Антивирус ревизор это что
Во прошлой части статьи мы рассмотрели теорию и базовые алгоритмы по работе различных типов антивирусов, для лучшего понимания специфики и устройства антивирусных ревизоров вообще. Сегодня же мы подробно и комплексно рассмотрим как минусы, так и плюсы использования ревизора ADinf32, кроме того, ознакомимся с основными принципами работы с ним, ну и в завершение нашего обзора — перечислим все существующие редакции и условия использования этого известного антивирусного продукта от одной из ведущих российских компаний, специализирующихся в области информационной безопасности, — «ДиалогНаука».
Если добавить от себя и кратко резюмировать общее содержание и назначение обеих статей — то смысл меседжа будет таков: почему вы очень много теряете, исключив из своей безопасности антивирусные ревизоры — это, во-первых, а во-вторых, — никогда не поздно узнать что это такое, и какие преймущества дает вам ADinf, если раньше вы про него ничего не знали.
Как уже, наверное, стало понятным из прошлой части одноименной статьи, общий алгоритм использования дискового ревизора ADInf сводится к тому, что, запустив его на проверку первый раз, вы инициируете ознакомительный проход ревизора по файлам вашей системы. Очень желательно, чтобы перед этим вы всё-таки настроили оптимальные маски контролируемых файлов, чтобы несколько сузить зону проверки, дабы ревизор не тратил много времени на создание лишних контрольных сумм для файлов справок (помощи), музыкальных и видеофайлов и прочих неисполняемых файлов, где появление вируса крайне маловероятно, если не сказать даже, что невозможно.
Также важно очень ясно и четко понимать, что первый ознакомительный запуск должен производиться на заведомо чистом компьютере, идеально — сразу после установки Windows. В противном случае, если в системе уже поселился зловред (неважно — знаете вы об этом или нет), эффективность и смысл от дальнейшего использования дискового ревизора будут сведены к нулю. В любом случае перед снятием эталонных контрольных сумм во время первого запуска ADinf есть смысл хотя бы раз прогнать полную проверку всех дисков вашего компьютера традиционным антивирусом-полифагом со свежими базами.
ADinf32 в работе: идет анализ дерева каталогов .
После первого ознакомительного прохода, когда эталонные контрольные суммы отмеченных файлов будут сохранены в таблицах, все следующие запуски будут уже в режиме проверок — то есть будет происходить автоматическое сличение этих контрольных сумм в базе с текущими. О любом отклонении ревизор незамедлительно сообщит вам, что потребует вдумчивого анализа истории изменений подозрительного файла и, вероятно, будет значить, что ваш компьютер был заражен неким вирусом. Настроить конкретные диски для проверки, файлы-папки, расширения и исключения, глубину и методы контроля для таких регулярных проверок предлагаю каждому самостоятельно, исходя из его персональных предпочтений и требований к уровню безопасности своего компьютера.
Преимущества и недостатки ревизоров
У ADInf, как и у любой другой технологии, конечно же, есть недостатки, поэтому давайте честно перечислим основные из них:
- Снимать контрольные суммы для контролируемых файлов имеет смысл только на заведомо чистой операционной системе, т.е., например, сразу после полной переустановки Windows. Итак, повторюсь, главное правило — ADInf нужно ставить как можно раньше после переустановки Windows, желательно до установки любых других программ, гарантированно на чистую ОС.
- Если вирус заражает файлы методом их перезаписи, то теоретически он может «подогнать» новую контрольную сумму файла так, чтобы она совпадала со старой — до его модификации. В таком случае, конечно, ADInf ничего не заметит, но сразу хочется отметить низкую вероятность подобной ситуации (версия ADInf Pro полностью исключает даже такую гипотетическую возможность — см. описание версии Pro ниже).
- Как правило, ADInf ничего не лечит и не предназначен для этого, его основная функция — гарантированно детектировать появившийся новый вирус, после чего вас любезно оставляют наедине с осознанием этого печального факта. Впрочем, мы подготовили нижеследующую главу — Варианты действий для лечения обнаруженного вируса (см. ниже), чтобы, по возможности, сгладить этот неприятный для многих новичков момент.
- Важно сразу запомнить, что, поскольку ADInf читает диски на низком уровне посекторно, он не может контролировать ваши сетевые диски. Если нескoлькo машин объединены сетью, то ADInf32 должен быть установлен на каждой машине. ADInf32 предназначен для работы только с локальными дисками компьютера!
- На некотором железе возможна несколько нестабильная работа с дисковой подсистемой ввода-вывода. Подчеркиваю, что хотя это и редко встречается, но имеет место быть (я лично был свидетелем этого).
- Практически 100%-ная гарантия обнаружения любых изменений в файлах, поэтому пропустить появление зловреда, при правильных настройках программы-ревизора, практически невозможно.
- Гораздо более быстрый проход при проверке диска по сравнению с традиционными антивирусами-полифагами. При понимании принципов работы и точной настройки типов проверяемых файлов эта скорость работы повышается в разы. Поэтому, вероятно, есть смысл сформулировать свою стратегию безопасности таким образом, чтобы ежедневно проверять свой компьютер на вирусы именно ревизором ADinf, а при появление каких-либо уведомлений об изменении исполняемых файлов немедленно пускать в бой «тяжелую артиллерию» — ставить на тотальную проверку компьютера антивирусом-полифагом.
- При такой методике работы ревизора не требуется никаких обновлений неких антивирусных баз или чего-то в этом роде. Таблицы контрольных сумм, будучи созданы единожды, будут всегда служить достоверным средством установления повреждения или заражения любого исполняемого файла из контрольного списка.
- ADinf — это DOS-версия, во многом уже морально и технически устаревшая, но ещё могущая быть востребованной на старых компьютерах;
- ADinf32 — это нативное 32-разрядное приложение, полностью адаптированное к ОС семейства Windows. Обращаю ваше внимание, что для работы с Windows 7 требуется именно последняя, четвертая, версия программы, которая поставляется как в 32-битном виде, так и в 64-битовой версии — для обеих редакций Windows 7;
- ADinf32Pro — это полностью аналогичная версия ADinf32, единственное отличие которой — использование для контроля целостности особо ценных данных, таких как документы, базы данных, персональные архивы и т.п. — продвинутого алгоритма LAN64, который вычисляет 64-битную хеш-функцию, разработанную фирмой «ЛАН Крипто». Эта функция гарантирует даже теоретическую невозможность какой-либо модификации данных без изменения значения хеш-функции файла, что дает абсолютный контроль над целостностью данных, которые вы мониторите с помощью дискового ревизора ADinf.
- Быстрота проверки. В отличие от сканеров, которые должны содержимое файлов сверить с тысячами известных вирусных сигнатур, «на лету» разархивировать архивы, распаковать упакованные исполняемые файлы и библиотеки, ревизор подсчитывает лишь контрольную сумму. Это даёт экономию времени в десятки раз.
- Выявление любых новых вирусов. Если вирус отсутствует в базе данных (еще не занесён в базу или у данного пользователя устаревшая база), то сканер обычно не замечает вирус. Но любой вирус изменяет систему данных на диске, следовательно, выявляется ревизором.
- Возможность восстановления некоторых испорченных и уничтоженных файлов, а также лечения некоторых файлов, заражённых неизвестными вирусами. Обычные сканеры могут лечить лишь файлы заражённые известными вирусами. Ревизоры сохраняют копии коротких файлов, наиболее важных файлов и файлов, чаще всего становящихся жертвами вирусов.
Чтобы пояснить это несколько туманное последнее замечание, я приведу пример из жизни, его прекрасно иллюстрирующий.
ADInf использует некоторые недокументированные прерывания и вызовы, чтобы получить гарантированный привилегированный, прямой доступ к содержимому вашего винчестера (по понятным причинам, описанным выше), что иногда может приводить к зависаниям системы. Например, недокументированное прерывание 76h — это аппаратное прерывание, которое генерируется IDE-контроллером при завершении любой операции с диском. Существуют вирусы, которые используют это прерывание для маскировки своего присутствия на машине (для создания очень мощной stealth-компоненты). Фактически эти вирусы маскируются на аппаратном уровне, используя аппаратные возможности IDE-контроллера.
И теперь кратко перечислим его главные преимущества:
Варианты действий для лечения обнаруженного вируса (подозрительного файла)
Самому взять любимый отладчик и «загнать» под него найденный зараженный файл. На этом варианте мы даже не будем останавливаться здесь, потому что эта статья ориентирована на обычных пользователей.
2) Немедленно проверить весь компьютер установленным у вас антивирусом
Проверить все жесткие диски подозрительного компьютера антивирусным полифагом, если он установлен у вас на компьютере. При этом, конечно, очень желательно, чтобы у вас были самые свежие антивирусные базы к нему, поэтому, по возможности, перед началом проверки обновитесь. Как вариант можно использовать аварийные спасательные загрузочные диски с заранее записанной туда портабельной версией антивируса — лучше сразу загрузиться с такого диска. Хочу обратить внимание, что почти все ведущие антивирусные производители выпускают собственные загрузочные диски со своим антивирусом, поэтому стоит запастись подобным диском заранее (опять же стоит следить за актуальностью баз на нем, тем более в таком типе решения их обновление более затруднительно).
3) Обратиться по Интернету в службу поддержки антивирусной компании
Можно выслать подобный подозрительный файл в службу поддержки антивирусной компании, которой вы доверяете. Как правило, на сайте всех антивирусных компаний есть специальный раздел, где указан адрес или способ, используя который можно выслать (загрузить) подобный зараженный файл для его исследования и включения по факту обнаружения нового вируса в базу данных данного антивируса. Мой опыт говорит о том, что в случае обнаружения действительно нового вируса производитель включает его в свою базу очень оперативно — от нескольких часов до 2–3 дней. Как правило, подобные услуги бесплатны, т.к. антивирусный производитель сам заинтересован в том, чтобы его база вирусов была как можно более полной и актуальной.
4) Попробовать детектировать вирус на VirusTotal
Проверить на интернет-сервисе VirusTotal, который позволяет загрузить по Интернету свой подозрительный файл на него, и бесплатно удаленно проверить его на вирусы — сразу на десятке ведущих антивирусов мира. Если вирус в вашем файле уверенно детектируется каким-то другим антивирусом на этом онлайн-сервисе, то, наверное, есть смысл сделать выводы насчет вашего текущего антивируса и попробовать установить вместо него именно этот антивирус, уже для дальнейшего лечения своего компьютера. В любом случае, имея название обнаруженного вируса на руках, вы можете посмотреть в Интернете, чем он опасен и как следует его лечить.
5) Воспользоваться собственным модулем лечения от ADInf
Для лечения заражённых файлов можно применять лечащий модуль ADInf Cure Module, не входящий в пакет ADInf и поставляющийся отдельно. Принцип работы модуля — сохранение небольшой базы данных, описывающей контролируемые файлы. Работая совместно, эти программы позволяют успешно вылечить около 70% файловых вирусов и 100% вирусов в загрузочном секторе. Но все же не стоит сильно обнадеживаться ADInf Cure Module, т.к. его возможности во многом ограниченны — я рекомендую вместо него выбрать качественный полифаг. Тем более что последние версии ADinf32 больше не поддерживают Cure Module, а разработка самого модуля приостановлена.
ADinf32 заподозрил что-то неладное.
Редакции и условия использования программы
ADinf32 распространяется как shareware-продукт. Программа предоставляется как 90-дневная полнофункциональная пробная версия, после истечения этого срока программу требуется зарегистрировать, купив специальный ключ. При этом программа предоставляется в трех базовых версиях:
ADinf в полной мере поддерживает следующие операционные системы: Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP, Windows 2003, Windows 7 (32b), Windows 7 (64b). Интерфейс программы включает в себя переводы на языки: русский, английский, немецкий.
Общие антивирусные советы пользователям компьютеров
Из всего вышесказанного разумно вытекает, что каждая программа по отдельности, будучи создана для своей узкоспециализированной задачи, не в состоянии заменить другую. Поэтому наиболее взвешенным решением является сочетание полифага и ревизора, что совместно практически полностью гарантирует антивирусную безопасность вашего компьютера.
Также следует обратить внимание и на появление новых подозрительных файлов, о которых так любезно сообщит вам ревизор, особенно должно вызывать подозрения, если эти новые файлы вдруг оказываются в списке автоматической загрузки операционной системы или самопроизвольно появляются в системной папке с Windows.
Поэтому, понимая, что троян не обязательно после проникновения в компьютер традиционно заражает/модифицирует какой-то другой исполняемый файл, а, возможно, просто создает новый исполняемый файл — нужно особенно внимательно следить за списком всех автозагружаемых модулей и файлов вашей системы. Поэтому к традиционному сочетанию полифаг — ревизор хочу посоветовать установить ещё какую-либо системную утилиту для отслеживания изменений в разделах реестра, ответственных за автозагрузку программ при старте ОС — это любимое интимное место всех троянов и вирусов. В качестве завершающего совета хочется посоветовать файрвол как эффективный инструмент сетевой безопасности, что, впрочем, уже выходит далеко за рамки этой статьи.
В заключении, хочется напомнить, что по статистике специалистов примерно 30% всех вирусов в мире распространяется через традиционные флешки, тогда как оставшиеся примерно 65% — загружаются тем или иным способом через Сеть.
Поэтому обязательно проверяйте на вирусы все, что вам приносят на флешке, даже самые лучшие друзья, а также все, что загружаете к себе по Сети. В довершение будет вообще замечательно, если вы не будете работать на своем компьютере под аккаунтом администратора — все эти простые советы, наряду, конечно, с регулярным использованием комплекса специализированных антивирусных инструментов, о которых мы вам сегодня подробно рассказали, уберегут от множества неприятных моментов, потерянной ценной информации и даже, возможно, от проблем с вашим банком и потерянной деловой репутацией.
В наше время, когда бурно развиваются телекоммуникации (в частности Интернет), вирусы появляются как грибы после дождя и очень легко распространяются. Чего только стоят нашумевшие вирусные эпидемии LoveLetter , Klez . Число вирусов на сегодняшний день очень велико. Они могут заразить любой компьютер, уничтожив при этом ценную информацию. Именно поэтому пользователь должен иметь представление о том, как работает антивирусная программа, как она "ищет", "лечит" зараженные вирусом данные, какие методы антивирусной защиты существуют и насколько они эффективны. На сегодняшний день по алгоритмам работы можно выделить 5 основных групп антивирусных программ.
Тернии классификации
Антивирусные сканеры
Пионеры борьбы с компьютерными вирусами. Появились они практически одновременно с первыми вирусами. В основе работы таких программ стоит простой принцип — поиск в файлах, оперативной памяти, загрузочных секторах знакомых участков вирусного кода (так называемых сигнатур ). Под сигнатурой понимают такую запись о вирусе, которая позволяет однозначно идентифицировать сам вирус, его присутствие в файле, памяти. Чаще всего сигнатурой является именно участок вирусного кода, а иногда и его контрольная сумма (или дайджест).
Антивирусный сканер просматривает сначала оперативную память компьютера, ища вирус там. Существуют так называемые stealth-вирусы, которые перехватывают системные функции и в результате могут контролировать поток данных от периферийного устройства к пользователю. А значит, они, перехватив управление, могут заразить любой открываемый файл в системе. Вирус первым узнает об обращении к периферийному устройству.
Представьте, что у вас в памяти присутствует stealh-вирус, а вы начали антивирусное сканирование без проверки оперативной памяти. Тогда зараженными могут оказаться все файлы. Именно поэтому сначала нужно провести поиск вирусов в оперативной памяти и при обнаружении stealth-вируса удалить его из памяти и потом искать тело в файле. Хочется вас успокоить: в наши дни stealth-вирусы надежно обнаруживаются в памяти и не представляют серьезной угрозы (если, конечно, регулярно проводить антивирусные проверки).
Человеческая мысль не стоит на месте. Вирусы также развиваются. Головной болью разработчиков антивирусного ПО стали "копии" известных вирусов. Дело в том, что существует огромное количество вирусных программ, алгоритм работы которых повторяет алгоритм работы других вредоносных программы. Поскольку код изменился, изменилась и сигнатура.
Каждую неделю появляется огромное количество вирусов. И разработчики просто не успевают внести в базу все сигнатуры. К тому же есть еще и малораспространенные вирусы, которые не попадают в базу. Мало того, существуют еще и полиморфные вирусные программы. Такой вирус изменяется от заражения к заражению. Просто, если в теле вирусной программы раскидать случайным образом ничего не делающие команды (для тех, кто знаком с программированием — NOP; MOV AX,AX;), то алгоритм работы не изменится, а вот тело и сигнатура претерпят значительные изменения.
Еще одной проблемой для борцов с вирусами стали программы, создаваемые вирус-генераторами (имея под рукой такой генератор, можно создать очередную "пакость" буквально за 5 минут). Во всех вышеперечисленных случаях помогает оригинальный алгоритм обнаружения неизвестных вирусов — эвристический анализатор . С его помощью антивирус способен находить аналоги известных вирусов, сообщая об этом пользователю. Принцип работы эвристического анализатора примерно такой. Любые данные он представляет в виде машинных кодов: в компьютере одна и та же информация может быть представлена в виде данных и в виде программы. Анализатор просматривает код, и если программа выполняет некоторые подозрительные (странные) действия, то ей добавляется условный балл. При превышении какого-то количества баллов эвристик делает вывод, что программа содержит вирус. Конечно, вероятность как ложного срабатывания, так и пропуска велика. Однако если правильно использовать данные эвристика, то можно прийти к правильному выводу. Если антивирус указывает, что заражен единичный файл, то это, скорее всего, имело место ложное срабатывание. Если же такое повторяется не один раз, то можно говорить о вирусном заражении вашей системы с большой долей уверенности.
Антивирусные мониторы
Антивирусные мониторы по своей сути — это лишь некая разновидность сканеров. Но! Антивирусный монитор постоянно присутствует в оперативной памяти компьютера и в фоновом режиме проверяет все открываемые и загружаемые файлы. Почти каждый современный антивирус имеет в своем составе такой монитор.
Ревизоры изменений
Ревизоры — это антивирусные программы, которые следят за изменениями файлов. Ревизоры сохраняют в своих базах данных контрольные суммы файлов. И потом просто сравнивают сохраненные значения с текущими (ведь вирусы изменяют файлы). Результаты работы сообщаются пользователю, поскольку пользователь также может изменять файлы.
У ревизоров есть свои недостатки. Во-первых, крайне важно, чтобы ревизор первые несколько раз запускался на "чистой" машине. Во-вторых, ревизоры не способны поймать вирус в момент его появления в системе, а находят его уже после распространения. В-третьих, они не могут найти вирус в новых файлах (полученных по e-mail, скачанных с BBS, Internet и прочее), поскольку в базах данных информация по таким файлам отсутствует. Именно этим недостатком пользуются некоторые вирусы, заражая только новые файлы.
Иммунизаторы
Обычно иммунизаторы записываются в файл (совсем как вирус) и при запуске файла проверяют его на изменения. Современные вредоносные программы научились прятаться от такого типа иммунизаторов.
Второй тип иммунизаторов защищает систему от поражения каким-то определенным вирусом. Для этого файлы модифицируются таким образом, чтобы вирус принимал их за уже зараженные. Конечно, нельзя иммунизировать файлы от всех известных вирусов. Из-за этого недостатка данный тип антивирусов не получил широкого распространения и практически не используется.
Поведенческие блокираторы
Такой антивирус постоянно находится в оперативной памяти и перехватывает все происходящие в системе события. В случае обнаружения "подозрительных" действий в системе (то есть тех, которые может производить вирусная программа), блокирует их или спрашивает у пользователя разрешение на их выполнение. Блокиратор не ищет вирус, а просто предотвращает его действия.
В принципе, блокиратор может остановить распространение любого вируса. Но вирусоподобные действия могут производить операционная система и различные программы. Поведенческий блокиратор не в состоянии самостоятельно определить, кто именно выполняет подозрительные действия — вирус, ОС, программа — и вынужден спрашивать у пользователя подтверждение. Именно в этом главный недостаток поведенческого блокиратора — чрезмерная навязчивость.
Сила совмещения
Мы с вами рассмотрели все типы антивирусов, существующих на сегодняшний день. У каждого типа есть свои достоинства и недостатки. В современных антивирусных пакетах сочетаются практически все пять вышеперечисленных типов, так как только их совместное использование позволяет выйти из войны с вирусами победителем.
Содержание
Принцип работы ревизоров
Программа-ревизор следит за изменениями файлов на компьютере. Для этого не обязательно делать копии всех файлов. Достаточно запомнить названия файлов и папок, размеры файлов и их контрольные суммы (либо специальные хеш-функции). Эта информация занимает немного места на диске, но позволяет заметить изменение любого файла. Периодически (по расписанию) или по приказу пользователя ревизор проверяет текущее состояние файловой системы и сравнивает с прежним. О подозрительных изменениях немедленно сообщается, об остальных пользователь может узнать при желании.
Назначение ревизоров
Антивирусное средство
Достоинствами ревизоров как антивирусов являются:
Ревизоры не в состоянии защитить компьютер от всех угроз со стороны вредоносного программного обеспечения, поэтому они обычно используются в комплексе с другими антивирусными средствами. (Например, при получении сигнала тревоги от ревизора запускается сканер.)
Многопользовательские компьютеры
Другие применения
Российские программы
Из российских программ наиболее известны AdInf (Advanced Diskinfoscope) и ревизор, встроенный в антивирус Касперского.
Цель: дать понятие компьютерному вирусу, рассмотреть классификацию компьютерных вирусов, виды антивирусных программ; развивать умение использовать антивирусные программы, логическое мышление, память, внимание, речь; воспитывать информационную культуру самоконтроль.
Оборудование: ПЭВМ, медиапроектор.
Повторительно – обучающая работа.
Индивидуальный устный опрос.
Понятие компьютерного вируса.
Деструктивные действия компьютерных вирусов
Симптомы вирусного заражения ЭВМ
Подведение итогов этапа.
Работа по осмыслению и усвоению нового материала.
Первичное восприятие нового материала.
Понятие антивирусной программы.
Виды антивирусных программ
Основные меры по защите ЭВМ от заражения вирусами.
1. Понятие антивирусной программы.
Для борьбы с вирусами разрабатываются антивирусные программы. Говоря медицинским языком, эти программы могут выявлять (диагностировать), лечить (уничтожать) вирусы и делать прививку «здоровым» программам.
Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Антивирусные программы могут использовать различные принципы для поиска и лечения зараженных файлов.
Антивирусная программа (антивирус) — любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления зараженных такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.
2. Виды антивирусных программ
Различают следующие виды антивирусных программ:
Программы – детекторы (сканеры);
Программы – доктора (или фаги, дезинфекторы);
Программы – фильтры (сторожа, мониторы);
Программы – детекторы рассчитаны на обнаружение конкретных вирусов и основаны на сравнении характерной (спецификой) последовательности байтов (сигнатур или масок вирусов), содержащихся в теле вируса, с байтами проверяемых программ. Программы – детекторы нужно регулярно обновлять, так как они быстро устаревают и не могут выявлять новые виды вирусов.
Следует подчеркнуть, что программы – детекторы могут обнаружить только те вирусы, которые ей “известны”, то есть, сигнатуры этих вирусов заранее помещены в библиотеку антивирусных программ.
Таким образом, если проверяемая программа не опознается детектором как зараженная, то еще не следует считать, что она “здорова”. Она может быть инфицирована новым вирусом, который не занесен в базу данных детектора.
Для устранения этого недостатка программы – детекторы стали снабжаться блоками эвристического анализа программ. В этом режиме делается попытка обнаружить новые или неизвестные вирусы по характерным для всех вирусов кодовым последовательностям. Наиболее развитые эвристические механизмы позволяют с вероятностью около 80% обнаружить новый вирус.
Программы – доктора не только находят файлы, зараженные вирусами, но и лечат их, удаляя из файла тело программы – вируса. Программы – доктора, которые позволяет лечить большое число вирусов, называют полифагами.
В России получили широкое распространение программы – детекторы, одновременно выполняющие и функции программ – докторов. Наиболее известные представители этого класса – AVP (Antiviral Toolkit Pro, автор – Е. Касперский), Aidstest (автор – Д. Лозинский) и Doctor Web (авторы – И. Данилов, В. Лутовин, Д. Белоусов).
Полифаги. Самыми популярными и эффективными антивирусными программами являются антивирусные программы полифаги (например, Kaspersky Anti-Virus, Dr.Web). Принцип работы полифагов основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых (неизвестных полифагу) вирусов. Антивирусные программы полифаги, которые в свою очередь подразделяются на два вида: сканеры и мониторы. Рассмотрим принципы работы и недостатки каждого из них, и опишем достоинства антивирусных программ полифагов в целом.
Антивирусный сканер. Принцип его работы заключается в поиске в файлах, памяти и загрузочных секторах
вирусных сигнатур, т.е. уникального программного кода вредоносной программы.
Антивирусный монитор. По своей сути антивирусные мониторы являются разновидностью сканеров, которые постоянно находятся в памяти компьютера и осуществляют фоновую проверку файлов, загрузочных секторов и памяти в масштабе реального времени. Для включения антивирусной защиты, пользователю достаточно загрузить монитор при загрузке операционной системы. Все запускаемые файлы будут автоматически проверяться на наличие в них кода вредоносной программы.
Для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность программного кода, специфичная для этого конкретного вируса. Если антивирусная программа обнаруживает такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению.
Полифаги могут обеспечивать проверку файлов в процессе их загрузки в оперативную память. Такие программы называются антивирусными мониторами.
К достоинствам полифагов относится их универсальность. К недостаткам можно отнести большие размеры используемых ими антивирусных баз данных, которые должны содержать информацию о максимально возможном количестве вирусов, что, в свою очередь, приводит к относительно небольшой скорости поиска вирусов.
Ревизо́р (от лат. revisor — пересматривающий; ср. лат. revisio — пересмотр) — компьютерная программа, запоминающая состояние компьютера, следящая за изменениями файловой системы и сообщающая о важных или подозрительных изменениях пользователю.
Ревизоры – это программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяется состояние BOOT – сектора, FAT – таблицы, а также длина файлов, их время создания, атрибуты, контрольные суммы. Контрольная сумма является интегральной оценкой всего файла (его слепком). Получается контрольная сумма путем суммирования по модулю для всех байтов файла. Практически всякое изменение кода программы приводит к изменению контрольной суммы файла.
Принцип работы ревизоров
Программа-ревизор следит за изменениями файлов на компьютере. Для этого не обязательно делать копии всех файлов. Достаточно запомнить названия файлов и папок, размеры файлов и их контрольные суммы (либо специальные хеш-функции). Эта информация занимает немного места на диске, но позволяет заметить изменение любого файла. Периодически (по расписанию) или по приказу пользователя ревизор проверяет текущее состояние файловой системы и сравнивает с прежним. О подозрительных изменениях немедленно сообщается, об остальных пользователь может узнать при желании. При последующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то ревизоры сигнализируют о том, что файл был изменен или заражен вирусом. Программы-ревизоры изначально предназначались для использования в качестве антивирусов. Любой вирус каким-либо образом изменяет систему данных на диске. Например, могут появиться новые исполняемые файлы, измениться уже существующие, может появиться сектор на диске, не связанный с каким-либо файлом и т. д. При обнаружении подозрительных изменений ревизор бьёт тревогу.
Достоинствами ревизоров как антивирусов являются:
Быстрота проверки. В отличие от сканеров, которые должны содержимое файлов сверить с тысячами известных вирусных сигнатур, «на лету» разархивировать архивы, распаковать упакованные исполняемые файлы и библиотеки, ревизор подсчитывает лишь контрольную сумму. Это даёт экономию времени в десятки раз.
Выявление любых новых вирусов. Если вирус отсутствует в базе данных (еще не занесён в базу или у данного пользователя устаревшая база), то сканер обычно не замечает вирус. Но любой вирус изменяет систему данных на диске, следовательно, выявляется ревизором.
Возможность восстановления некоторых испорченных и уничтоженных файлов, а также лечения некоторых файлов, заражённых неизвестными вирусами. Обычные сканеры могут лечить лишь файлы заражённые известными вирусами. Ревизоры сохраняют копии коротких файлов, наиболее важных файлов и файлов, чаще всего становящихся жертвами вирусов.
Ревизоры не в состоянии защитить компьютер от всех угроз со стороны вредоносного программного обеспечения, поэтому они обычно используются в комплексе с другими антивирусными средствами. (Например, при получении сигнала тревоги от ревизора запускается сканер.)
Если одним компьютером может пользоваться более одного человека, то возникает необходимость в контроле. Некоторые пользователи могут совершать запрещенные действия (устанавливать игры, сборщики паролей, взламывать систему, захламлять диск фильмами, музыкой, изображениями, изменять настройки и т. д.). Ревизоры могут выявлять эти действия, а также возвращать систему в нормальное состояние, не откатывая полезных изменений.
С помощью ревизора пользователи могут решать и другие проблемы: найти переименованный файл либо файл с забытым названием, выяснить причину сильно уменьшившегося свободного пространства на диске и т. д.
Недостаток ревизоров состоит в том, что они не могут обнаружить вирус в новых файлах (на дискетах, при распаковке файлов из архива, в электронной почте), поскольку в их базах данных отсутствует информация об этих файлах.
Антивирусы – фильтры – это резидентные программы (сторожа), которые оповещают пользователя обо всех попытках какой – либо программы выполнить подозрительные действия. Фильтры контролируют следующие операции:
Обновление программных файлов и системной области диска;
Резидентное размещение программ в ОЗУ.
Обнаружив попытку выполнения таких действий, сторож (монитор) сообщает об этом пользователю, который окончательное решение по выполнению данной операции. Заметим, что она не способна обезвредить даже известные вирусы. Для “лечения” обнаруженных фильтром вирусов нужно использовать программы – доктора.
Блокировщики. Антивирусные блокировщики — это программы, перехватывающие «вирусоопасные» ситуации и сообщающие об этом пользователю. К таким ситуациям относится, например, запись в загрузочный сектор диска. Эта запись происходит при установке на компьютер новой операционной системы или при заражении загрузочным вирусом.
Наибольшее распространение получили антивирусные блокировщики в BIOS компьютера. С помощью программы BIOS Setup можно провести настройку BIOS таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер будет защищен от заражения загрузочными вирусами.
К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения.
К последней группе относятся наименее эффективные антивирусы – вакцинаторы (иммунизаторы). Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной, и поэтому не производит повторное инфицирование. Этот вид антивирусных программ морально устарел.
3. Основные меры по защите ЭВМ от заражения вирусами.
Необходимо оснастить ЭВМ современными антивирусными программами и постоянно обновлять их версии.
При работе в глобальной сети обязательно должна быть установлена программа – фильтр (сторож, монитор).
Перед считыванием с дискет информации, записанной на других ЭВМ, следует всегда проверять эти дискеты на наличие вирусов.
При переносе на свой компьютер файлов в архивированном виде необходимо их проверять сразу же после разархивации.
При работе при работе на других компьютерах необходимо всегда защищать свои дискеты от записи.
Целесообразно делать архивные копии ценной информации на других носителях информации.
Не следует оставлять дискету в дисководе при включении или перезагрузке ЭВМ, так как это может привести к заражению загрузочными вирусами.
Антивирусную проверку желательно проводить в “чистой” операционной системе, то есть после ее загрузки с отдельной системной дискеты.
Следует иметь ввиду, что невозможно заразиться вирусом, просто подключившись к Internet. Чтобы вирус активизировался программа, полученная с сервера из сети, должна быть запущена на клиенте.
Получив электронное письмо, к которому приложен исполняемый файл, не следует запускать этот файл без предварительной проверки. По электронной почте часто распространяются “троянские кони”.
Целесообразно иметь под рукой аварийную загрузочную дискету, с которой можно будет загрузиться, если система откажется сделать это обычным образом.
При установке большого программного продукта необходимо вначале проверить все дистрибутивные файлы, а после инсталляции продукта повторно произвести контроль наличия вирусов.
Последняя – не совсем серьезная мера. Если Вы хотите полностью исключить вероятность попадания вирусов в Ваш компьютер, то не набирайте на клавиатуре непонятных для Вас программ, не используйте дискеты, лазерные диски для ввода программ и документов. Отключитесь от локальной и глобальной сетей. Не включайте питание, так как возможно, что вирус уже зашит в ПЗУ.
Читайте также: