Антивирусные программы
Запись от Базаров размещена 25.12.2012 в 19:51
(Информация датирована 1996 г.)
Для защиты от вирусов созданы специальные антивирусные программы, позволяющие выявлять вирусы, лечить зараженные файлы и диски, обнаруживать ипредотвращать подозрительные (характерные для вирусов) действия. Разумеется, антивирусные программы надо применять наряду с регулярным резервированием данных и использованием профилактических мер, позволяющих уменьшить вероятность заражения вирусом.
Виды антивирусных программ
Антивирусные программы можно разделить на виды в соответствии с выполняемыми ими функциями.
Детекторы
Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Некоторые программы-детекторы также выполняют эвристический анализ файлов и системных областей дисков, что часто (но отнюдь не всегда) позволяет обнаруживать новые, не известные программе-детектору, вирусы. Многие программы-детекторы позволяют также "лечить" зараженные файлы или диски, удаляя из них вирусы (разумеется,лечение поддерживается только для вирусов, известных программе-детектору).
Ревизоры
Программы-ревизоры запоминают сведения о состоянии файлов и системных областей дисков, а при последующих запусках - сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю. Часто ревизоры можно настроить так, чтобы они выдавали сообщения только о подозрительных (характерных для вирусов или недопустимых) изменениях, не безпокоя лишний раз пользователя. Часто программы-ревизоры позволяют также "лечить" зараженные файлы или диски, удаляя из них вирусы (это удается сделать почти для всех типов вирусов).
Сторожа
Программы-сторожа (или фильтры) располагаются резидентно в оперативной памяти компьютера и проверяют на наличие вирусов запускаемые файлы и вставляемые в дисководы дискеты. При наличии вируса об этом сообщается пользователю. Кроме того, многие программы-сторожа перехватывают те действия, которые используются вирусами для размножения и нанесения вреда (скажем, попытку записи в загрузочный сектор или форматирование жесткого диска), и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции. Программы-сторожа позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.
Замечания. 1. Степень защиты, обезпечиваемую программами-сторожами,не следует переоценивать, поскольку некоторые вирусы для своего размножения и нанесения вреда обращаются непосредственно к программам BIOS системы, не используя стандартный способ вызова этих программ через прерывания, а резидентные программы для защиты от вируса перехватывают только эти прерывания.
2. Многие программы-сторожа проверяют перед перезагрузкой, выполняемой по нажатии Cntrl Alt Del или по запросу программы, вставленные в дисководы дискеты на наличие загрузочных вирусов. Однако если загрузка осуществляется по нажатию кнопки "Reset" или при включении компьютера, то программы сторожа ничем помочь не смогут - ведь заражение загрузочным вирусом происходит при загрузке операционной системы, т.е. до запуска любых программ или установки драйверов.
3. Иногда применяются также программы-вакцины, или иммунизаторы, они модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы малоэффективны и далее не рассматриваются.
Использование антивирусных программ
Ни один тип антивирусных программ по отдельности не дает,к сожалению, полной защиты от вирусов. Поэтому никакие простые советы типа "вставьте команду запуска программы Aidstest в AUTOEXEC.BAT" не будут достаточными. Однако совместное использование антивирусных программ дает неплохие результаты, так как они хорошо дополняют друг друга:
- поступающие из внешних источников данные (файлы, дискеты и т.д.) проверяются программой-детектором. Если эти данные забыли проверить и зараженная программа была запущена, ее может "поймать" программа-сторож. Правда, в обоих случаях надежно обнаруживаются лишь вирусы, известные этим антивирусным программам. Неизвестные вирусы детекторы и сторожа, не включающие в себя эвристический анализатор, не обнаруживают вовсе (пример - программа Aidstest), а имеющие такой анализатор - обнаруживают не более чем в 80-90% случаев;
- сторожа могут обнаруживать даже неизвестные вирусы, если они очень нагло себя ведут, например, пытаются отформатировать жесткий диск или внести изменения в системные файлы или области системного диска на жестком диске.. Впрочем, некоторые вирусы умеют обходить такой контроль. Более мелкие пакости вирусов (изменение программных файлов, запись в системные области дискет и т.д.) обычно не отслеживаются, так как эти действия выполняются не только вирусами, но и многими программами;
- если вирус не был обнаружен детектором или сторожем, то результаты его деятельности обнаружит программа -ревизор.
Как правило, программы-сторожа должны работать на компьютере постоянно, детекторы - использоваться для проверки поступающих из внешних источников данных (файлов и дискет), а ревизоры - запускаться раз в день для выявления и анализа изменений на дисках. Разумеется, все это должно сочетаться с регулярным резервированием данных и использованием профилактических мер, позволяющих уменьшить вероятность заражения вирусом.
Антивирусные комплексы
Поскольку функции детектора, ревизора и сторожа дополняют друг друга, то в современные антивирусные комплекты программ обычно входят компоненты, реализующие все эти функции. При этом часто функции детектора и ревизора совмещаются в одной программе.
Пример. В антивирусном комплексе Norton AntiVirus функции детектора и ревизора выполняет основная программа комплекса (NAVW.EXE или NAVW32.EXE), а функции сторожа - отдельная резидентная программа (NAVTSR.EXE или NAVBRES.EXE).
В антивирусном комплекте DSAV фирмы "Диалог-Наука" функции детектора и ревизора выполняются отдельными программами (например в качестве детекторов предлагается использовать сразу две программы - Aidstest и Dr.Web). Однако некоторые элементы интеграции в этом комплексе все же есть: программа-ревизор ADinf может формировать список измененных файлов, а программы Aidstest и Dr.Web - проверять файлы только из этого списка. Это заметно сокращает время проверки жестких дисков на наличие вирусов.
А в качестве фильтра фирма "Диалог-Наука" предлагает аппаратно-программный комплекс Sheriff, который позволяет на аппаратном уровне выявлять и пресекать нежелательную деятельность вирусов: изменение загрузочных областей дисков, системных файлов DOS, иных файлов по указанию пользователя. Такая защита гораздо надежнее, чем программная, поскольку ее ни один вирус обойти не может. Однако Sheriff имеет и недостаток - он не проверяет запускаемые программы на наличие вирусов.
Для защиты от вирусов созданы специальные антивирусные программы, позволяющие выявлять вирусы, лечить зараженные файлы и диски, обнаруживать ипредотвращать подозрительные (характерные для вирусов) действия. Разумеется, антивирусные программы надо применять наряду с регулярным резервированием данных и использованием профилактических мер, позволяющих уменьшить вероятность заражения вирусом.
Виды антивирусных программ
Антивирусные программы можно разделить на виды в соответствии с выполняемыми ими функциями.
Детекторы
Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Некоторые программы-детекторы также выполняют эвристический анализ файлов и системных областей дисков, что часто (но отнюдь не всегда) позволяет обнаруживать новые, не известные программе-детектору, вирусы. Многие программы-детекторы позволяют также "лечить" зараженные файлы или диски, удаляя из них вирусы (разумеется,лечение поддерживается только для вирусов, известных программе-детектору).
Ревизоры
Программы-ревизоры запоминают сведения о состоянии файлов и системных областей дисков, а при последующих запусках - сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю. Часто ревизоры можно настроить так, чтобы они выдавали сообщения только о подозрительных (характерных для вирусов или недопустимых) изменениях, не безпокоя лишний раз пользователя. Часто программы-ревизоры позволяют также "лечить" зараженные файлы или диски, удаляя из них вирусы (это удается сделать почти для всех типов вирусов).
Сторожа
Программы-сторожа (или фильтры) располагаются резидентно в оперативной памяти компьютера и проверяют на наличие вирусов запускаемые файлы и вставляемые в дисководы дискеты. При наличии вируса об этом сообщается пользователю. Кроме того, многие программы-сторожа перехватывают те действия, которые используются вирусами для размножения и нанесения вреда (скажем, попытку записи в загрузочный сектор или форматирование жесткого диска), и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции. Программы-сторожа позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.
Замечания. 1. Степень защиты, обезпечиваемую программами-сторожами,не следует переоценивать, поскольку некоторые вирусы для своего размножения и нанесения вреда обращаются непосредственно к программам BIOS системы, не используя стандартный способ вызова этих программ через прерывания, а резидентные программы для защиты от вируса перехватывают только эти прерывания.
2. Многие программы-сторожа проверяют перед перезагрузкой, выполняемой по нажатии Cntrl Alt Del или по запросу программы, вставленные в дисководы дискеты на наличие загрузочных вирусов. Однако если загрузка осуществляется по нажатию кнопки "Reset" или при включении компьютера, то программы сторожа ничем помочь не смогут - ведь заражение загрузочным вирусом происходит при загрузке операционной системы, т.е. до запуска любых программ или установки драйверов.
3. Иногда применяются также программы-вакцины, или иммунизаторы, они модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы малоэффективны и далее не рассматриваются.
Использование антивирусных программ
Ни один тип антивирусных программ по отдельности не дает,к сожалению, полной защиты от вирусов. Поэтому никакие простые советы типа "вставьте команду запуска программы Aidstest в AUTOEXEC.BAT" не будут достаточными. Однако совместное использование антивирусных программ дает неплохие результаты, так как они хорошо дополняют друг друга:
- поступающие из внешних источников данные (файлы, дискеты и т.д.) проверяются программой-детектором. Если эти данные забыли проверить и зараженная программа была запущена, ее может "поймать" программа-сторож. Правда, в обоих случаях надежно обнаруживаются лишь вирусы, известные этим антивирусным программам. Неизвестные вирусы детекторы и сторожа, не включающие в себя эвристический анализатор, не обнаруживают вовсе (пример - программа Aidstest), а имеющие такой анализатор - обнаруживают не более чем в 80-90% случаев;
- сторожа могут обнаруживать даже неизвестные вирусы, если они очень нагло себя ведут, например, пытаются отформатировать жесткий диск или внести изменения в системные файлы или области системного диска на жестком диске.. Впрочем, некоторые вирусы умеют обходить такой контроль. Более мелкие пакости вирусов (изменение программных файлов, запись в системные области дискет и т.д.) обычно не отслеживаются, так как эти действия выполняются не только вирусами, но и многими программами;
- если вирус не был обнаружен детектором или сторожем, то результаты его деятельности обнаружит программа -ревизор.
Как правило, программы-сторожа должны работать на компьютере постоянно, детекторы - использоваться для проверки поступающих из внешних источников данных (файлов и дискет), а ревизоры - запускаться раз в день для выявления и анализа изменений на дисках. Разумеется, все это должно сочетаться с регулярным резервированием данных и использованием профилактических мер, позволяющих уменьшить вероятность заражения вирусом.
Антивирусные комплексы
Поскольку функции детектора, ревизора и сторожа дополняют друг друга, то в современные антивирусные комплекты программ обычно входят компоненты, реализующие все эти функции. При этом часто функции детектора и ревизора совмещаются в одной программе.
Пример. В антивирусном комплексе Norton AntiVirus функции детектора и ревизора выполняет основная программа комплекса (NAVW.EXE или NAVW32.EXE), а функции сторожа - отдельная резидентная программа (NAVTSR.EXE или NAVBRES.EXE).
В антивирусном комплекте DSAV фирмы "Диалог-Наука" функции детектора и ревизора выполняются отдельными программами (например в качестве детекторов предлагается использовать сразу две программы - Aidstest и Dr.Web). Однако некоторые элементы интеграции в этом комплексе все же есть: программа-ревизор ADinf может формировать список измененных файлов, а программы Aidstest и Dr.Web - проверять файлы только из этого списка. Это заметно сокращает время проверки жестких дисков на наличие вирусов.
А в качестве фильтра фирма "Диалог-Наука" предлагает аппаратно-программный комплекс Sheriff, который позволяет на аппаратном уровне выявлять и пресекать нежелательную деятельность вирусов: изменение загрузочных областей дисков, системных файлов DOS, иных файлов по указанию пользователя. Такая защита гораздо надежнее, чем программная, поскольку ее ни один вирус обойти не может. Однако Sheriff имеет и недостаток - он не проверяет запускаемые программы на наличие вирусов.
Всего комментариев 0
