наиболее традиционный метод поиска вирусов который заключается в поиске кодов известных вирусов
Антивирусные программы
Для защиты от вирусов можно использовать общие средства защиты информации, такие как дублирование информации, создание резервных копий, разграничение доступа. Разграничение доступа позволяет не только предотвратить несанкционированное использование информации, но и защитить данные от вредных действий вирусов, за счет ограничения доступа к файлам.
Для уменьшения вероятности заражения компьютера вирусом можно использовать профилактические меры. Например, отказаться от использования переносных устройств при работе, отключиться как от локальных вычислительных сетей, так и глобальных сетей (в частности, Internet), отказаться от использования электронной почты и пр. Однако, как мы понимает, это не реально.
Одним из самых удобных методов защиты от компьютерных вирусов является использование специализированных программ. Рассмотрим основные типы антивирусных программ.
Программы-детекторы позволяют обнаружить файлы, зараженные каким-либо известным вирусом. Данные программы проводят только проверку компьютера на наличие вирусов. Лечить данные программы не могут.
Программы-доктора позволяют не только обнаружить файлы, зараженные известным вирусом, но и произвести их лечение. При лечении зараженных файлов программа-доктор удаляет тело вируса из файла, т.е. восстанавливает файл в том состоянии, в котором он находился до заражения вирусом.
Программы-ревизоры работают следующим образом. При своем первом запуске они запоминают сведения о состоянии программ и системных областей диска компьютера, в которые входят загрузочные секторы, таблицы размещения файлов, корневой каталог. Предполагается, что в этот момент программы и системные области дисков не заражены. Затем при последующих проверках компьютера программы-ревизоры сравнивают состояние файлов и системных областей диска с исходным. Если произошли изменения, характерные для действий вируса, то они сообщают об этом пользователю.
Разновидностью данных программ являются доктора-ревизоры. Они представляют собой комбинацию ревизоров и докторов, т.е. они могут не только обнаруживать изменения в файлах и системных областях дисков, но и в случае изменений автоматически вернуть их в исходное состояние.
Программы-фильтры, постоянно находясь в памяти компьютера, следят за действиями, которые выполняются на компьютере. При появлении действий, указывающих на наличие вирусов, они сообщают об этом пользователю. К этим действиям можно отнести изменение файлов с расширением СОМ и ЕХЕ, снятие с файлов атрибута «только для чтения», прямая запись на диск, форматирование диска, установка «резидентной» (постоянно находящейся в оперативной памяти) программы.
При появлении таких действий, на экран компьютера выводится сообщение о том, какое действие затребовано, и какая программа желает его выполнить. Пользователь может либо разрешить выполнение этого действия, либо запретить его.
Программы-фильтры обладают одним большим преимуществом по сравнению с другими программами. Оно заключается в том, что данные программы позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.
Программы-вакцины – это программы, предотвращающие заражение файлов. Сущность действия данных программ заключается в том, что они изменяют файлы специальным образом. Причем это не отражается на работе, но вирус воспринимает эти файлы как зараженные и не внедряется в них. В настоящее время данный вид программ практически не используется.
Существует несколько основных методов поиска вирусов, которые применяются антивирусными программами. К ним относятся:
Полифаги могут обнаружить только уже известные и предварительно изученные вирусы. Поэтому программы-сканеры не защищают компьютер от проникновения новых неизвестных вирусов.
Эвристический анализ используется для поиска шифрующихся и полиморфных вирусов. Эвристический анализатор позволяет обнаруживать ранее неизвестные вирусы, хотя их лечение при этом бывает невозможным.
Обнаружение изменений. Заражая компьютер, вирус делает изменения на жестком диске: изменяет файлы или загрузочные записи (например, у файлов может измениться размер, дата и время создания). Антивирусные программы-ревизоры находят такие изменения и сообщают об этом пользователю.
Однако у программ, использующих данную технологию, имеется недостаток. Он заключается в том, что не все изменения на компьютере вызываются вторжением вируса.
Наиболее традиционный метод поиска вирусов который заключается в поиске кодов известных вирусов
Для защиты от вирусов можно использовать общие средства защиты информации, такие как дублирование информации, создание резервных копий, разграничение доступа. Разграничение доступа позволяет не только предотвратить несанкционированное использование информации, но и защитить данные от вредных действий вирусов, за счет ограничения доступа к файлам.
Для уменьшения вероятности заражения компьютера вирусом можно использовать профилактические меры:
Одним из самых удобных методов защиты от компьютерных вирусов является использование специализированных программ. Рассмотрим основные типы антивирусных программ:
Программы-детекторы позволяют обнаружить файлы, зараженные каким-либо известным вирусом. Данные программы проводят только проверку компьютера на наличие вирусов. Лечить данные программы не могут.
Программы-доктора позволяют не только обнаружить файлы, зараженные известным вирусом, но и произвести их лечение. При лечении зараженных файлов программа-доктор удаляет тело вируса из файла, т.е. восстанавливает файл в том состоянии, в котором он находился до заражения вирусом.
Программы-ревизоры работают следующим образом. При своем первом запуске они запоминают сведения о состоянии программ и системных областей диска компьютера, в которые входят загрузочные секторы, таблицы размещения файлов, корневой каталог. Предполагается, что в этот момент программы и системные области дисков не заражены. Затем при последующих проверках компьютера программы-ревизоры сравнивают состояние файлов и системных областей диска с исходным. Если произошли изменения, характерные для действий вируса, то они сообщают об этом пользователю.
Разновидностью данных программ являются доктора-ревизоры. Они представляют собой комбинацию ревизоров и докторов, т.е. они могут не только обнаруживать изменения в файлах и системных областях дисков, но и в случае изменений автоматически вернуть их в исходное состояние.
Программы-фильтры, постоянно находясь в памяти компьютера, следят за действиями, которые выполняются на компьютере. При появлении действий, указывающих на наличие вирусов, они сообщают об этом пользователю. К этим действиям можно отнести изменение файлов с расширением СОМ и ЕХЕ, снятие с файлов атрибута «только для чтения», прямая запись на диск, форматирование диска, установка «резидентной» (постоянно находящейся в оперативной памяти) программы.
При появлении таких действий, на экран компьютера выводится сообщение о том, какое действие затребовано, и какая программа желает его выполнить. Пользователь может либо разрешить выполнение этого действия, либо запретить его.
(!)Программы-фильтры обладают одним большим преимуществом по сравнению с другими программами. Оно заключается в том, что данные программы позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.
Программы-вакцины – это программы, предотвращающие заражение файлов. Сущность действия данных программ заключается в том, что они изменяют файлы специальным образом. Причем это не отражается на работе, но вирус воспринимает эти файлы как зараженные и не внедряется в них. В настоящее время данный вид программ практически не используется.
Существует несколько основных методов поиска вирусов, которые применяются антивирусными программами. К ним относятся:
Эвристический анализ используется для поиска шифрующихся и полиморфных вирусов. Эвристический анализатор позволяет обнаруживать ранее неизвестные вирусы, хотя их лечение при этом бывает невозможным.
Несмотря на то, что последствия действия компьютерных вирусов могут быть очень трагичными (до полного уничтожения информации на компьютере), не стоит их чрезвычайно сильно бояться. Современные антивирусные программы почти всегда могут их обезвредить.
Ложные антивирусы (также известные как «scareware») – это программы, которые внешне похожи на приложения для обеспечения безопасности компьютера, но в действительности такой защиты почти или совсем не обеспечивают, генерируют ошибочные или заведомо ложные уведомления об угрозах или пытаются вовлечь пользователя в мошеннические операции.
Как ложные антивирусы попадают на компьютер?
Разработчики ложных антивирусов создают специальные рекламные окна, которые выглядят так, как будто они рекламируют легальное ПО для обеспечения безопасности или его обновления. Вы может увидеть их при посещении различных веб-ресурсов.
«Сообщения» в таких окнах призывают пользователя выполнить некоторое действие, например, установить программу, загрузить рекомендуемые обновления или удалить вирусы и шпионское ПО. Если вы щелкните по такому объявлению, на ваш компьютер будет загружен и установлен ложные антивирус.
Мошенническое программное обеспечение также может фигурировать в списке результатов при поиске легальных программ для обеспечения безопасности, поэтому важно обеспечить защиту компьютера заблаговременно.
Что делает ложный антивирус?
Ложные антивирусы могут сообщать вам об обнаруженных ими вредоносных программах, даже если ваш компьютер на самом деле не заражен. Естественно, такое «антивирусное» ПО вряд ли обнаружит настоящее заражение вашего компьютера вирусами и другими зловредными программами. Более того, мошеннические антивирусы могут специально загружать на компьютер вредоносные программы, чтобы им было чем вас «порадовать».
Некоторые мошеннические антивирусы также могут:
Наиболее традиционный метод поиска вирусов который заключается в поиске кодов известных вирусов
Существует несколько основных методов поиска вирусов, которые применяются антивирусными программами: сканирование; эвристический анализ; обнаружение изменений; резидентные мониторы. Антивирусы могут реализовывать все перечисленные выше методики, либо только некоторые из них.
Антивирусные программы. Существует несколько основных методов поиска вирусов, которые применяются антивирусными программами: сканирование; эвристический анализ; обнаружение изменений; резидентные мониторы. Антивирусы могут реализовывать все перечисленные выше методики, либо только некоторые из них.
Сканирование. Это наиболее традиционный метод поиска вирусов. Он заключается в поиске сигнатур, выделенных из ранyей обнаруженных вирусов. Антивирусные программы-сканеры, способные удалить обнаруженные вирусы, обычно называются полифагами. Сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят компьютер от проникновения новых вирусов, число которых постоянно увеличивается. Простые сканеры неспособны обнаружить и полиморфные вирусы, полностью меняющие свой код. Для этой цели необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.
Эвристический анализ. Этот метод нередко используется совместно со сканированием для поиска шифрующихся и полиморфных вирусов. Очень часто эвристический анализ позволяет обнаруживать ранее неизвестные инфекции, хотя лечение в этих случаях обычно оказывается невозможным. Если эвристический анализатор сообщает, что файл или загрузочный сектор, возможно, заражен вирусом, пользователю необходимо провести дополнительную проверку с помощью самых последних версий антивирусных программ- сканеров.
Обнаружение изменений. Заражая компьютер, вирус делает изменения на жестком диске: дописывает свой код в заражаемый файл, изменяет системные области диска и т.д. Антивирусные программы-ревизоры находят такие изменения: они запоминают характеристики всех областей диска, которые могут подвергаться нападению вируса, а затем периодически проверяют их и в случае обнаружения изменений выдают сообщение о подозрении на вирус. Следует учитывать, что не все изменения вызываются вторжением вирусов. Загрузочная запись может измениться при обновлении версии операционной системы, а некоторые программы записывают данные внутри своего исполняемого файла.
Резидентные мониторы. Антивирусные программы, постоянно находящиеся в оперативной памяти компьютера и отслеживающие все подозрительные действия, выполняемые другими программами, носят название резидентных мониторов, или сторожей. К сожалению, они имеют очень много недостатков: занимают много оперативной памяти и раздражают пользователей большим количеством сообщений, по большей части не имеющим отношения к проникновению вирусов.
Даже, если угрозы вирусов как будто бы нет, необходимо заранее провести мероприятия антивирусной защиты, в том числе организационного характера.
Для успешной борьбы с вирусами можно воспользоваться различными программными продуктами отечественного производства, некоторые из которых признаются лучшими в мире.
Наиболее традиционный метод поиска вирусов который заключается в поиске кодов известных вирусов
Программы-детекторы позволяют обнаружить файлы, зараженные каким-либо известным вирусом. Данные программы проводят только проверку компьютера на наличие вирусов. Лечить данные программы не могут.
Программы-доктора позволяют не только обнаружить файлы, зараженные известным вирусом, но и произвести их лечение. При лечении зараженных файлов программа-доктор удаляет тело вируса из файла, т.е. восстанавливает файл в том состоянии, в котором он находился до заражения вирусом.
Программы-ревизоры работают следующим образом. При своем первом запуске они запоминают сведения о состоянии программ и системных областей диска компьютера, в которые входят загрузочные секторы, таблицы размещения файлов, корневой каталог. Предполагается, что в этот момент программы и системные области дисков не заражены. Затем при последующих проверках компьютера программы-ревизоры сравнивают состояние файлов и системных областей диска с исходным. Если произошли изменения, характерные для действий вируса, то они сообщают об этом пользователю.
Программы-фильтры, постоянно находясь в памяти компьютера, следят за действиями, которые выполняются на компьютере. При появлении действий, указывающих на наличие вирусов, они сообщают об этом пользователю. К этим действиям можно отнести изменение файлов с расширением СОМ и ЕХЕ, снятие с файлов атрибута «только для чтения», прямая запись на диск, форматирование диска, установка «резидентной» (постоянно находящейся в оперативной памяти) программы.
Программы-вакцины – это программы, предотвращающие зараже¬ние файлов. Сущность действия данных программ заключается в том, что они изменяют файлы специальным образом. Причем это не отражается на работе, но вирус воспринимает эти файлы как зараженные и не внедряется в них. В настоящее время данный вид программ практически не используется.
Эвристический анализ используется для поиска шифрующихся и полиморфных вирусов. Эвристический анализатор позволяет обнаруживать ранее неизвестные вирусы, хотя их лечение при этом бывает невозможным.
Обнаружение изменений. Заражая компьютер, вирус делает изменения на жестком диске: изменяет файлы или загрузочные записи (например, у файлов может измениться размер, дата и время создания). Антивирусные программы-ревизоры находят такие изменения и сообщают об этом пользователю.
Однако у программ, использующих данную технологию, имеется недостаток. Он заключается в том, что не все изменения на компьютере вызываются вторжением вируса.
Основы работы антивирусных программ
Общие сведения
Методы и принципы защиты теоретически не имеют особого значения, главное чтобы они были направлены на борьбу с вредоносными программами. Но на практике дело обстоит несколько иначе: практически любая антивирусная программа объединяет в разных пропорциях все технологии и методы защиты от вирусов, созданные к сегодняшнему дню.
Из всех методов антивирусной защиты можно выделить две основные группы:
Сигнатурный анализ
Сигнатурой вируса будет считаться совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле (включая случаи, когда файл целиком является вирусом). Все вместе сигнатуры известных вирусов составляют антивирусную базу.
Практически в каждой компании, выпускающей антивирусы, есть своя группа экспертов, выполняющая анализ новых вирусов и пополняющая антивирусную базу новыми сигнатурами. По этой причине антивирусные базы в разных антивирусах отличаются. Тем не менее, между антивирусными компаниями существует договоренность об обмене образцами вирусов, а значит рано или поздно сигнатура нового вируса попадает в антивирусные базы практически всех антивирусов. Лучшим же антивирусом будет тот, для которого сигнатура нового вируса была выпущена раньше всех.
Соотношение количества сигнатур и количества известных вирусов для каждой антивирусной базы свое и вполне может оказаться, что база с меньшим количеством сигнатур в действительности содержит информацию о большем количестве вирусов. Если же вспомнить, что антивирусные компании обмениваются образцами вирусов, можно с высокой долей уверенности считать, что антивирусные базы наиболее известных антивирусов эквивалентны.
Эвристический анализ
Слово » эвристика » происходит от греческого глагола «находить». Суть эвристических методов состоит в том, что решение проблемы основывается на некоторых правдоподобных предположениях, а не на строгих выводах из имеющихся фактов и предпосылок. Поскольку такое определение звучит достаточно сложно и непонятно, проще объяснить на примерах различных эвристических методов
Поиск вирусов, похожих на известные
Если сигнатурный метод основан на выделении характерных признаков вируса и поиске этих признаков в проверяемых файлах, то эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Постфактум такое предположение оправдывается наличием в антивирусных базах сигнатур для определения не одного, а сразу нескольких вирусов. Основанный на таком предположении эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.
Положительным эффектом от использования этого метода является возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры. Отрицательные стороны:
Поиск вирусов, выполняющих подозрительные действия
Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру. Метод основан на выделении основных вредоносных действий, таких как, например:
Понятно, что выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Но если программа последовательно выполняет несколько таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа по меньшей мере подозрительна. Основанный на этом принципе эвристический анализатор должен постоянно следить за действиями, которые выполняют программы.
Преимуществом описанного метода является возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные. Например, новая вредоносная программа может использовать для проникновения на компьютер новую уязвимость, но после этого начинает выполнять уже привычные вредоносные действия. Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.