3. Программы - ревизоры.
Программы-ревизоры первоначально запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, параметры всех контролируемых файлов (иногда только контрольную сумму файлов), информацию о структуре каталогов, номера плохих кластеров диска, иногда - объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры и многое другое.
Для определения наличия вируса в системе программы-ревизоры проверяют созданные ими образы и производят сравнение с текущим состоянием. Если обнаружено изменение - вполне вероятно, что эти изменения произведены вирусом.
Ревизоры могут обнаружить любые вирусы, даже ранее неизвестные. Но для этого необходимо “поставить на учет” заведомо чистые от вирусов возможные объекты нападения. Кроме этого, ревизор не обнаружит вирус, который попал с новым зараженным уже файлом, так как он “не знает” параметров этого файла до заражения вирусом. Не сможет ревизор обнаружить вирус, заражающий файлы только при копировании, опять же не имея возможности сравнить параметры файлов. Ревизоры неэффективно использовать для обнаружения вирусов в файлах документов, так как эти файлы очень часто изменяются. Кроме того, следует учитывать, что ревизоры только обнаруживают изменения, но не все изменения связаны с внедрением вируса.
В этих случаях у ревизоров один общий недостаток с программами-мониторами: пользователь должен хорошо разбираться во всех таких случаях и сам принимать решения - является ли изменение результатом действия вируса или нет. То есть программы-ревизоры не предназначены для рядового пользователя.
Правда, в последнее время ревизоры дополняются базами сигнатур вирусов, и при подозрении на вирус ревизор тут же осуществляет сканирование в поисках вирусов. Такие ревизоры уже более пригодны для использования рядовыми пользователями.
Простейшая программа-ревизор Microsoft Anti-Virus (MSAV) входит в состав операционной системы MS-DOS. Более известна программа-ревизор Advanced Dikinfoscope (Adinf), созданная Дмитрием Юрьевичем Мостовым. Эта программа, кроме выявления новых вирусов, способна обнаруживать еще и Stelth-вирусы.
4. Перспективные средства защиты.
К перспективным средствам защиты стоит отнести адаптивные, самообучающиеся и интеллектуальные средства.
Адаптивные средства развиваются уже сейчас. Это средства, которые содержат постоянно пополняемые базы вирусов.
Самообучающееся средство должно при обнаружении неизвестного ему вируса автоматически его проанализировать и добавить к списку вирусов, с которыми может успешно бороться.
Интеллектуальные средства защиты основаны на определении алгоритма и спецификации программы по ее коду, и, следовательно, возможности выявления программ, осуществляющих несанкционированные действия. Известны попытки создания интеллектуальных программ-мониторов, которые пытаются различать ложные тревоги, но пока, к сожалению, это приводит к снижению их надежности.
Как показывает теория и подтверждает практика, создание универсальных средств, которые способны противостоять абсолютно всем вирусам, невозможно.
Практически известно, что для любого вируса можно создать антивирус, но не для любого антивируса можно создать вирус, обходящий его. Теоретически это подтвердил Л. Адлеман 1[1] (кстати, учитель известного Фредерика Коэна). Он доказал, что множество всех вирусов неперечислимо. Но это означает только то, что невозможно создать программу, однозначно решающую, есть ли в предъявленном ей файле вирус или нет. Решение проблемы вирусов - в создании сред, делающих существование вирусов невозможным.