Вирішення проблем

Поняття про комп'ютерні віруси і їх класифікація. Класифікація антивірусів. Програмні продукти на основі технологій Bitdefender

Користувач сучасного персонального комп'ютера має вільний доступ до всіх ресурсів машини. Саме це відкрило можливість для існування небезпеки, яка отримала назву комп'ютерного вірусу.

Комп'ютерним вірусом називається спеціально написана програма, здатна спонтанно приєднуватися до інших програм, створювати свої копії та впроваджувати їх у файли, системні області комп'ютера і в обчислювальні мережі з метою порушення роботи програм, псування файлів і каталогів, створення всіляких перешкод в роботі на комп'ютері. Залежно від середовища існування віруси можна розділити на мережеві, файлові, завантажувальні, файлово-завантажувальні, макровіруси і троянські програми.

  • Мережеві вірусипоширюються по різних комп'ютерних мережах.
  • файлові вірусивпроваджуються головним чином у виконувані модулі. Файлові віруси можуть впроваджуватися і в інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не отримують управління і, отже, втрачають здатність до розмноження.
  • завантажувальні вірусивпроваджуються в завантажувальний сектор диска (Boot-сектор) або в сектор, що містить програму завантаження системного диска (Master Boot Record).
  • Файлово-завантажувальні вірусизаражають як файли, так і завантажувальні сектори дисків.
  • макровірусинаписані на мовах високого рівня і вражають файли документів додатків, які мають вбудовані мови автоматизації (макромови), такі, наприклад, як додатки сімейства Microsoft Office.
  • троянські програми, Маскуючись під корисні програми, є джерелом зараження комп'ютера вірусами.

Для виявлення, видалення і захисту від комп'ютерних вірусів розроблено декілька видів спеціальних програм, які дозволяють виявляти і знищувати віруси. Такі програми називаються антивірусними. Розрізняють такі види антивірусних програм:

  • - програми-детектори;
  • - програми-доктора, або фаги;
  • - програми-ревізори;
  • - програми-фільтри;
  • - програми-вакцини, або іммунізатори.

Програми-детекториздійснюють пошук характерної для конкретного вірусу сигнатури в оперативній пам'яті й у файлах і при виявленні видають відповідне повідомлення. Недоліком таких антивірусних програм є те, що вони можуть знаходити тільки ті віруси, які відомі розробникам таких програм.

Програми-доктора, Або фаги, а також програми-вакцинине тільки знаходять заражені вірусами файли, але і «лікують» їх, тобто. е. видаляють з файлу тіло програми-вірусу, повертаючи файли в початковий стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і тільки потім переходять до «лікування» файлів. Серед фагів виділяють полифаги, Т. Е. Програми-доктори, призначені для пошуку н знищення великої кількості вірусів. Найбільш відомі з них: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

У зв'язку з тим, що постійно з'являються нові віруси, програми-детектори і програми-доктори швидко застарівають, і потрібно регулярне оновлення версій.

Програми-ревізоривідносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують початковий стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни виводяться на екран монітора. Як правило, порівняння станів проводять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файла, код циклічного контролю (контрольна сума файла), дата і час модифікації, інші параметри. Програми-ревізори мають достатньо розвинені алгоритми, виявляють стелс-віруси і можуть навіть відрізнити зміни версії програми від змін, внесених вірусом. До числа програм-ревізорів належить широко поширена програма Kaspersky Monitor.

Програми-фільтриабо «сторожа» є невеликі резидентні програми, призначені для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:

  • - спроби корекції файлів з розширеннями СОМ. ЕХЕ;
  • - зміна атрибутів файлу;
  • - пряма запис на диск по абсолютному адресою;
  • - запис в завантажувальні сектори диска;

При спробі будь-якої програми здійснити зазначені дії «сторож» посилає користувачеві повідомлення і пропонує заборонити або дозволити відповідну дію. Програми-фільтри вельми корисні. так як здатні виявити вірус на ранній стадії його існування, до розмноження. Однак вони не «лікують» файли і диски.

Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До недоліків програм-сторожів можна віднести їх «настирливість» (наприклад, вони постійно видають попередження про будь-яку спробу копіювання виконуваного файлу), а також можливі конфлікти з іншим програмним забезпеченням.

Вакцини або іммунізатори- це резидентні програми. запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-доктори, «лікують» цей вірус. Вакцинація можлива тільки від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їх роботі, а вірус буде сприймати їх зараженими і тому не впровадити. В даний час програми-вакцини мають обмежене застосування.

Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення виявлених вірусів на кожному комп'ютері дозволяють уникнути поширення вірусної епідемії на інші комп'ютери.

Люди, які постійно працюють за комп'ютером, часто стикаються з проблемами при його експлуатації, починають кликати на допомогу програмістів, хоча в більшості випадків такі казуси трапляються через неуважність та неосвіченості самого користувача. Адже основні біди приходять саме з зараженням комп'ютера вірусом. Поняття і класифікація комп'ютерних вірусів - це та основа, знання якої здатне запобігти 50% неполадок на комп'ютері користувача.

Знання сила

Спробуємо визначити, що ж таке комп'ютерний вірус. Як і в реальному житті, вірус - це організм, здатний до самостійного копіювання і безконтрольного розмноження. Це програма, здатна самостійно, без відома користувача, розвиватися, виконувати свої функції, закладені в неї програмістом. Цього мало для того, щоб зловити вірус або запобігти зараженню вашого комп'ютера, однак допоможе вам в найпростіших випадках хоча б забити тривогу і викликати фахівця. Класифікація комп'ютерних вірусів допоможе останньому з точністю підібрати інструмент, необхідний для порятунку вашого комп'ютера. Тому постараємося і ми розібратися в ній.

загальне поняття

Порівнявши трохи раніше комп'ютерний вірус з реальним мікроорганізмом, можна провести паралель і з тим, що вражає конкретний вірус або черв'як. Однією з основних є класифікація комп'ютерних вірусів по природному середовищі, адже, залежно від призначення, розташування вірусу в комп'ютерному середовищі буде також відрізнятися. Наведемо загальну стандартну схему.

  1. Файлові віруси. Мабуть, найпоширенішими на сьогоднішній день є віруси, які вражають файли на вашому комп'ютері. У більшості випадків вони проникають в виконувані файли або бібліотеки програм для виконання своїх завдань. Ці віруси являють собою скрипт, написаний на скриптовій мовою програмування (наприклад JavA).
  2. Завантажувальні віруси. Як зрозуміло з назви, вони запускаються при завантаженні операційної системи. Вони записують свій код в завантажувальний сектор Windows.
  3. Мережеві віруси. Досить неприємна річ, яка розсилає свої копії по мережі, поштою або системам обміну повідомленнями на кшталт ICQ. Ще одним неприємним моментом є те, що такий вірус може розмножуватися до тих пір, поки не заповнить весь простір на комп'ютері користувача, а в найгіршому випадку ще й почне звільняти собі місце, видаляючи призначені для користувача програми.
  4. Макро-віруси. Вражають виключно файли додатків, що підтримують роботу з макросами, такими як Office.

Варто зауважити, що така класифікація вірусів не може бути повною, оскільки розвиток цієї зарази не стоїть на місці, і існують віруси, які можна віднести до кількох підтипів.

Увага, небезпека!

Розглядати віруси можна з абсолютно різних сторін. Якщо говорити про них за ступенем впливу на систему, то класифікація комп'ютерних вірусів коротко буде виглядати так:


працюють фахівці

Окремої згадки заслуговує класифікація комп'ютерних вірусів і антивірусних програм. Більшість фахівців, що працюють в сфері комп'ютерної безпеки, мають свої класифікації і способи позначення комп'ютерних вірусів. Наприклад, всім відома лабораторія Касперського. Після багатьох років роботи ними була створена, мабуть, сама детальна класифікація комп'ютерних вірусів. Касперський виділяє наступні типи "шкідників":

  1. Уже відомі мережеві віруси - черв'яки, що використовують для поширення електронну пошту.
  2. Пакувальники. Це, скоріше, просто шкідники, а не віруси, заслані з певною метою. Їх завдання полягає в архівування файлів таким чином, щоб їх розархівування була неможлива. Найчастіше при архівації вони на додаток ще й кодують інформацію.
  3. Шкідливі утиліти.
  4. Троянські програми. Їх назва походить від міфу про троянського коня. Відповідаючи свого прототипу, такі віруси маскуються під нешкідливі програми для проникнення на комп'ютер. Їх основне функціональне призначення - надання доступу зловмисникові до управління вашим комп'ютером. Тут також можна виділити деякі підкатегорії:

1) віруси, для віддаленого управління вашим комп'ютером;

2) віруси для завантаження шкідливого забезпечення з інтернету;

3) програми, несанкціоновано встановлюють на комп'ютер інші віруси.

як заразитися

Попереджений значить озброєний. Так говорить народна мудрість. Знаючи, де і як існує можливість підхопити комп'ютерний вірус, можна уникнути значних труднощів, пов'язаних з видаленням його. Запобігти зараженню набагато простіше, ніж вилікувати комп'ютер після попадання в нього вірусу. Існує також класифікація комп'ютерних вірусів за способом зараження:

Захист від вірусів

Як вже стало зрозуміло, шкідливих програм існує велика кількість. Захиститися від них не допоможе жодна класифікація вірусів. Комп'ютерних шахраїв, спамерів розвелося настільки багато, що своїми власними руками впоратися з усіма неможливо. Саме для цього існує велика кількість антивірусних програм, здатних допомогти впоратися з цією проблемою. Розглянемо їх з точки зору звичайних користувачів.

Найпоширенішою антивірусною програмою є "Антивірус Касперського". Пропонована користувачам у всіх можливих магазинах, ця програма здатна надійно захистити комп'ютер від шкідливих програм. Тим не менш просунуті користувачі знають про істотні побічні ефекти цієї надійності. "Касперський" не тільки дуже сильно вантажить систему і при найменшій небезпеці піднімає тривогу, але ще й не дає адекватно працювати з одними додатками. Тому зараз цей антивірус використовується в основному на підприємствах, оскільки його покупку простіше провести по бухгалтерії, та й перевірочні комісії з безпеки відносяться до нього набагато лояльніше. Варто зауважити, що, завдяки цій лабораторії, була створена базова класифікація комп'ютерних вірусів. Повідомлення про те, що знайдений вірус на комп'ютер, який видає їх антивірус, на жаль, не завжди несе в собі достовірну інформацію.

Гідною заміною "Касперському", може послужити NOD32. Надійно і міцно захищає, спеціально для звичайних користувачів існують безкоштовні версії. Працює як годинник і без збоїв, але абсолютну надійність забезпечує виключно в повній платній комплектації. Тому єдиним недоліком цього антивіруса стане ціна, якщо виключити скачування підтримуються зламаних версій.

Лідером серед антивірусів по праву можна вважати Dr.Web. Чи не ганяючись за славою і заробітком, він надає всім бажаючим на своєму сайті завантажити пробну версію з повним функціоналом. Однією з головних особливостей "Доктора" є можливість призупинити повністю роботу операційної системи, що дозволяє зловити навіть самих "хитрих шкідників". Цією програмою використовується власна класифікація вірусів. Комп'ютерних черв'яків утиліта знаходить швидко і ефективно, а резидентні віруси не здатні "сховатися" в оперативній пам'яті.

Ворога треба знати в обличчя

Отже, вище було розглянуто класифікація комп'ютерних вірусів. З прикладами вам, напевно, було б простіше розібратися, тому наведемо кілька для наочності.

Trj.Reboot - змушує перезавантажуватися ваш комп'ютер.

Relax - інфікує документи Microsoft Word, а також глобальні змінні. Був особливо популярний і актуальний на Windows 98. Результатом роботи стає виведення на екран інформаційного повідомлення.

Marburg - вражає виконувані файли з розширенням EXE, запускаючи їх в різних директоріях, в результаті чого збільшується їх розмір.

Flame - комп'ютерний черв'як, виявлений "Лабораторією Касперського". Його особливість в тому, що він складається з декількох десятків частин, кожна з яких має свій функціонал.

Подумайте про безпеку

У даній статті були розглянуті поняття і класифікація комп'ютерних вірусів. Якщо ви уважно і вдумливо прочитали все написане, то напевно вже зрозуміли, що абсолютного захисту не існує. Незважаючи на це, вибір засобів захисту лягає на ваші плечі. Останнє, що варто було б вказати, так це просто пару корисних порад:

  1. Не лізьте на підозрілі сайти і не переходьте за посиланнями, надісланим незнайомими людьми.
  2. Не ведіться на рекламу і спливаючі вікна в інтернеті.
  3. Якщо завантажуєте програми з інтернету, переконайтеся в безпеці джерела.
  4. У разі якщо шукаєте якусь програму, намагайтеся завантажувати її на популярних ресурсах, а не на задвірках світового павутиння.
  5. Не використовуйте носії даних, які могли вставлятися в комп'ютери загального користування (інтернет-кафе).

Дотримуючись цих простих порад, ви зможете обійтися навіть без антивіруса. А класифікація комп'ютерних вірусів знадобиться вам хіба що для навчання або саморозвитку.

Дані програми можна класифікувати за п'ятьма основними групами: фільтри, детектори, ревізори, доктора і вакцинатори.

Антивіруси-фільтри- це резидентні програми, які сповіщають користувача про всі спроби будь-якої програми записатися на диск, а вже тим більше відформатувати його, а також про інших підозрілих діях (наприклад про спроби змінити установки CMOS). При цьому виводиться запит про дозвіл або заборону даної дії. Принцип роботи цих програм заснований на перехоплення відповідних векторів переривань. До переваг програм цього класу в порівнянні з програмами-детекторами можна віднести універсальність по відношенню як до відомих, так і невідомих вірусів, тоді як детектори пишуться під конкретні, відомі на даний момент програмісту види. Це особливо актуально зараз, коли з'явилося безліч вірусів-мутантів, які не мають постійного коду. Однак, програми-фільтри не можуть відслідковувати віруси, які звертаються безпосередньо до BIOS, а також BOOT-віруси, що активізуються ще до запуску антивірусу, в початковій стадії завантаження DOS, До недоліків також можна віднести часту видачу запитів на здійснення будь-якої операції: відповіді на питання віднімають у користувача багато часу і діють йому на нерви. При установці деяких антивірусів-фільтрів можуть виникати конфлікти з іншими резидентними програмами, що використовують ті ж переривання, які просто перестають працювати.

Найбільшого поширення в нашій країні отримали програми-детектори, А вірніше програми, що поєднують в собі детектор і доктор. Найбільш відомі представники цього класу - Aidstest, Doctor Web, MicroSoft AntiVirus далі будуть розглянуті детальніше. Антивіруси-детектори розраховані на конкретні віруси і засновані на порівнянні послідовності кодів містяться в тілі вірусу з кодами перевіряються програм. Багато програм-детектори дозволяють також «лікувати» заражені файли або диски, видаляючи з них віруси (зрозуміло, лікування підтримується тільки для вірусів, відомих програмі-детектору). Такі програми потрібно регулярно оновлювати, так як вони швидко застарівають і не можуть виявляти нові види вірусів.

ревізори- це програми, які аналізують поточний стан файлів і системних областей диска і порівнюють його з інформацією, збереженою раніше в одному з файлів даних ревізора. При цьому перевіряється стан BOOT-сектора, таблиці FAT, а також довжина файлів, їх час створення, атрибути, контрольна сума. Аналізуючи повідомлення програми-ревізора, користувач може вирішити, чим викликані зміни: вірусом чи ні. При видачі такого роду повідомлень не слід вдаватися до паніки, тому що причиною змін, наприклад, довжини програми може бути зовсім і не вірус.

До останньої групи належать найбільш неефективні антивіруси - вакцинатори. Вони записують в вакцініруемих програму ознаки конкретного вірусу так, що вірус вважає її вже зараженої.

У нашій країні, як уже було сказано вище, особливої ​​популярності набули антивірусні програми, що поєднують в собі функції детекторів і докторів. Найвідомішою з них є програма AIDSTEST Д.Н. Лозинського. Ця програма була винайдена її в 1988 р і з тих пір вона постійно вдосконалюється і поповнюється. У Росії практично на кожному IBM-сумісному персональному комп'ютері є одна з версій цієї програми. Одна з останніх версій виявляє більше 1500 вірусів.

Програма Aidstest призначена для виправлення програм, заражених звичайними (неполіморфнимі) вірусами, не міняють свій код. Це обмеження викликано тим, що пошук вірусів цією програмою ведеться за розпізнавальним кодам. Зате при цьому досягається дуже висока швидкість перевірки файлів.

Aidstest для свого нормального функціонування вимагає, щоб в пам'яті не було резидентних антивірусів, блокуючих запис в програмні файли, тому їх слід вивантажити, або, вказавши опцію вивантаження самої резидентної програмі, або скористатися відповідною утилітою.

При запуску Aidstest перевіряє оперативну пам'ять на наявність відомих йому вірусів і знешкоджує їх. При цьому паралізуються тільки функції вірусу, пов'язані з розмноженням, а інші побічні ефекти можуть залишатися. Тому програма після закінчення знешкодження вірусу в пам'яті видає запит про перезавантаження. Слід обов'язково піти цій раді, якщо оператор ПЕОМ не є системним програмістом, які займаються вивченням властивостей вірусів. При чому слід перезавантажитися кнопкою RESET, так як при «теплою перезавантаження» деякі віруси можуть зберігатися. До того ж, краще запустити машину і Aidstest з захищеної від записи дискетою, так як при запуску з зараженого диска вірус може записатися на згадку резидентом і перешкоджати лікуванню.

Aidstest тестує своє тіло на наявність відомих вірусів, а також по перекручувань у своєму коді судить про своє зараження невідомим вірусом. При це можливі випадки помилкової тривоги, наприклад при стисненні антивіруса пакувальником. Програма не має графічного інтерфейсу, і режими її роботи задаються за допомогою ключів. Вказавши шлях, можна перевірити не весь диск, а окремий підкаталог.

Недоліки програми Aidstest:

Чи не розпізнає поліморфні віруси;

Чи не забезпечена евристичним аналізатором, що дозволяє знаходити невідомі їй віруси;

Не вміє перевіряти і лікувати файли в архівах;

Чи не розпізнає віруси в програмах, оброблених пакувальниками здійснимих файлів типу EXEPACK, DIET, PKLITE і т.д.

Переваги Aidstest:

Легка у використанні;

Працює дуже швидко;

Розпізнає значну частину вірусів;

Добре інтегрована з програмою-ревізором Adinf;

Працює практично на будь-якому комп'ютері.

Останнім часом стрімко зростає популярність інший антивірусної програми - Doctor Web, яку пропонує фірма «Діалог-Наука». Ця програма була створена в 1994 р І.А. Даниловим. Dr. Web так само, як і Aidstest належить до класу детекторів - докторів, але на відміну від останнього має так званий «евристичний аналізатор» - алгоритм, що дозволяє виявляти невідомі віруси. «Лікувальна павутиння», як перекладається з англійської назва програми, стала відповіддю вітчизняних програмістів на навала самомодифицирующихся вірусів-мутантів, які при розмноженні модифікують своє тіло так, що не залишається жодної характерною ланцюжка байт, яка була присутня в вихідної версії вірусу. На користь цієї програми говорить той факт, що велику ліцензію (на 2000 комп'ютерів) набуло Головне управління інформаційних ресурсів при Президенті РФ, а другий за величиною покупець «павутини» - «Інкомбанк».

Управління режимами також як і в Aidtest здійснюється за допомогою ключів. Користувач може вказати програмі тестувати як весь диск, так і окремі підкаталоги або групи файлів, або ж відмовитися від перевірки дисків і тестувати тільки оперативну пам'ять. У свою чергу можна тестувати або тільки базову пам'ять, або, до того ж, ще й розширену. Як і Aidstest, Doctor Web може створювати звіт про роботу, завантажувати знакогенератор Кирилиці, підтримувати роботу з програмно-апаратним комплексом Sheriff.

Тестування вінчестера Dr. Web-ом займає набагато більше часу, ніж Aidstest-ом, тому не кожен користувач може собі дозволити витрачати стільки часу на щоденну перевірку всього жорсткого диска. Таким користувачам можна порадити ретельніше перевіряти принесені ззовні дискети. Якщо інформація на дискеті знаходиться в архіві (а останнім часом програми і дані переносяться з машини на машину тільки в такому вигляді; навіть фірми-виробники програмного забезпечення, наприклад Borland, пакують свою продукцію), слід розпакувати його в окремий каталог на жорсткому диску і відразу ж, не відкладаючи, запустити Dr. Web, поставивши йому як параметра замість імені диска повний шлях до цього підкаталогу. І все ж потрібно хоча б раз на два тижні робити повну перевірку «вінчестера» на віруси із завданням максимального рівня евристичного аналізу.

Так само як і у випадку з Aidstest при початковому тестуванні годі вирішувати програмі лікувати файли, в яких вона знайде вірус, оскільки не можна виключити, що послідовність байт, прийнята в антивірусі за шаблон може зіткнутися здорової програмі.

На відміну від Aidstest, програма Dr. Web:

розпізнає поліморфні віруси;

забезпечена евристичним аналізатором;

вміє перевіряти і лікувати файли в архівах;

дозволяє тестувати файли, вакциновані CPAV, а також упаковані LZEXE, PKLITE, DIET.

Фірма «Діалог-Наука» пропонує різні версії програми DrWeb для DOS. Як відомо, є дві версії для DOS, які традиційно називаються 16-розрядноїі 32-розрядної(Остання також називається Doctor Web для DOS / 386, DrWeb386). У цих назвах (16- і 32-розрядна) повністю відображена суть відмінності версій для DOS, проте безпосередньо з назв вона очевидна лише фахівцям. Лише 32-розрядної версії володіє всіма функціональними можливостями, притаманними іншим сучасним версіями Doctor Web (зокрема, версіями для Windows).

16-розрядної версії, в силу обмежень за обсягом доступної пам'яті, що накладаються операційною системою, не володіє деякими вкрай важливими на сьогоднішній день «вміннями», зокрема, в неї не включені (і в силу зазначених обмежень по пам'яті, не можуть бути включені) :

модулі «обслуговування» відомих вірусів сучасних типів (зокрема, мова йде про макро- і стелс-віруси);

модулі евристичного аналізатора для виявлення невідомих вірусів сучасних типів;

модулі розпакування сучасних типів архівів і упакованих Windows-програм та ін.

Таким чином, хоча 16-розрядної версії використовує ту ж вірусну базу (VDB-файли), що і 32-розрядні версії, відсутність в ній деяких модулів робить обробку відповідних вірусів неможливою.

Крім того, в силу тих же причин, 16-розрядної версії не підтримує деякі сучасні програмні та апаратно-технічні засоби, що може зробити її роботу нестійкою або некоректною.

Оскільки 32-розрядної версії є повнофункціональної і, як видно з іншого її назви - Doctor Web для DOS / 386, може використовуватися при роботі в DOS на комп'ютерах з процесором не нижче 386, всім користувачам, які потребують версії Doctor Web для DOS, краще використовувати саме її.

Що ж стосується 16-розрядної версії, то вона продовжує випускатися, оскільки ще існує парк старих машин на платформі 86/286, де 32-розрядної версії працювати не може.

(Anti-Virus Software Protection)

Цікавим програмним продуктом є антивірус AVSP. Ця програма поєднує в собі і детектор, і доктор, і ревізор, і навіть має деякі функції резидентного фільтра (заборона запису у файли з атрибутом READ ONLY). Антивірус може лікувати як відомі, так і невідомі віруси, причому про спосіб лікування останніх програмі може повідомити сам користувач. До того ж AVSP може лікувати самомодифицирующиеся і Stealth-віруси (невидимки).

При запуску AVSP з'являється система вікон з меню та інформація про стан програми. дуже зручна контекстна система підказок, Яка дає пояснення до кожного пункту меню. Вона викликається класично, клавішею F1, і змінюється при переході від пункту до пункту. Так само не маловажним гідністю в наше століття Windows-ів і «півосях» (OS / 2) є підтримка миші. Істотний недолік інтерфейсу AVSP - відсутність можливості вибору пунктів меню натисканням клавіші з відповідною буквою, хоча це дещо компенсується можливістю вибрати пункт, натиснувши ALT і цифру, що відповідає номеру цього пункту.

До складу пакету AVSP входить також резидентний драйвер AVSP.SYS, Який дозволяє виявляти більшість невидимих ​​вірусів (крім вірусів типу Ghost-тисяча дев'ятсот шістьдесят три або DIR), дезактивувати віруси на час своєї роботи, а також забороняє змінювати READ ONLY файли.

Ще одна функція AVSP.SYS - відключення на час роботи AVSP.EXE резидентних вірусів, Правда разом з вірусами драйвер відключає і деякі інші резидентні програми. При першому запуску AVSP слід протестувати систему на наявність відомих вірусів. При цьому перевіряється оперативна пам'ять, BOOT-сектор і файли. У ряді випадків можна відновлювати навіть файли, зіпсовані невідомим вірусом. Можна встановити перевірку розмірів файлів, їх контрольних сум, наявність в них вірусів, або все це разом. Так само можна вказати, що саме перевіряти (Boot-сектор, пам'ять, або файли). Як і в більшості антивірусних програм, тут користувачеві надається можливість вибрати між швидкістю і якістю. Суть швидкісний перевірки полягає в тому, що проглядається не весь файл, а тільки його початок; при цьому вдається виявити більшість вірусів. Якщо ж вірус пишеться в середину, або файл заражений декількома вірусами (при цьому «старі» віруси як би відтісняються в середину "молодим") то програма його і не помітить. Тому слід встановити оптимізацію за якістю, тим більше що в AVSP якісне тестування займає не набагато більше часу, ніж швидкісне.

При автоматичному визначенні нових вірусів AVSP може допустити безліч помилок. Так що при автоматичному визначенні шаблону слід не полінуватися перевірити, чи дійсно це вірус і чи не буде цей шаблон зустрічатися в здорових програмах.

Якщо в процесі AVSP виявить відомий вірус, то слід зробити ті ж дії, як і при роботі з Aidstest і Dr. Web: скопіювати файл на диск, перезавантажитися з резервної дискети і запустити AVSP. Бажано також, щоб при цьому в пам'ять був завантажений драйвер AVSP.SYS, так як він допомагає основній програмі лікувати Stealth-віруси.

Ще однією корисною функцією є вбудований дизассемблер. З його допомогою можна розібратися, чи є в файлі вірус або при перевірці диска відбулося помилкове спрацьовування AVSP. Крім того, можна спробувати з'ясувати спосіб зараження, принцип дії вірусу, а також місце, куди він «сховав» заміщені байти файлу (якщо ми маємо справу з таким типом вірусу). Все це дозволить написати процедуру видалення вірусу і відновити зіпсовані файли. Ще одна корисна функція - видача наочної карти змін. Карта змін дозволяє оцінити, чи відповідають ці зміни вірусу чи ні, а також звузити область пошуку тіла вірусу при дизассемблирования.

У програмі AVSP є два алгоритму нейтралізації стелс-вірусів ( «невидимок») і обидва вони працюють тільки при наявності активного вірусу в пам'яті. Ось, що відбувається при реалізації цих алгоритмів: всі файли копіюються в файли даних, а потім стираються. Рятуються тільки файли з атрибутом SYSTEM. У Adinf процес видалення Stealth-ів реалізований набагато простіше.

Програма AVSP контролює також і стан завантажувальних секторів. Якщо заражений BOOT-сектор на дискеті і антивірус не може його вилікувати, то слід стерти завантажувальний код. Дискета при цьому стане несистемної, але дані при цьому не загубляться. З вінчестером так чинити не можна. При виявленні змін в одному з BOOT-секторів жорсткого диска AVSP запропонує його зберегти в деякому файлі, а потім спробує видалити вірус.

Microsoft Antivirus

До складу сучасних версій MS-DOS (наприклад, 6.22) входить антивірусна програма Microsoft Antivirus (MSAV). Цей антивірус може працювати в режимах детектора-доктора і ревізора. MSAV має інтерфейс в стилі MS-Windows, Природно, підтримується миша. добре реалізована контекстна допомогу:підказка є практично до будь-якого пункту меню, до будь-якої ситуації. Універсально реалізований доступ до пунктів меню: для цього можна використовувати клавіші управління курсором, ключові клавіші (F1-F9), клавіші, відповідні одній з букв назви пункту, а також миша. Серйозним незручністю при використанні програми є те, що вона зберігає таблиці з даними про файли не в одному файлі, а розкидає їх по всіх тек.

При запуску програма завантажує власний знакогенератор і читає дерево каталогів поточного диска, після чого виходить в головне меню. Не зрозуміло, навіщо читати дерево каталогів відразу при запуску: адже користувач може і не захотіти перевіряти поточний диск.

При першій перевірці MSAV створює в кожній директорії, що містить виконані файли, файли CHKLIST.MS, в які записує інформацію про розмір, дату, час, атрибутах, а також контрольну суму контрольованих файлів. При наступних перевірках програма буде порівнювати файли з інформацією в CHKLIST.MS-файлах. Якщо змінилися розмір і дата, то програма повідомить про це користувачеві і запитає про подальші дії: оновити інформацію (Update), встановити дату і час у відповідність з даними в CHKLIST.MS (Repair), продовжити, не звертаючи уваги на зміни в даному файлі (Continue), перервати перевірку (Stop).

У меню Options можна конфігурувати програму за власним бажанням. Тут можна встановити режим пошуку вірусів-невидимок (Anti-Stealth), перевірки всіх (а не тільки здійсненних) файлів (Check All Files), а також дозволити або заборонити створювати таблиці CHKLIST.MS (Create New Checksums). До того ж можна поставити режим збереження звіту про виконану роботу в файлі. Якщо встановити опцію Create Backup, то перед видаленням вірусу з зараженого файлу його копія буде збережена з розширенням VIR.

Перебуваючи в основному меню, можна переглянути список вірусів, відомих програмі MSAV, натиснувши клавішу F9. При цьому виведеться вікно з назвами вірусів. Щоб побачити більш детальну інформацію про вірус, потрібно підвести курсор до його імені і натиснути ENTER. Можна швидко перейти до цікавого для вірусу, набравши перші літери його імені. Інформацію про вірус можна вивести на принтер, вибравши відповідний пункт меню.

(Advanced Diskinfoscope)

ADinf відноситься до класу програм-ревізорів. Ця програма була створена Д.Ю. Мостовим в 1991 р

Сімейство програм ADinf - це ревізори дисків, призначені для роботи на персональних комп'ютерах під управлінням операційних систем MS-DOS, MS-Windows 3.xx, Windows 95/98 і Windows NT / 2000. Робота програм заснована на регулярному відстеженні змін, що відбуваються на жорстких дисках. У разі появи вірусу, ADinf виявляє його по тим модифікаціям, які він виконує в файлової системі і / або завантажувальному секторі диска і інформує про це користувача. На відміну від антивірусів-сканерів, ADinf не використовує в своїй роботі «портретів» (сигнатур) конкретних вірусів. Тому ADinf особливо ефективний для виявлення нових вірусів, протиотруту для яких ще не придумано.

Особливо слід відзначити, що для контролю дисків ADinf не використовує функції операційної системи. Він читає диск по секторах і самостійно розбирає структуру файлової системи, що дозволяє йому виявляти так звані віруси-невидимки (стелс-віруси).

Якщо в системі встановлено лікуючий блок Adinf ( ADinf Cure Module ), То цей тандем здатний не тільки виявляти, але і успішно видаляти інформацію, що з'явилася заразу. Тестування показало, що ADinf Cure Module здатний успішно впоратися з 97% вірусів, відновивши пошкоджені файли з точністю до байта.

Корисні властивості ADinf не обмежуються тільки лише боротьбою з вірусами. По суті ADinf є системою, що дозволяє стежити за збереженням інформації на дисках і виявляти будь-які, навіть малопомітні зміни в файлову систему, а саме, зміни системних областей, зміни файлів, створення і видалення каталогів, створення, видалення, перейменування і переміщення файлів з каталогу в каталог. Склад контрольованої інформації гнучко настроюється, що дозволяє ставити під контроль тільки те, що потрібно.

Перша версія програми вийшла в 1991 році і з тих пір ADinf заслужено є найпопулярнішим ревізором в Росії і країнах колишнього СРСР. Сьогодні вже важко порахувати число легальних і нелегальних користувачів ADinf. Більше 2500 корпоративних передплатників Антивірусного комплекту Діалог-Науки, в складі якого поставляється ADinf, захищають їм свої комп'ютери. Програма ADinf отримала сертифікати в Системі сертифікації ГОСТ Р., Системі сертифікації засобів захисту інформації Міністерства оборони та Сертифікат Державної технічної комісії при президенті Російської федерації (в складі Антивірусного комплекту Діалог-Науки). Програма постійно удосконалюється і весь час перебуває на вістрі сучасних технологій.

Спочатку ревізор ADinf був розроблений для операційної системи MS-DOS. Потім були випущені варіанти програми для Windows 3.xx і Windows 95/98 / NT. Зараз існує сімейство сумісних між собою ревізорів для різних операційних систем. Всі варіанти ADinf сьогодні підтримують файлові системи Windows 95/98, довгі імена файлів і каталогів, розбирають внутрішню структуру виконуваних файлів Windows 95/98 і NT.

Отже, програма Adinf:

має високу швидкість роботи;

здатна успішно протистояти вірусам, які у пам'яті;

дозволяє контролювати диск, читаючи його по секторах через BIOS і використовуючи системні переривання DOS, що може перехопити вірус;

може обробляти до 32000 файлів на кожному диску;

на відміну від AVSP, в якому користувачеві доводиться самому аналізувати, чи заражена машина Stealth-вірусом, завантажуючись спочатку з вінчестера, а потім з еталонною дискети, в ADinf ця операція відбувається автоматично;

на відміну від інших антивірусів Advansed Diskinfoscope не вимагає завантаження з еталонною, захищеної від записи дискети. При завантаженні з вінчестера надійність захисту не зменшується;

ADinf має добре виконаний дружній інтерфейс, який на відміну від AVSP реалізований не в текстовому, а в графічному режимі;

при інсталяції ADinf до системи є можливість змінити ім'я основного файлу ADINF.EXE і ім'я таблиць, при цьому користувач може задати будь-яке ім'я. Це дуже корисна функція, так як останнім часом з'явилося багато вірусів, «полюють» за антивірусами (наприклад, є вірус, який змінює програму Aidstest так, що вона замість заставки фірми «ДиалогНаука» пише: «Лозинський - пень»), в тому числі і за ADinf.

Існує кілька варіантів ревізора Adinf для різних операційних систем. Кожен з них має свої особливості.

Ревізор ADinf призначений для операційних систем MS-DOS і Windows 95/98. Це розвиток першого варіанту ревізора, створеного ще в 1991 році. Сьогодні ADinf це найнадійніший засіб для виявлення як відомих, так і нових невідомих вірусів. Це єдиний в світі ревізор, який перевіряє файлову систему читанням по секторам безпосередньо через BIOS комп'ютера.

Ревізор ADinf for Windows призначений для операційної системи Windows 3.xx. До всіх властивостям ревізора ADinf цей варіант програми додає зручний графічний інтерфейс користувача.

Ревізор ADinf Pro призначений для контролю за збереженням особливо цінної інформації, наприклад баз даних або документів, в середовищі операційних систем MS-DOS, Windows 3.xx і Windows 95/98. Особливістю цього варіанту програми є використання 64-бітної хеш-функції для контролю цілісності файлів, розробленої відомої Російської фірмою ЛАН-крипт. Використання цієї хеш-функції гарантує не тільки виявлення випадкових змін файлів або змін, викликаних вірусами, а й унеможливлює навмисну ​​непомітну модифікацію даних на диску.

Ревізор ADinf32 - це 32-бітове багатопоточний додаток для операційних систем Windows 95/98 і Windows NT з сучасним інтерфейсом користувача. Цей варіант програми не тільки має всі переваги інших варіантів, але і містить багато нового в порівнянні з ними.

Слід зауважити, що програма Adinf добре інтегрована з іншими програмами комплекту DSAV фірми «Діалог-Наука». Так, Adinf створює список нових і змінених файлів на диску, а Aidstest і DrWeb можуть перевіряти файли з цього списку, що значно скорочує час роботи цих програм.

(AntiViral Toolkit Pro)

Дана програма була створена ЗАТ «Лабораторія Касперського». AVP володіє одним з найдосконаліших механізмів виявлення вірусів. Сьогодні AVP практично ні в чому не поступається західним аналогам.

AVP надає користувачам максимум сервісу - можливість оновлення антивірусних баз через Інтернет, можливість завдання параметрів автоматичного сканування і лікування заражених файлів. Оновлення на сайті AVP з'являються практично щотижня, а база даних включає описи вже майже 40 тисяч вірусів.

AVP складається з декількох важливих модулів:

  • 1) AVP сканер перевіряє жорсткі диски на предмет зараження вірусами. Можна задати повний пошук, при якому програма буде перевіряти всі файли поспіль, а також задати режим перевірки файлів, що архівуються. Одне з головних переваг AVP - боротьба з макровірусами. Користувач може вибрати спеціальний режим, при якому будуть перевірятися документи, створені в форматі Microsoft Office. Після виявлення вірусів або заражених файлів, AVP пропонує на вибір кілька варіантів: видалити віруси з файлів, видалити самі заражені файли або перемістити їх в спеціальну папку.
  • 2) AVP Monitor. Ця програма автоматично завантажується при запуску Windows. AVP Monitor автоматично перевіряє всі запускаються на комп'ютері файли і відкриваються документи і в разі вірусної атаки сигналізує про це користувачеві. Більш того, в більшості випадків AVP Monitor просто не дає зараженому файлу запуститися, блокуючи процес його виконання. Ця функція програми дуже корисна для тих, хто постійно має справу з безліччю нових файлів, наприклад, для активних користувачів Інтернет (тому що кожні п'ять хвилин запускати AVP для перевірки завантажених файлів неможливо, то тут на допомогу приходить AVP Monitor).
  • 3) AVP Inspector - останній і дуже важливий модуль комплекту AVP, що дозволяє відловлювати навіть невідомі віруси. «Інспектор» використовує метод контролю зміни розміру файлів. Впроваджуючи в файл, вірус неминуче збільшує його обсяг, і «інспектор» легко його виявляє.

Крім усього перерахованого існує так званий Центр Управління AVP - «пульт управління» всіма програмами комплексу AVP. Найважливіша функція цієї програми - вбудований Планувальник Завдань, що дозволяє здійснювати оперативну перевірку (а якщо знадобиться - і лікування системи) в автоматичному режимі, без участі користувача, але в заданий їм час.

Сканери (Інші назви: фаги, полифаги)

Принцип роботи антивірусних сканерів заснований на перевірці файлів, секторів і системної пам'яті та пошуку в них відомих і нових (невідомих сканеру) вірусів. Для пошуку відомих вірусів використовуються так звані "маски". Маскою вірусу є деяка постійна послідовність коду, специфічна для цього конкретного вірусу. Якщо вірус не містить постійної маски, або довжина цієї маски недостатньо велика, то використовуються інші методи. Прикладом такого методу являетcя алгоритмічний мову, що описує всі можливі варіанти коду, які можуть зустрітися при зараженні подібного типу вірусом. Такий підхід використовується деякими антивірусами для детектування поліморфік-вірусів.

У багатьох сканерах використовуються також алгоритми "евристичного сканування", тобто аналіз послідовності команд в об'єкті, що перевіряється, набір деякої статистики та прийняття рішення для кожного об'єкта, що перевіряється.

Сканери також можна розділити на дві категорії - "універсальні" і "спеціалізовані". Універсальні сканери розраховані на поісх і знешкодження всіх типів вірусів незалежно від операційної системи, на роботу в якій розрахований сканер. Спеціалізовані сканери призначені для знешкодження обмеженого числа вірусів або тільки одного їх класу, наприклад макро-вірусів.

Сканери також діляться на "резидентні" (монітори), що виробляють сканування "на-льоту", і "нерезидентні", що забезпечують перевірку системи тільки за запитом. Як правило, "резидентні" сканери забезпечують більш надійний захист системи, оскільки вони негайно реагують на появу вірусу, в той час як "нерезидентний" сканер здатний впізнати вірус тільки під час свого чергового запуску.

CRC-сканери

Принцип роботи CRC-сканерів заснований на підрахунку CRC-сум (контрольних сум) для присутніх на диску файлів / системних секторів. Ці CRC-суми потім зберігаються в базі даних антивіруса, як, втім, і деяка інша інформація: довжини файлів, дати їх останньої модифікації і т.д. При наступному запуску CRC-сканери звіряють дані, що містяться в базі даних, з реально підрахованими значеннями. Якщо інформація про фото, записана в базі даних, не збігається з реальними значеннями, то CRC-сканери сигналізують про те, що файл був змінений або заражений вірусом.

CRC-сканери не здатні зловити вірус в момент його появи в системі, а роблять це лише через деякий час, вже після того, як вірус розійшовся по комп'ютеру. CRC-сканери не можуть визначити вірус в нових файлах (в електронній пошті, на дискетах, в файлах, відновлюваних з backup або при розпакуванні файлів з архіву), оскільки в їх базах даних відсутня інформація про ці файли. Більш того, періодично з'являються віруси, які використовують цю "слабкість" CRC-сканерів, заражають тільки новостворювані файли і залишаються, таким чином, невидимими для них.

блокувальники

Антивірусні блокувальники - це резидентні програми, що перехоплюють "вірус-небезпечні" ситуації і повідомляють про це користувачеві. До "вірус-небезпечним" відносяться виклики на відкриття для запису у виконувані файли, запис в boot-сектори дисків або MBR вінчестера, спроби програм залишитися резидентно і т.д., тобто виклики, які характерні для вірусів в моменти з розмноження.

До переваг блокувальників є їхня здатність виявляти і зупиняти вірус на ранній стадії його розмноження. До недоліків відносяться існування шляхів обходу захисту блокувальників і велику кількість помилкових спрацьовувань.

іммунізатори

Іммунізатори діляться на два типи: іммунізатори, повідомляють про зараження, і іммунізатори, блокуючі зараження. Перші зазвичай записуються в кінець файлів (за принципом файлового вірусу) і при запуску файлу кожного разу перевіряють його на зміну. Недолік у таких іммунізаторов всього один, але він летален: абсолютна нездатність повідомити про зараження стелс-вірусом. Тому такі іммунізатори, як і блокувальники, практично не використовуються в даний час.

Другий тип імунізації захищає систему від поразки вірусом якогось певного виду. Файли на дисках модифікуються таким чином, що вірус приймає їх за вже заражені. Для захисту від резидентного вірусу в пам'ять комп'ютера заноситься програма, що імітує копію вірусу. При запуску вірус натикається на неї і вважає, що система вже заражена.

Такий тип імунізації не може бути універсальним, оскільки не можна імунізувати файли від всіх відомих вірусів.

^ Класифікація антивірусів за ознакою змінності в часі

На думку Валерія Конявского , Антивірусні засоби можна розділити на дві великі групи - аналізують дані і аналізують процеси.

^ Аналіз даних

До аналізу даних відносяться "ревізори" і "полифаги". "Ревізори" аналізують наслідки від діяльності комп'ютерних вірусів і інших шкідливих програм. Наслідки проявляються в зміні даних, які змінюватися не повинні. Саме факт зміни даних є ознакою діяльності шкідливих програм з точки зору "ревізора". Іншими словами, "ревізори" контролюють цілісність даних і за фактом порушення цілісності приймають рішення про наявність в комп'ютерному середовищі шкідливих програм.

"Поліфагія" діють по-іншому. Вони на основі аналізу даних виділяють фрагменти шкідливого коду (наприклад, по його сигнатурі) і на цій основі роблять висновок про наявність шкідливих програм. Видалення або "лікування" уражених вірусом даних дозволяє попередити негативні наслідки виконання шкідливих програм. Таким чином, на основі аналізу "в статиці" попереджаються наслідки, що виникають "в динаміці".

Схема роботи і "ревізорів", і "полифагов" практично однакова - порівняти дані (або їх контрольну суму) з одним або декількома еталонними зразками. Дані порівнюються з даними. Таким чином, для того щоб знайти вірус у своєму комп'ютері, потрібно, щоб він уже "спрацював", щоб з'явилися наслідки його діяльності. Цим способом можна знайти тільки відомі віруси, для яких заздалегідь описані фрагменти коду або сигнатури. Навряд чи такий захист можна назвати надійною.


^ аналіз процесів

Дещо по-іншому працюють антивірусні засоби, засновані на аналізі процесів. "Евристичні аналізатори", так само як і вищеописані, аналізують дані (на диску, в каналі, в пам'яті і т.п.). Принципова відмінність полягає в тому, що аналіз проводиться в припущенні, що аналізований код - це не дані, а команди (в комп'ютерах з фон-неймановской архітектурою дані і команди невиразні, в зв'язку з цим при аналізі і доводиться висувати ту чи іншу припущення.)

"Евристичний аналізатор" виділяє послідовність операцій, кожної з них привласнює деяку оцінку "небезпеки" і за сукупністю "небезпеки" приймає рішення про те, чи є дана послідовність операцій частиною шкідливого коду. Сам код при цьому не виконується.

Іншим видом антивірусних засобів, заснованих на аналізі процесів, є "поведінковіблокатори". В цьому випадку підозрілий код виконується поетапно до тих пір, поки сукупність ініційованих кодом дій не буде оцінена як "небезпечне" (або "безпечне") поведінка. Код при цьому виконується частково, так як завершення шкідливого коду можна буде виявити більш простими методами аналізу даних.

Технології виявлення вірусів

Технології, що застосовуються в антивирусах, можна розбити на дві групи:


  • Технології сигнатурного аналізу

  • Технології імовірнісного аналізу

Технології сигнатурного аналізу

Сигнатурний аналіз - метод виявлення вірусів, що полягає в перевірці наявності у файлах сигнатур вірусів. Сигнатурний аналіз є найбільш відомим методом виявлення вірусів і використовується практично у всіх сучасних антивирусах. Для проведення перевірки антивірусу необхідний набір вірусних сигнатур, який зберігається в антивірусній базі.

З огляду на те, що сигнатурний аналіз припускає перевірку файлів на наявність сигнатур вірусів, антивірусна база потребує періодичного оновлення для підтримки актуальності антивірусу. Сам принцип роботи сигнатурного аналізу також визначає межі його функціональності - можливість виявляти лише вже відомі віруси - проти нових вірусів сигнатурний сканер неспроможний.

З іншого боку, наявність сигнатур вірусів припускає можливість лікування інфікованих файлів, виявлених за допомогою сигнатурного аналізу. Однак, лікування допустимо не для всіх вірусів - трояни і більшість черв'яків не піддаються лікуванню за своїми конструктивними особливостями, оскільки є цілісними модулями, створеними для нанесення шкоди.

Грамотна реалізація вірусної сигнатури дозволяє виявляти відомі віруси зі стовідсотковою ймовірністю.

Технології імовірнісного аналізу

Технології імовірнісного аналізу в свою чергу поділяються на три категорії:

  • евристичний аналіз

  • поведінковий аналіз

  • Аналіз контрольних сум

евристичний аналіз

Евристичний аналіз - технологія, заснована на імовірнісних алгоритмах, результатом роботи яких є виявлення підозрілих об'єктів. В процесі евристичного аналізу перевіряється структура файлу, його відповідність вірусним шаблонам. Найбільш популярною евристичної технологією є перевірка вмісту файлу на предмет наявності модифікацій уже відомих сигнатур вірусів і їх комбінацій. Це допомагає визначати гібриди і нові версії раніше відомих вірусів без додаткового оновлення антивірусної бази.

Евристичний аналіз застосовується для виявлення невідомих вірусів, і, як наслідок, не передбачає лікування. Дана технологія не здатна на 100% визначити вірус перед нею чи ні, і як будь-який імовірнісний алгоритм грішить помилкові спрацьовування.

^ поведінковий аналіз

Поведінковий аналіз - технологія, в якій рішення про характер об'єкта, що перевіряється приймається на основі аналізу виконуваних ним операцій. Поведінковий аналіз досить вузько застосуємо на практиці, так як більшість дій, характерних для вірусів, можуть виконуватися і звичайними додатками. Найбільшу популярність здобули поведінкові аналізатори скриптів і макросів, оскільки відповідні віруси практично завжди виконують ряд однотипних дій.

Засоби захисту, вшивають в BIOS, також можна віднести до поведінкових аналізаторів. При спробі внести зміни в MBR комп'ютера, аналізатор блокує дію і виводить відповідне повідомлення користувачу.

Крім цього поведінкові аналізатори можуть відслідковувати спроби прямого доступу до файлів, внесення змін в завантажувальний запис дискет, форматування жорстких дисків і т. Д.

Поведінкові аналізатори не використають для роботи додаткових об'єктів, подібних вірусних баз і, як наслідок, не здатні розрізняти відомі і невідомі віруси - все підозрілі програми апріорі вважаються невідомими вірусами. Аналогічно, особливості роботи засобів, що реалізують технології поведінкового аналізу, не передбачають лікування.

^ Аналіз контрольних сум

Аналіз контрольних сум - це спосіб відстеження змін в об'єктах комп'ютерної системи. На підставі аналізу характеру змін - одночасність, масовість, ідентичні зміни довжин файлів - можна робити висновок про зараження системи. Аналізатори контрольних сум (також використовується назва "ревізори змін") як і поведінкові аналізатори не використають у роботі додаткові об'єкти і видають вердикт про наявність вірусу в системі винятково методом експертної оцінки. Подібні технології застосовуються в сканерах при доступі - при першій перевірці з файлу знімається контрольна сума і поміщається в кеші, перед наступною перевіркою того ж файлу сума знімається ще раз, порівнюється, і в разі відсутності змін файл вважається незараженим.

^ антивірусні комплекси

Антивірусний комплекс - набір антивірусів, що використовують однакове антивірусне ядро ​​або ядра, призначений для вирішення практичних проблем щодо забезпечення антивірусної безпеки комп'ютерних систем. В антивірусний комплекс також в обов'язковому порядку входять засобу відновлення антивірусних баз.

Крім цього антивірусний комплекс додатково може включати в себе поведінкові аналізатори та ревізори змін, які не використовують антивірусне ядро.

Виділяють такі типи антивірусних комплексів:

  • Антивірусний комплекс для захисту робочих станцій

  • Антивірусний комплекс для захисту файлових серверів

  • Антивірусний комплекс для захисту поштових систем

  • Антивірусний комплекс для захисту шлюзів.

Для виявлення, видалення і захисту від комп'ютерних вірусів існує декілька різновидів програм. Такі програми називаються антивірусними. Розрізняють такі види антивірусних програм:

1. вакцини;

2. детектори;

3. ревізори;

4. сторожа;

5. монітори;

6. полифаги;

7. евристичні аналізатори.

Останнім часом, розробники антивірусних програм, пропонують користувачам комплексні рішення, які включають в себе більшу частину або навіть всі вищевказані програми.

вакцини- це програми, призначені для запобігання зараження файлів від якого-небудь одного, конкретного вірусу. Вакцини застосовуються, якщо відсутні програми, що можуть знешкодити даний вірус. Вакцинація можлива тільки від відомих вірусів, які можна виявити, але з якоїсь причини неможливо знешкодити. Програма-вакцина модифікує захищається програму або диск таким чином, щоб це не відбивалося на їх роботі, але при цьому справжній вірус вважав, що захищається програму зараженої і тому не впроваджувався в її виконуваний код.

Дії програм-вакцин засноване на одному з базових властивостей комп'ютерних вірусів - не заражати повторно вже інфіковану програму. Для цих цілей, при зараженні програм, віруси використовують так звану «чорну мітку», яка б дозволяла відрізняти вже інфіковані програми від неінфікованих. Це може бути, наприклад, установка часу створення файлу в 24 години 1 хвилину і 62 секунди. Оскільки нормальні програми не можуть мати подібного часу створення, то, виявивши, що файл створений в цей час, вірус вважає, що він заражений і не намагається інфікувати його повторно.

Таким чином, програма вакцина просто створює «чорну мітку» конкретного вірусу на захищається програмі, не змінюючи її виконуваного коду, а вірус, виявляючи таку мітку, вже не намагається заразити даний файл.

«Детектори»або «Сканери»- це програми, які здійснюють пошук характерної для конкретного вірусу сигнатури, в оперативній пам'яті комп'ютера або в файлах на жорсткому диску, і при виявленні, видають відповідне повідомлення. Недоліком цього класу антивірусних програм є те, що вони можуть знаходити тільки ті віруси, які відомі розробникам.

«Ревізори»- це програми, які належать до найбільш надійним засобам захисту від вірусів.

Заражаючи комп'ютер, вірус робить зміни на жорсткому диску: дописує свій код в заражає файл, змінює системні області диска і т.д. На виявленні таких змін грунтується робота антивірусних програм, званих «ревізорами».

Вони побудовані на принципі, зворотному принципу побудови сканерів. Ревізори не знають в обличчя конкретні віруси, але вони запам'ятовують інформацію про кожен конкретний логічному диску і по зміні цієї інформації, дозволяють надійно виявляти як відомі, так і нові, невідомі віруси.

У разі виявлення зміни відомостей про наявні на диску даних, вся відповідна інформація про змінений об'єкті надається користувачеві. А той уже сам повинен прийняти рішення: чи варто, наприклад, перевіряти даний файл на вірус (якщо це виконуваний файл) або проігнорувати повідомлення, якщо файл змінювався самим користувачем.

Як правило, порівняння станів проводиться відразу після завантаження операційної системи. При порівнянні перевіряються довжина файлу, його контрольна сума, дата і час модифікації, і деякі інші параметри. Програми-ревізори мають достатньо розвинені алгоритми, що дозволяють виявляти навіть віруси таких класів як «стелс» - віруси і «поліморфні» віруси, а деякі навіть можуть відновити вихідну версію програми, що перевіряється, видаливши зміни, внесені вірусом.

Перевагою ревізорів є - висока швидкість перевірки дисків (у багато десятків разів перевищує швидкість роботи сканерів) і висока надійність виявлення навіть невідомих вірусів.

«Сторожа»- це невеликі резидентні програми, призначені для виявлення підозрілих дій, що виникають при роботі користувача на комп'ютері, і характерних для вірусів. До числа таких дій можуть належати:

1. спроби корекції файлів з розширеннями COM, EXE, DLL і т.д., зазвичай незмінних;

2. зміна атрибутів файлу;

4. запис в завантажувальні сектори диска;

При спробі будь-якої програми здійснити зазначені дії «сторож» посилає користувачеві повідомлення і пропонує заборонити або дозволити відповідну дію.

Одним з найбільших недоліків програм цього класу є те, що при неправильній (а іноді навіть і при правильній) налаштування, вони буквально «засипають» користувача попередженнями, в результаті чого їх зазвичай відключають.

«Монітори»(Або програми-фільтри) - це антивірусні програми, засновані за принципом поліфагія, і використовують для виявлення вірусів базу даних їх сигнатур. Антивірусний монітор розташовується резидентно в пам'яті комп'ютера, і перевіряє на наявність вірусів тільки ті програми, над якими виробляє будь-які маніпуляції користувач, або операційна система.

Зазвичай антивірусні монітори перевіряють всі файли, з яких виробляються такі маніпуляції:

1. запуск програми на виконання;

2. зміна атрибутів файлу;

3. відкриття документ (Microsoft Office);

4. копіювання або переміщення файлу;

5. редагування файлу;

Програми-фільтри є корисними з тієї точки зору, що допомагають користувачеві виявити вірус на ранній стадії його існування, ще до того моменту, коли поширення вірусу набуде характеру епідемії.

«Поліфагія»- це програми, які здатні благополучно видалити вірус і відновити працездатність зіпсованих програм.

Для кожного вірусу, шляхом аналізу його коду, способів зараження файлів і т.д. виділяється деяка, характерна тільки для нього, сукупність електронних даних. Ця послідовність називається сигнатурою даного вірусу. Пошук вірусів, в найпростішому випадку, зводиться до пошуку їх сигнатур. Після виявлення вірусу в тілі програми (або завантажувального сектора, який теж, втім, містить програму початкового завантаження), полифаг знешкоджує його. Для цього розробники антивірусних засобів ретельно вивчають роботу кожного конкретного вірусу: що він псує, як він псує, де він ховає те, що зіпсує і т.д.

Сканування є найбільш традиційним методом пошуку вірусів. Воно полягає в пошуку сигнатур, виділених з раніше виявлених вірусів. Вірусні бази сучасних сканерів містять понад 40000 масок вірусів.

Недоліком простих сканерів є їх нездатність виявляти «поліморфні» віруси, що повністю міняють свій код. Сучасні полифаги використовують інші методи пошуку вірусів. Для цього вони використовують більш складні алгоритми пошуку, що включають евристичний аналіз перевірених програм. З огляду на, що постійно з'являються нові віруси, програми-детектори і програми-полифаги швидко застарівають, і потрібно регулярне оновлення версій баз даних, що містять сигнатури новопосталих вірусів. Як результат, сканери застарівають вже в момент виходу нової версії.

евристичні аналізатори- програми, що виконують під своїм контролем, перевіряються програми і виявляють дії, характерні для вірусів. Завдяки цьому евристичні аналізатори здатні знаходити «поліморфні» віруси також легко, як і звичайні віруси, які не використовують механізму маскування, крім того, вони можуть виявляти віруси, раніше невідомі авторам антивірусної програми.

Для виявлення зазначених маскуються вірусів використовуються спеціальні методи. До них можна віднести метод емуляції процесора. Метод полягає в імітації виконання процесором програми і підсовування вірусу фіктивних керівників ресурсів. Обдурений таким чином вірус, що знаходиться під контролем антивірусної програми, розшифровує свій код. Після цього, сканер порівнює розшифрований код з кодами зі своєї бази даних сканування.