Программы-ревизоры (инспектора)
Программы-ревизоры (инспектора) относятся к самым надежным средствам защиты от вирусов. Они запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений.
Ревизоры (инспектора) проверяют данные на диске на предмет вирусов-невидимок, изучают, не забрался ли вирус в файлы, нет ли посторонних в загрузочном секторе жесткого диска, нет ли несанкционированных изменений реестра Windows. Причем инспектор может не пользоваться средствами операционной системы для обращения к дискам (а значит, активный вирус не сможет это обращение перехватить).
Программы-ревизоры анализируют изменения состояния файлов и проверяют состояние загрузочного сектора и таблицы FAT; длину, атрибуты и время создания файлов; контрольную сумму кодов. Пользователю сообщается о выявлении несоответствий.
Программы — фильтры (мониторы)
Программы-фильтры (мониторы) или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
Ревизор. Выпуск 18.04.2012 «Херсон»
- 1. попытки коррекции файлов с расширениями COM, EXE
- 2. изменение атрибутов файла
- 3. прямая запись на диск по абсолютному адресу
- 4. запись в загрузочные сектора диска
- 5. загрузка резидентной программы.
Источник: vuzlit.com
Антивирусная программа-ревизор
ПРИНЦИП РАБОТЫ
Принцип работы ревизоров основан на подсчете
контрольных сумм для присутствующих на диске
файлов. Эти контрольные суммы затем
сохраняются в базе данных антивируса, как и
некоторая другая информация: длины файлов,
даты их последней модификации и пр.
При последующем запуске ревизоры сверяют
данные, содержащиеся в базе данных, с реально
подсчитанными значениями. Если информация о
файле, записанная в базе данных, не совпадает с
реальными значениями, то ревизоры
сигнализируют о том, что файл был изменен или
заражен вирусом.
4. Плюсы, минусы ревизора
ПЛЮСЫ, МИНУСЫ РЕВИЗОРА
Плюсы:
• Полный контроль за изменениями на жестком диске.
• Автоматическое обнаружение основных типов
вирусоподобных изменений.
• Возможность организовывать файлы
• Быстрота проверки.
Минусы:
• Высокие требования к квалификации пользователя, новичку
трудно разобраться в том какие изменения могут
представлять угрозу системе.
• Не реализован контроль за реестром Windows.
• Не могут обнаружить вирус в новых файлах ( на дискетах,
при распаковке файлов и т.д. ).
Ревизоры на пороге – Выпуск 1 – 14.02.2022 | ПРЕМЬЕРА
5. Особенности
ОСОБЕННОСТИ
• Ревизоры не в состоянии защитить компьютер от всех
угроз со стороны вируса, поэтому они обычно
используются в комплексе с другими антивирусными
средствами.
• Возможность восстановления некоторых испорченных
и уничтоженных файлов, а также лечения некоторых
файлов, заражённых неизвестными вирусами
• С помощью ревизора пользователи могут решать и
другие проблемы: найти переименованный файл
либо файл с забытым названием, выяснить причину
сильно уменьшившегося свободного пространства
на диске
и т. д.
6. Примеры ревизоров
ПРИМЕРЫ РЕВИЗОРОВ
• Простейшая программа-ревизор Microsoft AntiVirus входит в состав операционной системы MSDOS.
• Более известна программа-ревизор Adinf.
Источник: ppt-online.org
Обзор антивирусных программ-ревизоров
Компьютеры стали настоящими помощниками человека и без них уже не может обойтись ни коммерческая фирма, ни государственная организация. Однако в связи с этим особенно обострилась проблема защиты информации.
Вирусы, получившие широкое распространение в компьютерной технике, взбудоражили весь мир. Многие пользователи компьютеров обеспокоены слухами о том, что с помощью компьютерных вирусов злоумышленники взламывают сети, грабят банки, крадут интеллектуальную собственность.
Работа содержит 1 файл
Компьютеры стали настоящими помощниками человека и без них уже не может обойтись ни коммерческая фирма, ни государственная организация. Однако в связи с этим особенно обострилась проблема защиты информации.
Вирусы, получившие широкое распространение в компьютерной технике, взбудоражили весь мир. Многие пользователи компьютеров обеспокоены слухами о том, что с помощью компьютерных вирусов злоумышленники взламывают сети, грабят банки, крадут интеллектуальную собственность.
Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.
Все чаще в средствах массовой информации появляются сообщения о различного рода пиратских проделках компьютерных хулиганов, о появлении все более совершенных, саморазмножающихся программ. Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.
Борьбой с компьютерными вирусами профессионально занимаются сотни или тысячи специалистов в десятках, а может быть, сотнях компаний. Казалось бы, тема эта не настолько сложна и актуальна, чтобы быть объектом такого пристального внимания. Однако это не так. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации.
Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека — в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.
Необходимость защиты от компьютерных вирусов на данный момент стоит на первом месте. Если правильно выбирать антивирусное программное обеспечение и регулярно обновлять его, можно избежать заражения вирусом и соответственно всех его последствий.
Главным оружием в борьбе с вирусами являются антивирусные программы. Они позволяют не только обнаружить вирусы, в том числе вирусы, использующие различные методы маскировки, но и удалить их из компьютера. Последняя операция может быть достаточно сложной и занять некоторое время.
Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами. Наиболее традиционным методом поиска вирусов является сканирование.
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
— программы-доктора или фаги;
— программы-вакцины или иммунизаторы;
Программы-ревизоры (инспектора) относятся к самым надежным средствам защиты от вирусов.
Ревизоры (инспектора) проверяют данные на диске на предмет вирусов-невидимок, изучают, не забрался ли вирус в файлы, нет ли посторонних в загрузочном секторе жесткого диска, нет ли несанкционированных изменений реестра Windows. Причем инспектор может не пользоваться средствами операционной системы для обращения к дискам (а значит, активный вирус не сможет это обращение перехватить).
Дело в том, что ряд вирусов, внедряясь в файлы (то есть дописываясь в конец или в начало файла), подменяют записи об этом файле в таблицах размещения файлов нашей операционной системы. На первый взгляд вроде бы ничего не изменилось: ни длина файла, ни дата, ни время создания, ни даже контрольный код (CRC). Как говорится, по бумагам все сходится, а хищение налицо.
Программы-ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы.
При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.
Запускать ревизора надо тогда, когда компьютер еще не заражен, чтобы он мог создать в корневой директории каждого диска по таблице файлу kavitab(бyквa_диска).dat (например, kavitabc.dat), со всей необходимой информацией о файлах, которые имеются на этом диске, а также о его загрузочной области. На создание каждой таблицы у пользователя будет запрошено разрешение.
При следующих запусках ревизор (инспектор) будет просматривать диски, сравнивая данные о каждом файле со своими записями. Скажем, размер файла изменился, а дата и время остались прежними. Подозрительно! У нескольких файлов изменилась длина, причем на одинаковую величину, как будто в каждый из файлов было добавлено нечто постороннее. Весьма подозрительно!
Или в реестре Windows произошли изменения, хотя пользователь ничего нового в систему не добавлял. В высшей степени подозрительно! Ну, а когда инспектор сообщает о странных изменениях в загрузочном секторе, то это просто караул! (В случае, если пользователь не установил со времени предыдущей проверки новую операционную систему.)
В такой ситуации ревизор сможет использовать свой собственный лечащий модуль, который восстановит испорченный вирусом файл в 95 случаях из 100 (по крайней мере, так обещают авторы). Для восстановления файлов инспектору даже не нужно ничего знать о конкретном типе вируса, достаточно воспользоваться данными о файлах, сохраненными в таблицах.
Программы-ревизоры запоминают сведения о состоянии файлов и системных областей дисков, а при последующих запусках – сравнивают их состояние исходным. При выявлении несоответствий об этом сообщается пользователю. Часто ревизоры можно настроить так, чтобы они выдавали сообщения только о подозрительных(характерных для вирусов или недопустимых) изменениях, не беспокоя лишний раз пользователя. Часто программы-ревизоры позволяют также «лечить» заражённые файлы или диски, удаляя из их вирусы(это удаётся сделать почти для всех типов вирусов).
Источник: www.stud24.ru
Сетевой «Ревизор»: как работает система контроля за запрещенным контентом
В декабре 2016 года, когда все провайдеры интернета в России установили на своих сетях систему «Ревизор» (проверяет, закрыт ли доступ к запрещенным сайтам), Роскомнадзор обнаружил 1079 операторов, не выполнявших соответствующие требования. За август 2017 года ведомство выявило такие нарушения только в 113 компаниях, рассказал РБК представитель Роскомнадзора Вадим Ампелонский.
РБК проанализировал решения из картотеки арбитражных дел с июня 2016 года (когда было вынесено первое судебное решение к оператору связи из-за нарушений правил блокировки) по август 2017 года включительно и обнаружил 836 решений по таким делам. Почти половина судов, как следует из анализа документов, закончилась для операторов вынесением предупреждений, 28% дел — штрафами, в остальных случаях иски были отклонены по организационным причинам.
Как требовали блокировать сайты в России
В июле 2012 года были приняты поправки в закон «Об информации, информационных технологиях и о защите информации», обязывающие операторов, оказывающих услуги доступа в интернет, ограничивать доступ к сайтам, содержащим запрещенную в России информацию. В ноябре того же года в силу вступило постановление правительства № 1101, описывающее правила создания и ведения Единого реестра доменных имен, указателей страниц сайтов и сетевых адресов, позволяющих идентифицировать сайты с противоправным контентом (сейчас в нем более 150 тыс. ресурсов).
По этим правилам при обнаружении сайта с запрещенной информацией Роскомнадзор должен определить провайдера хостинга для этого сайта и направить ему уведомление о необходимости удалить запрещенную информацию. Если владелец сайта или провайдер хостинга не удалят информацию в течение трех суток, сайт вносится в реестр. Реестр должен обновляться ежедневно в 9:00 и 21:00 по московскому времени. Оператор обязан ограничить доступ к сайтам из реестра в течение суток с момента обновления.
Изначально инспекторы Роскомнадзора пытались вычислить операторов-нарушителей (тех, кто не выполнил предписание) вручную. Но с конца 2015 года Роскомнадзор начал внедрять систему «Ревизор» — программно-аппаратный комплекс, который автоматически проверяет, блокирует ли оператор сайты из реестра запрещенных.
Роскомнадзор потратил на создание «Ревизора» 84,2 млн руб., для операторов использование системы бесплатно. С 1 декабря 2016 года Роскомнадзор стал требовать, чтобы все операторы России подключали «Ревизор».
Если система обнаруживает, что оператор обеспечивает доступ более чем к 1% ресурсов из реестра сайтов с противоправным контентом, она отправляет уведомление об этом в Роскомнадзор. Инспектор службы перепроверяет данные и, если они подтвердятся, выписывает предписание на устранение нарушения, составляет протокол об административном нарушении. Решение о привлечении к административной ответственности принимает суд. Изначально такие нарушения квалифицировались по части 3 статьи 14.1 КоАП (штраф для юрлиц от 30 тыс. до 40 тыс. руб.). В феврале этого года в КоАП появилась статья 13.34, которая предусматривает штраф для юрлиц за неисполнение обязанности по блокировке запрещенных сайтов от 50 тыс. до 100 тыс. руб.
Весна системы блокировки сайтов
Из анализа, который провел РБК (проводился по текстам решений судов, в которых упоминался программно-аппаратный комплекс «Ревизор») следует, что весной 2017 года был зафиксирован всплеск решений судов — за март, апрель и май суды приняли 668 решений. Как пояснил Вадим Ампелонский, в 2016 году ведомство на постоянной основе контролировало только 47% операторов связи на предмет ограничения доступа к запрещенным ресурсам.
После введения «Ревизора» в декабре 2016 года появилась возможность круглосуточного контроля. С учетом порядка и сроков рассмотрения в судах вынесение решений по нарушениям, выявленным сразу после полноценного старта «Ревизора», пришлось на весну, объяснил Ампелонский. Действительно, более 15% исков было отклонено по причине истечения срока давности — в делах такого типа он ограничен тремя месяцами. Поначалу Роскомнадзор мог не укладываться в означенные сроки, из-за того что составление протокола об административном нарушении могло затянуться, поясняет Ампелонский. Сейчас на протокол уходит 5–10 дней, отметил он.
Источник: www.rbc.ru