2.5 Методики антивірусних програм

Існує кілька основних методів пошуку вірусів, які застосовуються антивірусними програмами:

• Сканування

• Евристичний аналіз

• Виявлення змін

• Резидентні монітори

Антивірусні програми можуть реалізовувати всі перераховані вище методики, або тільки деякі з них.

Сканування

Сканування є найбільш традиційним методом пошуку вірусів. Воно полягає в пошуку сигнатур, виділених з раніше виявлених вірусів. Антивірусні програми-сканери, здатні видалити виявлені віруси, зазвичай називаються полифагами.

Недоліком простих сканерів є їх нездатність виявити поліморфні віруси, що повністю міняють свій код. Для цього необхідно використовувати більш складні алгоритми пошуку, що включають евристичний аналіз перевірених програм.

Крім того, сканери можуть виявити тільки вже відомі і попередньо вивчені віруси, для яких була визначена сигнатура. Тому програми-сканери не захистять ваш комп'ютер від проникнення нових вірусів, яких, до речі, з'являється по кілька штук на день. Як результат, сканери застарівають вже в момент виходу нової версії.

Евристичний аналіз

Евристичний аналіз найчастіше використовується спільно з скануванням для пошуку вірусів. У більшості випадків евристичний аналіз дозволяє також виявляти й раніше невідомі віруси. У цьому випадку, швидше за все їхнє лікування буде неможливо.

Якщо евристичний аналізатор повідомляє, що файл або завантажувальний сектор, можливо, заражений вірусом, ви повинні поставитися до цього з великою увагою. Необхідно додатково перевірити такі файли за допомогою самих останніх версій антивірусних програм сканерів або передати їх для дослідження авторам антивірусних програм.

Виявлення змін

Заражаючи комп'ютер, вірус робить зміни на жорсткому диску: дописує свій код заражає файл, змінює системні області диска і т. д. На виявленні таких змін грунтуються робота антивірусних програм-ревізорів.

Антивірусні програми-ревізори запам'ятовують характеристики всіх областей диска, які можуть піддадуться нападу вірусу, а потім періодично перевіряють їх. У разі виявлення змін, видається повідомлення про те, що можливо на комп'ютер напав вірус.

Слід враховувати, що не всі зміни викликані вторгненням вірусів. Так, завантажувальний запис може зміниться при оновленні версії операційної системи, а деякі програми записують всередині свогоздійсненного файлу даних.

Резидентні монітори

Антивірусні програми, постійно знаходяться в оперативній пам'яті комп'ютера і відслідковують всі підозрілі дії, виконувані іншими програмами, носять назву резидентних моніторів або сторожів. На жаль, резидентні монітори мають дуже багато недоліків, які роблять цей клас програм малопридатними для використання. Вони дратують користувачів великою кількістю повідомлень, по більшій частині не мають відношення до вірусного зараження, в результаті чого їх відключають.

2.6 Короткий огляд антивірусних програм

При виборі антивірусної програми необхідно враховувати не тільки відсоток виявлення вірусів, але і здатність виявляти нові віруси, кількість вірусів у антивірусної базі, частоту її оновлення, наявність додаткових функцій.

В даний час серйозний антивірус повинен вміти розпізнавати не менше 25000 вірусів. Це не означає, що всі вони знаходяться "на волі". Насправді більшість з них або вже припинили своє існування або перебувають у лабораторіях і не поширюються. Реально можна зустріти 200-300 вірусів, а небезпеку представляють лише кілька десятків з них.

Існує безліч антивірусних програм. Розглянемо найбільш відомі з них.

AVSP

(Anti-Virus Software Protection)

Цікавим програмним продуктом є антивірус AVSP. Ця програма поєднує в собі і детектор, і доктор, і ревізор, і навіть має деякі функції резидентного фільтра (заборона запису у файли з атрибутом READ ONLY). Антивірус може лікувати як відомі, так і невідомі віруси, причому про спосіб лікування останніх програмі може повідомити сам користувач. До того ж AVSP може лікувати і Stealth-віруси (невидимки).

При запуску AVSP з'являється система вікон з меню та інформація про стан програми. Дуже зручна контекстна система підказок, яка дає пояснення до кожного пункту меню. Вона викликається класично, клавішею F1, і змінюється при переході від пункту до пункту. Так само не маловажним гідністю в наше століття Windows-ів і "півосей" (OS / 2) є підтримка миші. Істотний недолік інтерфейсу AVSP - відсутність можливості вибору пунктів меню натисканням клавіші з відповідною літерою, хоча це дещо компенсується можливістю вибрати пункт, натиснувши ALT і цифру, що відповідає номеру цього пункту.

До складу пакету AVSP входить також резидентний драйвер AVSP.SYS, який дозволяє виявляти більшість невидимих вірусів (крім вірусів типу Ghost-1963 або DIR), дезактивувати віруси на час своєї роботи, а також забороняє змінювати READ ONLY файли.

Ще одна функція AVSP.SYS - відключення на час роботи AVSP.EXE резидентних вірусів, правда разом з вірусами драйвер відключає і деякі інші резидентні програми. При першому запуску AVSP слід протестувати систему на наявність відомих вірусів. При цьому перевіряється оперативна пам'ять, BOOT-сектор і файли. У ряді випадків можна відновлювати навіть файли, зіпсовані невідомим вірусом. Можна встановити перевірку розмірів файлів, їх контрольних сум, наявність в них вірусів, або все це разом. Так само можна вказати, що саме перевіряти (Boot-сектор, пам'ять, або файли). Як і в більшості антивірусних програм, тут користувачеві надається можливість вибрати між швидкістю і якістю. Суть швидкісної перевірки полягає в тому, що проглядається не весь файл, а тільки його початок; при цьому вдається виявити більшість вірусів. Якщо ж вірус пишеться в середину, або файл заражений декількома вірусами (при цьому "старі" віруси як би відтісняються в середину "молодим") то програма його і не помітить. Тому слід встановити оптимізацію за якістю, тим більше що в AVSP якісне тестування займає не набагато більше часу, ніж швидкісне.

При автоматичному визначенні нових вірусів AVSP може допустити безліч помилок. Так що при автоматичному визначенні шаблону слід не полінуватися перевірити, чи дійсно це вірус і чи не буде цей шаблон зустрічатися в здорових програмах.

Якщо в процесі AVSP виявить відомий вірус, то слід зробити ті ж дії, як і при роботі з Dr.Web: скопіювати файл на диск, перезавантажитися з резервної дискети і запустити AVSP. Бажано також, щоб при цьому в пам'ять був завантажений драйвер AVSP.SYS, так як він допомагає основній програмі лікувати Stealth-віруси.

Ще однією корисною функцією є вбудований дізассемблер З його допомогою можна розібратися, чи є в файлі вірус або під час перевірки диска сталося помилкове спрацьовування AVSP. Крім того, можна спробувати з'ясувати спосіб зараження, принцип дії вірусу, а також місце, куди він "сховав" заміщені байти файлу (якщо ми маємо справу з таким типом вірусу). Все це дозволить написати процедуру видалення вірусу і відновити зіпсовані файли. Ще одна корисна функція – видача наочної карти змін. Карта змін дозволяє оцінити, чи відповідають ці зміни вірусу чи ні, а також звузити область пошуку тіла вірусу при дизасемблюванні.

У програмі AVSP є два алгоритми нейтралізації стелс-вірусів ("невидимок") і обидва вони працюють лише за наявності активного вірусу в пам'яті. Ось, що відбувається при реалізації цих алгоритмів: всі файли копіюються у файли даних, а потім стираються. Рятуються тільки файли з атрибутом SYSTEM. У Adinf процес видалення Stealth-ів реалізований набагато простіше.

Програма AVSP контролює також і стан завантажувальних секторів. Якщо заражений BOOT-сектор на дискеті і антивірус не може його вилікувати, то слід стерти завантажувальний код. Дискета при цьому стане несистемною, але дані при цьому не загубляться. З вінчестером так чинити не можна. При виявленні змін в одному з BOOT-секторів жорсткого диска AVSP запропонує його зберегти в деякому файлі, а потім спробує видалити вірус.

AVP

(AntiViral Toolkit Pro)

Дана програма була створена ЗАТ «Лабораторія Касперського». AVP володіє одним з самих досконалих механізмів виявлення вірусів. Сьогодні AVP практично ні в чому не поступається західним аналогам.

AVP надає користувачам максимум сервісу - можливість оновлення антивірусних баз через Інтернет, можливість завдання параметрів автоматичного сканування і лікування заражених файлів. Оновлення на сайті AVP з'являються практично щотижня, а база даних включає описи вже майже 40 тисяч вірусів.

AVP складається з декількох важливих модулів:

1) AVP сканер перевіряє жорсткі диски на предмет зараження вірусами. Можна задати повний пошук, при якому програма буде перевіряти всі файли поспіль, а також задати режим перевірки файлів, що архівуються. Одне з головних переваг AVP - боротьба з макровирусами. Користувач може вибрати спеціальний режим, при якому будуть перевірятися документи, створені у форматі Microsoft Office. Після виявлення вірусів або заражених файлів, AVP пропонує на вибір кілька варіантів: видалити віруси з файлів, видалити самі заражені файли або перемістити їх у спеціальну папку.

2) AVP Monitor. Ця програма автоматично завантажується при запуску Windows. AVP Monitor автоматично перевіряє всі запускаються на комп'ютері файли і відкриваються документи і у разі вірусної атаки сигналізує про це користувачеві. Більш того, в більшості випадків AVP Monitor просто не дає зараженому файлу запуститися, блокуючи процес його виконання. Ця функція програми дуже корисна для тих, хто постійно має справу з безліччю нових файлів, наприклад, для активних користувачів Інтернет (тому що кожні п'ять хвилин запускати AVP для перевірки завантажених файлів неможливо, то тут на допомогу приходить AVP Monitor).

3) AVP Inspector - останній і дуже важливий модуль комплекту AVP, що дозволяє відловлювати навіть невідомі віруси. «Інспектор» використовує метод контролю зміни розміру файлів. Упроваджуючи в файл, вірус неминуче збільшує його об'єм, і «інспектор» легко його виявляє.

Крім усього перерахованого існує так званий Центр Управління AVP - «Пульт управління» всіма програмами комплексу AVP. Найважливіша функція цієї програми - вбудований Планувальник Завдань, що дозволяє здійснювати оперативну перевірку (а якщо знадобиться - і лікування системи) в автоматичному режимі, без участі користувача, але в заданий їм час.