2015-02-27
482
Основные ранние признаки заражения компьютера вирусом:
– уменьшение объема свободной оперативной памяти;
– замедление загрузки и работы компьютера;
– непонятные (без причин) изменения в файлах, а также изменения размеров и даты последней модификации файлов;
– ошибки при загрузке операционной системы;
– невозможность сохранять файлы в нужных каталогах;
– непонятные системные сообщения, музыкальные и визуальные эффекты и т.д.
Признаки активной фазы вируса:
– исчезновение файлов;
– форматирование жесткого диска;
– невозможность загрузки файлов или операционной системы.
Для защиты компьютеров используются антивирусные программы, выполняющие три основные задачи:
– обнаружение вируса;
– удаление вируса;
– превентивная защита.
Чтобы предотвратить вирусную атаку, антивирусная программа реализует множество различных методов обнаружения. Различные антивирусные программы используют некоторые или все методы из следующей группы:
сканирование цифровой сигнатуры используется для идентификации уникального цифрового кода вируса. Цифровая сигнатура представляет собой предварительно установленный шестнадцатеричный код, наличие которого в файле свидетельствует о заражении вирусом. Сканирование цифровой сигнатуры представляет собой в высшей степени эффективный метод идентификации вирусов. Он, однако, всецело зависит от поддержки базы данных с цифровыми сигнатурами вирусов и тонкостей механизма сканирования. Возможно ложное обнаружение вируса в неповрежденном файле;
эвристический анализ (или сканирование по заданным правилам) выполняется быстрее, чем сканирование большинством традиционных методов. Этот метод использует набор правил для эффективного анализа файлов и быстро обнаруживает подозрительный вирусный код. Анализ склонен к ложным тревогам, и, к сожалению, зависит от корректности набора правил выявления вируса, которые все время изменяются;
исследование памяти - метод, обычно применяемый для обнаружения вирусов. Он зависит от распознавания местоположения известных вирусов и их кодов, когда они находятся в памяти;
мониторинг прерываний работает путем локализации и предотвращения вирусных атак, использующих вызовы прерываний. Вызовы прерываний представляют собой запросы различных функций через системные прерывания. Мониторинг прерываний, подобно исследованию памяти, может отвлечь значительные системные ресурсы. Он может стать причиной проблем при легальных системных вызовах и замедлить работу компьютера;
контроль целостности (известный также как вычисление контрольных сумм) просматривает характеристики файлов программ и определяет, были ли они модифицированы вирусным кодом. Этот метод не нуждается в обновлении программного обеспечения, поскольку не зависит от цифровых подписей вирусов. Однако он требует от поддержания базы данных контрольных сумм файлов, свободных от вирусов. Контроль целостности не способен обнаруживать пассивные и активные вирусы-невидимки. Кроме того, он не может идентифицировать обнаруженные вирусы по именам или типам. Если антивирусная программа резидентная, она контролирует вирусы непрерывно. Это традиционная мера защиты файловых серверов, поскольку в них каждый файл при использовании должен пройти проверку. Непрерывный контроль может быть неподходящим средством для клиентского компьютера, поскольку может привести к обработке слишком большого объема информации, а это замедляет работу компьютера. На компьютере предпочтительнее конфигурировать антивирусную программу на запуск в определенное время. Например, она может запускаться при загрузке компьютера или считывании нового файла с гибкого диска. В некоторых пакетах (в том числе, Norton AntiVirus) используют метод, известный как сканирование по расписанию, для выполнения поиска вирусов на жестком диске в заданные периоды времени. Еще один метод заключается в использовании антивирусной программы в период простоя компьютера. Например, его можно использовать как часть программы экранной заставки.
