КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Программы обнаружения и защиты от вирусов
Признаки появления вирусов
Обнаружение вирусов и меры защиты от них
Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные) и компьютерные сети. Заражение жесткого диска может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А: и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.
Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус прежде всего переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов.
После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом заразиться может все программное обеспечение.
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:
1. прекращение работы или неправильная работа ранее успешно функционировавших программ;
2. медленная работа компьютера;
3. невозможность загрузки операционной системы;
4. исчезновение файлов и каталогов или искажение их содержимого;
5. изменение даты и времени модификации файлов;
6. изменение размеров файлов;
7. неожиданное значительное увеличение количества файлов на диске;
8. существенное уменьшение размера свободной оперативной памяти;
9. вывод на экран непредусмотренных сообщений или изображений;
10. подача непредусмотренных звуковых сигналов;
11. частые зависания, перезагрузка системы и сбои в работе компьютера и др.
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. В соответствии с выполняемыми функциями различают следующие виды антивирусных программ:
1. программы-детекторы;
2. программы-доктора, или фаги;
3. программы-ревизоры;
4. программы-фильтры;
5. программы-вакцины, или иммунизаторы.
Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Недостатком этого вида программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Некоторые программы-детекторы также выполняют эвристический анализ файлов и системных областей дисков, что часто позволяет обнаруживать новые, не известные программе-детектору, вирусы. Многие программы-детекторы позволяют также «лечить» зараженные файлы или диски, удаляя из них вирусы, но лечение поддерживается только для вирусов, известных программе-детектору.
Программы-доктора, или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файл в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожают их, и только затем переходят к лечению файлов. Среди фагов выделяют полифаги, то есть программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них у нас: Norton AntiVirus, Doctor Web. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают и требуют регулярного обновления.
Программы-ревизоры – это самые надежные средства защиты от вирусов. Они запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран. Обычно сравнение состояний они производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма), дата и время модификации и другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы. Часто эти программы позволяют и лечить, удаляя вирусы из файлов или дисков. К числу программ-ревизоров относится широко распространенная в России программа Adinf, которая запоминает важнейшие параметры системы, и если с файлом произошло нечто похожее на вторжение вируса, то она сообщает об этом.
Программы-фильтры, или сторожа представляют собой небольшие резидентные программы, предназначенные для обнаружения характерных для вирусов действий при работе компьютера. Такими действиями могут являться:
1. попытки коррекции файлов с расширением com, exe;
2. изменение атрибутов файла;
3. прямая запись на диск по абсолютному адресу;
4. запись в загрузочные сектора диска;
5. загрузка резидентной программы и др.
При попытке какой-либо программы произвести указанные действия программа сторож посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры способны лечат файлы и диски. Для уничтожения вирусов требуется применить другие программы, например, фаги. К недостаткам программ-сторожей можно отнести их назойливость, так как они постоянно выдают предупреждение о любой попытке копирования исполняемого файла, а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит Ms Dos. К преимуществам таких программ относят возможность обнаружения неизвестных вирусов.
Вакцины, или иммунизаторы – это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» конкретный вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Распределение компьютерных вирусов во всем мире носит вообще говоря региональный характер, который оказывает определяющее влияние на выбор типа антивирусной программы. Даже самый лучший американский продукт может оказаться недостаточно эффективным в борьбе с вирусами-«аборигенами». Поэтому лучше ориентироваться на антивирусные программы, разработанные в данном регионе.
Приведем ряд антивирусных программ, получивших распространение в странах СНГ.
Aidstest. Программа предназначена для обнаружения и исправления файлов, зараженных определенными типами вирусов, известными на момент ее создания. Версии программы постоянно пополняются по мере создания новых вирусов. При запуске программа AIDSTEST проверяет оперативную память на наличие известных ей вирусов и обезвреживает их.
Doctor Web. Антивирус относится к классу программ-детекторов и обладает «эвристическим анализатором» – алгоритмом, позволяющим обнаруживать неизвестные вирусы. Программа ориентирована на самомодифицирующиеся вирусы, автор И.Данилов.
Microsoft Antivirus (MSAV). Антивирус работает в режимах детектора-доктора или ревизора. MSAV имеет дружественный интерфейс с пользователем. В нем реализован доступ к пунктам меню.
В мире по достоинству оценивают Антивирус Касперского. Один из наиболее популярных испанских компьютерных журналов PC Actual опубликовал результаты очередного ежегодного тестирования антивирусных продуктов. В соответствии с ними, известный российский программный комплекс Антивирус Касперского второй год подряд не дал ни единого шанса своим соперникам и уверенно занял 1-е место по общему количеству набранных баллов. Тестирование продуктов производилось экспертами пан-европейского исследовательского центра Hispasec Sistemas, специализирующегося на изучении проблем компьютерной безопасности. В отличие от большинства существующих процедур испытания антивирусов, Pc Actual ограничился проверкой технических характеристик представленных программ. Также учитывалось и качество технической поддержки, оперативность реакции на появление новых вирусов, объем потребляемых ресурсов, доступность цены. Только совокупный показатель по всем перечисленным параметрам дает общую картину преимуществ и недостатков различных антивирусов и выявляет наиболее подходящий продукт для конечного пользователя. В итоге, Антивирус Касперского показал самый высокий результат среди всех представленных программ и получил 9 баллов из 10 возможных.
В резюме, завершающем сравнительное тестирование, авторы особо отметили выдающиеся характеристики Антивируса Касперского в области защиты от различных типов вредоносных программ, высокий уровень техническолй поддержки, лучшую реакцию на появление новых вирусов и исключительный эвристический алгоритм поиска неизвестных вирусов.
Учитывая опасность, грозящую пользователям офисных приложений, Лаборатория Касперского разработала AVP – первую в мире встроенную защиту от макро-вирусов специально для Microsoft Office 2000. AVP для Office 2000 представляет собой встроенный модуль (plug-in), проверяющий все открываемые документы Word, Excel, Access, Power Point на предмет их заражения макровирусами. Такой механизм перехвата вирусов «на лету» является наиболее удобным и экономичным, так как потребляет гораздо меньше системных ресурсов, нежели любой резидентный антивирусный продукт. Новая антивирусная программа отличается исключительной простотой установки и использования. Антивирусная база нового продукта содержит алгоритмы обнаружения и лечения всех известных макровирусов и регулярно обновляется.
Пакет предназначен для пользователей, не имеющих на своих компьютерах резидентного монитора AVP (он уже содержит надежную защиту против макровирусов) или использующих другие антивирусные программы. Во втором случае, владельцы компьютеров смогут использовать AVP для Office 2000 в качестве дополнительного уровня защиты и на практике сравнить надежность AVP с другими антивирусами. AVP для Office 2000 распространяется бесплатно.
|
|
Дата добавления: 2015-07-13; Просмотров: 1549; Нарушение авторских прав?; Мы поможем в написании вашей работы!