Основы работы антивирусных программ

вредоносный программа антивирусный защита

Самыми эффективными средствами защиты от вирусов являются специализированные программы, способные распознать и обезвредить вирусы в файлах, письмах и других объектах. Такие программы называются антивирусами, и для того, чтобы обезопасить себя от вредоносных программ, необходимо использовать их обязательно.

В современных антивирусных продуктах используется два основных подхода к обнаружению вирусов:

·   Сигнатурные методы - точные методы обнаружения вредоносного кода, основанные на сравнении файла с известными образцами вирусов;

·   Проактивные / эвристические методы - приблизительные методы обнаружения, которые позволяют с определенной уверенностью сказать, что файл заражен.

Сигнатурные методы (метод сравнения с эталоном). Принцип работы - это поиск известных вирусов по маске. Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Антивирусная программа последовательно просматривает проверяемые файлы в поиске масок известных вирусов. Антивирусные сканеры способны найти только уже известные вирусы. Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить маску, поэтому антивирусные сканеры их не обнаруживают.

Эвристический анализ. Для того чтобы размножаться, компьютерный вирус должен совершать какие-то конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор (который является частью антивирусного ядра) содержит список таких действий и проверяет программы и загрузочные сектора дисков и дискет на наличие в них кода, характерного для вирусов. Первый эвристический анализатор появился в начале 90-х годов прошлого века. Практически все современные антивирусные программы реализуют собственные методы эвристического анализа.

Также надо отметить такие методы как:

·   Антивирусный мониторинг. Суть данного метода состоит в том, что в памяти компьютера постоянно находятся антивирусная программа, осуществляющая мониторинг всех подозрительных действий, выполняемых другими программами. Антивирусный мониторинг отслеживает все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов полученные через Интернет или скопированные на жесткий диск с компакт-диска либо флэш-накопителей.

·   Метод обнаружения изменений. При реализации метода обнаружения изменений антивирусные программы, называемые ревизорами диска, запоминают первоначальные характеристики всех областей диска, которые могут подвергнуться нападению, а затем переолически проверяют их. При сопоставлении значений характеристик областей, антивирусная программа может обнаружить изменения, сделанные как известным, так и неизвестным вирусом.

·   Встраивание антивирусов в BIOS компьютера. В материнские платы компьютеров тоже встраивают простейшие средства защиты от вредоносного ПО. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков.

 

Виды антивирусных программ

 

Различают следующие виды антивирусных программ:

·   программы-фаги (сканеры);

·   программы-ревизоры (CRC - сканеры);

·   программы-блокировщики;

·   программы-иммунизаторы.

Программы-фаги используют для обнаружения вирусов метод сравнения с эталоном, метод эвристического анализа и некоторые другие методы. В начале своей работы программы-фаги сканируют оперативную память, обнаруживают вирусы и уничтожают их и только затем переходят к лечению файлов.

Программы-ревизоры используют для поиска вирусов метод обнаружения изменений. Принцип работы основан на подсчете CRC-сумм (кодов циклического контроля) для присутствующих на диске файлов / системных секторов. Затем в базе данных антивируса сохраняются эти CRC-сумма, а также некоторая другая информация: длины файлов, даты их последней модификации и другие параметры. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

Но даже при высокой эффективности, CRC-сканеры имеют недостаток. Они не могут определить вирус в новых файлах (в электронной почте, на дисках, в файлах, восстановленных из резервных копий или распаковываемых из архива), так как в их базах отсутствует информация об этих файлах.

Программы-блокировщики реализуют метод антивирусного мониторинга. Антивирусные блокировщики - это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об этом пользователю. К вирусоопасным ситуациям относятся запросы на открытие для записи в выполняемые файлы, запись в загрузочные сектора дисков или MBR (Master Boot Record) жесткого диска, попытки программ остаться в памяти резидентно и т.п., то есть вызовы, характерные для вирусов в момент их размножения.

Программы-иммунизаторы - это программы, предотвращающие заражение файлов. Иммунизаторы делятся на два типа: сообщение о заражении и блокирующие заражение каким-либо типом вируса. Имунизаторы первого типа обычно записываются в конец файлов и при запуске файла каждый разз проверяют его на изменение (в настоящие время практичски не используется). Иммунизатор второго типа защищает систему от поражения вирусом определенного вида. Этот иммунизатор модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится.