Антивирусный монитор, при обнаружении выполнения опасных операций, запускает процесс сканирования файлов, над которыми осуществляются те или иные действия. При этом используется антивирусный сканер. Если в результате сканирования происходит обнаружение попытки заражения, антивирусный монитор блокирует действие (чтение, изменение, запись) над файлом или программой, при этом информирует пользователя об обнаруженной угрозе. После чего выполняет команды пользователя, или же, при работе в автоматическом режиме — производит самостоятельные действия, направленные на нейтрализацию возникшей угрозы.
Для осуществления непрерывного антивирусного мониторинга вредоносной активности, антивирусный монитор должен постоянно находиться в оперативной памяти компьютера.
Антивирусные мониторы очень важны для полноценной защиты компьютеров. Поэтому их желательно всегда держать в активном состоянии, не отключая.
Знаете ли Вы, что «гравитационное линзирование» якобы наблюдаемое вблизи далеких галактик (но не в масштабе звезд, где оно должно быть по формулам ОТО!), на самом деле является термическим линзированием, связанным с изменениями плотности эфира от нагрева мириадами звезд. Подробнее читайте в FAQ по эфирной физике.
Источник: www.bourabai.ru
Общая характеристика системы антивирусной защиты информации. Современные методы обнаружения компьютерных вирусов и защиты от них.
Система антивирусной защиты информации предназначена для предотвращения заражения программными вирусами информационно-вычислительных ресурсов.
Сегодня используется несколько основополагающих методик обнаружения и защиты от вирусов:
· сканирование; антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов.
· эвристический анализ; позволяет обнаруживать ранее неизвестные вирусы
· использование антивирусных мониторов; Монитор автоматически проверяет все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов
· обнаружение изменений; Когда вирус заражает компьютер, он изменяет содержимое жесткого диска
· использование антивирусов, встроенных в BIOS компьютера.
Классификация антивирусных средств
1. Детекторы осуществляют поиск компьютерных вирусов в памяти и при обнаружении сообщают об этом пользователю.
2. Ревизоры выполняют значительно более сложные действия для обнаружения вирусов. Они запоминают исходное состояние программ, каталогов и периодически сравнивают их с текущими значениями. При изменении контролируемых параметров ревизоры сообщают об этом пользователю.
3. Фильтры выполняют выявление подозрительных процедур. При обнаружении подобных процедур фильтры запрашивают пользователя о правомерности их выполнения.
4. Доктора являются самым распространенным типом антивирусных программ. Эти программы не только обнаруживают, но и удаляют вирусный код из файла “лечат” программы. Доктора способны обнаружить и удалить только известные им вирусы, поэтому их необходимо периодически, обычно раз в месяц, обновлять.
5. Вакцины – это антивирусные программы, которые так модифицируют файл или диск, что он воспринимается программой-вирусом уже зараженным и поэтому вирус не внедряется.
Интегрированные антивирусные решения и их общая характеристика: защита от спама, межсетевое экранирование, защита от использования опасных сетевых ресурсов.
Комплексные антивирусы могут сочетать в себе защиту от спама, межсетевое экранирование и защиту от использования опасных сетевых ресурсов.
К таким антивирусам из наиболее известных относятся Антивирус Касперского, Dr.Web Security Space и др.
1. Антиспам- при приеме почты антиспам производит анализ поступающей корреспонденции. При обнаружении спама письмо помечается специальной меткой [!! SPAM] в поле «Тема» и помещается в папку «Удаленные». Письма, распознанные как не спам, ничем не помечаются. Если программа не уверена, что письмо спамерское, то ставится метка [??
Probable Spam] и письмо помещается в папку «Входящие» для принятия пользователем окончательного решения.
2. Межсетевое экранирование. В Kaspersky Internet Security встроен межесетевой экран (firewall) включает контроль доступа к программам и сетевой экран. Файрвол может задать ограничения для программы по выходу в сеть (локальную, интернет или все сразу).
3. В Kaspersky Security также входит Компонент Обнаружение сетевых угроз. Если обнаружение сетевых атак включено, Kaspersky Security блокирует IP-адрес, с которого была произведена сетевая атака, в течение заданного времени, чтобы автоматически защитить виртуальную машину от возможных будущих сетевых атак с этого адреса.
Дата добавления: 2019-09-13 ; просмотров: 404 ; Мы поможем в написании вашей работы!
Поделиться с друзьями:
Источник: studopedia.net
Характеристика антивирусных программ
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Классификация антивирусов представлена на рис.2.
Программы-детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры, тело вируса или маска вируса) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные.
Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.
Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.
Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором.
Недостатком таких антивирусных про грамм является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Сканеры или программы-доктора, не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. Принцип работы сканеров основан на проверке системной памяти, затем файлов и секторов и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются маски вируса (некоторая постоянная последовательность кода, специфичная для конкретного вируса), содержащиеся в антивирусных базах.
Если же вирус не содержит постоянной маски (полиморфы), то может использоваться алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Во многих сканерах используются алгоритмы эвристического сканирования, заключающиеся в поиске признаков деятельности вирусов, таких как подозрительный код или неожиданные изменения в файлах. Поскольку эвристическое сканирование является вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний
Эвристическим анализатором называют алгоритм, предназначенный для обнаружения фрагментов программ, типичных для компьютерных вирусов. Эвристические анализаторы используются полифагами для обнаружения вирусов, не входящих в базу данных полифага. Эффективность эвристического анализатора определяется двумя параметрами: процентом обнаруженных вирусов и процентом так называемых ложных срабатываний (подозрений на наличие вируса в файлах, в которых его нет). Российский полифаг Doctor Web имеет один из лучших в мире эвристических анализаторов.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их антивирусных баз. К достоинствам сканеров относится их универсальность, к недостаткам — размеры антивирусных баз, которые сканерам приходится «таскать за собой», и относительно небольшая скорость поиска вирусов.
Ревизоры (CRC-сканеры.) Ревизор дисков – программа, предназначенная для контроля целостности информации на диске. Ревизор контролирует целостность файлов, загрузочных секторов и системных областей, сообщая обо всех изменениях Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным.
Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (CRC-сумма или контрольная сумма файла Контрольная сумма – функция от файла, вычисляемая по специальному алгоритму.
Контрольные суммы строятся таким образом, чтобы изменения в файле влекли изменения контрольной суммы. Контрольные суммы используются программой-ревизором для контроля целостности файлов), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом: практически 100% оказываются обнаруженными почти сразу после их появления в системе. Однако у этого типа антивирусов есть врожденный недостаток: они не способны поймать вирус в новых файлах (в электронной почте, на дискете, в файлах, восстанавливаемых из архивов).
Мониторы или «сторожа» (блокировщики.) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
— попытки коррекции файлов с расширениями СОМ и ЕХЕ;
— изменение атрибутов файлов;
— прямая запись на диск по абсолютному адресу;
— запись в загрузочные сектора диска;
— загрузка резидентной программы.
При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.
Вакцины или иммунизаторы — это программы, блокирующие заражение каким-либо типом вируса. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Файлы на диске модифицируются таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными.
Для защиты от резидентного вируса в память заносится программа, имитирующая копию вируса, при запуске вирус натыкается на нее и считает, что система уже заражена. В настоящее время программы-вакцины имеют ограниченное применение.
Источник: megalektsii.ru