Читайте также:
|
Сейчас на рынке программного обеспечения представлен достаточно широкий спектр антивирусных программ. Чтобы правильно использовать антивирусные средства, необходимо различать их по назначению. Существуют несколько видов программных средств борьбы с вирусами - это сканеры (другие названия: фаги, полифаги), ревизоры диска (CRC-сканеры), резидентные мониторы и иммунизаторы. Изложим основные принципы их работы.
Сканеры
Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.
Во многих сканерах используются также алгоритмы «эвристического сканирования», т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения («возможно заражен» или «не заражен») для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.
Сканеры также можно разделить на две категории - «универсальные» и «специализированные». Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.
К достоинствам сканеров всех типов относится их универсальность, к недостаткам - размеры антивирусных баз, которые сканерам приходится «таскать за собой», и относительно небольшую скорость поиска вирусов.
Ревизоры диска
Принцип работы ревизоров диска (CRC-сканеров) основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры проверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.
CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры неспособны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут детектировать вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup-a или при распаковке файлов из архива), поскольку в их базах отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них.
Часто ревизоры диска и сканеры объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность.
Резидентные мониторы
Резидентные мониторы - это программы, постоянно находящиеся в оперативной памяти и контролирующие операции, которые производятся с диском и оперативной памятью. Именно эти программы позволяют обнаружить вирус до момента реального заражения системы (в отличие от предыдущих двух), поскольку они немедленно реагируют на появление вируса. Один из их недостатков - замедление работы, поскольку мониторы работают в интерактивном режиме, постоянно сообщая пользователю о том, что происходит и спрашивая что делать дальше. Кроме того, мониторы могут вступать в конфликт с другими программами, загруженными в оперативную память.
Иммунизаторы
Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые из них обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он летален -абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, практически не используются в настоящее время.
Второй тип иммунизации защищает систему от поражения каким-либо определенным типом вируса. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные (пример - печально известная строка «MsDos», предохраняющая от ископаемого вируса «Jerusalem»). Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.
Такой тип иммунизации не может быть универсальным, поскольку нельзя проиммунизировать файлы от всех известных вирусов - одни вирусы считают уже зараженными файлы, если время создания файла содержит метку 62 секунды, а другие - 60 секунд. Однако, несмотря на это, подобные иммунизаторы в качестве полумеры могут защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет детектироваться антивирусными сканерами.
В дополнение к этой классификации отметим еще несколько отличительных особенностей, характеризующих некоторые файлово-загрузочные вирусы.
· Полиморфизм. Большинство вирусов, созданных в прежние годы, при саморазмножении никак не изменяются, так что «потомки» являются абсолютно точной копией «прародителя», что и позволяет легко их обнаруживать по характерной для каждого последовательности байтов. Однако в последнее время создатели вирусов реализовали идею шифровки тела вируса (чтобы нельзя было деассемблировать такой вирус - превратить его исполняемые коды обратно в исходный листинг с целью изучения его работы и создания «противоядия»).
· «Стелс» - технология. Этот термин появился по аналогии с названием технологии разработки американского бомбардировщика, невидимого на экране радара. Стелс-вирус, находясь в памяти компьютера, перехватывает почти все векторы прерываний (то есть переписывает адреса вызова служебных подпрограмм операционной системы на свои). В результате при попытке контроля длины зараженного файла ДОС выдает старую, «правильную» длину вместо истинной, а при просмотре в деассемблере коды вируса исключаются им из рассмотрения.
· «Логические бомбы». Такая программа добавляется к какой-либо полезной программе и «дремлет» в ней до определенного часа. Когда же показания системного счетчика времени данного компьютера станут равными установленному программистом значению часов, минут и секунд (или превысят их), производится какое-либо разрушающее действие, например, форматирование винчестера. Это один из распространенных вариантов мести обиженных программистов своему руководству.
· Программы-вандалы. Самый простой способ напакостить всем и вся. Пишется программа-разрушитель (например, все тот же форматировщик винчестера), ей дается название, такое же, как у другой, полезной программы, и она размещается, скажем, на BBS в качестве «обновленной версии». Ничего не подозревающий пользователь обрадовано «скачивает» ее на свой компьютер и запускает, а в результате - лишается всей информации на жестком диске. Подобная история случилась сравнительно недавно, когда форматировщик был «замаскирован» под новую версию популярного архиватора ZIP.
Сетевые вирусы.
· «Логические бомбы» - скрипты и апплеты. Современные версии браузеров (программ для работы с WWW-страницами) поддерживают возможность размещать на Интернет-страницах небольшие программы, переправляемые пользователю в виде текстового листинга и исполняемые уже на пользовательском компьютере. Такие программы называются скриптами и пишутся на специальном языке программирования JavaScript и на основе VisualBASIC. И хотя основные функции доступа к содержимому вашего диска здесь отключены, некоторые мелкие неприятности это может доставить. Кстати, в последнее время создатели некоторых сайтов (как правило, из разряда «только для взрослых») освоили любопытный вариант скриптов (на базе JavaScript), способных при открытии такой Web-страницы не только «прописать» адрес данного сайта в качестве «домашнего» (естественно, не спрашивая у посетителя разрешения), но и внести его непосредственно в системный реестр Windows в качестве «базового»: такие «фокусы» уже можно считать настоящим вирусом и привлекать владельцев таких сайтов к предусмотренной за такие деяния ответственности.
· «Троянские кони». Это модули, присоединяемые к каким-либо нормальным программам, распространяемым по сети, или «забрасываемые» в ваш компьютер несанкционированным способом. Цель «троянского коня» - воровать ценную информацию (пароли доступа, номера кредитных карточек и т. п.) и передавать ее тому, кто этого «коня» запустил. Рядовые пользователи Интернет, впрочем, встречаются с данной проблемой довольно редко, - чаще всего это проблема владельцев серверов и провайдеров. Однако же, если кто-то похитит у вашего провайдера ваши login и пароль входа в Интернет, чтобы воспользоваться ими, денежки будут уходить именно с ВАШЕГО счета...
· Почтовые вирусы. Сегодня электронная почта приобретает все большую популярность. Но вместе с этим значительно увеличилась и опасность проникновения вирусов через этот удобный канал глобального распространения. (Еще большую опасность, кстати, представляет собой популярный чат-клиент ISQ или, в просторечном наименовании, «аська».) Чаще всего заражение начинается с получения неизвестно от кого письма, содержащего исполняемую программу-«зародыш» (частенько очень хитро «замаскированную»: файл имеет, например, вид <имя>.jpg.exe, где перед завершающим и определяющим тип «исполняемая программа» указанием «.ехе» записано большое число пробелов; Windows отображает для таких длинных имен только начало, пользователь воспринимает присланное как обычный файл с JPEG-картинкой и активизирует его клавишей Enter или двойным щелчком мыши для просмотра, тем самым запуская программу). Когда ничего не подозревающий пользователь запустит такую программу на исполнение, содержащийся в ней вирус «прописывается» в системе и, обращаясь к содержимому адресной книги, начинает тайком от вас рассылать всем абонентам свои копии-зародыши в качестве вложений. Впрочем, сегодня Outlook Express позволяет принимать письма в формате HTML, в том числе содержащие скрипты и обращения к серверным программным компонентам, причем с возможностью автозапуска скрипта в момент просмотра полученного письма, так что налицо еще одна потенциальная «лазейка» для вирусописателей.
Вирусы делятся также на резидентные и нерезидентные — первые при получении управления загружаются в память и могут действовать, в отличие от нерезидентных, не только во время работы зараженного файла.
Всего на сегодняшний день существуют тысячи вирусов, но только в нескольких десятках из них реализованы оригинальные идеи, остальные являются лишь "вариациями на тему". Средства защиты от вирусов подразделяются на такие группы, как детекторы, фаги, ревизоры, сторожа и вакцины. Детекторы (сканеры). Их задачей является постановка диагноза, лечением же будет заниматься другая антивирусная программа или профессиональный программист- «вирусолог».
Фаги (полифаги). Программы, способные обнаружить и уничтожить вирус (фаги) или несколько вирусов (полифаги). Современные версии полифагов, как правило, обладают возможностью проведения эвристического анализа файлов — они исследуют файлы на предмет наличия кода, характерного для вируса (внедрения части этой программы в другую, шифрования кода и т.п.).
Ревизоры. Этот тип антивирусов контролирует все (по крайней мере, все известные на момент выпуска программы) возможные способы заражения компьютера. Таким образом, можно обнаружить вирус, созданный уже после выхода программы-ревизора.
Сторожа. Резидентные программы, постоянно находящиеся в памяти компьютера и контролирующие все операции (не пользуются особой популярностью главным образом из-за большого количества ложных срабатываний, которые в отдельных случаях способны если не парализовать, то уж наверняка серьезно застопорить работу).
Вакцины. Используются для обработки файлов и загрузочных секторов с целью предотвращения заражения известными вирусами (в последнее время этот метод применяется все реже — вакцинировать можно только от конкретного вируса, причем некоторые антивирусы такую вакцинацию вполне могут спутать с самой болезнью, поскольку отличие вируса от вакцины на самом деле ничтожно мало).
Как известно, ни один из данных типов антивирусов не обеспечивает стопроцентной защиты компьютера, и их желательно использовать в связке с другими пакетами. Вообще, выбор только одного, «лучшего», антивируса крайне ошибочен.
Теперь о некоторых характеристиках антивирусных пакетов. Первое, на что пользователи обращают внимание, это количество распознаваемых сигнатур — последовательностей символов, однозначно определяющих вирус. Следует отметить, что производители применяют разные системы подсчета сигнатур: если у одних различные версии или близкие по характеристикам версии вирусов считаются за одну сигнатуру, то другие подсчитывают все вариации. Лучшие из пакетов определяют более 10 тысяч вирусов, что несколько меньше общего числа существующих сегодня вредоносных программ. Второй параметр — наличие эвристического анализатора неизвестных вирусов; его присутствие очень полезно, но существенно замедляет время работы программы.
ВИРУСЫ
Создайте структурную схему существующих на сегодняшний день вирусов, используя справочный материал к уроку «Вирусы и средства борьбы с ними»
Дата добавления: 2014-12-15; просмотров: 80 | Поможем написать вашу работу | Нарушение авторских прав |
| <== предыдущая лекция | | | следующая лекция ==> |
| Типы антивирусных программ | | | В дополнение к этой классификации отметим еще несколько отличительных особенностей, характеризующих некоторые файлово-загрузочные вирусы. |