetiske disker, samt innkommende e-postmeldinger (filer) for å oppdage signaturer til kjente virus. Etter å ha identifisert viruset, tilbyr detektoren å fortsette med en fullstendig skanning av diskene og "rense" de infiserte filene. Slike programmer i sin rene form er foreløpig sjeldne, men funksjonen for å oppdage virus i bakgrunnen er tilgjengelig i nesten alle omfattende antivirusprogrammer.

Det finnes universelle og spesialiserte detektorer.

· Universelle detektorer I sitt arbeid bruker de å sjekke filers uforanderlighet ved å telle og sammenligne med en kontrollsumstandard. Ulempen med universelle detektorer er forbundet med manglende evne til å bestemme årsakene til filkorrupsjon.

· Spesialiserte detektorer De søker etter kjente virus ved sin signatur (en gjentatt kodedel). Ulempen med slike detektorer er at de ikke klarer å oppdage alle kjente virus.

En detektor som kan oppdage flere virus kalles polydetektor.

Ulempen med slike antivirusprogrammer er at de kun kan finne virus som er kjent for utviklerne av slike programmer.

· Legeprogrammer (fager) . En fag er et program som ikke bare kan oppdage, men også ødelegge et virus, dvs. fjern koden fra infiserte filer og gjenopprett funksjonaliteten.

Svært kraftige og effektive antivirusverktøy er Doctor Web phages (laget av I. Danilov) og KAV (forfatter E. Kaspersky).

Detektorene til disse fagene skanner ikke bare filer på jakt etter en av de kjente virussignaturene, men implementerer også en heuristisk metode for å søke etter virus, kan finne og nøytralisere såkalte polymorfe virus og skanne filer som ligger i arkiver. Blant fager skilles polyfager , de. Legeprogrammer utviklet for å søke og ødelegge et stort antall virus.

Tatt i betraktning at det stadig dukker opp nye virus, blir detektorprogrammer og legeprogrammer raskt utdaterte, og det kreves jevnlige oppdateringer av deres versjoner.

· Revisorprogrammer. Tilsynsprogrammet overvåker mulige måter å spre virus og infisere datamaskiner på. Revisjonsprogrammer er blant de mest pålitelige metodene for beskyttelse mot virus. Revisorer er basert på verktøy som lar deg overvåke integriteten og endringene til filer og systemområder på magnetiske disker, og overføring av informasjon fra en datamaskin til Internett.

Revisorprogrammer har ganske utviklet algoritmer, oppdager stealth-virus og kan til og med skille endringer i versjonen av programmet som kontrolleres fra endringer gjort av viruset.

· Programmer er filtre (watchmen). Watchman er et lokalt program som ligger permanent i datamaskinens minne og overvåker datamaskinoperasjoner. Utformet for å oppdage mistenkelige handlinger under datamaskindrift, karakteristisk for virus. Slike handlinger kan være:

· Forsøk på å korrigere filer med COM- og EXE-utvidelser;

· Endre filattributter;

· Direkte opptak til disk på absolutt adresse;

· Skriv til diskoppstartssektorer.

Når et program prøver å utføre de spesifiserte handlingene, sender "vaktmannen" brukeren en melding som ber om å forby eller tillate den tilsvarende handlingen. Filterprogrammer er svært nyttige fordi de er i stand til å oppdage et virus på det tidligste stadiet av dets eksistens før replikering. Imidlertid "renser" de ikke filer og disker. For å ødelegge virus må du bruke andre programmer, for eksempel fager. Ulempene med watchdog-programmer inkluderer deres "påtrengende" (for eksempel advarer de konstant om ethvert forsøk på å kopiere en kjørbar fil), samt mulige konflikter med annen programvare.

· Vaksiner(immunisatorer) er residente programmer som hindrer filer i å bli infisert. Vaksiner brukes hvis det ikke finnes legeprogrammer som "behandler" dette viruset. Vaksinasjon er kun mulig mot kjente virus.

Vaksinen modifiserer programmet eller disken på en slik måte at den ikke påvirker driften, og viruset vil oppfatte den som infisert og vil derfor ikke slå rot. For tiden har vaksineprogrammer begrenset bruk.

En betydelig ulempe med slike programmer er deres begrensede evne til å forhindre infeksjon fra et stort antall forskjellige virus.