Антивирусные программные средства

Массовое распространение компьютерных вирусов вызвало разработку антивирусных программ, позволяющих обнаруживать и уничтожать вирусы, «лечить» зараженные ресурсы.

В основе работы большинства антивирусных программ лежит принцип поиска сигнатуры вирусов. Вирусная сигнатура - это некоторая уникальная характеристика вирусной программы, которая выдает присутствие вируса в компьютерной системе.

Обычно в антивирусные программы входит периодически обнов­ляемая база данных сигнатур вирусов. Антивирусная программа просматривает компьютерную систему, проводя сравнение и отыс­кивая соответствие с сигнатурами в базе данных. Когда програм­ма находит соответствие, она пытается вычистить обнаруженный вирус.

По методу работы антивирусные программы подразделяются па фильтры, ревизоры-доктора, детекторы, вакцины и др.

Программы-фильтры, или «сторожа», постоянно находятся в оперативной памяти, являясь резидентными, и перехватывают все запросы к операционной системе на выполнение подозрительных действий, т.е. операций, используемых вирусами для своего раз­множения и порчи информационных и программных ресурсов в компьютере, в том числе для переформатирования жесткого дис­ка. Такими действиями могут быть попытки изменения атрибу­тов файлов, коррекции исполняемых СОМ- или ЕХЕ-файлов, за­писи в загрузочные секторы диска и др.

При каждом запросе на такое действие на экран компьютера выдается сообщение о том, какое действие затребовано и какая программа желает его выполнять. Пользователь в ответ на это должен либо разрешить выполнение действия, либо запретить его. Подобная часто повторяющаяся «назойливость», раздражающая пользователя, и то, что объем оперативной памяти уменьшается из-за необходимости постоянного нахождения в ней «сторожа», являются главными недостатками этих программ. К тому же про­граммы-фильтры не «лечат» файлы или диски, для этого необхо­димо использовать другие антивирусные программы.

Надежным средством защиты от вирусов считаются програм­мы-ревизоры. Они запоминают исходное состояние программ, ка­талогов и системных областей диска, когда компьютер еще не был заражен вирусом, а затем периодически сравнивают текущее со­стояние с исходным. При выявлении несоответствий (по длине файла, дате модификации, коду циклического контроля файла и др.) сообщение об этом выдается пользователю.

Программы-доктора не только обнаруживают, но и «лечат» зараженные программы или диски, «выкусывая» из зараженных программ тело вируса. Программы этого типа делятся па фаги и полифаги. Последние служат для обнаружения и уничтожения большого количества разнообразных вирусов.

Программы-детекторы позволяют обнаруживать файлы, за­раженные одним или несколькими известными разработчикам программ вирусами.

Программы-вакцины, или иммунизаторы, относятся к резиден­тным программам. Они модифицируют программы и диски та­ким образом, что это не отражается на работе программ, но ви­рус, от которого производится вакцинация, считает их уже зара­женными и не внедряется в них.

К настоящему времени зарубежными и отечественными фир­мами и специалистами разработано большое количество антиви­русных программ. Многие из них, получившие широкое призна­ние, постоянно пополняются новыми средствами для борьбы с вирусами и сопровождаются разработчиками.

У российских пользователей персональных компьютеров из­вестной популярностью пользуется антивирусный комплект ЗАО «Диалог-Наука» - семейство антивирусных программ Doctor Web.

Комплексный антивирус Doctor Web включает в себя компо­ненты, обеспечивающие различные уровни борьбы с компьютер­ными вирусами:

• для защиты корпоративных сетей;

• для защиты рабочих станций;

• для защиты автономных компьютеров (домашнее пользо­вание);

• для реализации специализированных решений.

Семейство Doctor Web включает антивирусы для ряда опера­ционных систем, включая Windows 95/98/Me/NT/2000/XP, DOS, OS/2, Novell NetWare, Linux, FreeBSD, Solaris (Intel) и др.

Программа-антивирус Doctor Web предназначена для поиска и обнаружения файловых, загрузочных и файлово-загрузочных вирусов. Особенностью программы являются заложенные в ней три метода, позволяющие обнаруживать вирусы: по их сигнату­ре, с помощью эвристического анализатора, с использованием эмулятора процессора.

Поиск вирусов по сигнатуре (иное название этого процесса -сканирование вирусов) позволяет очень быстро обнаружить набор вирусных образцов, уже известных разработчику антивирусной программы. Использование же эвристического анализатора позво­ляет выявлять такие вирусы, сигнатуры которых отсутствуют в антивирусной базе. Прием эмуляции процессора обеспечивает борь­бу со сложными шифрованными и полиморфными вирусами.

Особым свойством семейства программ Doctor Web является модульный принцип построения, что обеспечивает возможность их работы на разных программных платформах. Программа вклю­чает оболочку, ориентированную на работу в конкретной среде; ядро, не зависящее от среды, и вирусную базу, регулярно попол­няемую. Такая структура позволяет одни и те же файлы вирусной базы Doctor Web использовать для разных программных плат­форм, подключать ядро к различным оболочкам и приложениям, а также реализовать механизм автоматического пополнения ви­русных баз и обновления версий оболочки и ядра через сеть Ин­тернет.

Антивирусный сканер Doctor Web для Windows 95/98/Me/NT/ 2000/ХР проверяет файлы, каталоги и диски компьютера на осно­ве установок пользователя. Также обеспечивается полная проверка всей памяти компьютера, включая системную и память всех вир­туальных машин в среде NT/2000/XP, Этот сканер находит и обезвреживает сложные с вирусами «троянский конь» програм­мы, в том числе «ворующие» пароли для доступа в Интернет.

Антивирусная программа SplDer Guard для Windows 95/98/Me/ NT/2000/XP ориентирована на организацию защиты персональ­ного компьютера от вирусов и представляет собой резидентный сторож, т.е. программа постоянно находится в памяти компьюте­ра. Сторож SplDer использует то же ядро и вирусную базу, что и все сканеры семейства Doctor Web, но может делать все проверки автоматически, не отвлекая пользователя на специальные действия по обеспечению антивирусной безопасности. Программа не толь­ко обнаруживает и лечит все известные вирусы (загрузочные, фай­ловые, макрокомандные, HTML-вирусы), но и осуществляет про­верку упакованных файлов и архивов, проверку и удаление виру­сов из оперативной памяти.

Входящая в состав семейства антивирусная программа Doctor Web для Novell NetWare запускается на сервере как загружаемый модуль в среде сетевой операционной системы Novell NetWare версий от 3.11 до 5-1. Она позволяет проводить проверку томов сервера по заранее заданному расписанию; осуществлять провер­ку приходящих на сервер и уходящих с него файлов; оповещать администратора об обнаруженных инфицированных и подозри­тельных файлах, вести протокол проверки; выбирать тома, ката­логи и файлы, подлежащие проверке, и др.

В 2001 г. в семействе Doctor Web появился новый компонент для работы в среде достаточно мало используемых операцион­ных систем Linux, FreeBSD и Solaris, названный программой-демоном Dr. WebD. Подключаемая в качестве внешнего антиви­русного фильтра, эта программа проверяет проходящие через по­чтовый сервер сообщения электронной почты, а также организу­ет отбор «компьютерного мусора», выступая как спам-фильтр.

В ноябре 2002 г. разработан антивирусный модуль Dr. Web для The Bat! для обеспечения антивирусной защиты при работе с по­чтовыми сообщениями в почтовой программе The Bat!. Этот мо­дуль позволяет проверять на наличие вирусов входящую почту при ее получении и при открытии вложения. При обнаружении вируса модуль в зависимости от настройки в почтовой програм­ме The Bat! (меню «Свойства», пункт «Антивирусная защита») может произвести одно из следующих действий:

• переместить письмо в специальную почтовую папку «Ка­рантин» для последующего анализа;

• попытаться вылечить зараженные части письма;

• удалить зараженные части из письма;

• удалить письмо целиком.

В борьбе с компьютерными вирусами очень важна скорость реакции - чем быстрее создается «вакцина» против нового виру­са, тем большее количество компьютеров и находящейся на них информации удается спасти. С октября 2000 г. дополнения вирус­ной базы Doctor Web выходят регулярно. При этом ежедневное и еженедельное дополнения доступны на странице Web-сервера этой компании (www.DialogNauka.ru/dsav/russian/add-on).

С программой Doctor Web можно работать как в режиме пол­ноэкранного интерфейса с использованием меню и диалоговых окон, так и в режиме командной строки. При работе в режиме полноэкранного интерфейса после запуска антивирусной про­граммы пользователь использует необходимые установки через пункты основного меню: Тест Настройки Дополнения.

Переход на операционные системы Windows NT/2000 поро­дил проблемы с защитой от вирусов, создаваемых специально для этой среды. Кроме того, появилась новая разновидность инфек­ции - макровирусы, «вживляемые» в документы, подготавливае­мые текстовым процессором Word и электронными таблицами

Excel. Известными антивирусными программами являются AntiViral Toolkit Pro (AVP32), Norton Ami Virus Sophos SWEEP, Thunder BYTE Anti Virus Utilities и др. Эти программы работают в виде программ-сканеров и проводят антивирусный контроль опе­ративной памяти, папок и дисков, содержат алгоритмы для рас­познавания новых типов вирусов, позволяют в процессе провер­ки лечить файлы и диски.

Программа AntiViral Toolkit Pro (A VP32) является 32-разряд­ным приложением, работающим в среде Windows NT, имеет удоб­ный пользовательский интерфейс, систему помощи, гибкую систе­му настроек, выбираемых пользователем, распознает более 7 тыс. различных вирусов. Для работы этой программы компьютер дол­жен иметь не менее 4 Мбайт оперативной памяти и не менее 2 Мбайт свободного места на жестком диске. AntiViral Toolkit Pro распознает (детектирует) и удаляет полиморфные вирусы, виру­сы-мутанты и вирусы-невидимки, макровирусы, заражающие до­кумент Word и таблицы Excel, объекты Access - «троянские кони».

Важная особенность этой программы состоит в возможности контроля всех файловых операций в системе в фоновом режиме и обнаружении вирусов до момента реального заражения системы, а также в возможности детектирования вирусов внутри архивов формата ZIP, ARJ, ZHA, RAR.

Учитывая развитие локальных компьютерных сетей, электрон­ной почты и сети Интернет и внедрение сетевой ОС Windows NT, разработчиками антивирусных программ разработаны и постав­ляются на рынок такие программы, как Mad Checker ~ для провер­ки входящей и исходящей электронной почты, AntiViral Toolkit Pro для Novell Net Ware (A VPN) - для обнаружения, лечения, удаления и перемещения в специальный каталог пораженных вирусом фай­лов при работе с сетевой ОС Novell NetWare версий 3.x и 4.x.

AVPN работает как антивирусный сканер и фильтр, постоян­но контролируя хранящиеся на сервере файлы. В режиме фильтра сканируются на наличие известных файловых вирусов файлы, приходящие на сервер и исходящие с сервера (в том числе запус­каемые и считываемые), в режиме сканера происходит немедлен­ное или автоматическое сканирование томов сервера.

AVPN имеет возможность удалять, перемещать и «лечить» за­раженные объекты; проверять упакованные и архивные файлы;

детектировать неизвестные вирусы с помощью эвристического механизма; проверять в режиме сканера удаленные серверы; от­ключать зараженную станцию от сети и т.д.

Кроме того, AVPN легко настраивается для сканирования файлов различных типов; имеет удобную схему пополнения ан­тивирусной базы; посылает сообщения о заражении сервера ви­русом по сети, электронной почте и на пейджер; осуществляет ав­томатическое ведение файла-отчета о выполняемых операциях и управление программой с рабочей станции.

Дата добавления: 2014-01-20; Просмотров: 3157; Нарушение авторских прав?; Мы поможем в написании вашей работы!