Классификация средств защиты от вирусов

Пользователь ПК должен быть к тому, что завтра его программ и файлов на диске не окажется. Поэтому он должен иметь необходимый минимум средств защиты. Эти средства следующие:

1. Архивирование – это основной метод защиты от вирусов. Архивирование заключается в сжатии файлов с помощью программ-архиваторов. Для резервирования системных областей имеются служебные программы-утилиты, входящие в пакеты MS DOS, PC SHELL, NU.

2. Сегментация – разбиение диска на разделы с атрибутом READ ONLY. Использование для хранения ценной информации разделов, отличных от C или D.

3. Ревизия – ежедневный контроль целостности исполняемых файлов и системных блоков с помощью Adinf или аналогичного ревизора.

4. Входной контроль – проверка поступающих программ рядом детекторов и фагов, проверка соответствия длины и контрольных сумм приведенным в документации.

5. Профилактика – систематическое использование vformat для разметки дискет; вакцинирование поступающих дискет; защита дискет от записи.

6. Карантин – каждая новая программа, полученная без контрольных сумм, должна проверяться на наличие вирусов, и в течение некоторого времени за ней должно бать организовано наблюдение в специальном разделе для хранения вновь поступивших программ.

7. Фильтрация – применение программ-сторожей для обнаружения попыток выполнить несанкционированные действия.

8. Терапия – проверка дискет и винчестера на вирусы и лечение зараженных программ.

Основной принцип, лежащий в основе разработки технологии защиты от вирусов состоит в создании многоуровневой системы защиты. Например, может использоваться схема:

1. архивирование по схеме неделя-месяц-год;

2. сплошной входной контроль новых программных средств;

3. предварительная вакцинация;

4. сегментация информации на винчестере;

5. систематическое использование ревизоров.

Архивация

В настоящее время почти каждый пользователь ПК постоянно работает с программами-упаковщиками (архиваторами). Это вызвано несколькими обстоятельствами:

1. Упакованные архиватором программы занимают в среднем от20 до 90 процентов своего первоначального объема.

2. Архиватор объединяет группу программ под одним архивным именем, что позволяет избежать потери каких-то файлов при переписывании больших программных пакетов и групп файлов.

3. Архиватор может обновлять в архиве только те файлы, которые изменялись со времени их последнего занесения в архив. Т.е. программа-упаковщик сама следит за изменениями, внесенными пользователем в архив.

4. Большинство архиваторов может сохранять в архиве имена директорий вместе с именами файлов, что позволяет пользователю упаковывать весь жесткий диск в один файл и восстанавливать затем на диске полную структуру директорий и файлов.

5. Многие архиваторы имеют развитые возможности для написания комментариев к архиву и файлам в архиве.

6. Пользователь, как правило, имеет возможность создавать саморазархивируемые архивы, которые для извлечения файлов не требуют наличия самого архиватора.

Одной из первых программ-упаковщиков был созданный в 1985 году фирмой SYSTEM ACCOCIATES архиватор с названием ARC.

Летом 1989 года фирмой PKWARE был выпущен пакет, состоящий из архиватора PKZIP и разархиватора PKUNZIP, опубликовав при этом сам метод архивации. Этот пакет обладал массой дополнительных возможностей по работе с архивами, паковал очень эффективно и с большой скоростью, поэтому сейчас он является наиболее распространенным.

В конце 80-х годов существовал еще один архиватор, созданный фирмой ZOO. Он назывался ZOO и создавал файлы с расширением ZOO.

В 1988 году появился новый формат LZH и программа LHARC.COM, которая обеспечивала очень высокую плотность сжатия, но работала более медленно по сравнению с другими архиваторами.

В 1990 году появилась программа ARJ, которая предлагала сразу 5 методов архивации и огромное количество вспомогательного сервиса.

В настоящее время существуют программы (оболочки архиваторов), позволяющие в удобной форме работать с различными архивными файлами. В них, как правило, реализуются следующие функции: просмотр информации о файлах в архиве, сортировка файлов в архиве, вывод содержимого файла на экран, удаление файлов в архиве, разархивация файла в выбранную директорию, проверка места на диске для разархивации и т.д. Примеры: NARC, SHEZ, ARC-MANAGER, ARCVIEW.

Существует также группа архиваторов (PKLITE), упаковывающие выполняемые модули (COM, EXE), которые затем автоматически разархивируются в память при запуске.

И, наконец, резидентные архиваторы (STACKER, SSTOP), которые сжимают сразу весь диск и производят автоматическую архивацию/разархивацию при любых операциях записи/чтения. Логический объем диска при этом увеличивается в 1,3–1,7 раза.

Основные показатели качества архиваторов:

1. время архивации (упаковки);

2. время разархивации (распаковки);

3. коэффициент сжатия информации;

4. удобство использования.

После распаковки одного или нескольких файлов образуется архивный файл. Этот файл содержит упакованные данные, оглавление архива и контрольный код для проверки целостности архива.

Наиболее популярные архиваторы:

PKZIP, LHA, ZOO, ARJ, RAR.

Архиваторы выполняют следующие операции:

1. сжатие файлов в архив;

2. извлечение файлов из архива;

3. просмотр оглавления архива;

4. проверка целостности архива;

5. создание саморазворачивающихся архивов;

6. организация многотомных архивов, когда отдельные части большого архива записываются на несколько дискет;

7. защита архивов с помощью пароля.

Для распаковки обычного архивного файла нужна программа-архиватор. Саморазворачивающийся архив представляет собой исполняемый файл типа EXE. В этом файле находится сжатая информация и программа распаковки. При запуске такого файла не требуется никаких дополнительных средств. Архив разворачивается сам.

Кроме обычных архиваторов существуют программы сжатия исполняемых файлов. Сжатый файл остается исполняемым (EXE), но занимает на диске меньше места. Пример такого архиватора – PKLITE.

Интерфейс архиваторов бывает двух типов:

1. Командная строка – ручной ввод команд и имен файлов.

Пример:

LHA m archiv file1.txt files.*

PKUNZIP –dn a:\archiv c:\data

2. Диалоговый интерфейс типа Norton Commander. Здесь команды вызываются в меню функциональными клавишами, а файлы помечают, указывая на них курсором.

Принцип работы архиваторов

Архивация заключается в уменьшении избыточности информации. Избыточность имеет место, когда часть данных не содержит дополнительной информации. Данные в файлах хранятся в виде последовательности байтов. Один байт содержит восемь разрядов, называемых битами. Каждый бит может принять одно из двух значений: 0 или 1. Каждый байт является комбинацией восьми двоичных битов и принимает одно из = 256 значений. Многие текстовые файлы имеют кодировку ASCII (American Standard Code for Information Interchange – американский стандартный код для обмена информацией).

В ASCII одна буква кодируется одним байтом. Таблица ASCII-кодов содержит 256 различных знаков: русский и английский алфавит, псевдографику и служебные коды.

Табличное кодирование

Пусть в исходном файле 4 различных символа: [–], [+], [ | ], [пробел]. Для их кодирования достаточно двухбитового кода:

Символ	Код
–	00
+	01
|	10
(пробел)	11

Значит, в каждом байте из восьми бит 6 не содержат дополнительную информацию и данный файл можно сжать в 4 раза. Архив займет в 4 раза меньше места, чем исходный файл.

Код переменной длины – код Хаффмэна

Различные буквы используются в нашей речи с разной частотой. Поэтому самые популярные буквы можно кодировать меньшим числом бит. Для однозначного восстановления информации начало каждого кодового слова не должно быть похожим на остальные. Пример:

Символ	Код
а	1
е	01
…	…
ы	00001
…	…
ь	0000001

Кодирование повторяющихся букв

Пример текста: аооууууубб

В таком случае удобно организовать сжатие так:

{<код символа> <число повторений>}

Кодирование одинаковых последовательностей

Если в тексте часто повторяются несколько слов, можно их закодировать и, таким образом, сжать информацию.

Сжатие звука, графики, видео может производиться с некоторым ухудшением качества в десятки раз.