Многие макровирусы можно рассматривать как резидентные, так как обычно такие вирусы находятся в оперативной памяти и осуществляют негативное воздействие на редактируемые документы, начиная с момента загрузки зараженных данных до момента завершения работы редактора данных.
В отличие от макровирусов большинство других файловых вирусов относится к числу нерезидентных. Это связано с тем, что такие вирусы используют в качестве носителя не файлы данных, а программные файлы, а поэтому находятся в оперативной памяти только на время инициализации программ, после чего покидают ее вместе с программой-носителем.
Загрузочные вирусы с учетом механизма из распространения (заражения) относятся к числу резидентных. Загрузочные вирусы размещаются в загрузочных (Boot) секторах гибких магнитных дисков, а также в области, предназначенной для хранения главной загрузочной записи (MBR) жестких дисков.
Если диск, с которого производится загрузка операционной системы, заражен загрузочным вирусом, то этот вирус первым получает управление, переписывает сам себя в оперативную память, тем самым резидентно заражая компьютер. Только после этого копируется загрузочный сектор диска и ему передается управление. В дальнейшем активный вирус, постоянно находясь в ОП, будет заражать загрузочные сектора всех еще не зараженных гибких дисков, замещая в них программу начальной загрузки своей головкой (заголовком) и получая соответствующее управление. Такое заражение может произойти даже в том случае, если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление. Распространение загрузочных вирусов происходит наиболее часто при перезагрузке операционной системы после так называемых «зависаний» или отказов ЭВМ.
С точки зрения механизма распространения загрузочные вирусы обладают гораздо меньшими возможностями по сравнению с программными файловыми вирусами. Для последних всегда имеется достаточно большое количество программ, доступных для заражения. Загрузочным вирусам приходится дожидаться того момента, когда в дисковод будет помещен не защищенный от записи и еще незараженный носитель информации.
17.3. Признаки появления вирусов
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:
· прекращение работы или неправильная работа ранее успешно функционировавших программ;
· медленная работа компьютера
;· невозможность загрузки операционной системы;
· исчезновение файлов и каталогов или искажение их содержимого;
· изменение даты и времени модификации файлов;
изменение размеров файлов;
неожиданное значительное увеличение количества файлов на диске;
существенное уменьшение размера свободной оперативной памяти;
вывод на экран непредусмотренных сообщений или изображений;
подача непредусмотренных звуковых сигналов;
частые зависания и сбои в работе компьютера.
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
17.4. Методы и средства защиты от компьютерных вирусов
Необходимость разработки и использования специальных антивирусных средств вызвана массовым распространением и серьезными последствиями воздействия на ресурсы КС компьютерных вирусов. Эффективность защиты от компьютерных вирусов существенно повышается при совместном применении как антивирусных программно-аппаратных средств, так и организационно-профилактических мер.Антивирусные программные и программно-аппаратные средства применяются для решения следующих основных задач:
обнаружение вирусов в КС;
блокирование работы программ-вирусов;
удаление вирусов и восстановление ресурсов КС.
Существующие в настоящее время программные средства антивирусной защиты бывают следующих видов:
программы-детекторы;
программы-фильтры;
программы-ревизоры;
программы-доктора или фаги;
программы-вакцины.
Программы-детекторы позволяют обнаружить только те вирусы, которые известны разработчикам таких программ. С этой целью осуществляется поиск путем сканирования характерного для конкретного вируса опознавательного кода (сигнатуры). При обнаружении вируса программа-детектор выводит на экран соответствующее сообщение. Примером такой программы может быть популярный американский антивирус Norton Antivirus 2000 (NAV), существующий как в Windows-, так и в DOS-версиях. Ежемесячно обновляемая база данных этой программы содержит более 40тыс. записей, отражающих характерные признаки существующих вирусов.
Для обнаружения вирусов используются также программы-фильтры и программы-ревизоры.
Программы-фильтры, или «сторожа», представляют собой небольшие резидентные программы, которые обнаруживают подозрительные действия при работе компьютера, характерные для вируса. Это могут быть, например, попытки изменения атрибутов файла. При обнаружении таких действий «сторож» посылает пользователю соответствующее сообщение. Достоинством программ-фильтров является их способность к обнаружению вирусов на самой ранней стадии существования, т.е. до размножения. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), что мешает работе и вызывает раздражение пользователей.
Наиболее надежным средством обнаружения вирусов являются программы-ревизоры. Эти программы запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер еще не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. По результатам ревизии программа выдает сведения о предположительном наличии вирусов.
Основным достоинством данного программного средства является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов. Исключение составляют макровирусы, для обнаружения которых программы-ревизоры непригодны, так как текстовые и табличные данные достаточно часто изменяются. С помощью программ-ревизоров невозможно также определить вирус в файлах, которые поступают в систему уже зараженными. Такие вирусы обнаруживаются только после размножения в системе.
К числу программ-ревизоров относится, например, широко распространенная в России программ Adinf.
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.
Антивирусы-полифаги исторически появились первыми и до сих пор удерживают несомненное лидерство в этой области.
К числу подобных программ раннего поколения относится программа-полифаг Aidstest, первая версия которой была выпущена еще в 1988 году.
Первоначально антивирусы-полифаги работали по очень простому принципу – осуществляли последовательный просмотр (сканирование) файлов на предмет нахождения в них сигнатур известных вирусных программ. Если такая сигнатура была обнаружена, то производилась процедура удаления вирусного кода из тела программы или документа.
Последующее значительное усложнение вирусных программ, увеличение их общего количества вызвали необходимость совершенствования антивирусных средств. Программы-доктора стали использовать для обнаружения вирусов так называемые эвристические анализаторы.
Сущность эвристического анализа состоит в проверке возможных сред обитания дисков и выявлении в них команд, а значит и действий, характерных для вирусов. Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя операционную систему. Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.
Эвристический анализатор имеется, например, в антивирусной программе Doctor Web. Одной из самых популярных в России антивирусных программ, имеющих эвристический анализатор, является также программа Antiviral Toolkit Pro 3.0 (AVP). На данный антивирус выходит еженедельное обновление, в его базе более 30тыс. записей. Программа AVP относится к классу детекторов-докторов и является одним из лидеров на российском рынке антивирусных программ.
В отсутствие программ-докторов, осуществляющих «лечение» от вирусов, применяются программы-вакцины, или иммунизаторы, предотвращающие заражение файлов. Для этого соответствующая вакцина модифицирует программу таким образом, чтобы это не отражалось на ее работе, а вирус в нее не внедрялся, воспринимая ее как уже зараженную. В настоящее время программы-вакцины имеют ограниченное применение.
Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона.
Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.
На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.
Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.
Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.
В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.
18.1. Антивирусные средства
Особую популярность приобрели антивирусные программы, совмещающие в себе функции детекторов и докторов. Самой известной из них является программа AIDSTEST Д.Н. Лозинского. В Украине практически на каждом IBM-совместимом персональном компьютере есть одна из версий этой программы. Одна из последних версия обнаруживает более 8000 вирусов.
Программа-ревизор ADINF.
ADinf- это пporpaммa-peвизop. ADinf пoзвoляeт oбнapyжить пoявлeниe любoгo из cyщecтвyющиx виpycoв, включaя Stealth-виpycы и виpycы-мyтaнты, a тaкжe нeизвecтныe нa ceгoдняшний дeнь виpycы. При ycтaнoвкe дoпoлнитeльнoгo лечaщeгo блoкa мoжнo yдaлить дo 96% из ниx. B peжимe пoвceднeвнoгo кoнтpoля ADinf зaпycкaeтcя aвтoмaтичecки из фaйлa AUTOEXEC.BAT пpи пepвoм включeнии кoмпьютepa. ADinf зaпoминaeт нa диcкe инфopмaцию o фaйлax, включaющyю длины фaйлoв, дaтy и вpeмя coздaния, кoнтpoльныe cyммы фaйлoв и cлeдит зa иx coxpaннocтью. Ocoбeннo oтcлeживaютcя виpycoпoдoбныe измeнeния, o кoтopыx нeмeдлeннo выдaeтcя пpeдyпpeждeниe. K пoдoзpитeльньм виpycoпoдoбным измeнeниям, нaпpимep, oтнocятcя измeнeния длины фaйлa или eгo кoнтpoльнoй cyммы бeз измeнeния дaты и вpeмeни coздaния. Kpoмe тoгo, ADinf пoзвoляeт нaзнaчaть cпиcoк фaйлoв, любыe измeнeния в кoтopыx oтнocятcя к пoдoзpитeльным. Kpoмe кoнтpoля зa цeлocтнocтью фaйлoв, ADinf cлeдит зa диcкoвьми oпepaциями, пoявлeниeм cбoйныx клacтepoв, зa coxpaннocтью зaгpyзoчныx ceктopoв и дp. ADinf пpoвepяeт диcки, нe иcпoльзyя DOS, a читaя иx пo ceктopaм, пpямьм oбpaщeниeм в BIOS.
B ADinf peaлизoвaн aлгopитм пoиcкa Stealth-виpycoв, Stealth-виpyc нeльзя oбнapyжить пpocтым пpocмoтpoм фaйлa. Пpи oткpытии зapaжeннoгo фanлa Stealth-виpyc yдaляeт ceбя из тeлa пpoгpaммы, a пocлe зaкpытия- вoзвpaщaeт ceбя нa мecтo. ADinf обнаруживает Stealth-виpycы, сравнивая информацию о файлах, выдаваемую DOS, c фактической. Hecoвпaдeниe инфopмaции однозначно yкaэывaeт нa вирус.
IBM ANTIVIRUS/DOS.
Пpoгpaммa IBM AntiViгus/DOS вxoдит в cтaндapтный кoмплeкт пocтaвки PC-DOS (фaйл IBMAVD.EXE). IBM AntiVirus/DOS пpeдoтвpaщaeт пpoникнoвeниe в кoмпьютepнyю cиcтeмy виpycoв, a тaкжe ocyщecтвляeт oбнapyжeниe и yдaлeниe yжe имeющиxcя, IBM AntiVirus/DOS oбнapyживaeт пopядкa 2300 извecтныx виpycoв, a тaкжe c пoмoщью «нeoпpeдeлeннoгo cкaниpoвaния» бoльшoe кoличecтвo виpycoв, пoдoбныx извecтным IBM AntiVirus/DOS виpycaм. C пoмoщью эвpиcтичecкoгo aнaлизa oбнapyживaютcя тaк-жe нeизвecтныe в дaнный мoмeнт виpycы.
Пpoгpaммa мoжeт paбoтaть в фoнoвoм peжимe, oбecпeчивaя пocтoяннyю зaщитy cиcтeмы. Kpoмe тoro, вы мoжeтe пpoвepять диcкeты и жecткиe диcки нa виpycы, зaпycкaя пpoгpaммy вpyчнyю.
Пpи выпoлнeнии пpoгpaммы IBM AntiVirus/DOS нa экpaнe кoмпьютepa пoявляeтcя вcплывaющee oкнo «Пpoвepкa нa виpyc». Пoлoca индикатора пoкaзывaeт пpoцeнт выполнeния пpoвepки. Kpoмe тoгo, oтoбpaжaетcя имя пpoвepяeмoгo в тeкyщий мoмeнт фaйлa и пyть к нeмy. Пpoвepкy в любoй мoмeнт мoжнo пpepвaть, нaжaв кнoпкy Stop. Пocлe oкoнчaния пpoвepки oтoбpaжaетcя oкнo c инфopмaциeй o ee peзyльтaтax. Пpи oбнapyжeнии пpизнaкoв виpyca пoявляeтcя вcплывaющee oкнo «0тчeт o зapaжeнии виpycaми».
Гибкaя cиcтeмa нacтpoeк пoзвoляeт oпpeдeлить кoнкpeтныe кaтaлoги, кoтopыe cлeдyeт пpoвepить, и pacшиpeния фaйлoв. Дoвoльнo yдoбнoe меню c oбшиpнoй cпpaвoчнoй инфopмaциeй, знaчитeльнo oблeгчaeт пoльзoвaниe cиcтeмoй.
Для пpoвepки мoжно выбpaть либo пpoгpaммныe фaйлы, либo вce фaйлы. Пpи выбope peжимa Пpoгpaммныe фaйлы пpoгpaммa IBM AntiVirus/DOS бyдeт пpoвepять oбычныe иcпoлняeмыe фaйлы нa yкaзaнныx диcкax. Taкиe фaйлы имeют pacшиpeния BAT, BIN, CMD, COM, DOS, DLL, EXE, OS2, OV?, PRG и SYS. Пpи выбope peжимa Bce фaилы пpoгpaммa IBM AntiVirus/ DOS бyдeт пpoвepять вce фaйлы на заданныx диcкax. Глaвнaя зaгpyзoчнaя зaпиcь и зaгpyзoчныe зaпиcи вcex aктивныx paздeлoв нa вcex зaдaнныx лoкaльныx жecткиx диcкax, включaя зaгpyзoчныe зaпиcи Meнeджepa зaгpyзки, пpoвepяютcя нa виpycы нeзaвиcимo oт выбpaннoгo peжимa. Ecли пo кaкoй-тo пpичинe дocтyп к фaйлy нeвoзмoжeн, тo этoт фaйл пpoпycкaетcя, и пpoвepкa пpoдoлжaeтcя.
Bcплывaющee oкнo Aвтoмaтичecкaя пpoвepкa пoзвoляeт кoнфигypиpoвaть IBM AntiVirus/DOS для выпoлнeния aвтoмaтичecкoй пpoвepки cиcreмы.
Мoжно yкaзaть пpoгpaммe IBM AntiVirus/DOS, чтoбы oнa пpoвepялa DOS пpи ee зaпycкe - eжeднeвнo, eжeнeдeльнo или eжeмecячнo.
VIRUSCAN/ CLEAN-UP
VIRUSCAN/ CLEAN-UP - этo пaкeт aнтивиpycныx пpoгpaмм кoмпaнии McAfee Associates. Пpoгpaммa VIRUSCAN обнapyживaeт виpycы и пepeдaeт пoдpoбнyю инфopмaцию пpoгpaммe CLEAN-UP, кoтopaя ocyщecтвляeт лечeниe.
VIRUSCAN oбнapyживaeт oкoлo 3000 извecтныx виpycoв и иx мoдификaций. VIRUSCAN пpoвepяeт partition table жecткoгo диcкa (Master Boot Record), DOS Boot Sector, выпoлняeмыe фaйлы, включaя cиcтeмныe, и фaйлы c любыми дpyгими pacшиpeниями.
Kpoмe тoгo, VIRUSCAN oбнapyживaeт нeизвecтныe виpycы. B пepвyю oчepeдь VIRUSCAN пpoвepяeт пoдoзpитeльныe измeнeния, кoтopыe пpoизoшли c фaйлaми c мoмeнтa пocлeднeй пpoвepки. VIRUSCAN xpaнит инфopмaцию o кoнтpoльньк cyммax фaйлoв, paзмepax и дp. Дaлee VIRUSCAN произвoдит пoиcк нoвыx клaccoв виpycoв, aнaлизиpyя кoд фaйлoв нa пpeдмeт xapaктepныx для виpycoв oпepaций, VIRUSCAN cпocoбeн нaйти и виpyc-мyтaнт (шифpyющий cвoй кoд), иcпoльзyя aлгopитмы cтaтиcтичecкoгo aнaлизa, эвpистичecкoгo aнaлизa и дизacceмблиpyя кoд.
Инфициpoвaнный фaйл мoжeт быть yничтoжeн, ecли VIRUSCAN зaпyщeн c ключoм /D, либo oчищeн oт виpyca пpoгpaммoй CLEAN-UP.
Dr.WEB
Dr.Web так же, как и Aidstest относится к классу детекторов - докторов, но в отличие от последнего, имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов. Последние при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса. Dr.Web можно назвать антивирусом нового поколения по сравнению с Aidstest и его аналогами.
Главной особенностью "Лечебной паутины" является наличие эвристического анализатора. Сущность эвристического анализа состоит в проверке возможных сред обитания дисков и выявлении в них команд, а значит и действий, характерных для вирусов.
Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или загрузочных секторах выдают сообщение о возможном заражении.
PandaAntivirus
Антивирусы используют в своей работе уникальную технологию SmartClean. Благодаря этой технологии продукты Panda могут не только устранять вирусы, но и восстанавливать систему, то есть восстанавливать прежние (установленные до заражения) значения системного реестра.
Антивирусы предназначены для операционной системы Windows. Panda Antivirus Platinum в своем составе имеет firewall, задачей которого является недопущение самодеятельности некоторых программ и компонентов системы Windows, иногда рвущихся в интернет без спроса.
18.2. Профилактика заражения вирусами компьютерных систем
Эффективное противодействие компьютерным вирусам не должно ограничиваться только применением соответствующих антивирусных средств для их своевременного обнаружения и уничтожения. Большое значение здесь имеют также профилактические меры и мероприятия, изначально препятствующие заражению КС вирусами. Сущность такой профилактики обычно сводится к соблюдению определенных правил, уже показавших на реальном опыте свою эффективность.
Прежде всего, необходимо использовать в работе лицензионные программные продукты, полученные официальным законным путем. Вероятность наличия вируса в пиратской копии во много раз выше, чем в официально полученном программном обеспечении.
Следует оснастить компьютер современными антивирусными программами и постоянно обновлять их версии. Если не обновлять файлы сигнатур вирусов, то рано или поздно можно оказаться беззащитными против новых вирусов. Старое антивирусное программное обеспечение подобно лекарству с истекшим сроком годности.
В особо ответственных случаях для борьбы с вирусами необходимо использовать не только программные, но и аппаратно-программные антивирусные средства, представленные специальными контроллерами с соответствующим программным обеспечением. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе. Для этого в программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Аппаратно-программные антивирусные средства работают постоянно и обнаруживают все вирусы, независимо от механизма их действия. При возникновении запретных действий любой программой контроллер выдает сообщение пользователю и блокирует работу компьютера. Примером аппаратно-программной защиты может служить комплекс Sheriff.
Программные антивирусные средства должны регулярно использоваться для входного контроля новых съемных носителей информации, а также всех исполняемых файлов, получаемых из компьютерных сетей. Для такой проверки целесообразно использовать специально выделенные для этой цели компьютеры. Только после всесторонней антивирусной проверки дисков и файлов они могут передаваться пользователям компьютерной системы.
Необходимо периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы с защищенной от записи дискеты для тестирования файлов и системных областей этих дисков. При этом должна быть предварительно загружена операционная система с защищенной от записи системной дискеты.Следует также всегда защищать свои дискеты от записи при работе на других компьютерах, если на них не требуется производить запись информации. При использовании магнитных дискет 3,5 дюйма для этого достаточно открыть квадратное отверстие.
Важным профилактическим средством является дублирование информации. Прежде всего, необходимо создавать дистрибутивные носители программного обеспечения. При этом запись на носители, допускающие выполнение этой операции, должна быть, по возможности, заблокирована. Следует также позаботится о сохранении наиболее ценной рабочей информации. Предпочтительнее регулярно создавать копии рабочих файлов на съемных машинных носителях с защитой от записи. Если создается копия на несъемном носителе, то желательно ее создавать на других накопителях или ЭВМ.
Постоянное следование приведенным профилактическим рекомендациям позволяет значительно уменьшить вероятность заражения компьютерными вирусами, а также защищает пользователя от безвозвратных потерь информации.
18.3. Антивирус. Алгоритм работы
Антивирусная программа - это не что иное, как система анализа информации. Если эта система обнаруживает зараженный элемент, то производит его лечение. Информация анализируется (проверяется) различными способами в зависимости от ее источника: антивирус будет действовать по разному при проверке операций на дискете и при проверке трафика электронной почты или перемещений в локальной сети.
Информация находится в "исходной системе" и должна попасть в "систему назначения". Исходной системой может быть флоппи-диск, а системой назначения - жесткий диск компьютера; или же исходной системой может быть интернет-сервис провайдера (IPS), хранящий сообщения, а системой назначения - система сообщений (связи) на клиентской машине (Winsock).
Система интерпретации информации отличается в зависимости от области применения (в операционных системах, в приложениях) или в зависимости от того, требуются ли специальные механизмы.
Для каждой операционной системы или для каждого компонента, на котором будет применяться антивирус, должен применяться свой специальный механизм интерпретации. Например, в системах Windows 9x применяется виртуальный драйвер VxD, который постоянно отслеживает дисковую активность. Таким образом, каждый раз, когда открывается доступ к информации на жестком диске или дискете, антивирус перехватывает запросы чтения/записи на диске и проверяет информацию, которая должна быть прочитана или записана. Эта операция в системах Windows NT/2000/XP выполняется через драйвер в режиме ядра, а в системах Novell - при помощи NLM, который перехватывает дисковую активность.
Антивирусные продукты, которые разработаны не для определенных операционных систем, а применяются для отдельных приложений, имеют другой механизм перехвата. Например, при работе антивируса для CVP Firewalls межсетевой экран снабжает его информацией для проверки через протокол CVP, а в антивирусе для SendMail перехват информации обеспечивает фильтр MilterAPI.
Иногда интерпретация не обеспечивается ни антивирусом (например, VxD), ни приложением (например, CVP). В этом случае между приложением и антивирусом необходимы специальные механизмы перехвата. Другими словами, требуются другие специальные ресурсы, которые перехватывают информацию и отправляют ее антивирусу. ]
Если в результате проверки обнаружена угроза, выполняются две операции:
Очищенная информация возвращается на механизм перехвата, который, в свою очередь, возвращает ее в систему так, чтобы она могла продолжить свой путь до пункта назначения. Это означает, что если сообщение проверялось на стадии получения, то оно будет пропущено в почтовый ящик, если файлы проверялись при копировании, то после проверки будет разрешено завершение данного процесса.
Пользователю отправляется предупреждение. Пользовательские интерфейсы могут значительно отличаться. На антивирусах для рабочих станций на экран может быть выведено сообщение, а в серверных продуктах предупреждение может быть отправлено в электронном сообщении, во внутреннем сетевом сообщении, в виде записи в отчете о деятельности или в любом другом сообщении, которое будет получено инструментом антивирусного управления.
Проверочные механизмы
Независимо от того, как была получена информация для проверки, теперь в игру вступает наиболее важный компонент антивируса: проверочный механизм. Этот механизм проверяет перехваченную информацию на предмет вирусов и, если обнаруживает таковые, обезвреживает их.
Информация может быть проверена двумя путями. Один метод предполагает сравнение полученной информации с вирусной базой ("файлом вирусных баз"). Если информация удовлетворяет хотя бы одному признаку вируса, антивирус делает вывод, что файл заражен.
Другим способом определения того, опасна ли информация, является эвристическая проверка. Данный метод предполагает анализ поведения информации и сравнения его со списком шаблонов вирусной активности, но он не позволяет со 100-процентной уверенностью утверждать, что информация инфицирована.
Например, если обнаруживается файл, который способен отформатировать жесткий диск, антивирус предупреждает об этом пользователя. Хотя на самом деле это может быть не вирус, а новая система форматирования, которую пользователь устанавливает на свой компьютер, но потенциально она опасна и поэтому антивирус поднимает тревогу. Пользователь должен самостоятельно решить, следует ли удалять этот файл.
Оба метода проверки имеют свои "за" и "против". Если используется только система вирусных баз, то их необходимо обновлять хотя бы раз в день. Ежедневно появляется до 15 новых вирусов, и антивирус, оставленный без обновлений на два-три дня, уже не обеспечивает должного уровня защиты.
Недостаток эвристической системы заключается в том, что она будет предупреждать вас и о тех элементах, о которых вам точно известно, что они не являются вирусами. Если вы работаете со многими элементами, которые признаются программой потенциально опасными, вам могут скоро надоесть эти постоянные тревоги. В частности, программисты иногда предпочитают отключать данную опцию.
Постоянная проверка и проверка по требованию
Важно четко разграничивать два типа антивирусной защиты. Первый - постоянная защита, которая более сложна, но необходима. Такая защита постоянно наблюдает за операциями на компьютере и предотвращает любое вторжение. Другим типом защиты являются проверки по требованию. Они используют тот же механизм, что и постоянная защита, но проверяют любые области системы только по желанию пользователя. Обычно они используются в строго определенных случаях. Например, пользователь хочет произвести проверку новой дискеты или проверить информацию на компьютере, которая какое-то время не использовалась.
18.4. Структура антивирусной защиты предприятия
В общем случае, антивирусная защита информационной системы организации должна строиться по иерархическому принципу:
службы общекорпоративного уровня - 1-й уровень иерархии;
службы подразделений или филиалов - 2-й уровень иерархии;
службы конечных пользователей - 3-й уровень иерархии.
Cлужбы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.
Службы общекорпоративного уровня должны функционировать в непрерывном режиме.
Управление всех уровней должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.
Антивирусная система должна предоставлять следующие виды сервисов на общекорпоративном уровне:
получение обновления программного обеспечения и антивирусных баз;
управление распространением антивирусного программного обеспечения;
управление обновлением антивирусных баз;
контроль за работой системы в целом (получение предупреждений об обнаружении вируса, регулярное получение комплексных отчетов о работе системы в целом);
на уровне подразделений:
обновление антивирусных баз конечных пользователей;
обновление антивирусного программного обеспечения конечных пользователей, управление локальными группами пользователей;
на уровне конечных пользователей:
автоматическая антивирусная защита данных пользователя.
Дата добавления: 2015-08-27; просмотров: 123 | Нарушение авторских прав
| <== предыдущая лекция | | | следующая лекция ==> |