Как антивирусные программы обнаруживают вирусы

Содержание

Сканирование — один из самых простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса — сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру.

Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Программы-сканеры часто могут удалять обнаруженные вирусы. Такие программы называются полифагами.

Метод сканирования применим для обнаружения вирусов, сигнатуры которых уже выделены и являются постоянными. Для эффективного использования метода необходимо регулярное обновление сведений о новых вирусах.

Самой известной программой-сканером в России является Aidstest Дмитрия Лозинского.

Метод обнаружения изменений базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков. По результатам ревизии программа выдает сведения о предположительном наличии вирусов.

Огромный пак вирусов vs. Антивирусы | Минус система? | Лучший антивирус | UnderMind

Эвристический анализ сравнительно недавно начал использоваться для обнаружения вирусов. Как и метод обнаружения изменений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе.

Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя ОС. Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами. Эвристический анализатор имеется, например, в антивирусной программе Doctor Web.

Метод использования резидентных сторожей основан на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ.

В случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т. п.) резидентный сторож выдает сообщение пользователю. Программа-сторож может загружать на выполнение другие антиви­русные программы для проверки «подозрительных» программ, а также для контроля всех поступающих извне файлов (со сменных дисков, по сети).

Существенным недостатком данного метода является значительный процент ложных тревог, что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей. Примером резидентного сторожа может служить программа Vsafe, входящая в состав MS DOS.

Компьютерные вирусы и антивирусные программы.

Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением «стеле»- вирусов.

Самым надежным методом защиты от вирусов является использование аппаратно-программных антивирусных средств. В настоящее время для защиты ПЭВМ используются специальные контроллеры и их программное обеспечение. Контроллер уста­навливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе.

Читайте также:
Программы для настройки видеокарты intel

В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Таким образом, можно установить защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.

У каждой из серьезных антивирусных программ есть множество настроек, позволяющих изменять ее режим работы и уровень защиты вашего компьютера. Причем установки, предлагаемые производителями по умолчанию, далеко не всегда бывают оптимальны.

Постоянная защита. Все качественные антивирусные программы имеют в своем составе резидентную часть, которая запускается при загрузке компьютера, постоянно находится в оперативной памяти и в режиме реального времени отслеживает «подозрительные события», в частности, попытки запуска инфицированных программ. Обычно постоянная защита бывает включена по умолчанию. Проверьте это и без крайней необходимости не выключайте этот режим.

Проверять все файлы. Для повышение уровня защищенности лучше включить этот режим. Он, правда, существенно замедляет процесс сканирования, но более надежная защита того стоит. Очень часто вирусы спокойненько ждут своего часа в заархивированных файлах (.zip, .arj. ); нередко вредоносные программы распространяются в файлах с измененными расширениями (.txt, .jpg и т.п.).

Режим эвристического анализа позволяет по ряду косвенных признаков выявлять файлы, возможно содержащие новые, неизвестные вирусы, а также отслеживать «подозрительные события» на вашем компьютере. Большинство антивирусных программ имеет несколько уровней эвристического анализа (чаще всего три) и возможность его вообще отключить. Рекомендуем установить средний уровень. Максимальный (частенько его называют «параноидальный») уровень эвристического сканирования, конечно, повышает степень защиты, но сильно замедляет работу и дает большое количество ложных срабатываний. Его имеет смысл включить, если вы услышали про грядущую или уже начавшуюся атаку нового, ранее неизвестного вируса.

Действия антивирусной программы при обнаружении вируса. Обычно имеется возможность установить один из следующих режимов:

  • только отчет;
  • лечить зараженные файлы; если вылечить невозможно:
  • удалять зараженные файлы;
  • переименовывать, перемещать зараженные файлы;
  • запрашивать пользователя о дальнейших действиях;
  • сразу удалять зараженные файлы.

Источник: studfile.net

По какому принципу антивирус находит «паразита»

Антивирус – это программа специфического типа, созданная для обнаружения, опознания и последующего устранения вредоносных кодов, программ, зараженных файлов, спам-рассылок и прочих неприятностей.

Все антивирусы осуществляют поиск вирусов по трем основным схемам. В большинстве антивирусных программ эти методики комбинируются для повышения эффективности. К ним относятся:

1. Поиск вируса по его сигнатуре. Это самый простой и действенный метод поиска вируса, который заложен в основу любого антивируса и применяется для поиска нежелательных программ чаще всех остальных способов. У всех вирусов есть свой уникальный программный код, также, как у людей отпечатки пальцев.

Антивирус сравнивает все файлы ПК на наличие таких кодов, которые заложены в его базе данных и требуют регулярного обновления. Однако, у этого способа есть существенный минус – он не может находить вариации вируса. Это похоже на прививку от гриппа – вирус один, а его разновидностей неслыханное множество, и с каждым разом вариаций все больше.

Второй существенный минус этого метода в том, что не все антивирусные компании справляются с базами данных. Новые вирусы появляются каждую минуту, и антивирусы просто не успевают обновлять свои хранилища. Третий серьезный недостаток – этот тип поиска вирусов отнимает большое количество времени, и иногда на проверку уходит около половины суток, что, согласитесь, не очень-то удобно.

Читайте также:
В какой программе лучше писать дипломную работу

2. Эвристический метод. Он распознает вирусы по сигнатуре. Сигнатура – это поведение вируса, его особенности строения и логика. Антивирус работает в поисках программ, которые имеют определенный набор команд, которые у антивируса есть в базе. Данный метод помогает находить вирусы, которые еще не успели причинить компьютеру вред.

Очень часто антивирус находит вирус эвристическим методом, когда «зараза» дает сигнал, к примеру, включить мелодию или удалить папку. У этого способа обнаружения есть ряд минусов: Во-первых, он очень чувствителен и часто срабатывает без причины. Во-вторых, базы данных этого метода очень трудно обновлять из-за больших объемов методики. В-третьих, не всегда при обнаружении вируса его можно устранить.

3. Помещение вируса на «карантин» — не столько метод поиска, сколько проверка подозрительных программ. Антивирус имеет дело с «подозрительной» программой и помещает ее в безопасную область, где следит за ней. В пределах карантина если вирус и включится, то не сможет ничего передать или испортить. Под контролем вирус будет до тех пор, пока антивирус не решит, удалять его в связи с опасностью или отпустить, потому что вышла осечка.

Источник: xn--90aihhxfgb.xn--p1ai

Пресс-центр

Как работает антивирус: принцип работы антивирусных программ

Цифровая вакцина

Как работает антивирусная программа и почему она уже не только антивирусная.

В последние пару лет людям довелось лишний раз убедиться в своей явной уязвимости перед вирусами. Несмотря на все научно-технические достижения, полностью обезопасить себя от маленьких коварных врагов пока не удаётся. Единственным спасением остаются вакцины. Все эти утверждения справедливы и для цифрового мира. О принципах действия антивирусных программ — в нашей новой статье.

Что такое современный антивирус?

Антивирус в традиционном понимании — это программа для обнаружения, идентификации и устранения вирусов с компьютера или другого устройства.

Эволюция компьютерных вирусов происходила в том же направлении и с теми же темпами, что и развитие технологий обмена информацией. Большая часть вирусов написана под Microsoft Windows — самую популярную операционную систему в мире.

Вслед за распространением интернета и мобильных устройств, киберпреступники ринулись в эти сферы и ожидаемо получили массу новых возможностей для атак, слежки и кражи личных данных пользователей. Но, как известно, на любое действие найдётся противодействие. Принцип работы антивирусных программ претерпел значительные изменения с момента их появления в конце 80-х годов. А борьба с вирусописателями вышла на новый уровень.

Строго говоря, классических вирусов, заражающих исполняемые файлы ОС и создающих свои копии в разных отделах диска, уже нет. Зато есть много других вредоносных программ (malware): трояны, черви, руткиты, эксплойты, шпионы, ботнеты, бэкдоры, рекламные приложения (один из самых распространенных видов) и другие.

Получается, что слово «антивирус» тоже не совсем корректное. Сегодня антивирусные программы работают не просто как сканеры, ищущие вирусы на диске. Теперь это многофункциональное комплексное решения для защиты от киберугроз на всех уровнях.

На чём основано действие антивирусной программы?

Для эффективной защиты от различных типов вредоносного ПО, антивирус использует несколько методов их обнаружения.

  • Сигнатурный метод или реактивная защита. Базовый и проверенный временем механизм. В его основе лежит сигнатура — набор уникальных характеристик вируса или семейства однотипных вирусов. Сигнатуры создаются вирусными аналитиками на основе анализа уже известных вредоносных программ и формируются в постоянно обновляемую антивирусную базу. Антивирусное ПО автоматически загружает свежие базы и сравнивает содержимое локальных и внешних файлов с данными из сигнатур. Принцип работы антивируса с сигнатурами позволят точно определить тип угрозы и понять как с ней бороться. Недостаток сигнатурного метода в том, что он бессилен против неизвестных и модифицированных вирусов, а также не способен анализировать подозрительную активность приложений.
  • Эвристический анализ или проактивная защита. Используется для предупреждения потенциальных угроз и решения задач, с которыми сигнатурный метод не справляется. Возможностей много:
  • анализ работы программ на предмет подозрительных действий. Например, программе для скачивания видео с видеохостингов явно не нужно без вашего согласия прописываться в ветке автозагрузки системного реестра, произвольно открывать порты и обмениваться данными с неизвестными серверами. Если таких подозрительных активностей становится слишком много, антивирус сигнализирует об этом. Конечно то, как работают антивирусы с эвристическим анализом пока нельзя назвать совершенством. Случаются ложные срабатывания на доверенные программы. Впрочем, это решается настройкой;
  • безопасный запуск и поведенческий анализ подозрительных программ в «песочнице» — эмуляторе ОС;
  • обнаружение (но не лечение) незнакомого вредоносного ПО, на основе похожих сигнатур и по косвенным признакам.
Читайте также:
Составить программу печатающую значение true если указанное высказывание является истинным

Из чего состоит антивирусное ПО?

Принцип работы современных антивирусов заключается в комплексном подходе к вопросам кибербезопасности. У всех компаний разный состав модулей антивирусного ПО. Вот несколько основных:

  • Сканер. Ищет вредоносное ПО в оперативной памяти, загрузочных записях при включении, на локальных и внешних дисках, а также в системных файлах ОС. Может выполняться по расписанию, по запросу пользователя или при обращении к данным. Что делает антивирус, если находит угрозу в каком-то файле? Предоставляет пользователю несколько вариантов на выбор:
  • попытаться вылечить, удалив вредоносный код;
  • поместить в карантин, чтобы вылечить позже или удалить;
  • удалить, если вылечить не удалось;
  • получить отчёт, но больше ничего не делать;
  • игнорировать.
  • Монитор. Отслеживает все манипуляции с файлами в режиме реального времени. Находит и обезвреживает вредоносное ПО до того, как оно успевает инфицировать систему.
  • Проактивная защита или HIPS. Анализирует в реальном времени поведение всех запущенных программ и файлов в системе. Выявляет нежелательную активность и вредоносные программы, включая эксплойты.
  • Файервол. Контролирует входящий трафик для защиты устройства от несанкционированного вторжения из локальной сети или интернета. Фильтрует подозрительный исходящий трафик. Этот модуль может выпускаться как отдельное ПО. Помните, что автоматический режим работы файервола не является оптимальным, поэтому лучше настраивать правила для программ и серверов.
  • Интернет. Мониторит весь веб-трафик пользователя, блокирует опасные и фишинговые страницы. Фильтрует спам, а также проверяет вложения и ссылки в электронной почте на наличие вредоносных программ и фишинга. Использует отдельный зашифрованный браузер с защитой от клавиатурных шпионов для безопасных онлайн-платежей. Позволяет настроить ограничения доступа к нежелательным категориям сайтов.

Принцип действия современной антивирусной программы подразумевает использование машинного обучения. Алгоритмы обнаружения вредоносного ПО быстро совершенствуются. С каждым годом появляется всё больше дополнительных инструментов кибербезопасности, которые оставляют всё меньше лазеек злоумышленникам.

Не пренебрегайте использованием антивирусного ПО и сами не болейте!

Источник: www.esetnod32.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru