Технологии обнаружения вирусов

Средства обеспечения безопасности, программы антивирусы

1. Технологии обнаружения вирусов 2. Режимы работы антивирусов 3. Комплексная система защиты информации 4. Программные средства 5. Выбор антивирусных комплексов

Технологии обнаружения вирусов

Антивирус - программное средство, предназначенное для борьбы с вирусами.

Как следует из определения, основными задачами антивируса является:

•

Препятствование проникновению вирусов в компьютерную систему

•

Обнаружение наличия вирусов в компьютерной системе

•

Устранение вирусов из компьютерной системы без нанесения повреждений другим объектам системы

•

Минимизация ущерба от действий вирусов Технологии, применяемые в антивирусах, можно разбить на две группы -

•

Технологии сигнатурного анализа

•

Технологии вероятностного анализа Сигнатурный анализ - метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов.

Сигнатурный анализ является наиболее известным методом обнаружения вирусов и используется практически во всех современных антивирусах. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе.

Антивирусная база - база данных, в которой хранятся сигнатуры вирусов.

Грамотная реализация вирусной сигнатуры позволяет обнаруживать известные вирусы со стопроцентной вероятностью.

Технологии вероятностного анализа в свою очередь подразделяются на три категории:

•

Эвристический анализ

•

Поведенческий анализ

•

Анализ контрольных сумм Эвристический анализ - технология, основанная на вероятностных алгоритмах, результатом работы которых является выявление подозрительных объектов.

В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Наиболее популярной эвристической технологией является проверка содержимого файла на предмет наличия

Курс лекций по информатике подготовлено к.э.н., доцентом каф. Информационные технологии Польшаковой Н.В.

модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы.

Эвристический анализ применяется для обнаружения неизвестных вирусов, и, как следствие, не предполагает лечения.

Поведенческий анализ - технология, в которой решение о характере проверяемого объекта принимается на основе анализа выполняемых им операций.

Поведенческий анализ весьма узко применим на практике, так как большинство действий, характерных для вирусов, могут выполняться и обычными приложениями. Наибольшую известность получили поведенческие анализаторы скриптов и макросов, поскольку соответствующие вирусы практически всегда выполняют ряд однотипных действий.

Средства защиты, вшиваемые в BIOS, также можно отнести к поведенческим анализаторам. При попытке внести изменения в MBR компьютера, анализатор блокирует действие и выводит соответствующее уведомление пользователю.

Помимо этого поведенческие анализаторы могут отслеживать попытки прямого доступа к файлам, внесение изменений в загрузочную запись дискет, форматирование жестких дисков и т. д.

Анализ контрольных сумм - это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений - одновременность, массовость, идентичные изменения длин файлов - можно делать вывод о заражении системы.

Подводя итоги обзора технологий, применяемых в антивирусах, отметим, что сегодня практически каждый антивирус использует несколько из перечисленных выше технологий, при этом использование сигнатурного и эвристического анализа для проверки файлов и именно в этом порядке является повсеместным. В дальнейшем средства, реализующие комбинацию сигнатурного и эвристического анализа, мы будем называть антивирусными сканерами.