Программы обнаружения и защиты от вирусов

В основе работы любой антивирусной программы лежат одни и те же методы распознавания вредоносных объектов. В их числе различные варианты сканирования и мониторинга.

Прямое сканирование.

Этот метод предполагает прямой поиск в оперативной памяти и на винчестере известных последовательностей кода вируса (сигнатур). Для этого разработчики тщательно следят за появлением новых вирусов и вносят их сигнатуры в пользовательские программы путем регулярных обновлений. Метод очень надежен и практически не дает ложных срабатываний. Основной его недостаток — невозможность отыскать вирусы, еще не попавшие в пакеты обновлений, и полиморфные объекты, код которых изменяется при каждом запуске.

Эвристическое сканирование.

Достоинство этого метода — использование при проверке файлов не принципа поиска сигнатур, а комплексного анализа, включая оценку возможного поведения подозрительного объекта. Однако из-за того, что при эвристическом сканировании ищутся не вредоносные объекты как таковые, а объекты, похожие на них, возможны ложные срабатывания. Зато таким путем можно определить легко видоизменяющиеся и неизвестные вирусы.

Мониторинг изменений.

Один из самых заслуженных методов, отслеживающий изменение параметров (размера, даты и пр.) объектов на винчестере. Требует предварительного сбора информации о “здоровой системе”. Снижает быстродействие компьютера. Ложные срабатывания неизбежны.

Мониторинг поведения.

Этот метод способен “поймать” неизвестный или полиморфный вирус “на лету”, определив его по вредоносным действиям. Отрицательные черты: ложные срабатывания и повышенные требования к ресурсам компьютера.

После обнаружения зараженного файла антивирусное ПО, как правило, предлагает пользователю “вылечить” его, переименовать, переместить в специальную карантинную папку или удалить. Все эти действия можно производить автоматически, но в этом случае ущерб от ложных срабатываний может превысить потери от вирусной атаки.

Современные комплексные программы используют сочетания различных методов обнаружения и защиты. Часто в дистрибутив антивирусного пакета сканеры и мониторы входят отдельными утилитами.

! Антивирусная программа - это компьютерная программа, целью которой является обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы. Многие антивирусные программы позволяют не только обнаруживать, но и препятствуют несанкционированному проникновению вредоносных программ в компьютер.

На сегодняшний день не существует официальной классификации антивирусных средств защиты компьютеров, однако их можно разделить на пять основных функциональных групп:

1. Классический антивирус

2. Антишпион (antispyware) - антивирусная программа, предназначенная для обнаружения и удаления шпионского программного обеспечения (spyware) с компьютера пользователя. Сегодня антишпионы в чистом виде практически не используются. Как правило, они включаются в состав антивирусов или комплексных средств защиты компьютеров и имеют дополнительные функции позволяющие удалять агрессивную рекламу (add-aware), номеронабиратели (scumware), кейлоггеры (keylogger) и другие вредоносные программы.

3. Онлайн сканер - антивирусное средство для обнаружения и удаления вирусов из файловой системы персонального компьютера, подключенного к сети интернет. Основным преимуществом онлайн сканеров является отсутствие необходимости инсталляции приложения. К недостаткам можно отнести тот факт, что сканер только обнаруживает вирусы, которые уже проникли систему и не способен защитить компьютер от будущего заражения

4. Сетевой экран (firewall или брадмауэр) - это программа, обеспечивающая безопасную работу компьютера в локальных сетях и интернете, которая позволяет блокировать нежелательный сетевой трафик, а также обеспечивает невидимость компьютера в сети, с целью предотвращения кибер атак. Актуальность использования этого эффективного средства безопасности растет по мере лавинообразно нарастающего объёма и скорости создания вирусов и других вредоносных программ.

5. Комплексная защита - это комплекс антивирусных программных средств, представляемый, как правило, под названием "Internet Security" и включающий в себя все перечисленные выше средства защиты компьютера плюс дополнительные функциональные компоненты, такие как родительский контроль, защита от спама и многое другое.

! В популярной интернет энциклопедии – «ВикипедиЯ» приводится классификация антивирусных программ в зависимости от их принципа действия, которую предложил Евгений Валентинович Касперский:

1. Сканеры (устаревший вариант «доктора» или «полифаги»). Принцип работы основан на проверке файлов загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых вирусов и их лечении.

Они не только находят зараженные вирусами файлы, Но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы сканеры ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Сканеры предназначены для поиска и уничтожения большого количества вирусов.

2. Ревизоры. Запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений.

Они относятся к надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом.

3. Мониторы (устаревший вариант сторожа или фильтры). Отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.

Эти программы предназначены для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

1. попытки коррекции файлов с расширением COM и EXE;

2. изменение атрибутов файлов;

3. прямая запись на диск по абсолютному адресу;

4. запись в загрузочные сектора диска;

5. загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия монитор посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-мониторы весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

4. Вакцины (устаревший вариант иммунизаторы). Изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл заражённым.

Эти программы, предотвращают заражение файлов. Вакцины применяют, если отсутствуют программы-сканеры «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В современных условиях, когда количество возможных вирусов измеряется десятками тысяч, этот подход неприменим.

Рис. 2. Виды антивирусных программ