Классификация антивирусных программ

Внимательно прочитать текст и выполнить конспект

Конспект прислать преподавателю до 13.00 6 апреля

Цель: Познакомиться с защитой информации

Защита информации от компьютерных вирусов

Защита информации от компьютерных вирусов – за последнее время приобрела особую актуальность.

В настоящее время компьютерные вирусы получили очень широкое распространение, и ан­тивирусная борьба доставляет рядовому пользователю большую «головную боль». Поэтому важ­но понимать способы распространения и характер проявления вирусов, а главное, научиться применять антивирусные программы для эффективной борьбы с вирусами.

Характеристика вирусов

Вирус представляет собой самовоспроизводящуюся программу, которая способна внедрять свои копии в файлы, системные области, вычислительные сети и т, д. и приво­дить к нарушению нормального функционирования компьютера. Копии вирусной про­граммы также сохраняют способность дальнейшего распространения. Вирусы классифицируются по следующим признакам:

по среде обитания; способу заражения среды обитания; способу активации; деструктивным возможностям: особенностям алгоритма

По среде обитания вирусы разделяют на файловые, загрузочные и сетевые. Файловые вирусы внедряются в файлы, чаще всего выполняемые, или файлы докумен­тов текстовых процессоров и рабочих книг табличных процессоров. Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор системного загрузчика жесткого дис­ка. Сетевые вирусы распространяются по компьютерной сети. Существуют также файлово-загрузочные вирусы, которые заражают файлы и загрузочные секторы.

Способ заражения среды обитания зависит от самой среды. В частности, тело файлового вируса может при заражении размещаться в конце, начале, середине или хво­стовой (свободной) части последнего кластера файла. Наиболее просто реализуется вне­дрение вируса в конец файла типа сот. Наиболее сложна имплантация вируса в середину файла, поскольку для этого должна быть известна структура заражаемого файла, чтобы можно было внедриться, к примеру, в область стека. При внедрении загрузочного вируса (ввиду малых размеров среды обитания), используется размещение головы и тела вместо загрузочного сектора диска или сектора системного загрузчика, а хвост вируса и следую­щий за ним загрузочный сектор размещаются в других кластерах или секторах.

По способу активации вирусы подразделяют на резидентные и нерезидентные. Резидентный вирус при заражении оставляет в оперативной памяти резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения – файлам, загрузочным секторам и т. п., и внедряется в них. Резидентные вирусы сохра­няют свою активность вплоть до выключения или перезагрузки компьютера. Нерези­дентные вирусы являются активными ограниченное время и активизируются в опреде­ленные моменты, например, при запуске зараженных выполняемых программ или при обработке документов текстовым процессором. Некоторые нерезидентные вирусы остав­ляют в оперативной памяти небольшие резидентные программы.

По деструктивным возможностям вирусы разделяют на безвредные, неопас­ные, опасные и очень опасные. Безвредные вирусы проявляются только в том, что уменьшают объем памяти на диске в результате своего распространения. Неопасные вирусы, кроме отмеченного проявления, порождают графические, звуковые и другие эф­фекты. Опасные вирусы могут привести к нарушениям нормальной работы компьютера, например к неправильной печати документа. Очень опасные вирусы могут привести к уничтожению программ и данных, стиранию информации в системных об­ластях памяти и даже приводить к выходу из строя движущихся частей жесткого диска при вводе в резонанс.

По особенностям алгоритмов различают следующие вирусы: спутники, черви, или репликаторы, паразитические, студенческие, невидимки, или стелс-вирусы, призраки или мутанты. Вирусы-спутники файлы не изменяют, а для выполнимых программ (.ехе) создают одноименные программы типа сот, которые при выполнении исходной програм­мы запускаются первыми, а затем передают управление исходной выполняемой про­грамме. Вирусы-черви распространяются в компьютерных сетях, вычисляют адреса сете­вых компьютеров. Паразитические вирусы при распростране­нии меняют содержимое дисковых секторов и файлов и, как следствие, легко обнаружи­ваются. Студенческие вирусы представляют собой простейшие, легко обнаруживаемые вирусы. Стелс-вирусы (название происходит от STEALTH – названия проекта создания самолетов-невидимок) перехватывают обращение операционной системы к пораженным файлам и секторам дисков и подставляют незараженные участки диска, затрудняя тем самым их обнаружение. Вирусы-призраки представляют собой труднообнаруживаемые вирусы, которые имеют зашифрованное с помощью алгоритмов шифровки-расшифровки тело вируса, благодаря чему две копии одного вируса не имеют одинаковых участков ко­да (сигнатур).

Классификация антивирусных программ

Антивирусными называются программы, предназначенные для защиты данных от разрушения, обнаружения и удаления компьютерных вирусов. Различают следующие разновидности антивирусных программ: фильтры, или сторожа; детекторы; доктора, или фаги; ревизоры; иммунизаторы, или вакцины.

Фильтр представляет собой резидентную программу, которая контролирует опас­ные действия, характерные для вирусных программ, и запрашивает подтверждение на их выполнение. К таким действиям относятся:

· изменение файлов выполняемых программ;

· размещение резидентной программы;

· прямая запись на диск по абсолютному адресу;

· запись в загрузочные секторы диска; форматирование диска.

Достоинством программ-фильтров является их постоянное отслеживание опасных действий, повышающее вероятность обнаружения вирусов на ранней стадии их развития. С другой стороны, это же является и недостатком, так как приводит к отвлечению пользо­вателя от основной работы для подтверждения запросов по подозрительным операциям.

Детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях. Различают детекторы универсальные и специализированные. Универсальные детекторы в своей работе используют проверку неизменности файлов пу­тем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью причин искажения файлов. Специали­зированные детекторы выполняют поиск известных вирусов по их сигнатуре (повто­ряющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособ­ны обнаруживать все известные вирусы Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором.

Доктором называют антивирусную программу, позволяющую обнаруживать и обезвреживать вирусы. При обезвреживании вирусов среда обитания может восстанавливаться или не восстанавливаться.

Полифаг – программа, предназначенная для обнаружения и уничтожения компьютер­ных вирусов (Фаг – программа для обнаружения и уничтожения одного вируса). Как пра­вило, полифаги используют базу данных, содержащую данные о вирусах, с которыми умеет бороться полифаг. Кроме того, современные полифаги, как правило, имеют эври­стический анализатор, который позволяет обнаруживать вирусы, информация о которых не содержится в базе данных полифага. К их числу принадлежат получившие широкое распространение программы Doctor Web, Norton Antivirus, Virusscan, АVР и др. Основной нюанс их работы, заключается в необходимости постоянного обновления базы данных, содержащей сведения о вирусах. При этом важно помнить, что каждый месяц появляется от 100 до 200 и более новых вирусов, поэтому программа, не обновленная несколько месяцев, может не обеспечить Вашему ПК должную защиту от новых вирусов.

Ревизор представляет собой программу, запоминающую исходное состояние про­грамм, каталогов и системных областей и периодически сравнивающую текущее состо­яние с исходным. Сравнение может выполняться по параметрам: длина и контрольная сумма файла и т.п. Достоинством ревизоров является их способность обнаруживать стелс-вирусы. К числу ревизоров относится хорошо известная программа ADinf.

Иммунизатор представляет собой резидентную программу, предназначенную для предотвращения заражения рядом известных вирусов путем их вакцинации. Суть вакцинации заключается в модификации программ или диска таким образом, чтобы это не отражалось на нормальном выполнении программ. В то же время вирусы воспринимали их как уже зараженные и поэтому не пытались внедриться.