Информационные технологииStfw.Ru 🔍

Панацеи не существует (общая классификация средств защиты)

Операционная система MS DOS, отличающаяся практически полным отсутствием защиты от несанкционированных действий, облегчает разработку компьютерных вирусов.
🕛 10.02.2009, 13:18
Однако важно понимать, что компьютерные вирусы не являются программами, использующими ошибки или недостатки конкретной операционной системы. Для обеспечения своего функционирования вирусу достаточно лишь нескольких вполне обычных операций, используемых большинством нормальных программ. Поэтому принципиально не может существовать универсальный метод, защищающий операционную систему от распространения любого вируса. Тем не менее, можно существенно затруднить задачу создания вируса, применяя специальные методы как в самой операционной системе, так и используя дополнительные резидентные и нерезидентные средства защиты.

Простейшим средством защиты от вируса является программа, позволяющая составить список зараженных программ. Мы будем называть такую программу детектором. В качестве детектора могут использоваться и имеющиеся программы, способные выполнять поиск строки в файле или, желательно, в файлах на заданном диске или каталоге. Детектор может быть и резидентным. В этом случае после загрузки программы он проверяет ее на зараженность и, только если вирус не обнаружен, передает ей управление.

Вторым и наиболее распространенным средством защиты от вирусов являются так называемые фаги - программы, "выкусывающие" вирус из зараженной программы и тем самым восстанавливающие ее в виде, близком к первоначальному. Операция "выкусывания" не всегда бывает успешной. Фаги также могут быть резидентными, однако из-за значительного объема резидентные фаги встречаются редко.

Третьим видом антивирусных программ являются резидентные программы, контролирующие подозрительные действия запускаемых программ и блокирующие их либо "молча", либо выдавая сообщение пользователю, который может разрешить действие или запретить (в последнем случае программа, предпринявшая опасное действие, скорее всего будет завершена аварийно). Будем называть такие программы сторожами. При этом дисковые драйверы, обеспечивающие возможность сегментации винчестера и присваивания отдельным разделам статуса READ ONLY, можно рассматривать как специальную разновидность сторожей.

Четвертый тип - это программы-ревизоры, которые подсчитывают контрольные суммы и другие параметры файлов и сравнивают их с эталонными. Последние обычно хранятся в отдельном файле. Этот вид контроля представляется наиболее надежным, т.к. при отсутствии в оперативной памяти резидентного компьютерного вируса позволяет выявить все измененные программы независимо от причины, вызвавшей эти изменения. Подобно остальным типам программ, ревизоры могут быть резидентными. Последние загружают в память программу, подсчитывают ее контрольную сумму и, если она совпадает с записанной в специальном поле файла или элемента каталога данного файла, то передают ей управление. В противном случае выдается предупреждающее сообщение, и выполнение программы блокируется. Следует отметить, что если записать зараженную программу в файловую систему, все остальные файлы которой систематически контролируются ревизором, то наличие вируса может быть выявлено по заражению других программ для большинства, но не для всех типов вирусов. Поэтому очень важно, чтобы в момент запуска программы-ревизора было достоверно известно, что в оперативной памяти нет резидентного вируса. Этого можно достичь, загрузившись с эталонной, защищенной от записи, дискеты или разместив все компоненты операционной системы в разделе винчестера, имеющего статус READ ONLY.

И, наконец, наиболее изощренным типом антивирусных программ являются так называемые вакцины. Подобно естественным вакцинам, они изменяют среду функционирования вируса таким образом, что он теряет способность к размножению. Вакцины могут быть пассивные или активные.

Пассивная вакцина представляет собой пакетную программу, которая за один вызов обрабатывает специальным образом файл или все файлы на диске либо в каталоге. Обычно при такой обработке проставляется признак, который вирус использует для того, чтобы отличить зараженные программы от незараженных. Например, некоторые вирусы дописывают в конец зараженных файлов определенную строку (скажем, "MsDos"). Если искусственно дописать в конец всех программ эту строку, то такие программы не будут заражаться вирусом, поскольку он будет считать, что они уже заражены. Обработанная таким образом программа является вакцинированной против данного вируса, причем операция вакцинации является обратимой: когда опасность заражения будет ликвидирована, строку можно из файла удалить. Другие вирусы проставляют в поле даты заражаемых программ значение секунд, равное 62 (MS DOS допускает запись такого явно нереального значения). Вакцина может проставить этот признак у всех выполняемых программ, которые тем самым будут защищены от заражения данным типом вируса. В этом случае вакцинирование является необратимым в том смысле, что восстановить первоначальное значение секунд не удастся, хотя они, конечно, могут быть сброшены.

Активные вакцины являются резидентными программами, действие которых основано на имитации присутствия вируса в оперативной памяти. Поэтому они обычно применяются против резидентных вирусов. Если такая вакцина находится в памяти, то когда при запуске зараженной программы вирус проверяет, находится ли уже в оперативной памяти его копия, вакцина имитирует наличие копии. В этом случае вирус просто передает управление программе-хозяину, и его инсталляция не происходит. Простейшие вакцины представляют собой выделенный и слегка модифицированный (лишенный способности к размножению) вирус. Поэтому они могут быть оперативно изготовлены - быстрее, чем программы-фаги. Более сложные вакцины (поливакцины) имитируют наличие в оперативной памяти нескольких вирусов.

Конечно, приведенный список не исчерпывает всего многообразия антивирусных программ, хотя и охватывает основные их разновидности. Каждая из антивирусных программ подобна узкому специалисту в определенной области, поэтому оптимальной тактикой является комплексное применение нескольких типов антивирусных средств. Список отечественных антивирусных средств, распространяемых бесплатно и опубликованных в бюллетене Софтпанорама.

Вирусы   Теги:

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉