Принцип работы какого антивируса основан на подсчете контрольных сумм
Лицензионные антивирусные программы следует покупать у фирм-производителей. Антивирусную программу недостаточно лишь однажды установить на компьютер. Необходимо регулярно обновлять ее базу – добавлять настройки на новые типы вирусов. Наиболее оперативно такое обновление производится через Интернет серверами фирм-производителей. Антивирусные программы могут использовать различные принципы для поиска и лечения зараженных файлов.
Самыми популярными и эффективными антивирусными программами являются антивирусные программы полифаги (например, Kaspersky Anti-Virus, Dr.Web). Принцип работы полифагов основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых (неизвестных полифагу) вирусов.
Для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность программного кода, специфичная для этого конкретного вируса. Если антивирусная программа обнаруживает такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению.
Полифаги могут обеспечивать проверку файлов в процессе их загрузки в оперативную память. Такие программы называются антивирусными мониторами.
К достоинствам полифагов относится их универсальность. К недостаткам можно отнести большие размеры используемых ими антивирусных баз данных, что приводит к относительно небольшой скорости поиска вирусов.
Принцип работы ревизоров (например, Adinf) основан на подсчете контрольных сумм для присутствующих на диске файлов. Эти контрольные суммы затем сохраняются в базе данных антивируса, как и некоторая другая информация: длины файлов, даты их последней модификации и пр.
При последующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то ревизоры сигнализируют о том, что файл был изменен или заражен вирусом.
Недостаток ревизоров состоит в том, что они не могут обнаружить вирус в новых файлах (на дискетах, при распаковке файлов из архива, в электронной почте), поскольку в их базах данных отсутствует информация об этих файлах.
Антивирусные блокировщики — это программы, перехватывающие «вирусоопасные» ситуации и сообщающие об этом пользователю. К таким ситуациям относится, например, запись в загрузочный сектор диска. Эта запись происходит при установке на компьютер новой операционной системы или при заражении загрузочным вирусом.
Наибольшее распространение получили антивирусные блокировщики в BIOS компьютера. С помощью программы BIOS Setup можно провести настройку BIOS таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер будет защищен от заражения загрузочными вирусами. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения.
Сканеры (другие названия: фаги, полифаги)
Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски". Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода являетcя алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.
Во многих сканерах используются также алгоритмы "эвристического сканирования", т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения для каждого проверяемого объекта.
Сканеры также можно разделить на две категории - "универсальные" и "специализированные". Универсальные сканеры рассчитаны на поисх и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов.
Сканеры также делятся на "резидентные" (мониторы), производящие сканирование "на-лету", и "нерезидентные", обеспечивающие проверку системы только по запросу. Как правило, "резидентные" сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как "нерезидентный" сканер способен опознать вирус только во время своего очередного запуска.
Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.
CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту "слабость" CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них.
Антивирусные блокировщики - это резидентные программы, перехватывающие "вирусо-опасные" ситуации и сообщающие об этом пользователю. К "вирусо-опасным" относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения.
К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения. К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний.
Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время.
Второй тип иммунизации защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.
Такой тип иммунизации не может быть универсальним, поскольку нельзя иммунизировать файлы от всех известных вирусов.
^ Классификация антивирусов по признаку изменяемости во времени
По мнению Валерия Конявского , антивирусные средства можно разделить на две большие группы - анализирующие данные и анализирующие процессы.
К анализу данных относятся "ревизоры" и "полифаги". "Ревизоры" анализируют последствия от деятельности компьютерных вирусов и других вредоносных программ. Последствия проявляются в изменении данных, которые изменяться не должны. Именно факт изменения данных является признаком деятельности вредоносных программ с точки зрения "ревизора". Другими словами, "ревизоры" контролируют целостность данных и по факту нарушения целостности принимают решение о наличии в компьютерной среде вредоносных программ.
"Полифаги" действуют по-другому. Они на основе анализа данных выделяют фрагменты вредоносного кода (например, по его сигнатуре) и на этой основе делают вывод о наличии вредоносных программ. Удаление или "лечение" пораженных вирусом данных позволяет предупредить негативные последствия исполнения вредоносных программ. Таким образом, на основе анализа "в статике" предупреждаются последствия, возникающие "в динамике".
Схема работы и "ревизоров", и "полифагов" практически одинакова - сравнить данные (или их контрольную сумму) с одним или несколькими эталонными образцами. Данные сравниваются с данными. Таким образом, для того чтобы найти вирус в своем компьютере, нужно, чтобы он уже "сработал", чтобы появились последствия его деятельности. Этим способом можно найти только известные вирусы, для которых заранее описаны фрагменты кода или сигнатуры. Вряд ли такую защиту можно назвать надежной.
Несколько по-иному работают антивирусные средства, основанные на анализе процессов. "Эвристические анализаторы", так же как и вышеописанные, анализируют данные (на диске, в канале, в памяти и т.п.). Принципиальное отличие состоит в том, что анализ проводится в предположении, что анализируемый код - это не данные, а команды (в компьютерах с фон-неймановской архитектурой данные и команды неразличимы, в связи с этим при анализе и приходится выдвигать то или иное предположение.)
"Эвристический анализатор" выделяет последовательность операций, каждой из них присваивает некоторую оценку "опасности" и по совокупности "опасности" принимает решение о том, является ли данная последовательность операций частью вредоносного кода. Сам код при этом не выполняется.
Другим видом антивирусных средств, основанных на анализе процессов, являются "поведенческие блокираторы". В этом случае подозрительный код выполняется поэтапно до тех пор, пока совокупность инициируемых кодом действий не будет оценена как "опасное" (либо "безопасное") поведение. Код при этом выполняется частично, так как завершение вредоносного кода можно будет обнаружить более простыми методами анализа данных.
Технологии обнаружения вирусов
Технологии сигнатурного анализа
Технологии вероятностного анализа
Сигнатурный анализ - метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов. Сигнатурный анализ является наиболее известным методом обнаружения вирусов и используется практически во всех современных антивирусах. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе.
Ввиду того, что сигнатурный анализ предполагает проверку файлов на наличие сигнатур вирусов, антивирусная база нуждается в периодическом обновлении для поддержания актуальности антивируса. Сам принцип работы сигнатурного анализа также определяет границы его функциональности - возможность обнаруживать лишь уже известные вирусы - против новых вирусов сигнатурный сканер бессилен.
С другой стороны, наличие сигнатур вирусов предполагает возможность лечения инфицированных файлов, обнаруженных при помощи сигнатурного анализа. Однако, лечение допустимо не для всех вирусов - трояны и большинство червей не поддаются лечению по своим конструктивным особенностям, поскольку являются цельными модулями, созданными для нанесения ущерба.
Грамотная реализация вирусной сигнатуры позволяет обнаруживать известные вирусы со стопроцентной вероятностью.
Технологии вероятностного анализа
Эвристический анализ
Поведенческий анализ
Анализ контрольных сумм
Эвристический анализ - технология, основанная на вероятностных алгоритмах, результатом работы которых является выявление подозрительных объектов. В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Наиболее популярной эвристической технологией является проверка содержимого файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы.
Эвристический анализ применяется для обнаружения неизвестных вирусов, и, как следствие, не предполагает лечения. Данная технология не способна на 100% определить вирус перед ней или нет, и как любой вероятностный алгоритм грешит ложными срабатываниями.
Поведенческий анализ - технология, в которой решение о характере проверяемого объекта принимается на основе анализа выполняемых им операций. Поведенческий анализ весьма узко применим на практике, так как большинство действий, характерных для вирусов, могут выполняться и обычными приложениями. Наибольшую известность получили поведенческие анализаторы скриптов и макросов, поскольку соответствующие вирусы практически всегда выполняют ряд однотипных действий.
Средства защиты, вшиваемые в BIOS, также можно отнести к поведенческим анализаторам. При попытке внести изменения в MBR компьютера, анализатор блокирует действие и выводит соответствующее уведомление пользователю.
Помимо этого поведенческие анализаторы могут отслеживать попытки прямого доступа к файлам, внесение изменений в загрузочную запись дискет, форматирование жестких дисков и т. д.
Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам и, как следствие, неспособны различать известные и неизвестные вирусы - все подозрительные программы априори считаются неизвестными вирусами. Аналогично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения.
^ Анализ контрольных сумм
Анализ контрольных сумм - это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений - одновременность, массовость, идентичные изменения длин файлов - можно делать вывод о заражении системы. Анализаторы контрольных сумм (также используется название "ревизоры изменений") как и поведенческие анализаторы не используют в работе дополнительные объекты и выдают вердикт о наличии вируса в системе исключительно методом экспертной оценки. Подобные технологии применяются в сканерах при доступе - при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.
Антивирусный комплекс — набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз.
Помимо этого антивирусный комплекс дополнительно может включать в себя поведенческие анализаторы и ревизоры изменений, которые не используют антивирусное ядро.
Первая массовая __________ компьютерного вируса произошло в 1986 году.
2) Выбрать правильное определение «Компьютерного вируса»
А) Это система хранения файлов и организации каталогов
Б) Делает истинное высказывание ложным и наоборот, ложное- истинным.
В) Является программами, которые могут «размножаться» и скрытно внедрять свои копии в файлы, загрузочные секторы дисков и документов.
3) О каком вирусе идет речь?
«Активизация которых может привести к потере программ и данных (изменению или удалению файлов и каталогов), форматированию винчестера и т. д»
А) Опасный
Б) Очень опасный
В) Неопасный
5) О каком вирусе идёт речь
«Заражают файлы документов Word и электронных таблиц Excel »
А) Файловый вирус
Б) Сетевой вирус
В) Макровирус
6) Какую роль выполняют «Трояны»?
А) Программы
Б) Троянского коня
В) Защита
7) Соотнесите соответствия терминов с описанием:
1) Принцип работы основан на подсчете контрольных сумм для присутствующих на диске файлов
2) Программа, перехватывающая «Вирусоопасные» ситуации и сообщающие об этом пользователю.
3) Принцип работы основан на проверке файлов, загрузочных секторов дисков.
8) Согласны ли вы с утверждением «Сетевых вирусов»?
А) Сетевые вирусы – используют для своего расположения электронную почту и Всемирную паутину.
Б) Сетевые вирусы – постоянно присутствуют в памяти компьютера и могут заражать другие документы.
В) Сетевые вирусы – находятся в оперативной памяти компьютера и является активным.
9) Какой вирус ведет себя так же, как файловый, то есть может заражать файлы при обращении к ним компьютера?
А) Интернет-черви
Б) Ревизоры
В) Загрузочные
10) Какие типы компьютерных вирусов существуют?
___________ , ____________ , ___________ , __________ .
11) Какое название по отношению к компьютерным программам перешло к нам из биологии именно по признаку способности к саморазмножению: _______________________________________________________
12) О каком вирусе идет речь?
«Могут привести к сбою и зависанию при работе компьютера»
А) Файловый
Б) Опасный
В) Загрузочный
13) Этапы действия программного вируса:
А) Размножение, вирусная атака.
В) Запись в файл, размножение, уничтожение.
Б) Запись в файл, размножение.
14) Какие программы относятся к антивирусным?
А ) AVP, DrWeb, Norton AntiVirus.
Б ) MS-DOS, MS Word, AVP .
В ) MS Word, MS Excel, Norton Commander .
15) Какие существуют вспомогательные средства защиты?
А) Административные методы и антивирусные программы.
Б) Аппаратные средства.
В) Программные средства.
16) В чем заключается размножение программного вируса?
А) Программа-вирус один раз копируется в теле другой программы.
Б) Вирусный код неоднократно копируется в теле другой программы.
17) Ответьте на вопрос «Что называется вирусной атакой?»
18) Ответьте на вопрос «Какие существуют методы реализации антивирусной защиты?»
19) На чем основано действие антивирусной программы?
А) На ожидании начала вирусной атаки
Б) На сравнении программных кодов с известными вирусами
В) На удалении зараженных файлов
20) Какие существуют основные средства защиты данных?
А) Аппаратные средства
Б) Программные средства
В) Резервное копирование наиболее ценных данных
1) Эпидемия
2) В
3) Б
4) Б
5) В
6) Б
7)
Обращаем Ваше внимание, что в соответствии с Федеральным законом N 273-ФЗ «Об образовании в Российской Федерации» в организациях, осуществляющих образовательную деятельность, организовывается обучение и воспитание обучающихся с ОВЗ как совместно с другими обучающимися, так и в отдельных классах или группах.
Рабочие листы и материалы для учителей и воспитателей
Более 2 500 дидактических материалов для школьного и домашнего обучения
Столичный центр образовательных технологий г. Москва
Получите квалификацию учитель математики за 2 месяца
от 3 170 руб. 1900 руб.
Количество часов 300 ч. / 600 ч.
Успеть записаться со скидкой
Форма обучения дистанционная
- Онлайн
формат - Диплом
гособразца - Помощь в трудоустройстве
Видеолекции для
профессионалов
- Свидетельства для портфолио
- Вечный доступ за 120 рублей
- 311 видеолекции для каждого
Антивирусные программы
2.4.3. Классификация антивирусных программ
Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры, CRC-сканеры (ревизоры). Существуют также антивирусы блокировщики и иммунизаторы.
Сканеры. Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски". Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.
Во многих сканерах используются также алгоритмы "эвристического сканирования", т. е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.
Сканеры также можно разделить на две категории – "универсальные" и "специализированные". Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макровирусов.
Сканеры также делятся на "резидентные" (мониторы), производящие сканирование "на лету", и "нерезидентные", обеспечивающие проверку системы только по запросу. Как правило, "резидентные" сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как "нерезидентный" сканер способен опознать вирус только во время своего очередного запуска.
К достоинствам сканеров всех типов относится их универсальность, к недостаткам – размеры антивирусных баз, которые сканерам приходится хранить и пополнять, и относительно небольшая скорость поиска вирусов.
CRC-сканеры. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т. д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.
CRC-сканеры, использующие "анти-стелс" алгоритмы реагируют практически на 100 % вирусов сразу после появления изменений на компьютере. Характерный недостаток этих антивирусов заключается в невозможности обнаружения вируса с момента его появления и до тех пор, пока не будут произведены изменения на компьютере. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в восстанавливаемых файлах или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах.
Блокировщики. Антивирусные блокировщики – это резидентные программы, перехватывающие "вирусоопасные" ситуации и сообщающие об этом пользователю. К "вирусоопасным" относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочный сектор диска и др., которые характерны для вирусов в моменты из размножения.
К достоинствам блокировщиков относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно активизируется.
Иммунизаторы. Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.
2.4.5. Выводы по теме
Использование антивирусного программного обеспечения является одним из наиболее эффективных способов борьбы с вирусами.
Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры, CRC-сканеры (ревизоры).
К антивирусным программам также относятся антивирусы: блокировщики и иммунизаторы.
Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски".
Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса.
Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов.
CRC-сканеры, использующие "анти-стелс" алгоритмы реагируют практически на 100% вирусов сразу после появления изменений на компьютере.
Антивирусные блокировщики – это резидентные программы, перехватывающие "вирусоопасные" ситуации и сообщающие об этом пользователю.
Качество антивирусной программы определяют надежность и удобство работы, качество обнаружения вирусов, возможность сканирования "на лету" и скорость работы.
2.4.6. Вопросы для самоконтроля
Поясните понятия "сканирование налету" и "сканирование по запросу".
Перечислите виды антивирусных программ.
Охарактеризуйте антивирусные сканеры.
Принципы функционирования блокировщиков и иммунизаторов.
В чем состоят особенности эвристических сканеров?
Какие факторы определяют качество антивирусной программы?
2.4.4. Факторы, определяющие качество антивирусных программ
Качество антивирусной программы определяется несколькими факторами. Перечислим их по степени важности:
Надежность и удобство работы – отсутствие "зависаний" антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.
Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов/таблиц, упакованных и архивированных файлов. Отсутствие "ложных срабатываний". Возможность лечения зараженных объектов.
Существование версий антивируса под все популярные платформы (DOS, Windows, Linux и т. д.).
Возможность сканирование "налету".
Существование серверных версий с возможностью администрирования сети.
2.4.1. Введение
Цели изучения темы
изучить основные понятия по борьбе с вирусами, виды антивирусных программ и их характеристику.
Требования к знаниям и умениям
Студент должен знать:
виды антивирусных программ;
принципы функционирования антивирусных программ;
факторы, определяющие качество антивирусной программы.
Студент должен уметь:
классифицировать антивирусные программы.
Ключевой термин
Ключевой термин: антивирусная программа.
Антивирусная программа – программа, предназначенная для поиска, обнаружения, классификации и удаления компьютерного вируса и вирусоподобных программ.
Второстепенные термины
класс антивирусной программы;
Структурная схема терминов
2.4.7. Ссылки на дополнительные материалы (печатные и электронные ресурсы)
Касперский Е. Компьютерные вирусы в MS-DOS. – М.: Эдель, 1992.
Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: Издательство Молгачева С. В., 2001.
Фролов А. В., Фролов Г. В. Осторожно: компьютерные вирусы. – М.: ДИАЛОГ-МИФИ, 1996.
Галатенко В. А. Основы информационной безопасности. – М: Интернет-Университет Информационных Технологий – ИНТУИТ. РУ, 2003.
Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Антивирусные программы могут использовать различные принципы для поиска и лечения зараженных файлов.
Полифаги. Самыми популярными и эффективными антивирусными программами являются антивирусные программы полифаги (например, Antiviral Toolkit Рго). Принцип работы полифагов основан на проверке файлов и секторов дисков и оперативной памяти и поиске в них известных и новых (неизвестных полифагу) вирусов.
Для поиска известных вирусов используются так называемые "маски". Маской вируса называют некоторую постоянную последовательность программного кода, специфичную для этого вируса. Если антивирусная программа обнаружит такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению.
Полифаги могут обеспечивать проверку файлов в процессе их загрузки в оперативную память. Такие программы называются антивирусными мониторами (например, АVР Моnitor)
Ревизоры. Принцип работы ревизоров (например, ADINF) основан на подсчете контрольных сумм для присутствующих на диске файлов. Эти контрольные суммы затем сохраняются в базе данных антивируса, как и некоторая другая информация: длины файлов, даты их последней модификации и т.д.
При последующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то ревизоры сигнализируют о том, что файл был изменен или заражен вирусом.
Блокировщики. Антивирусные блокировщики - это программы, перехватывающие "вирусоопасные" ситуации и сообщающие об этом пользователю. К "вирусоопасным" относится, например, запись в загрузочный сектор дисков. Такая запись происходит при установке на компьютер новой операционной системы или при заражении загрузочным вирусом.
Наибольшее распространение получили антивирусные блокировщики, "зашитые" в Setup компьютера. С помощью программы Bios Setup можно провести настройку Bios таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер будет защищен от заражения загрузочными вирусами.
Методика использования антивирусных программ.
Следите за тем, чтобы антивирусные программы, используемые для проверки, были самых последних версий. Обновленные версии антивирусных программ или антивирусных баз данных можно загрузить с соответствующих серверов Интернета.
Если есть подозрение, что компьютер заражен вирусом, то надо сделать следующее:
· Если компьютер подключен к локальной сети, необходимо отключить его от нее и проинформировать системного администратора.
· Запустить антивирусную программу и, прежде всего, проверить наличие вируса в оперативной памяти. Удаление вируса из оперативной памяти необходимо для того, чтобы остановить его распространение.
· Если используемая антивирусная программа не удаляет вирусы из оперативной памяти, следует перезагрузить компьютер с заведомо незараженной и защищенной от записи системной дискеты.
· При помощи антивирусной программы обнаружить зараженные файлы и либо их удалить, либо подвергнуть "лечению".
· В случае обнаружения загрузочного вируса необходимо проверить все дискеты независимо от того, загрузочные они (т.е. содержат системные файлы) или нет. Даже дискета, не содержащая файлов, может стать источником распространения вируса, т.к. в ее загрузочном секторе может быть записан вирус. Для заражения достаточно забыть такую дискету в дисководе и перезагрузить компьютер.
2.4.2. Особенности работы антивирусных программ
Одним из наиболее эффективных способов борьбы с вирусами является использование антивирусного программного обеспечения. Антивирусная программа – программа, предназначенная для поиска, обнаружения, классификации и удаления компьютерного вируса и вирусоподобных программ.
Вместе с тем необходимо признать, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, поскольку на любой алгоритм антивируса всегда можно предложить новый алгоритм вируса, невидимого для этого антивируса.
При работе с антивирусными программами необходимо знать некоторые понятия:
Ложное срабатывание – детектирование вируса в незараженном объекте (файле, секторе или системной памяти).
Пропуск вируса – недетектирование вируса в зараженном объекте.
Сканирование по запросу – поиск вирусов по запросу пользователя. В этом режиме антивирусная программа неактивна до тех пор, пока не будет вызвана пользователем из командной строки, командного файла или программы-расписания.
Сканирование налету – постоянная проверка на вирусы объектов, к которым происходит обращение (запуск, открытие, создание и т. п.). В этом режиме антивирус постоянно активен, он присутствует в памяти "резидентно" и проверяет объекты без
Читайте также: