Антивирусные программы и комплексы

Для защиты от компьютерных вирусов могут использоваться следующие методы и средства:

· общие методы и средства защиты информации;

· специализированные программы для защиты от вирусов;

· профилактические меры, позволяющие уменьшить вероятность заражения вирусами.

Общие средства защиты информации полезны не только для защиты от вирусов. Они используются также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя.

Существует две основных разновидности этих средств:

· средства копирования информации - применяются для создания копий файлов и системных областей дисков;

· средства разграничения доступа - предотвращают несанкционированное использование информации, в частности обеспечивают защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

При заражении компьютера вирусом важно его обнаружить. К внешним признакам проявления деятельности вирусов можно отнести следующие:

· вывод на экран непредусмотренных сообщений или изображений;

· подача непредусмотренных звуковых сигналов;

· изменение даты и времени модификации файлов;

· исчезновение файлов и каталогов или искажение их содержимого;

· частые зависания и сбои в работе компьютера;

· медленная работа компьютера;

· невозможность загрузки операционной системы;

· существенное уменьшение размера свободной оперативной памяти;

· прекращение работы или неправильная работа ранее успешно функционировавших программ;

· изменение размеров файлов;

· неожиданное значительное увеличение количества файлов на диске.

Для обнаружения и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать компьютерные вирусы. Такие программы называются антивирусными. Практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов. Антивирусные программы используют различные методы обнаружения вирусов.

К основным методам обнаружения компьютерных вирусов можно отнести следующие:

· метод сравнения с эталоном;

· эвристический анализ;

· антивирусный мониторинг;

· метод обнаружения изменений;

· встраивание антивирусов в BIOS компьютера и др.

Метод сравнения с эталоном. Самый простой метод обнаружения заключается в том, что для поиска известных вирусов используются так называемые маски. Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Антивирусная программа последовательно просматривает (сканирует) проверяемые файлы в поиске масок известных вирусов. Антивирусные сканеры способны найти только уже известные вирусы, для которых определена маска. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Применение простых сканеров не защищает компьютер от проникновения новых виру­сов. Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить маску, поэтому антивирусные сканеры их не обнаруживают.

Эвристический анализ. Для того чтобы размножаться, компьютерный вирус должен совершать какие-то конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор (который является частью антивирусного ядра) содержит список таких действий и проверяет программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполняемый файл программы. Обнаружив зараженный файл, анализатор обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале. В зависимости от настроек антивирус может также направлять сообщение об обнаруженном вирусе администратору сети. Эвристический анализ позволяет обнаруживать неизвестные ранее вирусы. Первый эвристический анализатор появился в начале 90-х годов прошлого века. Практически все современные антивирусные программы реализуют собственные методы эвристического анализа.

Антивирусный мониторинг. Суть данного метода состоит в том, что в памяти компьютера постоянно находится антивирусная программа, осуществляющая мониторинг всех подозрительных действий, выполняемых другими программами. Антивирусный мониторинг позволяет проверять все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет; или скопированные на жесткий диск с дискеты либо компакт-диска. Антивирусный монитор сообщит пользователю, если какая-либо программа попытается выполнить потенциально опасное действие.

Метод обнаружения изменений. При реализации метода обнаружения изменений антивирусные программы, называемые ревизорами диска, запоминают предварительно характеристики всех областей диска, которые могут подвергнуться нападению, а затем периодически проверяют их. Заражая компьютер, вирус изменяет содержимое жесткого диска: например, дописывает свой код в файл программы или документа, добавляет вызов программы-вируса в файл Autoexec.bat, изменяет загрузочный сектор, создает файл-спутник. При сопоставлении значений характеристик областей диска антивирусная программа может обнаружить изменения, сделанные как известным, так и неизвестным вирусом.

Встраивание антивирусов в BIOS компьютера. В системные платы компьюте­ров тоже встраивают простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также к загрузочным секторам дисков и дискет. Если какая-либо программа пытается изменить содержимое загрузочных секторов, срабатывает защита, и пользователь получает соответствующее предупреждение. Однако эта защита не очень надежна. Известны вирусы, которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки в энергонезависимой памяти.

 

Виды антивирусных программ

Различают следующие виды антивирусных программ:

· программы-фаги (антивирусные сканеры);

· программы-ревизоры;

· программы-блокировщики;

· программы-иммунизаторы.

Самыми популярными и эффективными антивирусными программами являются программы-фаги. На втором месте по эффективности и популярности находятся программы-ревизоры. Обычно оба указанных вида программ объединяют в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа блокировщики и иммунизаторы.

Программы-фаги (сканеры) используют для обнаружения вирусов методы сравнения с эталоном, эвристического анализа и некоторые другие. Программы-фаги осуществляют поиск характерной для конкретного вируса маски путем сканирования содержимого оперативной памяти и файлов и при обнаружении выдают соответствующее сообщение. Программы-фаги не только находят зараженные вирусами файлы, но и лечат их, то есть удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы программы-фаги сканируют оперативную память, обнаруживают вирусы и уничтожают их, и только затем переходят к лечению файлов. Среди фагов выделяют полифаги, то есть программы-фаги, предназначенные для поиска и уничтожения большого количества вирусов.

Программы-фаги делятся также на резидентные средства мониторинга, выполняющие сканирование «на лету», и нерезидентные сканеры, обеспечивающие проверку системы только по запросу. Резидентные средства мониторинга обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как нерезидентный сканер способен опознать вирус только во время своего очередного запуска.

К достоинствам программ-фагов всех типов относится их универсальность. К недостаткам программ-фагов следует отнести относительно небольшую скорость поиска вирусов и относительно большие размеры антивирусных баз.

Программы-ревизоры используют для поиска вирусов метод обнаружения изменений. Принцип работы основан на подсчете CRC-сумм (кодов циклического контроля) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса наряду с дополнительной информацией о длине файлов, датах их последней модификации и других параметрах. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. Как правило, сравнение состояний проводят сразу после загрузки операционной системы.

Программы-блокировщики реализуют метод антивирусного мониторинга. Антивирусные блокировщики — это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об этом пользователю. К вирусоопасным ситуациям относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочные сектора дисков, попытки программ остаться резидентно и т.п., то есть вызовы, которые характерны для вирусов в моменты их размножения.

При попытке какой-либо программы выполнить указанные действия блокировщик посылает пользователю сообщение и предлагает запретить соответствующее действие. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что бывает особенно полезно в случаях, когда регулярно появляется давно известный вирус. Однако, они не лечат файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам блокировщиков можно отнести существование путей обхода их защиты и их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла).

Программы-иммунизаторы - это программы, предотвращающие заражение файлов. Иммунизаторы делятся на два типа: сообщающие о заражении и блокирующие заражение каким-либо типом вируса. Иммунизаторы первого типа обычно записываются в конец файлов, и при запуске файла каждый раз проверяют его на изменение. У таких иммунизаторов имеется один серьезный недостаток - они не могут обнаружить заражение стелс-вирусом. Поэтому данный тип иммунизаторов практически не используется в настоящее время.

 

ВЫВОДЫ

1. Система информационной безопасности является важнейшим компонентом системы управления предприятием.

2. Для создания надежной защиты информации в настоящее время необходимо применять как традиционные методы (криптографическая защита, антивирусные системы и т.д.), так и новые средства безопасности (системы обнаружения вторжений, средства контроля доступа по содержанию информации и др.)

3. Необходимо осуществление регулярного аудита и постоянного мониторинга безопасности информационных систем.

4. Для поддержания работоспособности системы информационной безопасности и бесперебойного выполнения ею своих функций должен быть предусмотрен комплекс мероприятий по технической поддержке и сопровождению программного и аппаратного обеспечения системы безопасности.

 

 

ВОПРОСЫ ДЛЯ САМОПРОВЕРКИ:

· Какие задачи решает система информационной безопасности предприятия?

· Какие мероприятия законодательного характера необходимы для обеспечения информационной безопасности предприятия?

· Какие мероприятия организационного характера необходимы для обеспечения информационной безопасности предприятия?

· Какие мероприятия необходимы для обеспечения информационной безопасности с точки зрения программно-технического обеспечения?

· Каковы основные средства анализа защищенности операционных систем?

· Приведите классификацию систем обнаружения атак.

· Какие есть технологии защиты от вирусов?

· Каковы основные каналы распространения вирусов?

· Какие антивирусные программы сегодня существуют?

· Как строится система антивирусной защиты?