Вирішення проблем

Класифікація та функції антивірусних програм. Реферат: Класифікація антивірусних засобів Антивірусні програми їх класифікація

Користувач сучасного персонального комп'ютера має вільний доступ до всіх ресурсів машини. Саме це відкрило можливість для існування небезпеки, яка отримала назву комп'ютерного вірусу.

Комп'ютерним вірусом називається спеціально написана програма, здатна спонтанно приєднуватися до інших програм, створювати свої копії та впроваджувати їх у файли, системні області комп'ютера і в обчислювальні мережі з метою порушення роботи програм, псування файлів і каталогів, створення всіляких перешкод в роботі на комп'ютері. Залежно від середовища існування віруси можна розділити на мережеві, файлові, завантажувальні, файлово-завантажувальні, макровіруси і троянські програми.

  • Мережеві віруси поширюються по різних комп'ютерних мережах.
  • файлові віруси впроваджуються головним чином у виконувані модулі. Файлові віруси можуть впроваджуватися і в інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не отримують управління і, отже, втрачають здатність до розмноження.
  • завантажувальні віруси впроваджуються в завантажувальний сектор диска (Boot-сектор) або в сектор, що містить програму завантаження системного диска (Master Boot Record).
  • Файлово-завантажувальні віруси заражають як файли, так і завантажувальні сектори дисків.
  • макровіруси написані на мовах високого рівня і вражають файли документів додатків, які мають вбудовані мови автоматизації (макромови), такі, наприклад, як додатки сімейства Microsoft Office.
  • троянські програми, Маскуючись під корисні програми, є джерелом зараження комп'ютера вірусами.

Для виявлення, видалення і захисту від комп'ютерних вірусів розроблено декілька видів спеціальних програм, які дозволяють виявляти і знищувати віруси. Такі програми називаються антивірусними. Розрізняють такі види антивірусних програм:

  • - програми-детектори;
  • - програми-доктора, або фаги;
  • - програми-ревізори;
  • - програми-фільтри;
  • - програми-вакцини, або іммунізатори.

Програми-детектори здійснюють пошук характерної для конкретного вірусу сигнатури в оперативній пам'яті й у файлах і при виявленні видають відповідне повідомлення. Недоліком таких антивірусних програм є те, що вони можуть знаходити тільки ті віруси, які відомі розробникам таких програм.

Програми-доктора, Або фаги, а також програми-вакцини не тільки знаходять заражені вірусами файли, але і «лікують» їх, тобто. е. видаляють з файлу тіло програми-вірусу, повертаючи файли в початковий стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і тільки потім переходять до «лікування» файлів. Серед фагів виділяють полифаги, Т. Е. Програми-доктори, призначені для пошуку н знищення великої кількості вірусів. Найбільш відомі з них: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

У зв'язку з тим, що постійно з'являються нові віруси, програми-детектори і програми-доктори швидко застарівають, і потрібно регулярне оновлення версій.

Програми-ревізори відносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують початковий стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни виводяться на екран монітора. Як правило, порівняння станів проводять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файла, код циклічного контролю (контрольна сума файла), дата і час модифікації, інші параметри. Програми-ревізори мають достатньо розвинені алгоритми, виявляють стелс-віруси і можуть навіть відрізнити зміни версії програми від змін, внесених вірусом. До числа програм-ревізорів належить широко поширена програма Kaspersky Monitor.

Програми-фільтри або «сторожа» є невеликі резидентні програми, призначені для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:

  • - спроби корекції файлів з розширеннями СОМ. ЕХЕ;
  • - зміна атрибутів файлу;
  • - пряма запис на диск по абсолютному адресою;
  • - запис в завантажувальні сектори диска;

При спробі будь-якої програми здійснити зазначені дії «сторож» посилає користувачеві повідомлення і пропонує заборонити або дозволити відповідну дію. Програми-фільтри вельми корисні. так як здатні виявити вірус на ранній стадії його існування, до розмноження. Однак вони не «лікують» файли і диски.

Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До недоліків програм-сторожів можна віднести їх «настирливість» (наприклад, вони постійно видають попередження про будь-яку спробу копіювання виконуваного файлу), а також можливі конфлікти з іншим програмним забезпеченням.

Вакцини або іммунізатори - це резидентні програми. запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-доктори, «лікують» цей вірус. Вакцинація можлива тільки від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їх роботі, а вірус буде сприймати їх зараженими і тому не впровадити. В даний час програми-вакцини мають обмежене застосування.

Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення виявлених вірусів на кожному комп'ютері дозволяють уникнути поширення вірусної епідемії на інші комп'ютери.

Євген Касперський в 1992 році використовував таку класифікацію антивірусів в залежності від їх принципу дії (що визначає функціональність):

1. Сканери (застарілий варіант - «полифаги») - визначають наявність вірусу по базі сигнатур, що зберігає сигнатури (або їх контрольні суми) вірусів. Їх ефективність визначається актуальністю вірусної бази і наявністю евристичного аналізатора (див .: Евристичне сканування).

2. Ревізори (клас, близький до IDS) - запам'ятовують стан файлової системи, що робить надалі можливим аналіз змін.

3. Сторожа (монітори) - відстежують потенційно небезпечні операції, видаючи користувачеві відповідний запит на дозвіл / заборона операції.

4. Вакцини - змінюють щеплений файл таким чином, щоб вірус, проти якого робиться щеплення, вже вважав файл зараженим. У сучасних (2007 рік) умовах, коли кількість можливих вірусів вимірюється сотнями тисяч, цей підхід непридатний.

Сучасні антивіруси поєднують все вищезазначені функції.

Антивіруси так само можна розділити на:

1. Продукти для домашніх користувачів:

2. Власне антивіруси;

3. Комбіновані продукти (наприклад, до класичного антивірусу доданий антиспам, файрвол, антіруткит і т. Д.);

4. Корпоративні продукти:

5. Серверні антивіруси;

6. Антивіруси на робочих станціях ( «endpoint»).

Антивіруси на SIM, флеш-картах і USB пристроях

Випускаються сьогодні мобільні телефони мають широкий спектр інтерфейсів і можливостями передачі даних. Споживачам слід ретельно вивчити методи захисту перш, ніж приєднувати будь-які невеликі пристрої.

Такі методи захисту, як апаратні, можливо, антивіруси на USB пристроях або на SIM, більше підійдуть споживачам мобільних телефонів. Технічна оцінка і огляд того, як встановити антивірусну програму на стільниковий мобільний телефон, повинні розглядатися, як процес сканування, який може вплинути на інші легальні додатки на цьому телефоні.

Антивірусні програми на SIM з антивірусом, вбудованим в зону пам'яті невеликої ємності, забезпечують боротьбу з шкідливим ПЗ / вірусами, захищаючи PIN і інформацію користувача телефону. Антивіруси на флеш-картах дають користувачеві можливість обмінюватися інформацією і використовувати ці продукти з різними апаратними пристроями, а також відправляти ці дані на інші пристрої, використовуючи різні канали зв'язку.

Антивіруси, мобільні пристрої та інноваційні рішення

У майбутньому можливе зараження мобільних телефонів вірусом. Все більше розробників цієї області пропонують антивірусні програми для боротьби з вірусами і захисту мобільних телефонів. У мобільних пристроях є такі види боротьби з вірусами.

Люди, які постійно працюють за комп'ютером, часто стикаються з проблемами при його експлуатації, починають кликати на допомогу програмістів, хоча в більшості випадків такі казуси трапляються через неуважність та неосвіченості самого користувача. Адже основні біди приходять саме з зараженням комп'ютера вірусом. Поняття і класифікація комп'ютерних вірусів - це та основа, знання якої здатне запобігти 50% неполадок на комп'ютері користувача.

Знання сила

Спробуємо визначити, що ж таке комп'ютерний вірус. Як і в реальному житті, вірус - це організм, здатний до самостійного копіювання і безконтрольного розмноження. Це програма, здатна самостійно, без відома користувача, розвиватися, виконувати свої функції, закладені в неї програмістом. Цього мало для того, щоб зловити вірус або запобігти зараженню вашого комп'ютера, однак допоможе вам в найпростіших випадках хоча б забити тривогу і викликати фахівця. Класифікація комп'ютерних вірусів допоможе останньому з точністю підібрати інструмент, необхідний для порятунку вашого комп'ютера. Тому постараємося і ми розібратися в ній.

загальне поняття

Порівнявши трохи раніше комп'ютерний вірус з реальним мікроорганізмом, можна провести паралель і з тим, що вражає конкретний вірус або черв'як. Однією з основних є класифікація комп'ютерних вірусів по природному середовищі, адже, залежно від призначення, розташування вірусу в комп'ютерному середовищі буде також відрізнятися. Наведемо загальну стандартну схему.

  1. Файлові віруси. Мабуть, найпоширенішими на сьогоднішній день є віруси, які вражають файли на вашому комп'ютері. У більшості випадків вони проникають в виконувані файли або бібліотеки програм для виконання своїх завдань. Ці віруси являють собою скрипт, написаний на скриптовій мовою програмування (наприклад JavA).
  2. Завантажувальні віруси. Як зрозуміло з назви, вони запускаються при завантаженні операційної системи. Вони записують свій код в завантажувальний сектор Windows.
  3. Мережеві віруси. Досить неприємна річ, яка розсилає свої копії по мережі, поштою або системам обміну повідомленнями на кшталт ICQ. Ще одним неприємним моментом є те, що такий вірус може розмножуватися до тих пір, поки не заповнить весь простір на комп'ютері користувача, а в найгіршому випадку ще й почне звільняти собі місце, видаляючи призначені для користувача програми.
  4. Макро-віруси. Вражають виключно файли додатків, що підтримують роботу з макросами, такими як Office.

Варто зауважити, що така класифікація вірусів не може бути повною, оскільки розвиток цієї зарази не стоїть на місці, і існують віруси, які можна віднести до кількох підтипів.

Увага, небезпека!

Розглядати віруси можна з абсолютно різних сторін. Якщо говорити про них за ступенем впливу на систему, то класифікація комп'ютерних вірусів коротко буде виглядати так:


працюють фахівці

Окремої згадки заслуговує класифікація комп'ютерних вірусів і антивірусних програм. Більшість фахівців, що працюють в сфері комп'ютерної безпеки, мають свої класифікації і способи позначення комп'ютерних вірусів. Наприклад, всім відома лабораторія Касперського. Після багатьох років роботи ними була створена, мабуть, сама детальна класифікація комп'ютерних вірусів. Касперський виділяє наступні типи "шкідників":

  1. Уже відомі мережеві віруси - черв'яки, що використовують для поширення електронну пошту.
  2. Пакувальники. Це, скоріше, просто шкідники, а не віруси, заслані з певною метою. Їх завдання полягає в архівування файлів таким чином, щоб їх розархівування була неможлива. Найчастіше при архівації вони на додаток ще й кодують інформацію.
  3. Шкідливі утиліти.
  4. Троянські програми. Їх назва походить від міфу про троянського коня. Відповідаючи свого прототипу, такі віруси маскуються під нешкідливі програми для проникнення на комп'ютер. Їх основне функціональне призначення - надання доступу зловмисникові до управління вашим комп'ютером. Тут також можна виділити деякі підкатегорії:

1) віруси, для віддаленого управління вашим комп'ютером;

2) віруси для завантаження шкідливого забезпечення з інтернету;

3) програми, несанкціоновано встановлюють на комп'ютер інші віруси.

як заразитися

Попереджений значить озброєний. Так говорить народна мудрість. Знаючи, де і як існує можливість підхопити комп'ютерний вірус, можна уникнути значних труднощів, пов'язаних з видаленням його. Запобігти зараженню набагато простіше, ніж вилікувати комп'ютер після попадання в нього вірусу. Існує також класифікація комп'ютерних вірусів за способом зараження:

Захист від вірусів

Як вже стало зрозуміло, шкідливих програм існує велика кількість. Захиститися від них не допоможе жодна класифікація вірусів. Комп'ютерних шахраїв, спамерів розвелося настільки багато, що своїми власними руками впоратися з усіма неможливо. Саме для цього існує велика кількість антивірусних програм, здатних допомогти впоратися з цією проблемою. Розглянемо їх з точки зору звичайних користувачів.

Найпоширенішою антивірусною програмою є "Антивірус Касперського". Пропонована користувачам у всіх можливих магазинах, ця програма здатна надійно захистити комп'ютер від шкідливих програм. Тим не менш просунуті користувачі знають про істотні побічні ефекти цієї надійності. "Касперський" не тільки дуже сильно вантажить систему і при найменшій небезпеці піднімає тривогу, але ще й не дає адекватно працювати з одними додатками. Тому зараз цей антивірус використовується в основному на підприємствах, оскільки його покупку простіше провести по бухгалтерії, та й перевірочні комісії з безпеки відносяться до нього набагато лояльніше. Варто зауважити, що, завдяки цій лабораторії, була створена базова класифікація комп'ютерних вірусів. Повідомлення про те, що знайдений вірус на комп'ютер, який видає їх антивірус, на жаль, не завжди несе в собі достовірну інформацію.

Гідною заміною "Касперському", може послужити NOD32. Надійно і міцно захищає, спеціально для звичайних користувачів існують безкоштовні версії. Працює як годинник і без збоїв, але абсолютну надійність забезпечує виключно в повній платній комплектації. Тому єдиним недоліком цього антивіруса стане ціна, якщо виключити скачування підтримуються зламаних версій.

Лідером серед антивірусів по праву можна вважати Dr.Web. Чи не ганяючись за славою і заробітком, він надає всім бажаючим на своєму сайті завантажити пробну версію з повним функціоналом. Однією з головних особливостей "Доктора" є можливість призупинити повністю роботу операційної системи, що дозволяє зловити навіть самих "хитрих шкідників". Цією програмою використовується власна класифікація вірусів. Комп'ютерних черв'яків утиліта знаходить швидко і ефективно, а резидентні віруси не здатні "сховатися" в оперативній пам'яті.

Ворога треба знати в обличчя

Отже, вище було розглянуто класифікація комп'ютерних вірусів. З прикладами вам, напевно, було б простіше розібратися, тому наведемо кілька для наочності.

Trj.Reboot - змушує перезавантажуватися ваш комп'ютер.

Relax - інфікує документи Microsoft Word, а також глобальні змінні. Був особливо популярний і актуальний на Windows 98. Результатом роботи стає виведення на екран інформаційного повідомлення.

Marburg - вражає виконувані файли з розширенням EXE, запускаючи їх в різних директоріях, в результаті чого збільшується їх розмір.

Flame - комп'ютерний черв'як, виявлений "Лабораторією Касперського". Його особливість в тому, що він складається з декількох десятків частин, кожна з яких має свій функціонал.

Подумайте про безпеку

У даній статті були розглянуті поняття і класифікація комп'ютерних вірусів. Якщо ви уважно і вдумливо прочитали все написане, то напевно вже зрозуміли, що абсолютного захисту не існує. Незважаючи на це, вибір засобів захисту лягає на ваші плечі. Останнє, що варто було б вказати, так це просто пару корисних порад:

  1. Не лізьте на підозрілі сайти і не переходьте за посиланнями, надісланим незнайомими людьми.
  2. Не ведіться на рекламу і спливаючі вікна в інтернеті.
  3. Якщо завантажуєте програми з інтернету, переконайтеся в безпеці джерела.
  4. У разі якщо шукаєте якусь програму, намагайтеся завантажувати її на популярних ресурсах, а не на задвірках світового павутиння.
  5. Не використовуйте носії даних, які могли вставлятися в комп'ютери загального користування (інтернет-кафе).

Дотримуючись цих простих порад, ви зможете обійтися навіть без антивіруса. А класифікація комп'ютерних вірусів знадобиться вам хіба що для навчання або саморозвитку.

Євген Касперський в 1992 році використовував таку класифікацію антивірусів в залежності від їх принципу дії (що визначає функціональність):

Ø Сканери (Застарілий варіант - «полифаги», «детектори») - визначають наявність вірусу по базі сигнатур, що зберігає сигнатури (або їх контрольні суми) вірусів. Їх ефективність визначається актуальністю вірусної бази і наявністю евристичного аналізатора.

Ø ревізори (Клас, близький до IDS) - запам'ятовують стан файлової системи, що робить надалі можливим аналіз змін.

Ø сторожа (резидентні монітори або фільтри ) - відстежують потенційно небезпечні операції, видаючи користувачеві відповідний запит на дозвіл / заборона операції.

Ø вакцини (іммунізатори ) - змінюють щеплений файл таким чином, щоб вірус, проти якого робиться щеплення, вже вважав файл зараженим. В сучасних умовах, коли кількість можливих вірусів вимірюється сотнями тисяч, цей підхід непридатний.

Сучасні антивіруси поєднують все вищезазначені функції.

Антивіруси так само можна розділити на:

Продукти для домашніх користувачів:

Власне антивіруси;

Комбіновані продукти (наприклад, до класичного антивірусу доданий антиспам, файрвол, антіруткит і т. Д.);

Корпоративні продукти:

Серверні антивіруси;

Антивіруси на робочих станціях ( «endpoint»).

Спільне використання антивірусних програм дає непогані результати, так як вони добре доповнюють один одного:

Вступники з зовнішніх джерел дані перевіряються програмою-детектором. Якщо ці дані забули перевірити і заражена програма була запущена, її може зловити програма-сторож. Правда, в обох випадках надійно виявляються віруси, відомі цим антивірусним програмам. Це становить не більше ніж 80-90% випадків.

- сторожа можуть виявляти навіть невідомі віруси, якщо ті поводяться дуже нахабно (намагаються відформатувати жорсткий диск або внести зміни в системні файли). Але деякі віруси вміють обходити такий контроль.

Якщо вірус не був виявлений детектором чи сторожем, то результати його діяльності виявить програма - ревізор.

Як правило, програми-сторожа повинні працювати на комп'ютері постійно, детектори - використовуватися для перевірки надходять із зовнішніх джерел даних (файлів і дискет), а ревізори - запускатися раз в день для виявлення і аналізу змін на дисках. Все це повинно поєднуватися з регулярним резервуванням даних і використанням профілактичних заходів, що дозволяють зменшити ймовірність зараження вірусом.

Будь-яка антивірусна програма "гальмує" роботу комп'ютера, але є надійним засобом від шкідливого впливу від вірусів.


Помилкові антивіруси (лже-антивіруси).

У 2009 р різні виробники антивірусів стали повідомляти про значне поширення нового типу антивірусів - помилкові антивіруси або лже-антивіруси (rogueware). По суті ці програми або зовсім не є антивірусами (тобто не здатні боротися з шкідливим ПЗ) або навіть є вірусами (крадуть дані кредитних карт і т.п.).

Помилкові антивіруси використовуються для вимагання грошей у користувачів шляхом обману. Один із способів зараження ПК хибним антивірусом наступний. Користувач потрапляє на "інфікований" сайт, який видає йому попередження на кшталт: "На вашому комп'ютері виявлено вірус". Після чого користувачеві пропонується завантажити безкоштовну програму (помилковий антивірус) для видалення вірусу. Після установки помилковий антивірус сканує ПК і нібито виявляє на комп'ютері ще масу вірусів. Для видалення шкідливого ПО помилковий антивірус пропонує купити платну версію програми. Шокований користувач платить (суми від $ 50 до $ 80) і помилковий антивірус очищає ПК від неіснуючих вірусів.

Антивіруси на SIM, флеш-картах і USB пристроях

Випускаються сьогодні мобільні телефони мають широкий спектр інтерфейсів і можливостями передачі даних. Споживачам слід ретельно вивчити методи захисту перш, ніж приєднувати будь-які невеликі пристрої.

Такі методи захисту, як апаратні, можливо, антивіруси на USB пристроях або на SIM, більше підійдуть споживачам мобільних телефонів. Технічна оцінка і огляд того, як встановити антивірусну програму на стільниковий мобільний телефон, повинні розглядатися, як процес сканування, який може вплинути на інші легальні додатки на цьому телефоні.

Антивірусні програми на SIM з антивірусом, вбудованому в зону пам'яті невеликої ємності, забезпечують боротьбу з шкідливим ПЗ / вірусами, захищаючи PIN і інформацію користувача телефону. Антивіруси на флеш-картах дають користувачеві можливість обмінюватися інформацією і використовувати ці продукти з різними апаратними пристроями, а також відправляти ці дані на інші пристрої, використовуючи різні канали зв'язку.

Антивіруси, мобільні пристрої та інноваційні рішення

У майбутньому можливе зараження мобільних телефонів вірусом. Все більше розробників цієї області пропонують антивірусні програми для боротьби з вірусами і захисту мобільних телефонів. У мобільних пристроях є такі види боротьби з вірусами:

- обмеження процесора;

- обмеження пам'яті;

- визначення і оновлення сигнатур цих мобільних пристроїв.

висновок: Антивірусна програма (антивірус) - програма для знаходження і лікування шкідливих об'єктів або інфікованих файлів, а також для профілактики - запобігання зараження файла або операційної системи шкідливим кодом. Залежно від принципу дії антивірусних програм існує таку класифікацію антивірусів: сканери (застарілий варіант - «полифаги», «детектори»); ревізори (клас, близький до IDS); сторожа (резидентні монітори або фільтри); вакцини (іммунізатори).

ВИСНОВОК

Досягнення в комп'ютерних технологіях за останні роки не тільки сприяли розвитку економіки, торгівлі і комунікацій; забезпечили ефективний інформаційний обмін, а й надали унікальний інструментарій осіб, які здійснюють комп'ютерні злочини. Чим інтенсивніше йде процес комп'ютеризації, тим більш реальним стає зростання комп'ютерної злочинності, причому сучасне суспільство не тільки відчуває економічні наслідки комп'ютерних злочинів, а й стає все більш залежним від комп'ютеризації. Всі зазначені аспекти зобов'язують звертати все більше уваги на захист інформації, подальший розвиток законодавчої бази в області інформаційної безпеки. Весь комплекс заходів повинен зводитися до захисту державних інформаційних ресурсів; до регулювання відносин, що виникають при формуванні та використанні інформаційних ресурсів; створенні та використанні інформаційних технологій; захисту інформації та прав суб'єктів, що беруть участь в інформаційних процесах; а також визначенні основних понять, що використовуються в законодавстві.

Доцент кафедри організації охорони і конвоювання в УІС

кандидат технічних наук

підполковник внутрішньої служби В.Г. Зарубський

Дані програми можна класифікувати за п'ятьма основними групами: фільтри, детектори, ревізори, доктора і вакцинатори.

Антивіруси-фільтри - це резидентні програми, які сповіщають користувача про всі спроби будь-якої програми записатися на диск, а вже тим більше відформатувати його, а також про інших підозрілих діях (наприклад про спроби змінити установки CMOS). При цьому виводиться запит про дозвіл або заборону даної дії. Принцип роботи цих програм заснований на перехоплення відповідних векторів переривань. До переваг програм цього класу в порівнянні з програмами-детекторами можна віднести універсальність по відношенню як до відомих, так і невідомих вірусів, тоді як детектори пишуться під конкретні, відомі на даний момент програмісту види. Це особливо актуально зараз, коли з'явилося безліч вірусів-мутантів, які не мають постійного коду. Однак, програми-фільтри не можуть відслідковувати віруси, які звертаються безпосередньо до BIOS, а також BOOT-віруси, що активізуються ще до запуску антивірусу, в початковій стадії завантаження DOS, До недоліків також можна віднести часту видачу запитів на здійснення будь-якої операції: відповіді на питання віднімають у користувача багато часу і діють йому на нерви. При установці деяких антивірусів-фільтрів можуть виникати конфлікти з іншими резидентними програмами, що використовують ті ж переривання, які просто перестають працювати.

Найбільшого поширення в нашій країні отримали програми-детектори, А вірніше програми, що поєднують в собі детектор і доктор. Найбільш відомі представники цього класу - Aidstest, Doctor Web, MicroSoft AntiVirus далі будуть розглянуті детальніше. Антивіруси-детектори розраховані на конкретні віруси і засновані на порівнянні послідовності кодів містяться в тілі вірусу з кодами перевіряються програм. Багато програм-детектори дозволяють також «лікувати» заражені файли або диски, видаляючи з них віруси (зрозуміло, лікування підтримується тільки для вірусів, відомих програмі-детектору). Такі програми потрібно регулярно оновлювати, так як вони швидко застарівають і не можуть виявляти нові види вірусів.

ревізори - це програми, які аналізують поточний стан файлів і системних областей диска і порівнюють його з інформацією, збереженою раніше в одному з файлів даних ревізора. При цьому перевіряється стан BOOT-сектора, таблиці FAT, а також довжина файлів, їх час створення, атрибути, контрольна сума. Аналізуючи повідомлення програми-ревізора, користувач може вирішити, чим викликані зміни: вірусом чи ні. При видачі такого роду повідомлень не слід вдаватися до паніки, тому що причиною змін, наприклад, довжини програми може бути зовсім і не вірус.

До останньої групи належать найбільш неефективні антивіруси - вакцинатори. Вони записують в вакцініруемих програму ознаки конкретного вірусу так, що вірус вважає її вже зараженої.

У нашій країні, як уже було сказано вище, особливої \u200b\u200bпопулярності набули антивірусні програми, що поєднують в собі функції детекторів і докторів. Найвідомішою з них є програма AIDSTEST Д.Н. Лозинського. Ця програма була винайдена її в 1988 р і з тих пір вона постійно вдосконалюється і поповнюється. У Росії практично на кожному IBM-сумісному персональному комп'ютері є одна з версій цієї програми. Одна з останніх версій виявляє більше 1500 вірусів.

Програма Aidstest призначена для виправлення програм, заражених звичайними (неполіморфнимі) вірусами, не міняють свій код. Це обмеження викликано тим, що пошук вірусів цією програмою ведеться за розпізнавальним кодам. Зате при цьому досягається дуже висока швидкість перевірки файлів.

Aidstest для свого нормального функціонування вимагає, щоб в пам'яті не було резидентних антивірусів, блокуючих запис в програмні файли, тому їх слід вивантажити, або, вказавши опцію вивантаження самої резидентної програмі, або скористатися відповідною утилітою.

При запуску Aidstest перевіряє оперативну пам'ять на наявність відомих йому вірусів і знешкоджує їх. При цьому паралізуються тільки функції вірусу, пов'язані з розмноженням, а інші побічні ефекти можуть залишатися. Тому програма після закінчення знешкодження вірусу в пам'яті видає запит про перезавантаження. Слід обов'язково піти цій раді, якщо оператор ПЕОМ не є системним програмістом, які займаються вивченням властивостей вірусів. При чому слід перезавантажитися кнопкою RESET, так як при «теплою перезавантаження» деякі віруси можуть зберігатися. До того ж, краще запустити машину і Aidstest з захищеної від записи дискетою, так як при запуску з зараженого диска вірус може записатися на згадку резидентом і перешкоджати лікуванню.

Aidstest тестує своє тіло на наявність відомих вірусів, а також по перекручувань у своєму коді судить про своє зараження невідомим вірусом. При це можливі випадки помилкової тривоги, наприклад при стисненні антивіруса пакувальником. Програма не має графічного інтерфейсу, і режими її роботи задаються за допомогою ключів. Вказавши шлях, можна перевірити не весь диск, а окремий підкаталог.

Недоліки програми Aidstest:

Чи не розпізнає поліморфні віруси;

Чи не забезпечена евристичним аналізатором, що дозволяє знаходити невідомі їй віруси;

Не вміє перевіряти і лікувати файли в архівах;

Чи не розпізнає віруси в програмах, оброблених пакувальниками здійснимих файлів типу EXEPACK, DIET, PKLITE і т.д.

Переваги Aidstest:

Легка у використанні;

Працює дуже швидко;

Розпізнає значну частину вірусів;

Добре інтегрована з програмою-ревізором Adinf;

Працює практично на будь-якому комп'ютері.

Останнім часом стрімко зростає популярність інший антивірусної програми - Doctor Web, яку пропонує фірма «Діалог-Наука». Ця програма була створена в 1994 р І.А. Даниловим. Dr. Web так само, як і Aidstest належить до класу детекторів - докторів, але на відміну від останнього має так званий «евристичний аналізатор» - алгоритм, що дозволяє виявляти невідомі віруси. «Лікувальна павутиння», як перекладається з англійської назва програми, стала відповіддю вітчизняних програмістів на навала самомодифицирующихся вірусів-мутантів, які при розмноженні модифікують своє тіло так, що не залишається жодної характерною ланцюжка байт, яка була присутня в вихідної версії вірусу. На користь цієї програми говорить той факт, що велику ліцензію (на 2000 комп'ютерів) набуло Головне управління інформаційних ресурсів при Президенті РФ, а другий за величиною покупець «павутини» - «Інкомбанк».

Управління режимами також як і в Aidtest здійснюється за допомогою ключів. Користувач може вказати програмі тестувати як весь диск, так і окремі підкаталоги або групи файлів, або ж відмовитися від перевірки дисків і тестувати тільки оперативну пам'ять. У свою чергу можна тестувати або тільки базову пам'ять, або, до того ж, ще й розширену. Як і Aidstest, Doctor Web може створювати звіт про роботу, завантажувати знакогенератор Кирилиці, підтримувати роботу з програмно-апаратним комплексом Sheriff.

Тестування вінчестера Dr. Web-ом займає набагато більше часу, ніж Aidstest-ом, тому не кожен користувач може собі дозволити витрачати стільки часу на щоденну перевірку всього жорсткого диска. Таким користувачам можна порадити ретельніше перевіряти принесені ззовні дискети. Якщо інформація на дискеті знаходиться в архіві (а останнім часом програми і дані переносяться з машини на машину тільки в такому вигляді; навіть фірми-виробники програмного забезпечення, наприклад Borland, пакують свою продукцію), слід розпакувати його в окремий каталог на жорсткому диску і відразу ж, не відкладаючи, запустити Dr. Web, поставивши йому як параметра замість імені диска повний шлях до цього підкаталогу. І все ж потрібно хоча б раз на два тижні робити повну перевірку «вінчестера» на віруси із завданням максимального рівня евристичного аналізу.

Так само як і у випадку з Aidstest при початковому тестуванні годі вирішувати програмі лікувати файли, в яких вона знайде вірус, оскільки не можна виключити, що послідовність байт, прийнята в антивірусі за шаблон може зіткнутися здорової програмі.

На відміну від Aidstest, програма Dr. Web:

розпізнає поліморфні віруси;

забезпечена евристичним аналізатором;

вміє перевіряти і лікувати файли в архівах;

дозволяє тестувати файли, вакциновані CPAV, а також упаковані LZEXE, PKLITE, DIET.

Фірма «Діалог-Наука» пропонує різні версії програми DrWeb для DOS. Як відомо, є дві версії для DOS, які традиційно називаються 16-розрядноїі 32-розрядної (Остання також називається Doctor Web для DOS / 386, DrWeb386). У цих назвах (16- і 32-розрядна) повністю відображена суть відмінності версій для DOS, проте безпосередньо з назв вона очевидна лише фахівцям. Лише 32-розрядної версії володіє всіма функціональними можливостями, притаманними іншим сучасним версіями Doctor Web (зокрема, версіями для Windows).

16-розрядної версії, в силу обмежень за обсягом доступної пам'яті, що накладаються операційною системою, не володіє деякими вкрай важливими на сьогоднішній день «вміннями», зокрема, в неї не включені (і в силу зазначених обмежень по пам'яті, не можуть бути включені) :

модулі «обслуговування» відомих вірусів сучасних типів (зокрема, мова йде про макро- і стелс-віруси);

модулі евристичного аналізатора для виявлення невідомих вірусів сучасних типів;

модулі розпакування сучасних типів архівів і упакованих Windows-програм та ін.

Таким чином, хоча 16-розрядної версії використовує ту ж вірусну базу (VDB-файли), що і 32-розрядні версії, відсутність в ній деяких модулів робить обробку відповідних вірусів неможливою.

Крім того, в силу тих же причин, 16-розрядної версії не підтримує деякі сучасні програмні та апаратно-технічні засоби, що може зробити її роботу нестійкою або некоректною.

Оскільки 32-розрядної версії є повнофункціональної і, як видно з іншого її назви - Doctor Web для DOS / 386, може використовуватися при роботі в DOS на комп'ютерах з процесором не нижче 386, всім користувачам, які потребують версії Doctor Web для DOS, краще використовувати саме її.

Що ж стосується 16-розрядної версії, то вона продовжує випускатися, оскільки ще існує парк старих машин на платформі 86/286, де 32-розрядної версії працювати не може.

(Anti-Virus Software Protection)

Цікавим програмним продуктом є антивірус AVSP. Ця програма поєднує в собі і детектор, і доктор, і ревізор, і навіть має деякі функції резидентного фільтра (заборона запису у файли з атрибутом READ ONLY). Антивірус може лікувати як відомі, так і невідомі віруси, причому про спосіб лікування останніх програмі може повідомити сам користувач. До того ж AVSP може лікувати самомодифицирующиеся і Stealth-віруси (невидимки).

При запуску AVSP з'являється система вікон з меню та інформація про стан програми. дуже зручна контекстна система підказок, Яка дає пояснення до кожного пункту меню. Вона викликається класично, клавішею F1, і змінюється при переході від пункту до пункту. Так само не маловажним гідністю в наше століття Windows-ів і «півосях» (OS / 2) є підтримка миші. Істотний недолік інтерфейсу AVSP - відсутність можливості вибору пунктів меню натисканням клавіші з відповідною буквою, хоча це дещо компенсується можливістю вибрати пункт, натиснувши ALT і цифру, що відповідає номеру цього пункту.

До складу пакету AVSP входить також резидентний драйвер AVSP.SYS, Який дозволяє виявляти більшість невидимих \u200b\u200bвірусів (крім вірусів типу Ghost-тисяча дев'ятсот шістьдесят-три або DIR), дезактивувати віруси на час своєї роботи, а також забороняє змінювати READ ONLY файли.

Ще одна функція AVSP.SYS - відключення на час роботи AVSP.EXE резидентних вірусів, Правда разом з вірусами драйвер відключає і деякі інші резидентні програми. При першому запуску AVSP слід протестувати систему на наявність відомих вірусів. При цьому перевіряється оперативна пам'ять, BOOT-сектор і файли. У ряді випадків можна відновлювати навіть файли, зіпсовані невідомим вірусом. Можна встановити перевірку розмірів файлів, їх контрольних сум, наявність в них вірусів, або все це разом. Так само можна вказати, що саме перевіряти (Boot-сектор, пам'ять, або файли). Як і в більшості антивірусних програм, тут користувачеві надається можливість вибрати між швидкістю і якістю. Суть швидкісний перевірки полягає в тому, що проглядається не весь файл, а тільки його початок; при цьому вдається виявити більшість вірусів. Якщо ж вірус пишеться в середину, або файл заражений декількома вірусами (при цьому «старі» віруси як би відтісняються в середину "молодим") то програма його і не помітить. Тому слід встановити оптимізацію за якістю, тим більше що в AVSP якісне тестування займає не набагато більше часу, ніж швидкісне.

При автоматичному визначенні нових вірусів AVSP може допустити безліч помилок. Так що при автоматичному визначенні шаблону слід не полінуватися перевірити, чи дійсно це вірус і чи не буде цей шаблон зустрічатися в здорових програмах.

Якщо в процесі AVSP виявить відомий вірус, то слід зробити ті ж дії, як і при роботі з Aidstest і Dr. Web: скопіювати файл на диск, перезавантажитися з резервної дискети і запустити AVSP. Бажано також, щоб при цьому в пам'ять був завантажений драйвер AVSP.SYS, так як він допомагає основній програмі лікувати Stealth-віруси.

Ще однією корисною функцією є вбудований дизассемблер. З його допомогою можна розібратися, чи є в файлі вірус або при перевірці диска відбулося помилкове спрацьовування AVSP. Крім того, можна спробувати з'ясувати спосіб зараження, принцип дії вірусу, а також місце, куди він «сховав» заміщені байти файлу (якщо ми маємо справу з таким типом вірусу). Все це дозволить написати процедуру видалення вірусу і відновити зіпсовані файли. Ще одна корисна функція - видача наочної карти змін. Карта змін дозволяє оцінити, чи відповідають ці зміни вірусу чи ні, а також звузити область пошуку тіла вірусу при дизассемблирования.

У програмі AVSP є два алгоритму нейтралізації стелс-вірусів ( «невидимок») і обидва вони працюють тільки при наявності активного вірусу в пам'яті. Ось, що відбувається при реалізації цих алгоритмів: всі файли копіюються в файли даних, а потім стираються. Рятуються тільки файли з атрибутом SYSTEM. У Adinf процес видалення Stealth-ів реалізований набагато простіше.

Програма AVSP контролює також і стан завантажувальних секторів. Якщо заражений BOOT-сектор на дискеті і антивірус не може його вилікувати, то слід стерти завантажувальний код. Дискета при цьому стане несистемної, але дані при цьому не загубляться. З вінчестером так чинити не можна. При виявленні змін в одному з BOOT-секторів жорсткого диска AVSP запропонує його зберегти в деякому файлі, а потім спробує видалити вірус.

Microsoft Antivirus

До складу сучасних версій MS-DOS (наприклад, 6.22) входить антивірусна програма Microsoft Antivirus (MSAV). Цей антивірус може працювати в режимах детектора-доктора і ревізора. MSAV має інтерфейс в стилі MS-Windows, Природно, підтримується миша. добре реалізована контекстна допомогу:підказка є практично до будь-якого пункту меню, до будь-якої ситуації. Універсально реалізований доступ до пунктів меню: для цього можна використовувати клавіші управління курсором, ключові клавіші (F1-F9), клавіші, відповідні одній з букв назви пункту, а також миша. Серйозним незручністю при використанні програми є те, що вона зберігає таблиці з даними про файли не в одному файлі, а розкидає їх по всіх тек.

При запуску програма завантажує власний знакогенератор і читає дерево каталогів поточного диска, після чого виходить в головне меню. Не зрозуміло, навіщо читати дерево каталогів відразу при запуску: адже користувач може і не захотіти перевіряти поточний диск.

При першій перевірці MSAV створює в кожній директорії, що містить виконані файли, файли CHKLIST.MS, в які записує інформацію про розмір, дату, час, атрибутах, а також контрольну суму контрольованих файлів. При наступних перевірках програма буде порівнювати файли з інформацією в CHKLIST.MS-файлах. Якщо змінилися розмір і дата, то програма повідомить про це користувачеві і запитає про подальші дії: оновити інформацію (Update), встановити дату і час у відповідність з даними в CHKLIST.MS (Repair), продовжити, не звертаючи уваги на зміни в даному файлі (Continue), перервати перевірку (Stop).

У меню Options можна конфігурувати програму за власним бажанням. Тут можна встановити режим пошуку вірусів-невидимок (Anti-Stealth), перевірки всіх (а не тільки здійсненних) файлів (Check All Files), а також дозволити або заборонити створювати таблиці CHKLIST.MS (Create New Checksums). До того ж можна поставити режим збереження звіту про виконану роботу в файлі. Якщо встановити опцію Create Backup, то перед видаленням вірусу з зараженого файлу його копія буде збережена з розширенням VIR.

Перебуваючи в основному меню, можна переглянути список вірусів, відомих програмі MSAV, натиснувши клавішу F9. При цьому виведеться вікно з назвами вірусів. Щоб побачити більш детальну інформацію про вірус, потрібно підвести курсор до його імені і натиснути ENTER. Можна швидко перейти до цікавого для вірусу, набравши перші літери його імені. Інформацію про вірус можна вивести на принтер, вибравши відповідний пункт меню.

(Advanced Diskinfoscope)

ADinf відноситься до класу програм-ревізорів. Ця програма була створена Д.Ю. Мостовим в 1991 р

Сімейство програм ADinf - це ревізори дисків, призначені для роботи на персональних комп'ютерах під управлінням операційних систем MS-DOS, MS-Windows 3.xx, Windows 95/98 і Windows NT / 2000. Робота програм заснована на регулярному відстеженні змін, що відбуваються на жорстких дисках. У разі появи вірусу, ADinf виявляє його по тим модифікаціям, які він виконує в файлової системі і / або завантажувальному секторі диска і інформує про це користувача. На відміну від антивірусів-сканерів, ADinf не використовує в своїй роботі «портретів» (сигнатур) конкретних вірусів. Тому ADinf особливо ефективний для виявлення нових вірусів, протиотруту для яких ще не придумано.

Особливо слід відзначити, що для контролю дисків ADinf не використовує функції операційної системи. Він читає диск по секторах і самостійно розбирає структуру файлової системи, що дозволяє йому виявляти так звані віруси-невидимки (стелс-віруси).

Якщо в системі встановлено лікуючий блок Adinf ( ADinf Cure Module ), То цей тандем здатний не тільки виявляти, але і успішно видаляти інформацію, що з'явилася заразу. Тестування показало, що ADinf Cure Module здатний успішно впоратися з 97% вірусів, відновивши пошкоджені файли з точністю до байта.

Корисні властивості ADinf не обмежуються тільки лише боротьбою з вірусами. По суті ADinf є системою, що дозволяє стежити за збереженням інформації на дисках і виявляти будь-які, навіть малопомітні зміни в файлову систему, а саме, зміни системних областей, зміни файлів, створення і видалення каталогів, створення, видалення, перейменування і переміщення файлів з каталогу в каталог. Склад контрольованої інформації гнучко настроюється, що дозволяє ставити під контроль тільки те, що потрібно.

Перша версія програми вийшла в 1991 році і з тих пір ADinf заслужено є найпопулярнішим ревізором в Росії і країнах колишнього СРСР. Сьогодні вже важко порахувати число легальних і нелегальних користувачів ADinf. Більше 2500 корпоративних передплатників Антивірусного комплекту Діалог-Науки, в складі якого поставляється ADinf, захищають їм свої комп'ютери. Програма ADinf отримала сертифікати в Системі сертифікації ГОСТ Р., Системі сертифікації засобів захисту інформації Міністерства оборони та Сертифікат Державної технічної комісії при президенті Російської федерації (в складі Антивірусного комплекту Діалог-Науки). Програма постійно удосконалюється і весь час перебуває на вістрі сучасних технологій.

Спочатку ревізор ADinf був розроблений для операційної системи MS-DOS. Потім були випущені варіанти програми для Windows 3.xx і Windows 95/98 / NT. Зараз існує сімейство сумісних між собою ревізорів для різних операційних систем. Всі варіанти ADinf сьогодні підтримують файлові системи Windows 95/98, довгі імена файлів і каталогів, розбирають внутрішню структуру виконуваних файлів Windows 95/98 і NT.

Отже, програма Adinf:

має високу швидкість роботи;

здатна успішно протистояти вірусам, які у пам'яті;

дозволяє контролювати диск, читаючи його по секторах через BIOS і використовуючи системні переривання DOS, що може перехопити вірус;

може обробляти до 32000 файлів на кожному диску;

на відміну від AVSP, в якому користувачеві доводиться самому аналізувати, чи заражена машина Stealth-вірусом, завантажуючись спочатку з вінчестера, а потім з еталонною дискети, в ADinf ця операція відбувається автоматично;

на відміну від інших антивірусів Advansed Diskinfoscope не вимагає завантаження з еталонною, захищеної від записи дискети. При завантаженні з вінчестера надійність захисту не зменшується;

ADinf має добре виконаний дружній інтерфейс, який на відміну від AVSP реалізований не в текстовому, а в графічному режимі;

при інсталяції ADinf до системи є можливість змінити ім'я основного файлу ADINF.EXE і ім'я таблиць, при цьому користувач може задати будь-яке ім'я. Це дуже корисна функція, так як останнім часом з'явилося багато вірусів, «полюють» за антивірусами (наприклад, є вірус, який змінює програму Aidstest так, що вона замість заставки фірми «ДиалогНаука» пише: «Лозинський - пень»), в тому числі і за ADinf.

Існує кілька варіантів ревізора Adinf для різних операційних систем. Кожен з них має свої особливості.

Ревізор ADinf призначений для операційних систем MS-DOS і Windows 95/98. Це розвиток першого варіанту ревізора, створеного ще в 1991 році. Сьогодні ADinf це найнадійніший засіб для виявлення як відомих, так і нових невідомих вірусів. Це єдиний в світі ревізор, який перевіряє файлову систему читанням по секторам безпосередньо через BIOS комп'ютера.

Ревізор ADinf for Windows призначений для операційної системи Windows 3.xx. До всіх властивостям ревізора ADinf цей варіант програми додає зручний графічний інтерфейс користувача.

Ревізор ADinf Pro призначений для контролю за збереженням особливо цінної інформації, наприклад баз даних або документів, в середовищі операційних систем MS-DOS, Windows 3.xx і Windows 95/98. Особливістю цього варіанту програми є використання 64-бітної хеш-функції для контролю цілісності файлів, розробленої відомої Російської фірмою ЛАН-крипт. Використання цієї хеш-функції гарантує не тільки виявлення випадкових змін файлів або змін, викликаних вірусами, а й унеможливлює навмисну \u200b\u200bнепомітну модифікацію даних на диску.

Ревізор ADinf32 - це 32-бітове багатопоточний додаток для операційних систем Windows 95/98 і Windows NT з сучасним інтерфейсом користувача. Цей варіант програми не тільки має всі переваги інших варіантів, але і містить багато нового в порівнянні з ними.

Слід зауважити, що програма Adinf добре інтегрована з іншими програмами комплекту DSAV фірми «Діалог-Наука». Так, Adinf створює список нових і змінених файлів на диску, а Aidstest і DrWeb можуть перевіряти файли з цього списку, що значно скорочує час роботи цих програм.

(AntiViral Toolkit Pro)

Дана програма була створена ЗАТ «Лабораторія Касперського». AVP володіє одним з найдосконаліших механізмів виявлення вірусів. Сьогодні AVP практично ні в чому не поступається західним аналогам.

AVP надає користувачам максимум сервісу - можливість оновлення антивірусних баз через Інтернет, можливість завдання параметрів автоматичного сканування і лікування заражених файлів. Оновлення на сайті AVP з'являються практично щотижня, а база даних включає описи вже майже 40 тисяч вірусів.

AVP складається з декількох важливих модулів:

  • 1) AVP сканер перевіряє жорсткі диски на предмет зараження вірусами. Можна задати повний пошук, при якому програма буде перевіряти всі файли поспіль, а також задати режим перевірки файлів, що архівуються. Одне з головних переваг AVP - боротьба з макровірусами. Користувач може вибрати спеціальний режим, при якому будуть перевірятися документи, створені в форматі Microsoft Office. Після виявлення вірусів або заражених файлів, AVP пропонує на вибір кілька варіантів: видалити віруси з файлів, видалити самі заражені файли або перемістити їх в спеціальну папку.
  • 2) AVP Monitor. Ця програма автоматично завантажується при запуску Windows. AVP Monitor автоматично перевіряє всі запускаються на комп'ютері файли і відкриваються документи і в разі вірусної атаки сигналізує про це користувачеві. Більш того, в більшості випадків AVP Monitor просто не дає зараженому файлу запуститися, блокуючи процес його виконання. Ця функція програми дуже корисна для тих, хто постійно має справу з безліччю нових файлів, наприклад, для активних користувачів Інтернет (тому що кожні п'ять хвилин запускати AVP для перевірки завантажених файлів неможливо, то тут на допомогу приходить AVP Monitor).
  • 3) AVP Inspector - останній і дуже важливий модуль комплекту AVP, що дозволяє відловлювати навіть невідомі віруси. «Інспектор» використовує метод контролю зміни розміру файлів. Впроваджуючи в файл, вірус неминуче збільшує його обсяг, і «інспектор» легко його виявляє.

Крім усього перерахованого існує так званий Центр Управління AVP - «пульт управління» всіма програмами комплексу AVP. Найважливіша функція цієї програми - вбудований Планувальник Завдань, що дозволяє здійснювати оперативну перевірку (а якщо знадобиться - і лікування системи) в автоматичному режимі, без участі користувача, але в заданий їм час.