- •Основные функции субд
- •Cистема телеконференций Usenet.
- •3) Наиболее распространенные архитектурные решения
- •4) Графический редактор
- •5) Принципы антивирусных программ. Эвристический анализ
- •1. Метод соответствия определению вирусов в словаре
- •2. Метод обнаружения странного поведения программ
- •3. Метод обнаружения при помощи эмуляции
- •4. Метод «Белого списка»
- •Работа антивируса
- •1). Службы сети Internet: www
- •2).Текстовый редактор
- •3).Системная (материнская) плата
- •4). Векторные редакторы
- •5). Общие сведения о работе с сетью
- •1). Факс
- •2).Свойства информации
- •3)Пакеты прикладных программ
- •4). Блок-схемы
- •5).Протокол tcp/ip
1. Метод соответствия определению вирусов в словаре
В этом случае, когда софт-антивирус проводит анализ выбранных файлов, он подает запрос специальной вирусной базе данных, которую составляет разработчик программы. Дальше все происходит просто - при обнаружении в коде файла участка, похожего на участок вируса в базе, программа может автоматически (или с запросом) выполнить какое-либо из этих действий:
- удаление файла
- запретить пользователю доступ к файлу
- отправить файл в хранилище (или на карантин), которое закроет возможность дальнейшего распространения вируса по компьютеру
- провести лечение файла, удалив код с вирусом из тела файла (если возможно). Иногда для успешного завершения процедуры лечения необходимо перезагрузить компьютер.
Как правило, поставщики программы регулярно обновляют антивирусную базу, чтобы база обновилась и в самой программе, желательно включить автоматическое обновление.
Разумеется, разные разработчики используют разные конструктивные особенности в своих изделиях. Некоторые могут использовать несколько ядер, для более результативного поиска вирусов, а также программ-шпионов.
NuWave Software для примера, использует ресурс сразу пяти ядер (из которых три занимаются поиском вирусов, а оставшиеся два - программ-шпионов)
Чаще всего, чтобы проверить компьютер необходимо запустить проверку, однако, многие современные антивирусники сами проверяют файл, как только пользователь к нему обращается. То есть, если вы скачали файл с неизвестным вирусом, система быстро отыщет его и ликвидирует. Благодаря расширенным настройкам в программе, пользователь сам может выставить, как часто антивирус должен проверять компьютер.
Есть во всем этом и оборотная сторона медали. Разумеется, программы постоянно совершенствуются, модифицируются, разработчики стараются создать более качественный софт, но и создатели вирусов не отстают. Хакеры и просто авторы вирусов стараются обойти защиту, используя слабые места антивирусника, путем создания так называемых "олигоморфических, полиморфических и метаморфических" вирусов. Суть в том, что отдельные части кода, из которых состоит вирус, шифруются таким образом, что программе-антивирусу практически невозможно обнаружить совпадение в коде из вирусной БД.
2. Метод обнаружения странного поведения программ
Те антивирусные программы, которые используют этот принцип, используют в основе своей работы не нахождение уже известных вирусов с помощью БД. Программа учитывает любые подозрительные действия, которые могут выполнять другие файлы или программы, и блокирует эти действия либо просто предупреждает пользователя об этом событии.
Подобные способы обнаружения довольно популярны сейчас, однако применяются не в виде отдельного софта, а как дополнительный модуль антивирусной программы. Такое использование является самым эффективным и позволяет обеспечить самый высокий уровень защиты.
Принцип работы достаточно хорош тем, что позволяет найти вирусы, которые еще неизвестны общественности и соответственно более опасны. Однако, этот плюс является одновременно и минусом - программа не всегда может отличить вирус от обычной уникальной активности. Это может привести к тому, что антивирус заблокируют нужные вам программы (не представляющие при этом никакой опасности) или же просто будет вводить пользователя в заблуждение постоянными предупреждениями об опасности.