- •Лабораторна робота № 2
- •4.1 Поняття про архівацію та стиснення
- •4.2 Робота з архівами за допомогою програми-архіватора WinRar
- •4.3 Поняття комп’ютерного вірусу та антивірусної програми
- •Класифікація вірусів
- •4.3 Методи виявлення вірусів
- •4.4 Класифікація антивірусних програм
- •4.5 Ознаки зараження пк вірусом та способи захисту від них
- •5 Хід роботи:
- •6 Контрольні запитання:
4.4 Класифікація антивірусних програм
Незважаючи на те, що загальні засоби захисту інформації дуже важливі для захисту від вірусів, все-таки їх недостатньо. Необхідно й застосування спеціалізованих програм для захисту від вірусів. Ці програми можна розділити на кілька видів: детектори, доктори (фаги), ревізори, доктори-ревізори, фільтри й вакцини (імунізатори).
ПРОГРАМИ-ДЕТЕКТОРИ дозволяють виявляти файли, заражені одним з декількох відомих вірусів. Ці програми перевіряють, чи є у файлах на зазначеному користувачем диску специфічна для даного вірусу комбінація байтів. При її виявленні в якому-небудь файлі на екран виводиться відповідне повідомлення.
Багато детекторів мають режими лікування або знищення заражених файлів.
Варто підкреслити, що програми-детектори можуть виявляти тільки ті віруси, які їй “відомі”.
Більшість програм-детекторів мають функцію “доктора”, тобто вони намагаються повернути заражені файли або області диска в їхній вихідний стан. Ті файли, які не вдалося відновити, як правило, робляться непрацездатними або видаляються.
Більшість програм-докторів уміють “лікувати” тільки від деякого фіксованого набору вірусів, тому вони швидко застарівають. Але деякі програми можуть навчатися не тільки способам виявлення, але й способам лікування нових вірусів.
РЕВІЗОРИ мають дві стадії роботи. Спочатку вони запам’ятовують відомості про стан програм і системних областей дисків (завантажувального сектора й сектора з таблицею розбивки жорсткого диска). Передбачається, що в цей момент програми й системні області дисків не заражені. Після цього за допомогою програми-ревізора можна в будь-який момент зрівняти стан програм і системних областей дисків з вихідним. Про виявлені невідповідності повідомляється користувачеві.
Щоб перевірка стану програм і дисків проходила при кожнім завантаженні операційної системи, необхідно включити команду запуску програми-ревізора в командний файл AUTOEXEC. BAT. Це дозволяє виявити зараження комп’ютерним вірусом, коли він ще не встиг нанести великої шкоди. Більше того, та ж програма-ревізор зможе знайти ушкоджені вірусом файли.
Багато програм-ревізорів є досить “інтелектуальними” - вони можуть відрізняти зміни у файлах, викликані, наприклад, переходом до нової версії програми, від змін, внесених вірусом, і не піднімають фіктивної тривоги. Справа в тому, що віруси звичайно змінюють файли досить специфічним образом і роблять однакові зміни в різних програмних файлах. Зрозуміло, що в нормальній ситуації такі зміни практично ніколи не зустрічаються, тому програма-ревізор, зафіксувавши факт таких змін, може із упевненістю повідомити, що вони викликані саме вірусом.
Варто помітити, що багато програм-ревізорів не вміють виявляти зараження “невидимими” вірусами, якщо такий вірус активний у пам’яті комп’ютера.
Для перевірки того, чи не змінився файл, деякі програми-ревізори перевіряють довжину файлу. Але ця перевірка недостатня деякі віруси не змінюють довжину заражених файлів. Більш надійна перевірка прочитати весь файл й запам’ятати його контрольну суму. Змінити файл так, щоб його контрольна сума залишилася колишньою, практично неможливо.
Останнім часом з’явилися дуже корисні гібриди ревізорів і докторів, тобто ДОКТОРИ-РЕВІЗОРИ, - програми, які не тільки виявляють зміни у файлах і системних областях дисків, але й можуть у випадку змін автоматично повернути їх у вихідний стан. Такі програми можуть бути набагато більше універсальними, чим доктори, оскільки при лікуванні вони використають заздалегідь збережену інформацію про стан файлів й областей дисків. Це дозволяє їм виліковувати файли навіть від тих вірусів, які не були створені на момент написання програми.
Але вони можуть лікувати не від всіх вірусів, а тільки від тих, які використають “стандартні”, відомі на момент написання програми, механізми зараження файлів.
Існують також ПРОГРАМИ-ФІЛЬТРИ, які розташовуються резидентно в оперативній пам’яті комп’ютера й перехоплюють ті звертання до операційної системи, які використаються вірусами для розмноження й нанесення шкоди, і повідомляють про їх користувача. Користувач може дозволити або заборонити виконання відповідної операції.
Деякі програми-фільтри не “ловлять” підозрілі дії, а перевіряють викликувані на виконання програми на наявність вірусів. Це викликає вповільнення роботи комп’ютера.
Однак переваги використання програм-фільтрів досить значні - вони дозволяють виявити багато вірусів на самій ранній стадії, коли вірус ще не встиг розмножитися й що-небудь зіпсувати. Тим самим можна звести збитки від вірусу до мінімуму.
ПРОГРАМИ-ВАКЦИНИ, або ІМУНІЗАТОРИ, модифікують програми й диски таким чином, що це не відбивається на роботі програм, але той вірус, від якого виробляється вакцинація, вважає ці програми або диски вже зараженими. Ці програми вкрай неефективні.
Існує достатньо багато програмних засобів антивірусного захисту. Сучасні антивірусні програми складаються з модулів:
Евристичний модуль – для виявлення невідомих вірусів;
Монітор – програма, яка постійно знаходиться в оперативній пам’яті ПК;
Пристрій управління, що здійснює запуск антивірусних програм і оновлення вірусної бази даних і компонентів;
Поштова програма (перевіряє електронну пошту);
Програма сканер – перевіряє, виявляє і видаляє фіксований набір відомих вірусів в пам’яті, файлах і системних областях дисків;
Мережевий екран – захист від атак хакерів.