Классификация антивирусных средств.

Антивирусным средством называют программный продукт или устройство, выполняющий одну или несколько из следующих функций:

1) Защиту данных (файловой структуры) от разрушения;

2) Обнаружение вирусов;

3) Нейтрализация вирусов.

Классификация специализированных программных антивирусных средств

Вирус-фильтр

Вирус-фильтром (сторожем) называется резидентная программа, обеспечивающая контроль выполнения характерных для вирусов действий и требующая от пользователя подтверждения на их производство. Контроль осуществляется путем подмены обработчиков соответствующих прерываний.

Детектор

Детектором называется программа, осуществляющая поиск вирусов как на внешних носителях информации, так и в ОЗУ. Результатом работы детектора является список инфицированных файлов и/или областей, возможно, с указанием конкретных вирусов, их заразивших.

Детекторы делятся на универсальные (ревизоры) и специализированные.

Универсальные детекторы проверяют целостность (неизменность) файлов путем подсчета контрольной суммы и ее сравнения с эталоном (эталон либо указывается в документации на программный продукт, либо может быть определен в самом начале его эксплуатации). Точная причина искажения файлов при этом не устанавливается!

Специализированные детекторы настроены на конкретные вирусы (один или несколько).

Самые распространенные детекторы: Norton AntiVirus, AVSP, Adinf (обнаруживает все вирусы, не изменяющие длину файлов, невидимые вирусы и пр.).

 

Дезинфектор

Дезинфектором (доктором, фагом) называется программа, осуществляющая удаление вируса (как с восстановлением, так и без восстановления среды обитания).

Иммунизатор

Иммунизатором называют программу, предотвращающую заражение среды обитания или памяти конкретными вирусами, то есть блокирует способность вируса к размножению.

Пассивные иммунизаторы модифицируют среду обитания вирусов таким образом, что вирус и распознает свое присутствие и ее не заражает. Активные иммунизаторы размещаются в памяти резидентно и имитируют наличие в ней вируса. Вследствие чего настоящий вирус в память не загружается. Недостатки (ограниченность): они узко специализированны, а вероятность повторного заражения одним и тем же вирусом невысока.

Низкоуровневые редакторы

Низкоуровневые редакторы содержимого диска (применяются, когда использование других средств не дало положительных результатов) являются еще одним классом антивирусных средств. Например, DiskEditor.

Эвристические анализаторы кода

- это набор подпрограмм, анализирующих код исполняемых файлов, памяти или загрузочных секторов для обнаружения в нем разных типов компьютерных вирусов. С помощью эмулятора выявляются основные события, которые сохраняются в таблице событий по определенному алгоритму. После того, как эмулятор завершит свою работу, последовательно запускаются два преобразователя, которые заполняют массив действия, выбирая данные из массива событий, а затем выбирают из массива действия и цепочек эвристических масок и вычисляет эвристическое число по определенному алгоритму.

С помощью эвристических анализаторов антивирус способен находить подобные аналоги известных вирусов, сообщая пользователю, что у него, похоже, завелся вирус. Коэффициент полезного действия больше 0,5.

Программы-фаги – специальные программы удаления конкретного вируса в зараженных программах.

С зараженными файлами программа-фаг выполняет действия, обратные тем, которые производятся вирусом при заражении файла, то есть делает попытку восстановления файла. Те файлы, которые не удалось восстановить, как правило, считаются неработоспособными и удаляются. Действия, которые надо предпринять для обнаружения и удаления вируса, индивидуальны для каждой версии вируса.

 

Основные понятия криптологии

Криптография – совокупность методов преобразования данных, направленных на то, чтобы привести эти данные к неявному виду, т.е. решить две главные проблемы защиты данных:

1) проблему конфиденциальности;

2) проблему целостности.

Криптографические методы защиты информации в информационных системах могут применяться как для защиты информации, обрабатываемой в ЭВМ или хранящейся в различного типа ЗУ, так и для закрытия информации, передаваемой между различными элементами по линиям связи.

Требования к криптографическому закрытию информации в ИС:

1. Сложность и стойкость криптографического закрытия должны выбираться в зависимости от объема и степени секретности данных.
2. Надежность закрытия должна быть такой, чтобы секретность не нарушалась даже в том случае, когда злоумышленнику становится известен метод закрытия.
3. Метод закрытия, набор используемых ключей и механизм их распределения не должны быть слишком сложными.
4. Выполнение процедур прямого и обратного преобразований должно быть формальным и не зависеть от длины сообщений.
5. Ошибки, возникающие в процессе выполнения преобразования не должны распространяться по системе.
6. Вносимая процедурами защиты избыточность должна быть минимальной.

Методы криптографического преобразования данных:

1. Шифрование.
2. Кодирование.
3. Другие виды.

Шифрование – преобразованию подвергается каждый символ защищаемого сообщения.

Шифрованием информации называют процесс ее преобразования, при котором содержание информации становится непонятным для не обладающих соответствующими полномочиями суъектов. Результат шифрования информации называют шифротекстом, или криптограммой. Обратный процесс восстановления информации из шифротекста называют расшифрованием информации. Алгоритмы, используемые при шифровании и расшифровании информации, обычно не являются конфиденциальными, а конфиденциальность шифротекста обеспечивается использованием при шифровании дополнительного параметра, называемого ключом шифрования. Знание ключа шифрования позволяет выполнить правильное расшифрование шифротекста.

Целостность информации называют неизменность информации в условиях ее случайного и предномеренного искажения или разрушения. Целостность является частью более широкой характеристики информации-ее достоверности, включающей помимо целостности еще полноту и точность отображения предметной области.

Хешированием информации называют процесс ее преобразования в хеш-значение фиксированной длины (дайджест). Одним из применений хеширования является обеспечение целосности инофрмации.

Способы шифрования:

· подстановка;

· перестановка;

· аналитическое преобразование;

· гаммирование;

· комбинированное шифрование.

Кодирование – некоторые элементы защищаемых данных (не обязательно отдельные символы) заменяются заранее выбранными кодами.

Способы кодирования:

· смысловое кодирование;

· символьное кодирование.

Другие (отдельные виды) – включают методы рассечения, разнесения и сжатия данных.

Рассечение – разнесение данных состоит в том, что массив защищаемых данных рассекается на такие элементы, каждый из которых не позволяет раскрыть содержание защищаемой информации и выделенные таким образом элементы размещаются в различных зонах ЗУ.

Управление процессом шифрования осуществляется с помощью ключа.

Криптосистемы делятся на два класса:

1. Симметричные (одноключевые) криптосистемы.

2. Асимметричные (двухключевые криптосистемы с открытым ключом).

В симметричной криптосистеме секретный ключ надо передавать отправителю и получателю по защищенному каналу распределения ключей.