Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:
· Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах.
· Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.
Обычно, все ниже перечисленные методы, вместе редко используются в одной антивирусной программе. Но более тонкая спецификация антивирусов позволяет им более надежно защититься от определенных видов угроз, если ее учитывать.
Рассмотрим возможности, которые предоставляют нам большинство антивирусных программ:
· Обнаружение, основанное на сигнатурах. Антивирусная программа, анализируя файл, обращается к антивирусным базам.
· Метод обнаружения аномалий. Наблюдаются определённые действия (работа программ/процессов, сетевой трафик, работа пользователя) в поисках необычных событий и тенденций.
· Обнаружение основанное на эмуляции. Эмулируется исполнение файлов, с целью выявления тех признаков вредоносного кода, которые появляются только во время исполнения программы.
Индикация и Идентификация вирусов
· Метод «Белого списка». Эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены как безопасные
· Эвристический анализ. Эвристическое сканирование схоже с сигнатурным, однако, в отличие от него, ищется не точное совпадение с записью в сигнатуре, а допускается расхождение.
· HIPS. Система мониторинга всех приложений, работающих в системе, с чётким разделением прав для разных приложений.
· Ревизоры изменений. Эта технология защиты основана на том факте, что вирусы могут создавать новые или внедряться в уже существующие объекты, таким образом оставляя следы в файловой системе, которые затем можно отследить и выявить факт присутствия вредоносной программы.
· Монитор доступа к файлам и реестру. Предоставляет ясную картину текущей файловой и реестровой активности и становится отличным подспорьем продвинутым пользователям. Можно наблюдать за любым активным процессом, видеть его расположение и время выполнения, а также отслеживать изменения реестра и, «в случае чего», мгновенно реагировать.
· Внутренняя защита (самозащита) + защита конфигурации паролем. Делает невозможным выключение антивируса кем-либо, кроме авторизованного пользователя программы. Защищает от попыток выключения антивируса вредоносными программами.
· Контроль доступа приложений к сети (сетевой экран). Осуществляет контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
· Почтовый Антивирус + Антиспам. Проверка почтовых сообщений.
· IM-антивирус. Защищает информацию, поступающую по протоколам интернет-пейджеров.
· Антируткиты. Обнаруживают в системе присутствие руткитов и удаляют их.
· Детектор клавиатурных шпионов. Выявляют кейлогеры.
· Анализатор открытых портов TCP/UDP. Анализатор опирается на обновляемую базу портов известных Trojan/Backdoor программ и известных системных сервисов.
Вирусологический метод диагностики Методы культивирования вирусов
· Анти-фишинг. Веб-адреса проверяются на принадлежность к спискам фишинговых и подозрительных адресов.
· Анти-баннер. Блокирует рекламную информацию.
· Безопасная среда (sandbox). Позволяет запускать приложения в безопасном для системы окружении.
Недостатки антивирусных программ:
· Ни одна из существующих антивирусных технологий не может обеспечить полной защиты от вирусов.
· Антивирусная программа забирает часть вычислительных ресурсов системы, нагружая центральный процессор и жёсткий диск. Особенно это может быть заметно на слабых компьютерах.
· Антивирусные программы могут видеть угрозу там, где её нет (ложные срабатывания).
· Антивирусные программы загружают обновления из Интернета, тем самым расходуя трафик.
· Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми, антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. Однако во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.
Классифицировать антивирусные продукты можно сразу по нескольким признакам, таким как: используемые технологии антивирусной защиты, функционал продуктов, целевые платформы.
По целевым платформам:
§ Антивирусные продукты для ОС семейства Windows
§ Антивирусные продукты для ОС семейства UNIX (к данному семейству относятся ОС BSD, Linux, Mac OS X и др.)
§ Антивирусные продукты для мобильных платформ (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др.)
Антивирусные продукты для корпоративных пользователей можно также классифицировать по объектам защиты:
§ Антивирусные продукты для защиты рабочих станций
§ Антивирусные продукты для защиты файловых и терминальных серверов
§ Антивирусные продукты для защиты почтовых и Интернет-шлюзов
§ Антивирусные продукты для защиты серверов виртуализации и др.
Для использования антивирусов необходимы постоянные обновления так называемых баз антивирусов. Они представляют собой информацию о вирусах — как их найти и обезвредить. Поскольку вирусы пишут часто, то необходим постоянный мониторинг активности вирусов в сети. Для этого существуют специальные сети, которые собирают соответствующую информацию.
После сбора этой информации производится анализ вредоносности вируса, анализируется его код, поведение, и после этого устанавливаются способы борьбы с ним. Чаще всего вирусы запускаются вместе с операционной системой. В таком случае можно просто удалить строки запуска вируса из реестра, и на этом в простом случае процесс может закончиться.
Более сложные вирусы используют возможность заражения файлов. Например, известны случаи, как некие даже антивирусные программы, будучи зараженными, сами становились причиной заражения других чистых программ и файлов. Поэтому более современные антивирусы имеют возможность защиты своих файлов от изменения и проверяют их на целостность по специальному алгоритму.
Таким образом, вирусы усложнились, как и усложнились способы борьбы с ними. Сейчас можно увидеть вирусы, которые занимают уже не десятки килобайт, а сотни, а порой могут быть и размером в пару мегабайт. Обычно такие вирусы пишут в языках программирования более высокого уровня, поэтому их легче остановить. Но по-прежнему существует угроза от вирусов, написанных на низкоуровневых машинных кодах наподобие ассемблера. Сложные вирусы заражают операционную систему, после чего она становится уязвимой и нерабочей.
Источник: studopedia.info
Методы обнаружения вирусов
Для обнаружения и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать компьютерные вирусы. Такие программы называются антивирусными. Практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов. Антивирусные программы используют различные методы обнаружения вирусов.
К основным методам обнаружения компьютерных вирусов можно отнести следующие:
— метод сравнения с эталоном;
— метод обнаружения изменений;
— встраивание антивирусов в BIOS компьютера и др.
Метод сравнения с эталоном. Самый простой метод обнаружения заключается в том, что для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Антивирусная программа последовательно просматривает (сканирует) проверяемые файлы в поиске масок известных вирусов. Антивирусные сканеры способны найти только уже известные вирусы, для которых определена маска.
Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Применение простых сканеров не защищает компьютер от проникновения новых вирусов. Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить маску, поэтому антивирусные сканеры их не обнаруживают.
Эвристический анализ. Для того чтобы размножаться, компьютерный вирус должен совершать какие-то конкретные действия: копирование в память, запись в секторы и т. д. Эвристический анализатор (который является частью антивирусного ядра) содержит список таких действий и проверяет программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов.
Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы. Обнаружив зараженный файл, анализатор обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале.
В зависимости от настроек, антивирус может также направлять сообщение об обнаруженном вирусе администратору сети. Эвристический анализ позволяет обнаруживать неизвестные ранее вирусы. Первый эвристический анализатор появился в начале 1990-х гг. Практически все современные антивирусные программы реализуют собственные методы эвристического анализа. В качестве примера такой программы можно указать сканер McAflee VirusScan.
Антивирусный мониторинг. Суть данного метода состоит в том, что в памяти компьютера постоянно находится антивирусная программа, осуществляющая мониторинг всех подозрительных действий, выполняемых другими программами. Антивирусный мониторинг позволяет проверять все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет или скопированные на жесткий диск с дискеты либо компакт диска. Антивирусный монитор сообщит пользователю, если какая-либо программа попытается выполнить потенциально опасное действие. Пример такой программы — сторож Spider Guard, который входит в комплект сканера Doctor Web и выполняет функции антивирусного монитора.
Метод обнаружения изменений. При реализации этого метода антивирусные программы, называемые ревизорами диска, запоминают предварительно характеристики всех областей диска, которые могут подвергнуться нападению, а затем периодически проверяют их. Заражая компьютер, вирус изменяет содержимое жесткого диска: например, дописывает свой код в файл программы или документа, добавляет вызов программы-вируса в файл AUTOEXEC.BAT, изменяет загрузочный сектор, создает файл-спутник. При сопоставлении значений характеристик областей диска антивирусная программа может обнаружить изменения, сделанные как известным, так и неизвестным вирусом.
Встраивание антивирусов в BIOS компьютера. В системные платы компьютеров встраивают простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет.
Если какая-либо программа пытается изменить содержимое загрузочных секторов, срабатывает защита, и пользователь получает соответствующее предупреждение. Однако эта защита не очень надежна. Известны вирусы, которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки в энергонезависимой памяти (CMOS-памяти) компьютера.
Источник: studopedia.su
Антивирусные программы методы обнаружения вирусов
Метод соответствия определению вирусов в словаре
Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре ) вируса в базах, программа антивирус может по запросу выполнить одно из следующих действий: 1. Удалить инфицированный файл.
2. Заблокировать доступ к инфицированному файлу. 3. Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса). 4. Попытаться восстановить файл, удалив сам вирус из тела файла. 5. В случае невозможности лечения/удаления, выполнить эту процедуру при перезагрузке.
Для того чтобы такая антивирусная программа успешно работала на протяжении долгого времени, в словарь вирусов нужно периодически загружать (обычно, через Интернет) обновленные данные. Если бдительные и имеющие склонность к технике пользователи определят вирус по горячим следам, они могут послать зараженные файлы разработчикам антивирусной программы, а они затем добавят информацию о новых вирусах в свой словарь.
Для многих антивирусных программ со словарем характерна проверка файлов в тот момент, когда операционная система создает, открывает, закрывает или посылает их по почте. Таким образом, программа может обнаружить известный вирус сразу после его получения. Заметьте также, что системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жестком диске компьютера.Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы было невозможно обнаружить совпадение с определением в словаре вирусов.
Метод обнаружения странного поведения программ
Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (exe-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать.В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.Другие названия: Проактивная защита, Поведенческий блокиратор, Host Intrusion Prevention System (HIPS).В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах.
Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше не вредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше. Так, в 2006 году вышло несколько продуктов, впервые реализовавших этот метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe’n’Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многие программы класса файрволл издавна имели в своем составе модуль обнаружения странного поведения программ.
Метод обнаружения при помощи эмуляции
Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть немедленно начинает искать другие exe-файлы например), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.
Метод «Белого списка»
Общая технология по борьбе с вредоносными программами — это «белый список». Вместо того, чтобы искать только известные вредоносные программы, это технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные.
Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».
Другие методы обнаружения вирусов
Ряд других методов предлагается в исследованиях и используется в антивирусных программах (см. также эвристическое сканирование).
Источник: www.sites.google.com