- •Методы и средства защиты от компьютерных вирусов План
- •1. Машинный код
- •2. Система счисления
- •3. Проблема антивирусной защиты компьютерных систем
- •4. Защита от заражения компьютерными вирусами
- •Аппаратные (программно-технические) средства защиты от вирусов
- •5. Принципы работы антивирусных программ
- •6. Защита от известных вирусов
- •7. Сигнатурный анализ. Сканирование
- •7.1. Контрольная сумма
- •7.3. . Использование контрольных сумм для детектирования вирусов
- •8. Основы работы антивирусного сканера
- •1. Поиск вирусов, похожих на известные
- •2. Поиск вирусов, выполняющих подозрительные действия
- •10. Дополнительные средства
- •10.1. Модуль обновления
- •6.2. Модуль планирования
- •10.3. Модуль управления
- •10.4. Карантин
- •11. Виды антивирусных программ
- •11.1. Антивирусные программы: детекторы, доктора
- •11.2. Программы-ревизоры. Обнаружение изменений ( Защита от неизвестных вирусов )
- •11.3. Резидентные мониторы:программы-фильтры, сторожа
- •11.4. Вакцинирование программ
- •12. Проблема выбора антивирусной программы
- •13. Методика использования антивирусных программ
- •14. Защита от проявлений вирусов
- •14.1. Аппаратная защита от вирусов (Встроенные аппаратные средства пк)
- •14.2. Защита, встроенная в bios компьютера
- •12. Характеристика программ антивирусной защиты
- •Программа avp
11.3. Резидентные мониторы:программы-фильтры, сторожа
Существует класс антивирусных программ, которые постоянно находятся в оперативной памяти компьютера, и отслеживают все подозрительные действия, выполняемые другими программами.
Такие программы носят название фильтров, резидентных мониторов или сторожей.
Программы-фильтры, называемые также резидентными сторожами и резидентными мониторами, постоянно находятся в оперативной памяти и перехватывают заданные прерывания с целью контроля подозрительных действий. При этом они могут блокировать «опасные» действия или выдавать запрос пользователю.
Действия, подлежащие контролю, могут быть следующими:
модификация главной загрузочной записи (MBR) и загрузочных записей логических дисков и ГМД,
запись по абсолютному адресу,
низкоуровневое форматирование диска,
оставление в оперативной памяти резидентного модуля и др.
Как и ревизоры, фильтры часто являются «навязчивыми» и создают определенные неудобства в работе пользователя.
Резидентный монитор сообщит пользователю, если какая-либо программа пытается:
изменить загрузочный сектор жесткого диска или дискеты, выполнимый файл;
оставить в оперативной памяти резидентный модуль и т. д.
Резидентные мониторы контролируют следующие операции:
запись, обновление программных файлов и системной области дисков;
форматирование диска;
резидентное размещение программ в ОЗУ.
При этом выводится запрос о разрешении или запрещении данного действия.
Принцип работы этих программ основан на перехвате соответствующих векторов прерываний.
Большинство резидентных мониторов позволяют автоматически проверять все запускаемые программы на заражение известными вирусами, т.е. выполняют функции сканера. Такая проверка будет занимать некоторое время и процесс загрузки программы замедлится, но зато вы будете уверены, что известные вирусы не смогут активизироваться на вашем компьютере.
К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды.
Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода.
Однако, программы-фильтры не могут отслеживать:
вирусы, обращающиеся непосредственно к BIOS,
а также BOOT-вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки DOS.
В тоже время, резидентные мониторы имеют очень много недостатков, которые делают этот класс программ малопригодными для использования.
Многие программы, даже не содержащие вирусов, могут выполнять действия, на которые реагируют резидентные мониторы.
Например, обычная команда LABEL изменяет данные в загрузочном секторе и вызывает срабатывание монитора.
Поэтому работа пользователя будет постоянно прерываться раздражающими сообщениями антивируса. Кроме того, пользователь должен будет каждый раз решать, вызвано ли это срабатывание вирусом или нет. Как показывает практика, рано или поздно пользователь отключает резидентный монитор.
Недостатком резидентных мониторов также является то, что они должны быть постоянно загружены в оперативную память и, следовательно, уменьшают объем памяти, доступной другим программам.
В составе операционной системы MS-DOS уже есть резидентный антивирусный монитор VSafe.
При установке некоторых резидентных антивирусов-мониторов могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.