Читайте также:
|
Главная задача антивирусных средств - обнаружить вирус. При этом возможны ошибки первого рода (несрабатывание) и второго рода (ложная тревога).
Программы-детекторы определяют наличие известных вирусов в загрузочных секторах, файлах и оперативной памяти, но не удаляют их. Эти программы практически не подвержены ошибкам второго рода.
Эти программы используют два алгоритма поиска.
-Первый из них основан на поиске сигнатур или регулярных выражений, имеющихся во всех экземплярах вируса и нигде более.
-Второй проверяет область программы в начале файла, например, на наличие перехода на определенное смещение от конца файла, что нередко делают вирусы.
Программы-фаги (полифаги, доктора, дезинфекторы). Эти программы кроме обнаружения вирусов восстанавливают (т.е. "лечат") диски и файлы, если это возможно.
Полифаги имеют существенный недостаток, заключающийся в том, что им известно хоть и очень большое, но конечное число вирусов. Если в вашу машину попал вирус, неизвестный фагу, то фаг будет бессилен вам помочь и даже не предупредит об опасности. В этих случаях следует использовать другие антивирусные программы, например ревизоры.
Ревизоры. Они основаны на сравнении контрольной информации о файлах, загрузочных сектора и др., сохраненной ранее, с текущей информацией. Ревизоры устойчивы к ошибкам второго рода.
Хороший ревизор, запускаясь с некоторой периодичностью (как правило, раз в сутки), сохраняет информацию обо всех уязвимых с точки зрения вирусов компонентах вашего компьютера. Вирусы не всесильны. Каким-либо образом они проявляют себя, и дело ревизора отследить подозрительные изменения конфигурации.
Доктора-ревизоры. Эти программы в случае обнаружения изменений могут вернуть объект изменения к исходному состоянию.
Эвристические анализаторы. Они используются для борьбы с полиморфными вирусами, перед которыми фаги бессильны.
Сторожа (или программы-фильтры). Это резидентные программы, хранящиеся в оперативной памяти, цель которых - вообще не пропустить вирус на компьютер, контролируя подозрительные действия, которые могут быть вызваны вирусами: обращения к дискам, попытки производить запись в определенную группу файлов, некоторые сектора дисков и т.д. Однако многие из этих программ не удобны из-за постоянных вопросов типа: "Разрешать запись в такой-то файл?".
Иммунизаторы (программы-вакцины) изменяют программы и диски таким образом, что это не отражается на их нормальной работе, но вирусы считают их уже зараженными и больше не заражают. Однако эти программы малоэффективны и нашли ограниченное применение.
Программы-приманки входят в состав некоторых антивирусных продуктов. Эти программы периодически выполняются. После выполнения приманки антивирус сканирует ее, проверяя, не заражена ли она.
Известно, что периодическое сканирование ПК и дискет снижает потенциальный ущерб на 50 %, наличие резидентной антивирусной программы - на 95 %.
Эффективной является многоуровневая стратегия защиты от вирусов: детекторы, сторожа, ревизоры (в зависимости от степени риска).
Принцип работы антивирусных программ и действия антивирусной защиты
Принцип работы антивирусных программ – обнаружение и удаление вредоносного кода с использованием всего комплекса необходимых технологий. Антивирусные технологии развиваются параллельно с эволюцией вредоносных программ, становясь всё более изощренными по мере усложнения угроз.
Принципы действия антивирусных программ можно классифицировать несколькими способами. Один из видов классификации базируется на том, какая угроза нейтрализуется – известная или неизвестная вирусным аналитикам и антивирусным компаниям:
Реактивная защита – защита от известных угроз с использованием знаний об участках кода и других уникальных особенностях существующих вредоносных программ. Для того чтобы такая защита работала успешно, антивирусная программа должна иметь обновленные базы сигнатур.
Проактивная защита – защита от новых вредоносных программ, основанная на знании неуникальных особенностей кода и поведения, характерных для деструктивного ПО.
Еще один вид классификации технологий, реализующих принцип антивирусной защиты, базируется на том, какие свойства угроз и потенциально зараженных объектов анализируются при детектировании:
Анализ кода подозрительных объектов.
Поведенческий анализ подозрительных объектов.
Отслеживание изменений файлов, хранящихся на компьютере, по контрольным суммам и другим признакам.
Антивирусные технологии можно классифицировать и по тому, в каком режиме осуществляется защита:
Постоянный мониторинг за процессами на компьютере и в сети, и обнаружение угроз «на лету», например, при открытии зараженного файла или загрузке инфицированной веб-страницы в браузер.
Сканирование компьютера, запускаемое по расписанию, событию или запросу пользователя.
Ещё один способ классификации технологий, реализующих принцип антивирусной защиты:
Блокирование или ограничение активности объектов, содержащихся в «черных» списках (например, в базах сигнатур угроз), и разрешение запуска всех остальных.
Разрешение активности только безопасных объектов из «белых» списков и запрет активности всех остальных.
Комбинированный подход, например, использование «черных» списков для обнаружения угроз и «белых» списков для коррекции результатов детектирования и минимизации ложных срабатываний.
Знать принцип работы антивирусов необходимо для правильного выбора антивирусного решения. Полноценный антивирус должен включать в себя полный комплекс технологий, нейтрализующих любые типы угроз.
Дата добавления: 2015-10-30; просмотров: 546 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Компьютерные вирусы: понятие, многообразие, среда обитания. Вирусные программы: пути распространения, формы проявления. Профилактические меры. | | | Защита информации: понятие, назначение. Защита информации в ЭВМ, автоматизированных системах и вычислительных сетях: принципы, способы, средства. |