ОБНАРУЖЕНИЕ, ЗАЩИТА И
ПРОФИЛАКТИКА
Программы обнаружения и
защиты от вирусов
Для обнаружения, удаления и защиты от компьютерных вирусов
разработано несколько видов специальных программ, которые позволяют
обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.
Различают следующие виды антивирусных программ;
— программы-детекторы;
— программы-доктора, или фаги;
— программы-ревизоры;
— программы-фильтры;
— программы-вакцины, или иммунизаторы.
Программы-детекторы осуществляют поиск характерной
для конкретного вируса сигнатуры в оперативной памяти и в
файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких
антивирусных программ является то, что они могут находить только те вирусы,
которые известны разработчикам таких программ.
Программы-доктора, или фаги, а также программы-вакцины не
только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из
файла тело программы-вируса, возвращая файлы в исходное состояние. В начале
своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только
затем переходят к «лечению» файлов. Среди фагов выделяют полифаги,
предназначенные для поиска и уничтожения большого количества вирусов.
Наиболее известные из них: Kaspcrsky Antivirus, Norton AntiVirus, Doctor Web.
Учитывая, что постоянно появляются новые вирусы,
программы-детекторы и программы-доктора быстро устаревают и требуется
регулярное обновление версий.
Программы-ревизоры относятся к самым надежный средствам
защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов
и системных областей диска тогда, когда компьютер не заражен вирусом, а затем
периодически или по желанию пользователя сравнивают текущее состояние с
исходным. Обнаруженные изменения выводятся на экран монитора. Как правило,
сравнение состояний производят сразу после загрузки операционной системы. При
сравнении проверяются длина файла, код циклического контроля (контрольная
сумма файла), дата и время модификации и другие параметры. Программы-ревизоры
имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже
очистить изменения версии проверяемой программы от изменений, внесенных
вирусом. К числу программ-ревизоров относится широко распространенная и
России программа Kaspersky Monitor.
Программы-фильтры, или «сторожа», представляют собой
небольшие резидентные программы, предназначенные для обнаружения
подозрительных действий при работе компьютера, характерных для вирусов.
Такими действиями могут являться:
— попытки коррекции файлов с расширениями СОМ, ЕХЕ;
— изменение атрибутов файла;
— прямая запись на диск по абсолютному адресу;
— запись и загрузочные сектора диска;
— загрузка резидентной программы.
При попытке какой-либо программы произвести указанные
действия «сторож» посылает пользователю сообщение и предлагает запретить или
разрешить соответствующее действие. Программы-фильтры весьма полезны, так как
способны обнаружить вирус на самой ранней стадии его существования до
размножения. Однако они пе «лечат*» файлы и диски. Для уничтожения вирусов
требуется применить другие программы, например фаги. К недостаткам
программ-сторожей можно отнести их «назойливостью (например, они постоянно
выдают предупреждение о любой попытке копирования исполняемого файла), а
также возможные конфликты с другим программным обеспечением.
Вакцины (иммунизаторы) - это резидентные программы,
предотвращающие заражение файлов. Вакцины применяют, если отсутствуют
программы-доктора, уничтожающие этот вирус. Вакцинация возможна только от
известных вирусов. Вакцина модифицирует программу или диск таким образом,
чтобы это не отражалось на их работе, а вирус будет воспринимать их
зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют
ограниченное применение.
Своевременное обнаружение зараженных вирусами файлов и
дисков, полное уничтожение обнаруженных вирусов на каждом компьютере
позволяют избежать распространения вирусной эпидемии на другие компьютеры.
|
