Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Стадии работы программы-ревизора




Антивирусы-ревизоры

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние про­грамм, каталогов и системных областей диска тогда, когда компью­тер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнару­женные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операцион­ной системы. При сравнении проверяются длина файла, код цикли­ческого контроля (контрольная сумма файла), дата и время моди­фикации, другие параметры. Программы-ревизоры имеют достаточ­но развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широ­ко распространенная в России программа Adinf.

Антивирусные программы-ревизоры позволяют обнаружить ви­рус. Чаще всего обнаружением вируса дело и заканчивается. Суще­ствует блок лечения для популярного антивируса-ревизора Adinf, так называемый Cure Module, но такой блок позволяет лечить лишь те файлы, которые не были заражены на момент создания базы дан­ных программы. Однако обнаружить вирус на компьютере (или даже подозрение на него) антивирусы-ревизоры могут с большой степенью надежности. Обычно наиболее оптимальным является связка полифаг и ревизор. Ревизор служит для обнаружения факта заражения системы. Если система заражена, то в дело пускается по­лифаг. Если же ему не удалось уничтожить вирус, то можно обрати­ться к разработчику антивирусных средств — скорее всего, на компьютер попал новый, неизвестный разработчикам вирус.

Основу работы ревизоров составляет контроль за изменениями, характерными для работы вирусных программ. В них содержится информация: о контрольных суммах неизменяемых файлов, содер­жимом системных областей, адресах обработчиков прерываний, раз­мере доступной оперативной памяти и т. п. Вся остальная работа ревизора состоит в сравнении текущего состояния диска с ранее со­храненными данными, поэтому крайне важно, чтобы все контроль­ные таблицы создавались не на зараженной машине. Только в этом случае работа ревизора будет достаточно эффективной.

Контроль оперативной памяти. Эта стадия проверки включает в себя процедуры обнаружения следов активных загрузочных и ste­alth-вирусов в памяти компьютера. Если такие алгоритмы будут найдены, выдается соответствующее предупреждение. Обычно сна­чала программа ищет уже знакомые вирусы. Далее программа про­веряет, изменился ли обработчик Intl3h. Если он изменился, то с вероятностью 90 % можно сказать, что компьютер инфицирован за­грузочным вирусом (загрузочные вирусы вынуждены перехватывать это прерывание с тем, чтобы после своей активизации передать управление «нормальному» загрузочному сектору и система загрузи­лась без сбоев). Ревизор выдает предупреждение об этом и сообщает адрес в памяти, по которому находится новый обработчик Intl3h. В принципе информация о местонахождении обработчика необхо­дима программистам и системным администраторам, а рядовому пользователю следует обратить внимание на предупреждение. Даже если ревизор устанавливается на уже зараженный вирусом компью­тер и реальный адрес обработчика Intl3h маскируется вирусом, в 85 % случаев ревизору удается обнаружить истинный адрес обработ­чика Intl3h в BIOS и работать, используя его. Если по каким-либо причинам ревизору не удалось получить реальный адрес обработчи­ка, то выдается предупреждение. Истинный адрес обработчика пре­рывания достигается путем пошагового просмотра тела вируса (по алгоритму своей работы загрузочный вирус вынужден, в конце кон­цов, передавать управление оригинальному обработчику).

Некоторые вирусы блокируют трассировку прерываний: при по­пытке трассировать их коды они приводят систему к «зависанию», перезагружают компьютер и т. д. Поэтому, если при трассировке прерываний компьютер начинает вести себя «странно», то следует быть очень осторожным — не исключено, что оперативная память поражена вирусом.

Важным параметром является и размер свободной оперативной памяти. Обычно ревизор запускается самым первым, до загрузки каких-либо программ. Если же размер оперативной памяти умень­шился — это верный признак присутствия в ОЗУ еще какой-то про­граммы. Скорее всего, программа эта — вирус.

Контроль системных областей. Контроль системных областей предназначен для обнаружения вирусов, которые используют для своей активации механизм загрузки. Первой с диска загружается за­грузочная запись (boot record), которая содержит в себе мини-про­грамму, управляющую дальнейшей загрузкой. Для жесткого диска первой производится загрузка главной загрузочной записи (Master-Boot Record или MBR).

Необходимо дать некоторые пояснения, связанные с обнаруже­нием загрузочных вирусов. В случае если система поражена загру­зочным вирусом, то именно ему передается управление при по­пытке загрузиться с пораженного диска. В этом опасность виру­са — если поражен жесткий диск, то управление вирусу будет передаваться при каждом включении компьютера. Загрузочные ви­русы в чистом виде передаются исключительно через дискеты, причем заражение осуществляется при попытке загрузиться с по­раженной дискеты. Со временем использование дискет вообще и загрузочных дискет, в частности, сократилось до минимума. Одна­ко способ захвата управления оказался столь удобен, что в настоя­щее время очень распространены вирусы, которые могут поражать как файлы, так и загрузочные сектора. Попав на «чистый» компь­ютер, такие вирусы первым делом поражают главную загрузочную запись. Однако методы обнаружения именно загрузочных вирусов в настоящее время крайне эффективны и приближаются к 100 % надежности.

Чтобы понять, как происходит обнаружение вируса, рассмотрим обнаружение такого вируса «вручную». Произведем загрузку с чис­той дискеты (при этом прерывание 13П гарантировано не будет пе­рехвачено загрузочным вирусом) и рассмотрим сектор 0/0/1 винче­стера (это физический адрес сектора главной загрузочной записи). Если винчестер разделен (при помощи fdisk) на логические диски, то код занимает приблизительно половину сектора и начинается с байтов ЕАПЗЗПСОП (вместо ЗЗП иногда может быть 2ВП). Заканчи­ваться код должен текстовыми строками типа «Missing operating sys­tem». В конце сектора размещаются внешне разрозненные байты таблицы разделов. Нужно обратить внимание на размещение актив­ного раздела в таблице разделов. Если операционная система распо­ложена на диске С, а активны 2-й, 3-й или 4-й разделы, то вирус мог изменить точку старта, сам разместившись в начале другого ло­гического диска (заодно нужно посмотреть и там). Но также это может говорить о наличии на машине нескольких операционных сис­тем и какого-либо boot-менеджера, обеспечивающего выборочную загрузку. Проверяем всю нулевую дорожку. Если она чистая, то есть секторы содержат только байт-заполнитель, все в порядке. Наличие мусора, копий сектора 0/0/1 и прочего может говорить о присутст­вии загрузочного вируса. Впрочем, антивирусы при лечении загру­зочных вирусов лишь «обезглавливают» противника (восстанавлива­ют исходное значение сектора 0/0/1). Проверяем boot-сектор MS-DOS, он обычно расположен в секторе 0/1/1. Его внешний вид для сравнения можно найти на любой «чистой» машине. Примерно таким же способом действуют и программы-ревизоры. Их особен­ность в том, что они не могут судить об изначальной «чистоте» опе­ративной памяти, поэтому чтение Master Boot Record происходит тремя различными способами:

• (bios) — прямым обращением в BIOS;

• (il3h) — чтением через BIOS-прерывание Intl3h;

• (i25h) — чтением средствами операционной системы (преры­вание Int 25h).

Если считанная информация не совпадает, налицо действие ste­alth-алгоритмов. Для большей надежности производится чтение MBR через IDE-порты жесткого диска. До сих пор еще не встреча­лись вирусы, которые могут маскироваться от ревизора, обладающе­го такой функцией.

Аналогичным образом проводится проверка и простого (не главного) загрузочного сектора.

Обычно за счет того, что ревизор сохраняет резервную копию системных областей, восстановление повреждений от загрузочно­го вируса происходит довольно просто: если пользователь дает на то свое согласие, ревизор просто записывает системные области заново.

Контроль неизменяемых файлов. Последняя стадия проверки, на­правленная на обнаружение деятельности файловых вирусов, — контроль изменения файлов. Для всех файлов, которые активно ис­пользуются и в то же время не должны изменяться (обычно это программы типа win.com и т. п.), создаются контрольные таблицы. В них содержатся значения контрольных сумм и размеров файлов. Затем, в ходе дальнейшего использования ревизора, информация с дисков сравнивается с эталонной, хранящейся в таблицах. Если ин­формация не совпадает, то весьма вероятно нахождение в системе файлового вируса. Самый явный признак — изменение размера или содержимого файла без изменения даты создания файла.

После того как все файлы проверены, ревизоры часто сохраня­ют копии дополнительных областей памяти, которые могут быть ис­порчены вирусами. Это FLASH- и CMOS-память. Эти области па­мяти также изменяются достаточно редко и поэтому их изменения могут быть подозрительны.

Еще раз отметим, что наиболее эффективной антивирусной за­щитой будет использование «связки» ревизор — полифаг. Ревизор позволяет отследить активность вируса на диске, а полифаг служит для проверки новых файлов, а также удаления уже известных ви­русов.

Программы-фильтры, или «сторожа», представляют собой не­большие резидентные программы, предназначенные для обнаруже­ния подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

• попытки коррекции файлов с расширениями СОМ, ЕХЕ;

• изменение атрибутов файла;

• прямая запись на диск по абсолютному адресу;

• запись в загрузочные сектора диска;

• загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Програм­мы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Одна­ко они не «лечат» файлы и диски. Для уничтожения вирусов требу­ется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копиро­вания исполняемого файла), а также возможные конфликты с дру­гим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS.

Вакцины, или иммунизаторы, — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» от вируса. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограни­ченное применение.




Поделиться с друзьями:


Дата добавления: 2014-01-20; Просмотров: 917; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.007 сек.