Антивірусний захист

Антивірусний захист програмного забезпечення на ПК здійснюють такі програми:

• лікарі (фаги) або сканери - лікують заражені програми або диски “викусуючи” із заражених програм тіло віруса, тобто по можливості відновлюючи програму в тому стані, в якому вона була до зараження вірусом. Сканери бувають універсальні та спеціалізовані, які призначені для виявлення та знешкодження лише певного типу вірусів, наприклад лише макровірусів;

• ревізори або CRC-сканери (checksumers, integrity checkers) – спочатку запам’ятовують стан інформації (розмір, дату і час створення) і системних ділянок дисків, а потім порівнюють його з поточним. При виявленні невідповідностей про це повідомляється користувачу;

• лікарі-ревізори - це гібриди ревізорів і лікарів, тобто програми, які не тільки помічають зміни в файлах і системних ділянках дисків, але й можуть у випадку виявлення змін вилікувати заражені файли;

• фільтри (монітори) або блокувальники - резидентні програми для захисту від вірусів, які поміщаються резидентно в оперативній пам’яті комп’ютера і перехоплюють звернення вірусів до системних ділянках і файлів. Користувач може дозволити або заборонити виконання відповідних операцій;

• поліфаги - це найбільш ефективніша група програм, що поєднують в собі декілька вище приведених типів антивірусів, наприклад, фільтрів, детекторів та лікарів;

• файрволли (FireWoll) або брандмауери - мережеві екрани, які захищають ПК від троянських вірусів, хакерських атак та інших шкідливих мережевих програм. Під час підключення до мережі вони слідкують чи не пробує якась програма на ПК вийти в Internet. Якщо така спроба відбулась, то вона блокується і виводиться повідомлення із запитом дозволу на таку операцію. Корисною функцією брандмауера є те, що він може захистити не лише від троянських вірусів та шкідливих програм, але й від хакерських атак із зовні (з Internet).

Програми-детектори і лікарі (сканери)

У більшості випадків для виявлення вірусу, який вже заразив комп’ютер, можна використати програми-детектори. Ці програми перевіряють, чи є у файлах на вказаному користувачем диску специфічна для даного віруса комбінація байтів. При її виявленні в якому-небудь файлі, на екран виводиться відповідне повідомлення. Багато детекторів мають режим знищення заражених файлів. Знаючи про те, які види файлів заражає даний вірус, можна обмежити перевірку тільки файлами цих типів.

Програми-вакцини, або іммунізатори спеціально модифікують та заражають програми і диски таким чином, щоб це не відображалось на роботі програм та ПК в загальному. Вірус, проти якого виробляється вакцинація, вважає ці програми або диски вже зараженими і тому не заражає їх.

Програми-ревізори (програми для ранньої діагностики віруса) мають дві стадії роботи.

1 стадія. Спочатку вони запам’ятовують повідомлення про стан програм і системних ділянок дисків (завантажувального сектора і сектора з таблицею розбиття жорсткого диску) та розміри і час останньої модифікації всіх файлів на диску. Передбачається, що в цей момент програми і системні ділянки дисків не заражені. Всі ці дані записуються у спеціальні таблиці, а вони - у невидимі захищені файли на цих дисках.

2 стадія. Перевірка системних ділянок та розмірів файлів при наступному завантаженні ревізора та порівняння їх з копіями в таблицях. При виявленні невідповідностей про це повідомляється користувачеві.

Програми-фільтри - резидентні програми для захисту від віруса, що намагається проникнути в пам’ять. Ці програми розташовуються резидентно в оперативній пам’яті комп’ютера і “перехоплюють” ті звернення до операційної системи, які використовуються вірусами, а саме: зміни COM і EXE -файлів; прямий запис на диск (запис за абсолютною адресою); форматування диска; встановлення резидентної програми.