Компьютерные вирусы, и методы обнаружения их
Опубликовано 17.07.2007 - В рубриках: Безопасность
В настоящее время в мире насчитывается более 40 тысяч только зарегистрированных вирусов. Так как подавляющее большинство современных вредительских программ обладают способностью
к саморазмножению, то часто их относят к компьютерным вирусам.
Малые размеры, способность быстро распространятся, размножаясь и внедряясь в объекты (заряжая их), негативное воздействие на систему – все эти признаки биологических вирусов присущи и вредительским программам, получившим по этой причине название “компьютерные вирусы”. Вместе с термином “вирус” при работе с компьютерными вирусами используются и другие медицинские термины “заряжение”, “среда обитания”, профилактика” и др.
Методы обнаружения вирусов делятся на следующие:
- Сканирование
- Обнаружение изменений
- Эвристический анализ
- Использование резидентных сторожей
- Вакцинирование программ
- Аппаратно-программная защита вирусов.
Сканирование – один из самых простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса – сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз сигнатуру. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их конкретные суммы. Программы-сканеры часто могут удалять обнаруженные вирусы. Такие программы называются полифагами.
Метод сканирование применим для обнаружения вирусов, сигнатуры которых уже выделены и являются постоянными. Для эффективного использование метода необходимо регулярное обновление сведений о новых вирусах.Метод обнаружения изменений базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков. По результатам ревизии программа выдаёт сведения о предположительном наличии вирусов лавным достоинством метода является обнаружение вирусов всех типов, а также новых неизвестных вирусов. Имеются у этого метода и недостатки. С помощью праграмм-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже заражёнными. Вирусы будут обнаружены только после размножения в системе.
Эвристический анализ сравнительно недавно начал использоваться для
обнаружения вирусов. Как и метод обнаружения изменении, данный метод позволяет
определить неизвестные вирусы, но не требует предварительного сбора, обработки и
хранения информации о файловой системе. Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. Такими командами могут быть команды создания модулей в оперативной памяти, команды прямого обращения к дискам, минуя ОС. Эвристические анализаторы при обнаружении “подозрительных” команд в файлах ил загрузочных секторах выдают сообщение о возможном заряжении. После получения таких сообщений необходимо тщательно проверить предположительно заражённые файлы и загрузочные сектора всеми имеющими антивирусными средствами. Эвристический анализатор имеется, например в антивирусной программе Doctor Web.
Метод использования резидентных сторожей основан на применении программ,
которые постоянно находятся в ОП ЭВМ и отслеживают вс действия остальных программ. В случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т.п.) резидентный сторож выдаёт сообщение пользователю. Программа-сторож может загружать на выполнение другие антивирусные программы для проверки “подозрительных” программ, а также для контроля всех поступающих извне файлов (со сменных дисков, по сети).
Существенным недостатком данного метода является значительный процент ложных тревог, что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей.
Под вакцинацией программ понимается создание специального модуля для контроля её целостности. В качестве характеристики целостности файла обычно используются контрольная сумма. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением “стеле”- вирусов.
Cамым распространённым методом защиты о вирусах является использование
аппаратно-программных антивирусных средств. В настоящее время для защиты ПЭВМ используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъём расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых обычных режимах работы не допускаются. Таким образом, нужно установить защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др. При выполнении запретных действий любой программой контроллер выдаёт соответствующее сообщение пользователю и блокирует работу ПЭВМ.
Вредительские программы и, прежде всего, вирусы представляют очень серьёзную
опасность для информации. Недооценка этой опасности может иметь серьёзные последствия для пользователей. Знание механизм действия вирусов, методов обнаружения их и борьбы с ними позволяют эффективно организовать противодействие вирусам, свести к миниуму вероятность заряжения и потерь от их воздействия.
Сокол Дмитрий
cokol@mail.by
Комментарии
Отзывов (2) на «Компьютерные вирусы, и методы обнаружения их»
Оставьте отзыв
Хорошая статья,только эту статью нужно было отправлять на конкурс ,а не в тему безопасность!
Нельзя, чтобы в конкурсе участвовали две статьи от одного автора.