Для чего вирусы применяют стелс-алгоритм
Этим термином называют вирусы, в алгоритмах которых заложена возможность маскировать свое присутствие в зараженной машине.
Первые вирусы не обладали такими возможностями и их легко было обнаружить при визуальном просмотре исполняемых файлов на зараженной машине. Применение даже простейших антивирусных средств немедленно останавливало распространение таких вирусов, и они перестали вызывать эпидемии.
Появление антивирусных программ привело к новом витку в развитии технологии написания вирусов, и появление вирусов - невидимок стало естественным шагом в таком развитии.
Вирусы, использующие приемы маскировки нельзя увидеть средствами операционной системы( например, нажав в VC или NC клавишу F3 ). Это происходит потому, что вирус, активно работающий вместе с операционной системой, при открытии файла на чтение немедленно удаляет свое тело из зараженного файла, а при закрытии файла заражает его опять. Это только один из возможных приемов маскировки, существуют и другие. Так же маскируются и загрузочные (бутовые) вирусы При попытке прочитать ВООТ (загрузочный) сектор они заменяют его оригинальным, не зараженным.
Hо способность к маскировке оказалась слабым местом стелс-вирусов, позволяющим легко обнаружить их наличие на машине. Достаточно сравнить информацию о файлах, выдаваемую DOS, с фактической, содержащейся на диске, и несовпадение данных однозначно говорит о наличии вируса. То есть способность к маскировке демаскирует эти вирусы.
Использование СТЕЛС-алгоpитмов позволяет вирyсам полностью или частично скpыть себя в системе. Наиболее распростpанённым стелс-алгоpитмом является пеpехват запpосовOC на чтение/запись заpажённых объектов. Стелс-виpyсыпpи этом либо вpеменно лечат их, либо "подставляют" вместо себя незаpаженные yчастки инфоpмации. В слyчае макpо-виpyсов наиболее попyляpным способом является запpет вызовов меню пpосмотpа макpосов.
Стелс-вирусы пытаются скрыть свое присутствие в компьютере. Они имеют резидентный модуль, постоянно находящийся в оперативной памяти компьютера. Этот модуль устанавливается в момент запуска зараженной программы или при загрузке с диска, зараженного загрузочным вирусом.
Резидентный модуль вируса перехватывает обращения к дисковой подсистеме компьютера. Если операционная система или другая программа считывают файл зараженной программы, то вирус подставляет настоящий, незараженный, файл программы. Для этого резидентный модуль вируса может временно удалять вирус из зараженного файла. После окончания работы с файлом он заражается снова.
Примером стелс-вируса может служить Magdzie.1114. Это файловый вирус, заражающий выполнимые файлы в формате EXE. При запуске зараженной программы в оперативной памяти устанавливается вирусный резидентный модуль, который перехватывает обращения к файловой системе компьютера. Если операционная система запускает или открывает для чтения файл зараженной программы, вирус временно удаляет из нее свой код. Обратное заражение происходит, когда операционная система закрывает файл.
Вирус Magdzie проявляется, удаляя все файлы, название которых начинается с CHKLIST.
Ежегодно 27 мая этот вирус выводит на экран небольшой текст и движущийся графический узор.
Загрузочные вирусы действуют по такой же схеме. Когда какая-либо программа считывает данные из загрузочного сектора, они заменяются настоящим содержимым загрузочного сектора.
В качестве загрузочного вируса, использующего для маскировки стелс-технологию, можно привести вирус July 29. Вирус распространяется, замещая главную загрузочную запись на жестких дисках и загрузочную запись на дискетах. Настоящие загрузочные секторы сохраняются. Когда программа пытается прочитать или записать данные в главную загрузочную запись жесткого диска или загрузочную запись дискеты, резидентный модуль вируса подставляет неинфицированный сектор.
Маскировка стелс-вирусов срабатывает только в том случае, если в оперативной памяти компьютера находится резидентный модуль вируса. Когда вы загружаете компьютер с системной дискеты, у вируса нет шансов получить управление и поэтому стелс-механизм не работает.
Кругозор без горизонтов
Чтобы получить доступ к сервисам проекта, войдите на сайт через аккаунт. Если у вас еще нет аккаунта, его можно создать.
- добавить в избранное
Тихо, тихо ползи,
Улитка, по склону Фудзи
Вверх, до самых высот!
Кобаяси Исса (перевод В. Марковой)
Как на самом деле выглядят файлы, которые вы открываете, кликнув по иконке на рабочем столе? Это набор бит (и пустые фрагменты – операционные системы могут пропускать запись частей файла при отсутствии в них информации), записанных на некие носители. Определение не совсем полное, но для наших целей его достаточно.
Этот набор бит – как правило, нулей и единиц – разбросан по всему жесткому диску (а бывает, что и по всему Интернету).
При клике по иконке ОС обрабатывает событие, вычисляет имя файла, переводит его в понятную для себя нотацию и отдает запрос на более нижний уровень. Получив в свое распоряжение набор бит (иногда с преобразованием), программа, как правило, не выводит их на экран, а преобразует в понятный пользователю внешний вид. Вряд ли каждый смог бы в уме конвертировать набор бит в изображение котика!
Это значит, что программы, которыми мы пользуемся, не работают непосредственно с жестким диском (за исключением немногих системных утилит, но и те зачастую обращаются не к самому носителю информации, а лишь на несколько уровней ниже). И на каждом этапе система позволяет встроить свой фильтр.
Так поступают антивирусы – перехватывают обращения к файлам и проверяют их до того момента, пока они не будут отданы пользователю. Но так же могут поступать и вредоносные программы.
Скажем, если пользователь – продвинутый, и, что-то заподозрив, захочет посмотреть список процессов или файлов в папке, то он, скорее всего, начнет с работы с системной утилитой. Та отправит запрос на содержимое папки системе, система запросит данные у жесткого диска. А фильтр вируса очистит список файлов, передаваемых пользователю, и последний будет думать, что на диске ничего лишнего нет.
Стелс вирусы (Stealth virus) - вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах.
Так называемая Стелс-технология может включать в себя:
- затруднение обнаружения вируса в оперативной памяти
- затруднение трассировки и дизассемблирования вируса
- маскировку процесса заражения
- затруднение обнаружения вируса в зараженной программе и загрузочном секторе.
Стелс-вирус (англ. stealth virus — вирус-невидимка) — вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.)
Как же предлагается бороться с такой напастью?
Антивирусы-полифаги эффективны в борьбе с уже известными вирусами, то есть теми, чьи методы поведения уже знакомы разработчикам и есть в базе программы. Если вирус неизвестен, то он останется незамеченным.
Вы помните, кто такие антивирусы-полифаги? :-)
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
- программы-детекторы;
- программы-доктора, или фаги;
- программы-ревизоры;
- программы-фильтры;
- программы-вакцины, или иммунизаторы.
Программы-детекторы осуществляют поиск характерного для конкретного вируса кода (сигнатуры) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Оказывается, что всем хорошо известный Антивирус Dr.Web – полифаг, да еще и детектор!
Но вернемся в те времена, когда разновидностей антивирусов было куда больше одного, и столбовая дорога развития систем защиты еще не была всем очевидна. Стелс-вирусы принадлежат именно той эпохе. Подразделялись они на три типа:
- Загрузочные позволяли избежать внимания системных утилит, имеющих низкоуровневый доступ к носителям, способных считывать информацию напрямую с них (посекторно). Зачастую такие вирусы показывали содержимое диска до заражения.
- Файловые перехватывали функции работы с файлами, чтобы скрыть изменения в файле на диске или в памяти.
- Макровирусы.
Почитаем архивные новости?
Вирус был обнаружен в Израиле в какой-то военной организации в октябре 1989 г. В СССР обнаружен Д.Н. Лозинским в августе 1990 г.
Чтобы пройти путем успеха, начинать движение по этому пути нужно с самого начала.
Сперва решить, что делать. Потом шаг за шагом реализовывать идею: искать, пробовать, ошибаться и исправлять ошибки, — и никогда не прекращать движение!
Получайте Dr.Web-ки за участие в проекте
Каждая активность = 1 Dr.Web-ка
GREEN
16:33:28 2020-04-20
Sergey
19:36:22 2020-03-19
GREEN
15:41:24 2020-02-05
"Попробуй, сделай ошибки и исправь их - и никогда не останавливайся!"
Так и поступаем!
Денисенко Павел Андреевич
16:42:13 2018-08-03
Toma
12:39:11 2018-07-31
Влад58028
14:49:36 2018-06-27
Вячeслaв
12:02:27 2018-04-05
alex-diesel
11:34:52 2018-04-05
alex-diesel
11:32:44 2018-04-05
@Вячeслaв, вот именно! Ну зачем пользователю такие формальные подробности и классификации угроз. Если они даже профессионалами воспринимаются лишь как досадные бюрократические атавизмы.
А на счет больше знать лучше чем меньше (а свобода лучше, чем несвобода) так дьявол, как водится, в деталях.
Объем доступной информации возрос непомерно. банально увеличивать формальные познания индивидуума - безперспективно. Перспективно имхо разрабатывать новые методики систематизации знаний, структурирования, отсева избыточного.
Я искренне поддерживаю и даже немного восхищаюсь усилиями команды DrWeb по развитию подобных образовательных, развивающих и "популяризующих" проектов. тем обиднее мне представляются некоторые мелкие недостатки. Прошу пардону ))
Вячeслaв
10:09:51 2018-04-04
@alex-diesel, все даже интереснее. Если посмотреть документы по оценке рисков, то согласно им нужно оценить риск от каждого вида угроз по отдельности - вирусов, троянов, червей и тд по списку. Никакого смысла это не имеет, так как оценивай-не оценивай, какие уровни риска не считай - все равно придется ставить антивирус, так как его установка по большому счету обязательна. Но низзя - нужно оформить документы по правилам
А знания о древних вещах. Вы знаете, лучше знать больше, чем меньше. К сожалению люди, которые не хотят знать больше и думают, что ни лучше нас знают - рано или поздно оказываются в техподдержке
alex-diesel
09:52:17 2018-04-04
vasvet
09:07:01 2018-04-04
Людмила
09:01:03 2018-03-21
Littlefish
01:14:13 2017-06-20
Вячeслaв
10:40:22 2017-06-19
Вячeслaв
10:34:45 2017-06-19
Littlefish
22:12:53 2017-06-18
Littlefish
21:52:02 2017-06-18
Dmur
15:53:12 2017-05-26
EvgenyZ
13:59:53 2017-05-22
ka_s
23:40:13 2017-05-16
Самуил Христианин
15:55:26 2017-04-19
fvl2015
20:24:38 2017-04-09
vlm200916
13:22:00 2017-04-02
Natalya_2017
15:11:48 2017-03-30
TV
07:13:29 2017-03-28
Сэм
16:07:12 2017-03-22
Роза
17:31:49 2017-03-16
Айрат
20:32:54 2017-03-15
М. ч
14:08:17 2017-03-15
a13x
04:34:50 2017-03-15
Неуёмный Обыватель
00:53:39 2017-03-15
razgen
00:39:35 2017-03-15
Дмитpий
23:58:46 2017-03-14
Иваныч
23:44:00 2017-03-14
Marsn77
23:31:29 2017-03-14
razgen
23:08:25 2017-03-14
vaki
23:03:24 2017-03-14
Неуёмный Обыватель
22:29:44 2017-03-14
krasserr
22:25:04 2017-03-14
orw_mikle
21:31:16 2017-03-14
ek
21:10:47 2017-03-14
Andromeda
21:07:14 2017-03-14
Viktoria
21:04:59 2017-03-14
mariana
20:49:12 2017-03-14
Альфа
20:36:05 2017-03-14
kva-kva
20:34:44 2017-03-14
razgen
20:29:45 2017-03-14
tosya
20:07:30 2017-03-14
Сергей
19:25:43 2017-03-14
Малая Академия наук
ПОЛИМОРФНЫЙ СТЕЛС-ВИРУС ONEHALF 3544,
ОСОБЕННОСТИ АЛГОРИТМА И МЕТОДЫ БОРЬБЫ С НИМ.
Ученик 10 – го класса
Форосской общеобразовательной школы I – III ступени
Руководитель: КОРАБЛЕВ А. Б. - системотехник
Мы живем на стыке двух тысячелетий, когда человечество вступило в эпоху новой научно-технической революции.
К концу двадцатого века люди овладели многими тайнами превращения вещества и энергии и сумели использовать эти знания для улучшения своей жизни. Но кроме вещества и энергии в жизни человека огромную роль играет еще одна составляющая - информация. Это самые разнообразные сведения, сообщения, известия, знания, умения.
В середине нашего столетия появились специальные устройства - компьютеры, ориентированные на хранение и преобразование информации и произошла компьютерная революция.
Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.
Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них. Это и послужило стимулом для выбора темы моей работы.
Я хочу показать на основе вируса Onehalf 3544, наделавшего много шума в 1994-95 годах, возможные пути заражения, распространения, разрушительные способности вирусов и рекомендовать способы обнаружения и защиты от них.
Работа выполнена на основе анализа листинга кода тела вируса, полученного при помощи дизассемблера Sourcer версии 7.0 и экспериментального заражения - лечения нескольких компьютеров с разными типами жестких дисков, и использовании различных антивирусных и прикладных программ. Особую благодарность за предоставление материалов для подготовки моей работы хочу выразить системному программисту Александру Крыжановскому из Ялты и моему руководителю системотехнику Алексею Кораблеву.
В настоящее время известно более 35000 программных вирусов, их можно классифицировать по следующим признакам:
¨ способу заражения среды обитания
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные, файлово-загрузочные и макро-вирусы, распространяющиеся вместе с документами и электронными таблицами. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.
По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
По степени воздействия вирусы можно разделить на следующие виды:
¨ неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах
¨ опасные вирусы, которые могут привести к различным нарушениям в работе компьютера
¨ очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты (полиморфные), содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.
Рассматриваемый мной вирус Onehalf 3544 примечателен не только тем, что его появление вызвало большой резонанс в компьютерном мире, но и тем, что он одновременно объединяет в себе множество свойств являясь очень опасным резидентным файлово-загрузочным полиморфным стелс-вирусом. В моей работе я покажу каждое из его свойств, его сильные и слабые стороны.
АНАЛИЗ АЛГОРИТМА ВИРУСА.
Размещение вируса в зараженном файле.
Компьютерные вирусы. Что это такое и как с этим бороться? На эту тему уже написаны десятки книг и сотни статей, борьбой с компьютерными вирусами профессионально занимаются сотни (или тысячи) специалистов в десятках (а может быть, сотнях) компаний. Казалось бы, тема эта не настолько сложна и актуальна, чтобы быть объектом такого пристального внимания. Однако это не так. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.
Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин в сотни миллионов долларов ежегодно. Эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов.
Компьютерные вирусы, их анализ и разработка методов обнаружения и лечения.
Компьютерный вирус – это специально написанная программа, обязательным (необходимым) свойством которого является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.
Классификация компьютерных вирусов
Вирусы можно разделить на классы по следующим основным признакам:
- среда обитания;
- операционная система (ОС);
- особенности алгоритма работы;
- деструктивные возможности.
по среде обитания вирусы можно разделить на:
Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.
Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Заражаемая операционная система (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.
Среди особенностей алгоритма работы вирусов выделяются следующие пункты:
- резидентность;
- использование стелс-алгоритмов;
- самошифрование и полиморфичность;
- использование нестандартных приемов.
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.
Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно трудно обнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
По деструктивным возможностям вирусы можно разделить на:
- безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
- неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
- опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
- очень опасные, в алгоритм работы которых, заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров.
Методы обнаружения и удаления компьютерных вирусов
При работе с современным персональным компьютером пользователя (а особенно начинающего) может подстерегать множество неприятностей: потеря данных, зависание системы, выход из строя отдельных частей компьютера и другие. Одной из причин этих проблем (наряду с ошибками в программном обеспечении) и неумелыми действиями самого оператора ПЭВМ, могут быть проникшие в систему компьютерные вирусы. Эти программы подобно биологическим вирусам размножаются, записываясь в системные области диска, или, приписываясь к файлам, производят различные нежелательные действия, которые, зачастую, имеют катастрофические последствия. Чтобы не стать жертвой этой напасти, каждому пользователю следует хорошо знать принципы защиты от компьютерных вирусов.
Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.
- Анализ алгоритма вируса
- Антивирусные программы
- Восстановление пораженных объектов
- Обнаружение неизвестного вируса
- Профилактика заражения компьютера
С давних времён известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинагоры.
Антивирусы-фильтры - это резидентные программы, которые оповещают пользователя о всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению, как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также ВООТ-вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки DOS, К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.
Наибольшее распространение в нашей стране получили программы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - Aidstest, Doctor Web, Microsoft AntiVims, антивирус Касперского и др. .Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов. Ревизоры - программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохранённой ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не вирус. Так был случай, когда один начинающий пользователь не на шутку перепутался, когда антивирус AVSP выдал ему сообщение об изменениях в файле CONFIG.SYS. Оказалось, что до этого на компьютер была осуществлена инсталляция менеджера памяти QEMM, который пишет свой драйвер в CONFIG.SYS.
К последней группе относятся самые антивирусы - вакцинаторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.
Все эти программы универсальные и перспективные, сочетающие функции антивирусного сканера, резидентного сторожа и доктора.
В качестве перспективного подхода к защите от компьютерных вирусов в последние годы все чаще применяется сочетание программных и аппаратных методов защиты. Среди аппаратных устройств такого плана можно отметить специальные антивирусные платы, которые вставляются в стандартные слоты расширения компьютера.
Список литературы
- В.Э.Фигурнов "IBM PC для пользователя”. Уфа, ПК "Дегтярёв и сын", 1993 г.
- Ф.Файтс, П.Джонстон, М.Кратц "Компьютерный вирус: проблемы и прогноз". Москва, "Мир", 1993 г.
- Н.Н.Безруков "Классификация компьютерных вирусов MS-DOS и методы защиты от них". Москва, СП "ICE", 1990 г.
- Йорг Шиб "MS-DOS 22 за 5 минут". Москва, "Бином", 1995 г.
- Газета "Компьютерра" за 26 сентября 1994 г.
- Документации на антивирусные программы.
- Собственный опыт
Читайте также: