Антивирусные программы относятся к группе

Вопрос теста:

К антивирусным программам относятся .

• сторожа и ревизоры
• доктора и вакцины
• драйверы и утилиты
• отладчики и компоновщики

Антивирусные программы относятся к группе

Антивирусы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры (сторожа) — это резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например, о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия.

Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению, как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды.

Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся еще до запуска антивируса, в начальной стадии загрузки DOS. К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.

Наибольшее распространение в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса -Aidstest, Doctor Web, MicroSoft AntiVirus далее будут рассмотрены подробнее. Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ.

Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов. Ревизоры — программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохранённой ранее в одном из файлов данных ревизора.

При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атри-буты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не вирус.

Самые изощренные антивирусы — вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной. Таким образом, вирус не может заразить эту программу. Вакцины могут быть пассивные и активные.

Пассивная вакцина представляет собой пакетную программу, которая за один вызов обрабатывает специальным образом файл или все файла на диске либо в каталоге. Обычно при такой обработке проставляется признак, который вирус использует для того, чтобы отличить зараженные программы от незараженных. Например, некоторые вирусы дописывают в конец зараженных файлов определенную строку. Если искусственно дописать в конец всех программ эту строку, то такие программы не будут заражаться вирусом, поскольку он будет считать, что они уже заражены.Обработанная таким образом программа является вакцинированной против данного вируса, при чем операция вакцинации является обратимой: когда опасность заражения будет ликвидирована, строку можно из файла удалить. Другие вирусы проставляют в поле даты заражаемых программ значение секунд, равное 62(MS-DOS допускает запись такого явно нереального значения).

Вакцина может проставить этот признак у всех выполняемых программ, которые тем самым будут защищены от заражения данным типом вируса. В этом случае вакцинирование является необратимым в том смысле, что восстановить первоначальное значение секунд не удастся, хотя они, конечно, могут быть сброшены.

Активные вакцины являются резидентными программами, действие которых основано на имитации присутствия вируса в оперативной памяти. Поэтому они обычно применяются против резидентных вирусов. Если такая вакцина находится в памяти, то, когда при запуске зараженной программы вирус проверяет, находится ли уже в оперативной памяти его копия, вакцина имитирует наличие копии.

В этом случае вирус просто передает управление программе — хозяину и его инсталляция не происходит. Простейшие вакцины представляют собой выделенный и слегка модифицированный (лишенный способности к размножению) вирус. Поэтому они могут быть оперативно изготовлены — быстрей, чем доктора. Боле сложные вакцины (поливакцины) имитируют наличие в оперативной памяти нескольких вирусов.

Конечно, приведенный список не исчерпывает всего многообразия антивирусных программ, хотя и охватывает основные их разновидности. Каждая из антивирусных программ подобна узкому специалисту в определенной области, поэтому оптимальной тактикой является комплексное применение нескольких типов антивирусных средств.

Источник: studbooks.net

Классификация антивирусных программ

Несмотря на то что общие средства защиты информации и профилактические меры очень важны для защиты от вирусов, необходимо применение специализированных программ. Эти программы можно разделить на несколько видов:

• ? Программы-детекторы проверяют, имеются ли в файлах на диске специфическая комбинация байтов (сигнатура) для известного вируса и сообщают об этом пользователю (VirusScan/SCAN/фир- мы McAfee Associates).
• ? Программы-доктора или фаги «лечат» зараженные программы, «выкусывая» из зараженных программ тело вируса, как с восстановлением, так и без восстановления среды обитания (зараженного файла) — лечащий модуль программы SCAN — программа CLEAN.
• ? Программы доктора-детекторы (Aidstest Лозинского, Doctor Web Данилова, MSAV, Norton Antivirus, AVP Касперского) способны определить наличие известного вируса на диске и исцелить зараженный файл. Самая распространенная группа антивирусных программ на сегодняшний день.

В самом простом случае команда проверки содержимого диска на наличие вирусов имеет вид: aidstest /ключ1/ключ 2 /ключ 3 /—

• ? Программы-фильтры (сторожа) располагаются резидентно в оперативной памяти ПК и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда и сообщают о них пользователю:
• — попытка испортить главный файл OS COMMAND.COM;
• — попытка прямой записи на диск (предыдущая запись удаляется), при этом выдается сообщение, что какая-то программа пытается копировать на диск;
• — форматирование диска,
• — резидентное размещение программы в памяти.

Выявив попытку одного из этих действий, программа-фильтр выдает пользователю описание ситуации и требует от него подтверждения. Пользователь может разрешить или запретить выполнение данной операции. Контроль действий, характерный для вирусов, осуществляется путем подмены обработчиков соответствующих прерываний. К недостаткам этих программ можно отнести назойливость (сторож, например, выдает предупреждение о любой попытке копирования исполняемого файла), возможные конфликты с другим программным обеспечением, обход сторожей некоторыми вирусами. Примеры фильтров: Anti4us, Vsafe, Disk Monitor.

Следует заметить, что на сегодняшний день многие программы класса доктор-детектор еще и имеют резидентный модуль — фильтр (сторож), например, DR Web, AVP, Norton Antivirus. Таким образом, такие программы можно классифицировать как доктор-детектор-сторж.

• ? Аппаратно-программные антивирусные средства (Аппаратно-программный комплекс Sheriff). В одном ряду с программами-сторожами стоят аппаратно-программные антивирусные средства, обеспечивающие более надежную защиту от проникновения вируса в систему. Такие комплексы состоят из двух частей: аппаратной, которая устанавливается в виде микросхемы на Материнскую плату и программной, записывающейся на диск. Аппаратная часть (контроллер) отслеживает все операции записи на диск, программная часть, находясь в Оперативной памяти резидентно, отслеживает все операции ввода/вывода информации. Однако возможность применения этих средств требует внимательного рассмотрения с точки зрения конфигурации используемого на ПК дополнительного оборудования, например, дисковых контроллеров, модемов или сетевых плат.
• ? Программы-ревизоры (Adinf/Advanced Disk infoscope/c лечащим блоком ADinf Cure Module Мостового). Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска на логические разделы). Предполагается, что в этот момент программы и системные области дисков не заражены. Затем при сравнении системных областей и дисков с исходными в случае обнаружения несоответствия сообщается пользователю. Программы-ревизоры способны обнаружить невидимые (STEALTH) вирусы. Проверка длины файла недостаточна, некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка — прочесть весь файл и вычислить его контрольную сумму (побитно). Изменить весь файл так, чтобы его контрольная сумма осталась прежней, практически невозможно. К незначительным недостаткам ревизоров можно отнести то, что для обеспечения безопасности они должны использоваться регулярно, например, ежедневно вызываться из файла AUTOEXEC.BAT. Но несомненными их преимуществами являются высокая скорость проверок и то, что они не требуют частого обновления версий. Версии ревизора даже полугодовой давности надежно обнаруживают и удаляют современные вирусы.
• ? Программы-вакцины или иммунизаторы (CPAV). Программы-вакцины модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы и диски уже зараженными. Работа этих программ недостаточно эффективна.

Условно стратегию зашиты от вируса можно определить как многоуровневую «эшелонированную» оборону. Структурно это может выглядеть так. Средствам разведки в «обороне» от вирусов соответствуют программы-детекторы, позволяющие определять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры, которые находятся резидентно в памяти компьютера. Эти программы могут первыми сообщить о работе вируса. Второй эшелон «обороны» составляют программы-ревизоры. Ревизоры обнаруживают нападение вируса даже тогда, когда он сумел «просочиться» через передний край обороны.

Программы-доктора применяются для восстановления зараженных программ, если копии зараженной программы нет в архиве, но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные программы, причем контролируют правильность лечения. Самый глубокий эшелон обороны — это средства разграничения доступа.

Они не позволяют вирусам и неверно работающим программам, даже если они проникли в ПК, испортить важные данные. В «стратегическом резерве» находятся архивные копии информации и «эталонные» дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении.

Вредоносные действия вирусов каждого типа могут быть самыми разнообразными. Это и удаление важных файлов или даже «прошивки» BIOS, и передача личной информации, например паролей, по определенному адресу, организация несанкционированных рассылок электронной почты и атак на некоторые сайты. Возможен и запуск дозвона через сотовый телефон на платные номера. Утилиты скрытого администрирования (backdoor) способны даже передать злоумышленнику всю полноту управления компьютером. К счастью, со всеми этими бедами можно успешно бороться, и основным оружием в этой борьбе будет, конечно, антивирусное ПО.

Антивирус Касперского. Пожалуй, «Антивирус Касперского» — самый известный в России продукт этого типа, а фамилия «Касперский» стала синонимом борца с вредоносными кодами. Одноименная лаборатория не только постоянно выпускает новые версии своего защитного ПО, но и ведет просветительскую работу среди пользователей компьютеров.

Самая свежая, девятая версия «Антивируса Касперского», как и предыдущие релизы, отличается простым и максимально прозрачным интерфейсом, объединяющим все необходимые утилиты в одном окне. Благодаря мастеру установки и интуитивно понятным пунктам меню настроить этот продукт способен даже начинающий пользователь. Мощность используемых алгоритмов удовлетворит и профессионалов. С детальным описанием каждого из обнаруженных вирусов можно ознакомиться, вызвав соответствующую страницу в Интернете непосредственно из программы.

Dr. Web. Еще один популярный российский антивирус, соперничающий по известности с «Антивирусом Касперского», — Dr. Web. Его ознакомительная версия обладает интересной особенностью: она требует обязательной регистрации через Интернет.

С одной стороны, это очень хорошо — сразу после регистрации производится обновление антивирусных баз и пользователь получает самые новые данные о сигнатурах. С другой стороны, установить ознакомительную версию автономно невозможно, да и, как показал опыт, при неустойчивом соединении неизбежны проблемы.

Panda Antivirus + Firewall 2007. Комплексное решение в области компьютерной безопасности — пакет Panda Antivirus+Firewall 2007 — включает в себя помимо антивирусной программы брандмауэр, отслеживающий сетевую активность. Интерфейс основного окна программы решен в «природных» зеленых тонах, но, несмотря на внешнюю привлекательность, система переходов по меню выстроена неудобно, и начинающий пользователь вполне может запутаться в настройках.

Пакет Panda содержит сразу несколько оригинальных решений, таких как фирменная технология поиска неизвестных угроз TruePrevent, основанная на самых современных эвристических алгоритмах. Стоит обратить внимание и на утилиту поиска уязвимых мест компьютера — она оценивает опасность «дыр» в системе безопасности и предлагает скачать необходимые обновления.

Norton Antivirus 2005. Основное впечатление от продукта знаменитой компании Symantec — антивирусного комплекса Norton Antivirus 2005 — его ориентация на мощные вычислительные системы. Реакция интерфейса Norton Antivirus 2005 на действия пользователя ощутимо запаздывает. Кроме того, при инсталляции она предъявляет достаточно жесткие требования к версиям операционной системы и Internet Explorer. В отличие от Dr.Web, Norton Antivirus не требует обязательного обновления вирусных баз при установке, но о том, что они устарели, будет напоминать в течение всего времени работы.

McAfee VirusScan. Любопытный антивирусный продукт, являющийся, по уверениям разработчиков, сканером № 1 в мире — McAfee VirusScan, — мы выбрали для испытаний потому, что в ряду аналогичных приложений он выделялся большим размером дистрибутива (более 40 Мбайт). Полагая, что такая величина обусловлена широким функционалом, мы приступили к инсталляции и обнаружили, что помимо антивирусного сканера в него входят брандмауэр, а также утилиты очистки жесткого диска и гарантированного удаления объектов с винчестера (файл-шреддер).

• 1. Этапы развития средств и технологий информационной безопасности.
• 2. Составляющие стандартной модели безопасности.
• 3. Источники угроз безопасности и их классификация.
• 4. Непреднамеренные угрозы информационной безопасности.
• 5. Умышленные угрозы информационной безопасности.
• 6. Классификация каналов утечки информации.
• 7. Регулирование проблем информационной безопасности.
• 8. Структура государственной системы защиты информации.
• 9. Методы и средства защиты информации.
• 10. Классификация угроз безопасности данных.
• 11. Методы защиты информации от вирусов.
• 12. Методы контроля целостности.
• 13. Классификация компьютерных вирусов.
• 14. Средства защиты против вирусов.
• 15. Профилактические антивирусные меры.
• 16. Классификация программных антивирусных продуктов.

Источник: bstudy.net