Антивирусные программы
Оценка 4.8

Антивирусные программы

Оценка 4.8
docx
16.11.2021
Антивирусные программы
Л2-001479.docx

Антивирусные программы

Антивирусными называются программы, предназначенные для обнаружения и нейтрализации компьютерных вирусов и защиты данных.

Основные методы идентификации  вирусов:

1.       Метод сигнатур. Антивирусные программы совершенствовались параллельно с эволюцией вирусов.  Первоначально методы борьбы с вирусами основывались на сравнении с эталоном. Для каждого вируса с помощью анализа его кода и способов инфицирования файлов выделяется уникальная, характерная только для него, последовательность байт,  называемая сигнатурой данного вируса. К сигнатуре предъявляются жесткие требования, с одной стороны, она должна быть маленькой, чтобы ее объем был не слишком велик, а с другой — достаточно большой, чтобы обеспечить надежную идентификацию вируса и избежать ложных опознаний. После определения сигнатура  вводилась в базу данных антивирусной программы. В простейшем случае поиск вирусов сводится к поиску их сигнатур.

Метод сигнатур применялся в большинстве антивирусных программ вплоть до середины 1990-х годов, когда появились первые полиморфные вирусы, меняющие свое тело по непредсказуемым заранее законам. Для борьбы с маскирующимися вирусами он был дополнен специальными методами. Одним из них является метод эмуляции процессора, с помощью которого стало возможным идентифицировать шифрующиеся и полиморфные вирусы, не имеющие постоянной сигнатуры. С помощью эмуляции воспроизводится работа анализируемой программы в некотором виртуальном пространстве и реконструируется ее оригинальное содержимое. При этом  эмулятор в любой момент времени контролирует действия программы и, следовательно, всегда может прервать ее выполнение,  не позволяя нанести вреда вычислительному комплексу. Такой обман вируса позволяет расшифровать его код. В дальнейшем расшифрованный код сравнивается с кодами из антивирусной базы данных.

2.       Метод эвристического анализа появился в середине 1990-х годов. Суть эвристического анализа  заключается в анализе операций, осуществляемых обследуемыми программами. Для своего функционирования и размножения вирус выполняет конкретные действия - копирование в память, запись в сектора и т.п. При проведении эвристического анализа производится рассмотрение выполняемого кода программы, определение ее действий, и на основе их сопоставление со списком действий, присущих вирусам, затем принимается решение - является ли рассматриваемая программа вирусом или нет. Реализация такого алгоритма позволяет обнаруживать вирусы, неизвестные авторам антивирусной программы, причем вероятность пропуска вируса оказывается малой.

Все множество антивирусных программ можно условно разделить на пять типов – фильтры, ревизоры, детекторы, доктора и иммунизаторы.

1.    Программы-фильтры (сторожа) представляют собой резидентные программы, контролирующие действия, происходящие при работе пользователя на компьютере, характерные для вирусных программ. Примерами таких операций являются:

·                   форматирование диска;

·                   модификация файлов выполняемых программ, имеющих расширения COM, EXE, DLL и т.д., обычно неизменяемых;

·                   размещение резидентных программ;

·                   прямая запись на диск по абсолютному адресу;

·                   запись в загрузочные секторы диска и др.

При попытке выполнения «опасной» операции пользователю посылается сообщение, предлагающее разрешить или запретить ее выполнение.

К достоинствам программ-фильтров следует отнести постоянный контроль над выполнением «опасных» операций, что позволяет выявить наличие вирусов на ранней стадии их появления. Однако, с точки зрения работы пользователя, это является и недостатком. Даже при правильной настройке программы-фильтры постоянно посылают предупреждения о потенциальной опасности, требующие ответов, что приводит к отвлечению внимания пользователя от основной деятельности.

2.    Программы-ревизоры – это программы, запоминающие исходные состояния системных областей, каталогов и программ и периодически сравнивающие их текущие состояния с исходными, принятыми за эталонные. Сравнение состояний осуществляется, как правило, сразу после загрузки операционной системы. Для сравнения анализируется ряд параметров -  контрольная сумма файла, его длина, дата и время изменения и др.

Действие программ-ревизоров основано на том, что в результате действий вирусов происходит изменение содержания жесткого диска - изменяются системные области диска, дописывается код в заражаемые файлы и т.д. Ревизоры не ищут какие-либо конкретные вирусы, а обнаруживают как известные, так и новые, неизвестные вирусы с помощью анализа изменения информации об объектах дисков.

При обнаружении изменения сведений о размещенных на дисках наборов данных информация о модифицированном объекте предоставляется пользователю. Пользователь самостоятельно должен  принять решение о дальнейшем действии над подозрительным объектом - проигнорировать сообщение, если файл был изменен им самим,  проверить файл на вирус, если это исполняемый файл, удалить его и т.д.

Достоинством программ-ревизоров является возможность обнаружения с их помощью вирусов таких типов, как «стелс»-вирусы и «полиморфные» вирусы. Некоторые из них способны даже восстановить исходную версию проверяемого объекта, удаляя внесенные вирусом изменения.

3.    Программы-детекторы предназначены для поиска и обнаружения вирусов в оперативной памяти компьютера и на машинных носителях информации. При обнаружении подозрительного объекта выдается соответствующее сообщение. Для нейтрализации обнаруженного вируса необходимо воспользоваться какой-либо другой антивирусной программой или же попытаться удалить подозрительный объект.

4.    Программами-докторами (полифагами) являются антивирусные программы, предназначенные для обнаружения и обезвреживания вирусов. Часть программ-докторов, позволяющих обнаруживать и обезвреживать большое количество компьютерных вирусов, принято называть полифагами. В процессе нейтрализации вирусов заражённые ими объекты могут восстанавливаться или не восстанавливаться.

Как отмечалось ранее, наиболее традиционным и распространенным методом поиска вирусов является сканирование, которое заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. К недостаткам простого сканирования следует отнести его неспособность обнаруживать полиморфные вирусы, полностью изменяющие свой код. Поэтому современные «доктора» используют и более сложные методы поиска вирусов, включающие эвристический анализ проверяемых объектов.

При эксплуатации программ-детекторов и программ-докторов  необходимо регулярное обновление баз данных, использующихся для распознавания вирусов, поскольку постоянно появляются новые вирусы и антивирусные базы быстро устаревают.

 Примерами программ-докторов являются получившие широкое распространение программы Aidstest, Doctor Web и Norton AntiVirus.

Как программы-детекторы, так и программы-доктора можно разделить на сканеры и мониторы, исходя из типа доступа к файлам. Мониторы являются резидентными программами, которые отслеживают доступ к файлам и проводят проверку в момент доступа. Сканеры же осуществляют проверку лишь по требованию пользователя.

5.    Программы-иммунизаторы (вакцины) предназначены для предотвращения заражения файлов каким-либо одним, конкретным вирусом, или же рядом известных вирусов путем их вакцинации. Идея метода вакцинации заключается в модификации защищаемого объекта таким образом, чтобы это не отражалось на его нормальном функционировании, и в то же время вирусы воспринимали его как уже зараженный и поэтому не пытались инфицировать заново.

Программы-иммунизаторы используют при своем функционировании свойство компьютерных вирусов  не заражать повторно уже инфицированный объект. Инфицируя объект, вирусы определенным образом отмечают его - создают метку, которая позволяет отличать уже зараженные объекты от незараженных. Программа-иммунизатор создает метку конкретного вируса у защищаемого объекта, не изменяя его исполняемого кода, и вирус, идентифицируя такую метку, не пытается заразить защищаемый объект.

Применение рассматриваемого метода защиты целесообразно в случае, когда отсутствуют программы, обезвреживающие данный вирус. Вакцинация эффективна только от известного и изученного вируса, который можно идентифицировать, но по какой-либо причине проблематично нейтрализовать.

Главным недостатком программ-иммунизаторов является ограниченность их возможностей по предотвращению заражения от большого числа разнообразных вирусов. В настоящее время известно огромное число компьютерных вирусов, каждый из которых имеет собственную метку, поэтому защититься с помощью вакцинации от всех существующих вирусов невозможно в принципе.

 


 

Скачано с www.znanio.ru

Антивирусные программы Антивирусными называются программы, предназначенные для обнаружения и нейтрализации компьютерных вирусов и защиты данных

Антивирусные программы Антивирусными называются программы, предназначенные для обнаружения и нейтрализации компьютерных вирусов и защиты данных

Все множество антивирусных программ можно условно разделить на пять типов – фильтры, ревизоры, детекторы, доктора и иммунизаторы

Все множество антивирусных программ можно условно разделить на пять типов – фильтры, ревизоры, детекторы, доктора и иммунизаторы

Достоинством программ-ревизоров является возможность обнаружения с их помощью вирусов таких типов, как «стелс»-вирусы и «полиморфные» вирусы

Достоинством программ-ревизоров является возможность обнаружения с их помощью вирусов таких типов, как «стелс»-вирусы и «полиморфные» вирусы

Программы-иммунизаторы используют при своем функционировании свойство компьютерных вирусов не заражать повторно уже инфицированный объект

Программы-иммунизаторы используют при своем функционировании свойство компьютерных вирусов не заражать повторно уже инфицированный объект
Скачать файл