Программы-фаги (сканеры) используют для обнаружения вирусов метод сравнения с эталоном, метод эвристического анализа и некоторые другие методы. Программы-фаги осуществляют поиск характерной для конкретного вируса маски путем сканирования в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Программы-фаги не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале работы программы-фаги сканируют оперативную память, обнаруживают вирусы и уничтожают их и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги — программы-фаги, предназначенные для поиска и уничтожения большого числа вирусов.
Программы-фаги можно разделить на две категории — универсальные и специализированные сканеры. Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от ОС, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макровирусов. Специализированные сканеры, рассчитанные только на макровирусы, оказываются более удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.
Программы-фаги делятся также на резидентные мониторы, производящие сканирование «на лету», и нерезидентные сканеры, обеспечивающие проверку системы только по запросу. Резидентные мониторы обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как нерезидентный сканер способен опознать вирус только во время своего очередного запуска.
К достоинствам программ-фагов всех типов относится их универсальность. К недостаткам следует отнести относительно небольшую скорость поиска вирусов и относительно большие размеры антивирусных баз.
Наиболее известные программы-фаги: Aidstest, Scan, Norton AntiVirus, Doctor Web. Учитывая, что постоянно появляются новые вирусы, программы-фаги быстро устаревают, и требуется регулярное обновление версий.
Программы-ревизоры (CRC-сканеры) используют для поиска вирусов метод обнаружения изменений. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (кодов циклического контроля) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы, а также некоторая другая информация (длины файлов, даты их последней модификации и др.) затем сохраняются в БД антивируса.
При последующем запуске CRC-сканеры сверяют данные, содержащиеся в БД, с реально подсчитанными значениями. Если информация о файле, записанная в БД, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. Как правило, сравнение состояний производят сразу после загрузки ОС.
CRC-сканеры, использующие алгоритмы анти-стелс, являются довольно мощным средством против вирусов: практически 100 % вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у CRC-сканеров имеется недостаток, заметно снижающий их эффективность: они не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их БД отсутствует информация об этих файлах.
К числу CRC-сканеров относится широко распространенная в России программа ADinf (Advanced Diskinfoscope) и ревизор AVP Inspector. Вместе с ADinf применяется лечащий модуль ADinf Cure Module (ADinfExt), который использует собранную ранее информацию о файлах для их восстановления после поражения неизвестными вирусами. В состав ревизора AVP Inspector также входит лечащий модуль, способный удалять вирусы.
Программы-блокировщики реализуют метод антивирусного мониторинга. Антивирусные блокировщики — это резидентные программы, перехватывающие «вирусо-опасные» ситуации и сообщающие об этом пользователю. К «вирусо-опасным» ситуациям относятся вызовы, которые характерны для вирусов в моменты их размножения (вызовы на открытие для записи в выполняемые файлы, запись в загрузочные секторы дисков или MBR винчестера, попытки программ остаться резидентно и т. п.).
При попытке какой-либо программы произвести указанные действия блокировщик посылает пользователю сообщение и предлагает запретить соответствующее действие. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что бывает особенно полезно в случаях, когда регулярно появляется давно известный вирус. Однако они не «лечат» файлы и диски. Для уничтожения вирусов требуется применять другие программы, например фаги. К недостаткам блокировщиков можно отнести существование путей обхода их защиты и их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла).
Следует отметить, что созданы антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера. Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера.
Программы-иммунизаторы — это программы, предотвращающие заражение файлов. Иммунизаторы делятся на два типа:
· иммунизаторы, сообщающие о заражении,
· и иммунизаторы, блокирующие заражение каким-либо типом вируса.
Иммунизаторы первого типа обычно записываются в конец файлов и при запуске файла каждый раз проверяют его на изменение. У таких иммунизаторов имеется один серьезный недостаток — они не могут обнаружить заражение стелс-вирусом. Поэтому этот тип иммунизаторов практически не используются в настоящее время.
Иммунизатор второго типа защищает систему от поражения вирусом определенного вида. Он модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, вирус при этом воспринимает их зараженными и поэтому не внедряется. Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов. Однако в качестве полумеры подобные иммунизаторы могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.
Источник: studopedia.su
Что такое антивирус – их виды и назначение
Каждый компьютер или ноутбук может «заразиться» так называемыми вирусами – вредоносными программами. Чтобы избавить его от них или предотвратить негативное влияние, используется антивирус.
Что такое антивирус?
Под антивирусом принято понимать софт, который отвечает за обнаружение вредоносных программ и их уничтожение, а также за реабилитацию файлов, которые были поражены. Что касается компьютерных вирусов, к ним относятся приложения, размножающиеся посредством самокопирования, проникающие в код прочих приложений. Все это провоцирует возникновение ошибок и нарушение функционирования компьютерного устройства.
Виды антивирусных программ
Общая классификация антивирусных программ включает в себя следующие направления:
- классические приложения;
- софт против шпионских систем;
- виртуальные сканеры;
- сетевые экраны;
- комплексные инструменты.
Наряду с этим есть более узкая классификация, которая позволяет описать каждый софт отдельно.
Сканеры
Такие системы осуществляют проверку файлов непосредственно после их запуска. Также они обеспечивают мониторинг оперативной памяти и нейтрализацию вируса, который был найден.
Детекторы
Такие приложения обеспечивают обнаружение файлов, которые заражены одним вирусом из числа нескольких распространенных приложений. Они осуществляют проверку комбинации байтов и при их обнаружении выводят соответствующее сообщение. Они распознают исключительно те вирусные угрозы, о которых «знают».
Доктора (фаги)
Большинство антивирусов обладает опцией «доктора». Такие системы обеспечивают не только поиск файлов, которые были поражены вирусами, но и их очистку. В итоге происходит полное восстановление, и документы возвращаются в свое естественное состояние.
Ревизоры
Функционирование этих программ осуществляется в две стадии. Сначала они запоминают информацию о текущем состоянии приложений, а затем сравнивают показатели в разных областях дисков с исходными параметрами. Чтобы проверочные мероприятия осуществлялись в момент каждой загрузки ОС, требуется активация команды запуска. Такой подход способствует обнаружению заражения на ранней стадии, когда серьезный ущерб еще не был причинен.
Способы создания образа загрузочной флешки
Некоторые из подобных утилит оснащаются дополнительным «интеллектом» и способностью отличать изменения в файлах, спровоцированные переходом к другой версии софта, от перемен, которые принес вирус. Это позволяет не поднимать тревогу, когда в этом нет необходимости.
Фильтры
Они способны перехватывать обращения к ОС, используемые вирусами в целях размножения и причинения вреда. Затем они сообщают о нарушениях пользователю, который, в свою очередь, может согласиться или отказаться от проведения той или иной операции.
Вакцины
Такие программы являются резидентскими и обеспечивают надежную профилактику заражения. Их используют в случае отсутствия программ-докторов, которые способны «вылечить» вирус. С помощью «иммунной» защиты приложение становится модифицированным так, чтобы ситуация не оказывала негативного влияния на ее работу.
Программы блокировки
Основная задача таких систем заключается в обнаружении вируса и остановке его деятельности на ранней стадии развития, когда осуществляется запись в загрузочные пространства.
Брандмауэр или Фаервол
Он представляет собой комплекс утилит, используемый для защиты компьютерного устройства от взлома со стороны хакеров. Также он применяется в целях обеспечения безопасности сетевой работы, поскольку имеет способность к фильтрации определенных пакетов с информацией. Поэтому брандмауэр должен быть подключен всегда. Ведь его полное отключение может быть крайне опасным.
Как работает антивирус
Практически все антивирусные программы работают по идентичному принципу, а именно:
- отслеживают трафик;
- осуществляют просмотр портов;
- вносят правки в реестр;
- удаляют файлы;
- обеспечивают их модификацию;
- ведут сбор статистических данных;
- отправляют сведения разработчику.
При этом система функционирует быстро и удобно. Таким образом, есть несколько разновидностей антивирусных программ, различных по функционалу и типу работы.
Источник: composs.ru
Антивирусная защита
Под антивирусной защитой подразумевается комплекс профилактических и диагностических мер, применяемых для защиты информационных систем от заражения вирусами.
В свою очередь, вирусы — это вредоносные программы, которые распространяются через каналы связи, чтобы внедриться в код другого программного обеспечения, блокировав его, или нарушить работу программно-аппаратных комплексов.
Антивирусная защита является одним из базовых элементов обеспечения информационной безопасности.
Какие вирусы бывают?
Общепринятой классификации вирусов нет, но чаще всего их разделяют на виды в зависимости от типа поражаемого объекта, механизма работы и функциональности, используемых технологий, а также языка, на котором написано вредоносное программное обеспечение (далее — ПО).
К основным типам вирусов, на которые направлена значительная доля технологий в области информационной безопасности сегодня относятся: трояны, черви, руткиты (маркировщики, блокировщики), бэкдоры (шпионы) и загрузчики.
У каждого вида есть свои особенности, например:
- в основе червей лежат саморазмножающиеся программы, которые позволяют таким вирусам бесконтрольно реплицировать самих себя после проникновения в компьютер через электронную почту, мессенджеры и файлы;
- трояны попадают в компьютеры, маскируясь приложением, а затем выполняют свою вредоносную задачу вплоть до администрирования компьютера (троян бэкдор);
- руткиты (или маркировщики), интегрируясь с операционной системой, предназначены для сокрытия наличия вредоносных программ в компьютере как от пользователей, так и от антивирусов. Более того, некоторые вирусы данного типа начинают «своё дело» до загрузки операционной системы (отсюда их альтернативное название — буткиты, блокировщики);
- бэкдор представляет собой программу для удалённого управления компьютером злоумышленниками. При этом хакеры могут сохранить информацию о том, на какие клавиши нажимает пользователь и в каком порядке, запустить любые программы, файлы и даже видеокамеру или микрофон. По этому же сценарию (сохранение последовательности нажатия клавиш) работают вирусы-шпионы, основной задачей которых обычно является похищение данных о паролях и банковских картах пользователей;
- загрузчик является лишь частью кода вируса, который, попадая в компьютер, делает своё дело, позволяя загрузиться полной версии вредоносного кода. Чаще всего такие вирусы попадают в компьютеры через открытие заражённых картинок, поступающих по электронной почте.
Методы защиты от вирусов
Сегодня для обеспечения антивирусной защиты используются следующие методы:
- сигнатурный анализ — базируется на сканировании анализе уникальной последовательности байтов вредоносного программного обеспечения. Этот метод лежит в основе работы современных антивирусов – они исследуют код и сравнивают с базой данных, которая содержит вирусные сигнатуры. В случае обнаружения сходства с вирусными сигнатурами программа идентифицирует вирус и сигнализирует об этом. Основное достоинство этого метода — точность, однако, эффективность работы антивирусного ПО из-за этого полностью зависит от своевременности актуализации баз данных с вирусными сигнатурами;
- контроль целостности — работает по принципу идентификации подозрительных событий, которые становятся предметом пристального внимания антивирусных программ. В случае обнаружения расхождений в исходном и текущем состоянии кода проводятся дополнительные проверки, например, сигнатурный анализ. Контроль целостности — менее затратный с точки зрения времени метод, чем сканирование сигнатур, потому что требует меньше вычислений;
- в основе метода эвристического сканирования лежит поиск подозрительных команд или признаков подозрительных команд, при обнаружении которых запускаются другие методы проверки. Как и сигнатурный метод, эвристическое сканирование требует постоянной актуализации баз данных с новыми вирусами;
- отслеживание поведения программного обеспечения — работает только при активном участии пользователей, которые должны реагировать на предупреждения антивирусных программ. Данный метод характеризуется высокой частотой ложных срабатываний, в отличие от сигнатурного сканирования.
Стоит отметить, что именно первые три метода защиты от вирусов являются базисом антивирусной защиты компьютеров и компьютерных сетей организаций. Подробнее о средствах антивирусной защиты и их особенностях.
«Антивирусное программное обеспечение должно быть развёрнуто на всех системах, подверженных воздействию вирусов (особенно на рабочих станциях и серверах)», — PI DSS — Стандарт безопасности данных индустрии платёжных карт.
«Использование двух или более продуктов разных вендоров, направленных на защиту от вредоносного программного обеспечения, может повысить эффективность системы противодействия вредоносному программному обеспечению», — ISO 27002:2005 — Информационные технологии. Свод правил по управлению защитой информации ISO — Международная организация по стандартизации.
«Мы строго рекомендуем разворачивать антивирусное программное обеспечение на всех системах, для которых оно существует», — NIST SP 800-83 — Руководство по предотвращению и обработке инцидентов, связанных с вредоносным программным обеспечением NIST — Национальный Институт Стандартов и Технологий США.
«…Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации…», — Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах — Приказ ФСТЭК РФ от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Источник: www.azone-it.ru