- •Методы и средства защиты от компьютерных вирусов План
- •1. Машинный код
- •2. Система счисления
- •3. Проблема антивирусной защиты компьютерных систем
- •4. Защита от заражения компьютерными вирусами
- •Аппаратные (программно-технические) средства защиты от вирусов
- •5. Принципы работы антивирусных программ
- •6. Защита от известных вирусов
- •7. Сигнатурный анализ. Сканирование
- •7.1. Контрольная сумма
- •7.3. . Использование контрольных сумм для детектирования вирусов
- •8. Основы работы антивирусного сканера
- •1. Поиск вирусов, похожих на известные
- •2. Поиск вирусов, выполняющих подозрительные действия
- •10. Дополнительные средства
- •10.1. Модуль обновления
- •6.2. Модуль планирования
- •10.3. Модуль управления
- •10.4. Карантин
- •11. Виды антивирусных программ
- •11.1. Антивирусные программы: детекторы, доктора
- •11.2. Программы-ревизоры. Обнаружение изменений ( Защита от неизвестных вирусов )
- •11.3. Резидентные мониторы:программы-фильтры, сторожа
- •11.4. Вакцинирование программ
- •12. Проблема выбора антивирусной программы
- •13. Методика использования антивирусных программ
- •14. Защита от проявлений вирусов
- •14.1. Аппаратная защита от вирусов (Встроенные аппаратные средства пк)
- •14.2. Защита, встроенная в bios компьютера
- •12. Характеристика программ антивирусной защиты
- •Программа avp
7.1. Контрольная сумма
Контрольная сумма (хеш- сумма) это некоторое значение, строка, состоящая из цифр и букв фиксированной длины, как правило в шестнадцатеричном коде.
Хеш – это определенный код соответствующий определенной данной единицы информации, уникальный просчитанный математически образ конкретного файла. При малейшем изменении файла сразу изменяется и хеш-сумма этого файла. С помощью такой проверки обеспечивается защита конкретного файла от изменения.
Контрольная сумма, несмотря на свое название, не обязательно вычисляется путем суммирования. Для определения контрольной суммы используются определенные алгоритмы хеширования.
Для того чтобы лучше понять, что такое контрольная сумма файла, образно представим, что имеется множество товаров, упакованных в контейнеры. Чтобы быть уверенными, что при транспортировке товаров ничего не пропало, необходимо их пересчитать. При этом не обязательно пересчитывать все товары. Достаточно сосчитать контейнеры, в которые упакованы эти товары. Количество контейнеров и будет в данном случае контрольной суммой.
Также поступают и с информацией. Не нужно считать каждый бит, достаточно посчитать массивы (чемоданы) в которых хранится информация.
Контрольные суммы необходимо проверять, если скачиваются файлы не с официального сайта разработчика или скачиваются важные файлы, например образ операционной системы. Сравнивая контрольные суммы образа или файла, можно сразу узнать модифицирован этот файл или нет. Если есть ошибка контрольной суммы, контрольная сумма не соответствует требуемой, то это значит, что файл был изменен (возможно, в него был внедрен вирус, или произведены какие-то другие действия).
Контрольные суммы могут применяться для обнаружения вирусов (появился лишний контейнер), в программах архиваторах и для обнаружения ошибок при передаче и хранении данных. Так же контрольная сумма используется для ускорения поиска данных.
Как правило, контрольную сумму указывают на сайте, который предоставляет файл для закачки. После скачивания мы определяем контрольную сумму, того что скачали. Если эти суммы не сойдутся, значит, файл скачан с ошибками.
Анализ контрольных сумм
Анализ контрольных сумм - это способ отслеживания изменений в объектах компьютерной системы.
На основании анализа характера изменений - одновременность, массовость, идентичные изменения длин файлов - можно делать вывод о заражении системы.
Анализаторы контрольных сумм (также используется название ревизоры изменений) как и поведенческие анализаторы не используют в работе дополнительные объекты и выдают вердикт о наличии вируса в системе исключительно методом экспертной оценки.
Подобные технологии применяются в сканерах при доступе:
при первой проверке с файла снимается контрольная сумма и помещается в кэше,
перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.
Небольшая бесплатная программа HashTab, представляет из себя расширение для проводника Windows. Программа позволяет определить контрольную сумму (хеш) файла для проверки подлинности и целостности проверяемого файла. Довольно часто попадаются файлы, в которых оригинальные файлы подменены ложными копиями.
Эти копии могут содержать в себе вредоносные программы. Для того, чтобы предоставить пользователю возможность убедиться в подлинности файла, образа или программы производители рядом со ссылками для скачивания файла приводят его хеш-суммы.
7.2. Технология и расчёт контрольных сумм Контрольная сумма это 32 битное число (очень редко 16 битное), которое характеризует определенный участок кода. Есть множество способов подсчета контрольной суммы. Для лучшего восприятия этого термина рассмотрим пример примитивнейшего подсчета: Пример.
Есть участок кода, состоящий из 5 байт (десятичная система): 001 004 000 005 100 По вышеприведённому подсчету, контрольная сумма его будет равняться 1+4+0+5+100=110. Т.е. просчитав контрольную сумму другого участка, мы получим другое значение. Однако, используя столь простой алгоритм расчета, контрольные суммы совершенно отличающихся участков могут совпадать, для этого используются более продвинутые процедуры подсчета. Комментарии к алгоритму расчета контрольной суммы (crc) отсутствуют потому, что достаточно понимать смысл подсчета «crc», стандарта подсчета не существует.