- •Компьютерные вирусы как вид информационно-программного оружия
- •Общее описание компьютерных вирусов
- •Видовая классификация компьютерных вирусов
- •Методы и средства антивирусной защиты
- •Невосприимчивость к заражению вирусами
- •Защита от вирусов в статике процессов
- •Защита от вирусов в динамике процессов
- •Организационно-правовые меры
Защита от вирусов в статике процессов
Относящиеся к данному виду антивирусной защиты комплексы программ предназначены для обнаружения вирусов в программных продуктах и отдельных программах.
Они используются:
перед тем, как программы впервые внедряются в компьютерные системы;
для тестирования самой компьютерной среды на наличие вирусов перед её функциональной активизацией;
в случае возникновения нештатных ситуаций, подозрительных с точки зрения возможного заражения.
Их запуск осуществляется по инициативе пользователя или администратора безопасности.
|
Задача обнаружения заражения вирусами – наиболее важная проблема в антивирусной борьбе. В общем случае она решается двумя способами:
|
Основные виды антивирусных программ.
Программы-ревизоры.
Контроль изменений с помощью этих программ осуществляется так же, как и в программах-вакцинах. Отличие заключается в том, что характеристики исполняемых файлов запоминаются в отдельном файле. Сами программы являются самостоятельными, и именно они относятся к группе программ-ревизоров.
Программы этой группы основаны на процедуре сравнения контрольной эталонной информации о файлах, загрузочных секторах дисков (например, контрольных сумм кодов или других контрольных параметров) с текущим состоянием системы, которое оценивается по тем же параметрам.
Цель выполнения этой процедуры:
обнаружение изменений, производимых вирусами;
локализация заражённых программ и компонентов системы.
Программа-ревизор сначала сохраняет контрольные суммы (параметры) контролируемых файлов и секторов, а впоследствии проверяет соответствие эталонных и текущих значений контрольных сумм (параметров).
|
Программы-ревизоры обладают теми же недостатками, что и программы-вакцины: не обнаруживают заражение, если оно произошло до установки средств контроля. |
Программы детекторы и фаги.
Эта группа программ использует другой метод обнаружения вирусов.
|
Обнаружение осуществляется путём поиска конкретных признаков присутствия вирусов и является стандартной задачей поиска соответствующей заражённому состоянию строки байтов (символов) или битов (кодов).
|
Для обнаружения могут использоваться стандартные средства или специализированные программы.
Программы-детекторы определяют наличие вирусов в оперативной памяти, файлах и загрузочных секторах. При этом удаления вирусов не выполняется.
Средства осуществляют сканирование памяти компьютера, файлов на дисках, загруженных секторов дисков с целью обнаружения известных антивирусной программе типов вирусов. Поиск и обнаружение осуществляются путём проверки кода программы или признаков вирусов.
Важнейшим требованием к этим программам является оперативность добавления характеристик (поисковых параметров) новых типов вирусов в очередные версии программы для обеспечения наиболее полной эффективности обнаружения. Именно поэтому разработчики антивирусных комплексов, как правило, сопровождают свои программные продукты, и при их поставке пользователям или обновлении постоянно обновляют арсенал контролируемых вирусов в обновлённых версиях.
Перспективными представляются адаптивные и самообучающиеся средства, автоматически расширяющие список вирусов, которым они противостоят. К ним, в первую очередь, относятся средства, содержащие постоянно пополняемые базы вирусов. Наиболее привлекательной выглядит идея создания самообучающейся системы, которая при встрече с неизвестным ей вирусом автоматически анализирует его и добавляет в свой контролируемый арсенал.
Программы-фаги (доктора) отличаются от программ-детекторов только тем, что кроме обнаружения вирусов и их локализации они обладают свойствами восстановления дисков и программ (если это возможно) и удаления вирусов.