Множество вирусов умеет лечить антивирус-полифаг фильтр ревизор доктор
Антивирус - это программа, выявляющая и обезвреживающая компьютерные вирусы.
Программы – детекторы или сканеры позволяют обнаружить файлы, зараженные вирусов. При обнаружении, в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Недостатком таких программ является то, что они могут обнаруживать только те вирусы, которые известны разработчикам таких программ. Существуют следующие антивирусные сканеры: A-squared Free, Dr.Web CureIt, BitDefender Free Edition, ClamWin и др.
Программы – ревизоры – это программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее в одном из файлов данных ревизора. Сравнение состояний обычно производят сразу после загрузки операционной системы. При этом проверяется длина файлов, их время создания и другие параметры. Обнаруженные изменения выводятся на экран. Анализируя сообщение программы – ревизора, пользователь может решить, чем вызваны изменения. К распространенным программам-ревизорам относятся: Adinf32, AVP Inspector и ревизор, встроенный в антивирус Касперского.
Программы – фильтры – это резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы записаться на диск или отформатировать его, также оповещает о других подозрительных действиях. К преимуществу этой программы можно отнести универсальность по отношению, как к известным, так и неизвестным вирусам. К недостаткам – частую выдачу запросов на осуществление какой-либо операции. К распространенным программам-фильтрам относится AVP Monitor.
Вирусы попадают в компьютер в основном вместе с программным обеспечением. Поэтому самым важным в защите от вирусов является использование незараженных программ, так как главным источником вирусов являются незаконные, так называемые “пиратские” копии программного обеспечения. Особенно опасны компьютерные игры и различного рода развлекательные программы, которые чаще других являются разносчиками компьютерной инфекции. Поэтому первым и наиважнейшим правилом антивирусной защиты является следующее: НЕОБХОДИМО ИСПОЛЬЗОВАТЬ ТОЛЬКО ЛИЦЕНЗИОННО-ЧИСТЫЕ ПРОГРАММЫ ОТ НАДЕЖНЫХ ПОСТАВЩИКОВ. Из этого правила вытекают следующие рекомендации организационного характера:
· приобретайте все программы в фирменной упаковке у надежного поставщика;
· не пользуйтесь без крайней необходимости чужими дискетами;
· не запускайте на выполнение программы, назначение которых неизвестно или непонятно.
Поскольку не все пользователи соблюдают указанное выше правило и, кроме того, можно столкнуться с действиями злоумышленников, то нужно выполнять следующие правила:
· не передавайте свои дискеты чужим лицам для использования, чтобы не заразить ваши дискеты;
· ограничьте доступ к вашему ПК посторонних лиц и запретите им пользоваться своими дискетами без вашего разрешения;
· перед началом работы на ПК после другого лица осуществите холодный перезапуск ПК, чтобы удалить из ОЗУ возможно присутствующие там резидентные вирусы;
· при работе на одном ПК нескольких пользователей разделите жесткий диск на несколько логических и разграничьте право доступа к различным дискам;
· включайте программы антивирусной защиты в файл AUTOEXEC.BAT;
· не ограничивайтесь использованием только одного антивирусного программного продукта. Новые вирусы появляются постоянно, и для их выявления требуются новые антивирусные программы;
· гибкие магнитные диски используйте, по возможности, с защитой от записи.
Дата публикования: 2015-02-03 ; Прочитано: 3409 | Нарушение авторского права страницы
studopedia.org - Студопедия.Орг - 2014-2020 год. Студопедия не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования (0.002 с) .
Антивирус- это программа, выявляющая и обезвреживающая компьютерные вирусы.
ПРОГРАММЫ-ДЕТЕКТОРЫ позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов.
Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны". Программа Scan фирмы McAfee Associates и Aidstest Д.Н.Лозинского позволяют обнаруживать около 1000 вирусов, но всего их более пяти тысяч! Некоторые программы-детекторы, например Norton AntiVirus или AVSP фирмы "Диалог-МГУ", могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не менее невозможно
разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.
Большинство программ-детекторов имеют функцию "доктора", т.е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.
Большинство программ-докторов умеют "лечить" только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов. К таким программам относится AVSP фирмы "Диалог-МГУ".
ПРОГРАММЫ-РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю. К распространенным программам-ревизорам относятся: Adinf32, AVPInspector и ревизор, встроенный в антивирус Касперского.
Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.
Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.
Существуют также ПРОГРАММЫ-ФИЛЬТРЫ, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции. К распространенным программам-фильтрам относится AVPMonitor
Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы, на наличие вирусов. Это вызывает замедление работы компьютера. Однако преимущества использования программ-фильтров весьма значительны – они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.
Лучшей стратегией профилактики защиты от вирусов является многоуровневая, "эшелонированная" оборона:
Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.
На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.
Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.
Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.
В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.
Сайт СТУДОПЕДИЯ проводит ОПРОС! Прими участие :) - нам важно ваше мнение.
Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правил сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.
Антивирусные программы-ревизоры позволяют обнаружить вирус. Чаще всего обнаружением вируса дело и заканчивается. Существует блок лечения для популярного антивируса-ревизора Adinf, так называемый Cure Module, но такой блок позволяет лечить лишь те файлы, которые не были заражены на момент создания базы данных программы. Однако обнаружить вирус на компьютере (или даже подозрение на него) антивирусы-ревизоры могут с большой степенью надежности. Обычно наиболее оптимальным является связка полифаг и ревизор. Ревизор служит для обнаружения факта заражения системы. Если система заражена, то в дело пускается полифаг. Если же ему не удалось уничтожить вирус, то можно обратиться к разработчику антивирусных средств — скорее всего, на компьютер попал новый, неизвестный разработчикам вирус.
Основу работы ревизоров составляет контроль за изменениями, характерными для работы вирусных программ. В них содержится информация: о контрольных суммах неизменяемых файлов, содержимом системных областей, адресах обработчиков прерываний, размере доступной оперативной памяти и т. п. Вся остальная работа ревизора состоит в сравнении текущего состояния диска с ранее сохраненными данными, поэтому крайне важно, чтобы все контрольные таблицы создавались не на зараженной машине. Только в этом случае работа ревизора будет достаточно эффективной. Итак, перейдем к стадиям работы программы-ревизора.
Важным параметром является и размер свободной оперативной памяти. Обычно ревизор запускается самым первым, до загрузки каких-либо программ. Если же размер оперативной памяти уменьшился — это верный признак присутствия в ОЗУ еще какой-то программы. Скорее всего, программа эта — вирус.
Контроль системных областей.Контроль системных областей предназначен для обнаружения вирусов, которые используют для своей активации механизм загрузки. Первой с диска загружается загрузочная запись (boot record), которая содержит в себе мини-программу, управляющую дальнейшей загрузкой. Для жесткого диска первой производится загрузка главной загрузочной записи (Master-Boot Record или MBR).
● (bios) — прямым обращением в BIOS;
● (il3h) — чтением через BIOS-прерывание Intl3h;
● (i25h) — чтением средствами операционной системы (прерывание Int25h).
Если считанная информация не совпадает, налицо действие stealth-алгоритмов. Для большей надежности производится чтение MBR через IDE-порты жесткого диска. До сих пор еще не встречались вирусы, которые могут маскироваться от ревизора, обладающего такой функцией.
Аналогичным образом проводится проверка и простого (не главного) загрузочного сектора.
Обычно за счет того, что ревизор сохраняет резервную копию системных областей, восстановление повреждений от загрузочного вируса происходит довольно просто: если пользователь дает на то свое согласие, ревизор просто записывает системные области заново.
После того как все файлы проверены, ревизоры часто сохраняют копии дополнительных областей памяти, которые могут быть испорчены вирусами. Это FLASH- и CMOS-память. Эти области памяти также изменяются достаточно редко и поэтому их изменения могут быть подозрительны.
● попытки коррекции файлов с расширениями СОМ, ЕХЕ;
● изменение атрибутов файла;
● прямая запись на диск по абсолютному адресу;
● запись в загрузочные сектора диска;
● загрузка резидентной программы.
Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет
Характеристика антивирусных программ
Дня обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.
Различают следующие виды антивирусных программ (рис. 11.11):
- · программы- детекторы;
- · программы-доктора или фаги;
- · программы-ревизоры;
- · программы-фильтры;
- · программы-вакцины или иммунизаторы.
Программы-детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Рис. 11.11 Виды антивирусных программ
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифагами являются программы Aidstest, Scan, Norton AntiVirus и Doctor Web.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.
Программа-ревизор относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционой системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf фирмы "Диалог-Наука".
Программы-фильтры или "сторожа" представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
- · попытки коррекции файлов с расширениями СОМ и ЕХЕ;
- · изменение атрибутов файлов;
- · прямая запись на диск по абсолютному адресу;
- · запись в загрузочные сектора диска;
- · загрузка резидентной программы.
При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение н предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит операционной системы MS DOS.
Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.
Программа-полифаг Aidstest. Aidstest - это программа, которая умеет обнаруживать и уничтожать более 1300 компьютерных вирусов, получивших наиболее широкое распространение в России. Версии Aidstest регулярно обновляются и пополняются информацией о новых вирусах.
Для вызова Aidstest следует ввести команду: AIDSTEST
[ ] где path - имя диска, полное имя или спецификация файла, маска группы файлов:
- · *- все разделы жесткого диска,
- · ** - все диски, включая сетевые и диски CD ROM;
- · options - любая комбинация следующих ключей:
- · /F - исправлять зараженные программы и стирать испорченные;
- · /G - проверять все файлы подряд (не только СОМ, ЕХЕ и SYS);
- · /S - медленная работа для поиска испорченных вирусов;
- · /X - стирать все файлы с нарушениями в структуре вируса;
- · /Q - спрашивать разрешение на удаление испорченных файлов;
- · /В - не предлагать обработку следующей дискеты.
Программа-полифаг Doctor Web. Эта программа предназначена прежде всего для борьбы с полиморфными вирусами, которые сравнительно недавно появились в компьютерном мире. Использование Dr. Web для проверки дисков и удаления обнаруженных вирусов в целом подобно программе Aidstest. При этом дублирования проверки практически не происходит, так как Aidstest и Dr.Web работают на разных наборах вирусов.
Программа Dr.Web может эффективно бороться со сложными вирусами-мутантами, которые оказываются не под силу программе Aidstest. В отличие от Aidstest программа Dr.Web способна обнаруживать изменения в собственном программном коде, эффективно определять файлы, зараженные новыми, неизвестными вирусами, проникая в зашифрованные и упакованные файлы, а также преодолевая "вакцинное прикрытие". Это достигается благодаря наличию достаточно мощного эвристического анализатора.
В режиме эвристического анализа программа Dr.Web исследует файлы и системные области дисков, пытаясь обнаружить новые или неизвестные ей вирусы по характерным для вирусов кодовым последовательностям. Если таковые будут найдены, то выводится предупреждение о том, что объект, возможно, инфицирован неизвестным вирусом.
Предусмотрены три уровня эвристического анализа. В режиме эвристического анализа возможны ложные срабатывания, т.е. детектирование файлов, не являющихся зараженными. Уровень "эвристики" подразумевает собой уровень анализа кода без наличия ложных срабатываний. Чем выше уровень "эвристики", тем выше процент наличия ошибок или ложных срабатываний. Рекомендуются первые два уровня работы эвристического анализатора.
Третий уровень эвристического анализа предусматривает дополнительную проверку файлов на "подозрительное" время их создания. Некоторые вирусы при заражении файлов устанавливают некорректное время создания, как признак зараженности данных файлов. Например, для зараженных файлов секунды могут иметь значение 62, а год создания может быть увеличен на 100 лет.
В комплект поставки антивирусной программы Dr.Web могут входить также файлы-дополнения к основной вирусной базе программы, расширяющие ее возможности.
Работать с программой Dr. Web можно в двух режимах:
- · в режиме полноэкранного интерфейса с использованием меню и диалоговых окон;
- · в режиме управления через командную строку.
Для разового нерегулярного применения более удобен первый режим, но для регулярного применения с целью систематического входного контроля дискет лучше применять второй режим. При использовании второго режима соответствующая команда запуска Dr. Web должна быть включена либо в меню пользователя операционной оболочки Norton Соmmander, либо в специальный командный файл.
Командная строка для запуска Dr. Web выглядит следующим образом: DrWeb [диск: [путь] ] [ключи] где диск:
- · Х: - логическое устройство жесткого диска или физическое устройство гибкого диска, например F: или А:,
- · *- все логические устройства на жестком диске,
- · путь - это путь или маска требуемых файлов.
Наиболее важные ключи:
- · /AL - диагностика всех файлов на заданном устройстве;
- · /CU[P] - "лечение" дисков и файлов, удаление найденных вирусов;
- · P - удаление вирусов с подтверждением пользователя;
- · /DL - удаление файлов, корректное лечение которых невозможно;
- · /НА[уровень] - эвристический анализ файлов и поиск в них неизвестных вирусов, где уровень может принимать значения О, 1, 2;
- · /RР[имя файла] - запись протокола работы в файл (по умолчанию в файл REPORT. WEB);
- · /CL - запуск программы в режиме командной строки, при тестировании файлов и системные областей не используется полноэкранный интерфейс;
- · /QU - выход в DOS сразу после тестирования;
- · /? - вывод на экран краткой справки.
Если в командной строке Dr.Web не указано ни одного ключа, то вся информация для текущего запуска будет считываться из файла конфигурации DRWEB.INI, расположенного в том же каталоге, что и файл DRWEB.EXE. Файл конфигурации создается в процессе работы с программой Dr.Web с помощью команды сохранения параметров, необходимых для тестирования.
Антивирус-ревизор диска ADinf. Ревизор ADinf позволяет обнаружить появление любого вируса, включая стелс-вирусы, вирусы-мутанты и неизвестные на сегодняшний день вирусы. Программа ADinf запоминает:
- · информацию о загрузочных секторах;
- · информацию о сбойных кластерах;
- · длину и контрольные суммы файлов;
- · дату и время создания файлов.
На протяжении всей работы компьютера программа ADinf следит за сохранностью этих характеристик. В режиме повседневного контроля ADinf запускается автоматически каждый день при первом включении компьютера. Особо отслеживаются вирусоподобные изменения, о которых немедленно выдается предупреждение. Кроме контроля за целостностью файлов ADinf следит за созданием и удалением подкаталогов, созданием, удалением, перемещением и переименованием файлов, появлением новых сбойных кластеров, сохранностью загрузочных секторов и за многим другим. Перекрываются все возможные места для внедрения вируса в систему.
Adinf проверяет диски, не используя DOS, читая их по секторам прямым обращением в BIOS. Благодаря такому способу проверки ADinf обнаруживает маскирующиеся стелс-вирусы и обеспечивает высокую скорость проверки диска.
Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.
Программы-ревизоры (инспектора) относятся к самым надежным средствам защиты от вирусов.
Ревизоры (инспектора) проверяют данные на диске на предмет вирусов-невидимок, изучают, не забрался ли вирус в файлы, нет ли посторонних в загрузочном секторе жесткого диска, нет ли несанкционированных изменений реестра Windows. Причем инспектор может не пользоваться средствами операционной системы для обращения к дискам (а значит, активный вирус не сможет это обращение перехватить).
Ревизоры (инспектора) запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры (инспектора) имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров (инспекторов) относится широко распространенная в России программа Adinf.
Запускать ревизора (инспектора) надо тогда, когда компьютер еще не заражен, чтобы он мог создать в корневой директории каждого диска по таблице - файлу kavitab(бyквa_диска).dat (например, kavitabc.dat), со всей необходимой информацией о файлах, которые имеются на этом диске, а также о его загрузочной области. На создание каждой таблицы у нас будет запрошено разрешение.
При следующих запусках ревизор (инспектор) будет просматривать диски, сравнивая данные о каждом файле со своими записями. Скажем, размер файла изменился, а дата и время остались прежними. Странно? Странно! У нескольких файлов изменилась длина, причем на одинаковую величину, как будто в каждый из файлов было добавлено нечто постороннее. Странно? Еще бы! Или в реестре Windows произошли изменения, хотя вы ничего нового в систему не добавляли. Подозрительно? В высшей степени подозрительно! Ну, а когда инспектор сообщает о странных изменениях в загрузочном секторе, то это просто караул! (Если, конечно, вы не установили со времени предыдущей проверки новую операционную систему.)
В такой ситуации ревизор (инспектор) сможет использовать свой собственный лечащий модуль, который восстановит испорченный вирусом файл в 95 случаях из 100 (по крайней мере, так обещают авторы). Для восстановления файлов инспектору даже не нужно ничего знать о конкретном типе вируса, достаточно воспользоваться данными о файлах, сохраненными в таблицах.
Кроме того, в случае необходимости может быть вызван антивирусный сканер.
1. попытки коррекции файлов с расширениями COM, EXE;
2. изменение атрибутов файла;
3. прямая запись на диск по абсолютному адресу;
4. запись в загрузочные сектора диска;
5. загрузка резидентной программы.
Недостатком простых сканеров является их неспособность обнаружить полиморфные вирусы, полностью меняющие свой код. Для этого необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.
Кроме того, сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по несколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.
Эксклюзивные ИТ-новости, обзоры и интервью
ADInf32: ревизор по вызову. Часть 1
Среди многообразия производителей стандартных антивирусов и их пользователей бытует мнение, что панацеи, т.е. универсального лекарства для всех случаев, не существует. Это мнение стало уже в своем роде бородатым стереотипом, передаваемым из одного поколения пользователей в другое. В то же самое время, кроме стандартных подходов по детектированию вирусов антивирусами, по заранее известной им маске вируса (т.н. сигнатуре), о которых и идет обычно речь в подобных утверждения, есть и альтернативные попытки — радикально решить проблему выявления на своем компьютере нежданных подселенцев-зловредов, дающих гарантию детектирования новых и уже известных вирусов с вероятностью, стремящейся к круглой цифре 100%!
Чтобы быть до конца понятым, а сегодняшняя тема антивирусных ревизоров была полноценно раскрытой, пожалуй, правильней всего следует начать изложение о природе ADInf с отвлеченной классификации ныне существующих антивирусных решений вообще, изложив её хотя бы на каком-то базовом, прикладном уровне.
Ведь без понимания этого самого базового устройства и принципов работы различных видов антивирусов просто невозможно понять преимущества и недостатки разных подходов, сложившиеся в антивирусной индустрии в наше время. Не претендуя на полноту классификации и широту охвата всех без исключения видов и подвидов антивирусных решений, остановимся лишь на главных действующих лицах — тех, кого можно по праву считать диалектической противоположностью нашему сегодняшнему герою, классу антивирусных ревизоров — полифагам.
Тем самым, которые сейчас, похоже, захватили если и не монопольное право на оборону и врачевание здоровья компьютеров у широчайших масс пользователей, то, как минимум, доминируют на современном антивирусном рынке вне всяких сомнений.
Поэтому это длинное введение к теме ревизора ADInf (более полное, официальное название которого Advanced Diskinfoscope) мы начнем с определения полифагов, или, как их ещё порой называют, антивирусных сканеров, чтобы, показав основы и принципы их устройства, на контрасте, наглядно показать принципиально иной, отчасти незаслуженно малоизвестный ныне подход, реализуемый классом программ, называемый антивирусными ревизорами, очень ярким и качественным представителем которого и является отечественная разработка ADInf.
Полифаги и их устройство
Начнем с определения, что же такое фаги (полифаги, сканеры). Фаг — Это специализированная программа, способная уничтожить (вылечить) вирус, другая её разновидность — полифаг — способна корректно пролечить множество вирусов. Здесь я вынужден привести также и альтернативные определения этих разновидностей антивирусных программ, поскольку в разных источниках сложилась некая терминологическая неразбериха в этом плане.
Итак, по второй версии фаг — это антивирус первого поколения, как некогда известный Aidstest Лозинского, который мог вполне успешно лечить обычные вирусы, но с приходом эры сложно-полиморфных вирусов, т.е. вирусов, код которых постоянно мутирует и видоизменяется, благодаря особым сложным алгоритмам размножения не содержит в себе постоянной сигнатуры — на сцену вынужденно вышли антивирусы второго поколения — полифаги, способные трассировать код вирусов, глубоко погружаясь в их код, использовать виртуальные машины для преодоления их шифрующих защитных пластов и прочие сложные программные решения (так, если придерживаться нашего примера, вместо Aidstest был создан DrWeb).
Один из первых отечественных антивирусов-фагов - знаменитый в прошлом Aidstest
В данном случае важно понять лишь следующее, что для полифагов главной их особенностью является как раз работа на основании уже готовой антивирусной базы, куда помещаются все ранее найденные и проанализированные вирусы. Таким образом, чтобы полифаги работали вообще — им нужна готовая база данных по сигнатурам известных вирусов и их методам лечения, которую кропотливо собирают по всему миру разработчики этих самых антивирусов, тщательно анализируя их и добавляя противоядия к ним в свою базу.
В таком случае остается уповать лишь на эвристический анализатор, встроенный в любой современный полифаг именно для прикрытия этой их очевидной слабости, но, повторюсь, сегодня, количество коммерческих предложений немедленно предоставить очередной вирус-троян на так называемом черном рынке, для всяческих сомнительных, а то и откровенно преступных целей — огромно. При этом, чаще всего таким продавцом-программистом даются даже гарантии, что подобные поделки не будут обнаружены эвристикой ведущих антивирусных полифагов. В самом деле, простейшие модификации и некоторые нехитрые дополнительные антитрассировочные меры позволяют скрыть даже уже известный антивирусам вирусный код от вялого искусственного интеллекта эвристических анализаторов современных антивирусов-полифагов.
И тут закономерно возникает очень актуальный в наше время вопрос:
все мы работаем с онлайн-банкингом, у многих на компьютере хранятся различные конфиденциальные сведения и электронные деньги, так как же в принципе можно гарантированно обезопасить себя от пока неизвестных зловредов? И если, как мы видим, антивирусный полифаг таких гарантий даже теоретически не дает, то где искать решение этой реальной и насущной проблемы?
Так мы вынужденно приходим к помощи принципиально иного класса антивирусных программ, базирующихся на совершенно других идеях и принципах, — отчасти противоположных идеям, лежащим в основании полифагов, — эту нашу проблему успешно решающих.
Дисковые ревизоры
А что, если гоняться по файлам в поисках не конкретных сигнатур конкретных вирусов, а просто делать слепки всех потенциально уязвимых файлов — контрольные суммы — и хранить их в специальных таблицах для сличения при каждом последующем проходе-проверке файлов? Вот, собственно, такая простая идея и лежит в основании антивирусных ревизоров — альтернативного класса антивирусных программ, которые в своем подходе логически противоположны уже рассмотренным выше традиционным полифагам.
Итак, как же это работает в общем случае?
И если изменение файла-документа, текстового файла или файла базы данных можно как-то объяснить, то изменение исполняемого файла (.exe) должно однозначно настораживать. Таким образом, посредством контрольной суммы ревизор выявляет все изменившиеся исполняемые файлы на компьютере, позволяя вам принять необходимые меры в данной ситуации.
Повторюсь, любое самопроизвольное изменение исполняемого файла — это уже сам по себе повод для того, чтобы очень серьёзно подозревать наличие вируса в вашем компьютере. Методы самостоятельной борьбы с такого рода неизвестными угрозами мы обсудим чуть позже, но пока нам важно главное выявленное нами свойство ревизоров — способность гарантированно находить и устанавливать факт наличия на компьютере любых вирусов: известных или даже неизвестных. И опять же хочется ещё раз добавить концовку — в противоположность к полифагам, которые могут найти только заведомо известных им вирусных особей.
Никому не доверяй, всё что можешь — проверяй
Вторая важная особенность ревизоров вообще, характерная особенно для ADInf, — это использование режима низкоуровневого доступа к диску, в этом плане полностью не доверяя аналогичным данным со стороны операционной системы, что позволяет очень эффективно бороться даже с самыми мощными stealth-вирусами и руткитами, тщательно скрывающими своё нахождение в системе, и на пользовательском уровне которые обнаружить почти никак невозможно.
В связи с этим сразу невольно вспоминается ранее очень известная история с пришествием и массовой эпидемией вируса Dir-II, которая приключилась ещё в сравнительно далеком 1991 году, который творил с файловой системой просто запредельные вещи, агрессивно маскируясь на уровне драйвера I/O-диска в операционной системе, благодаря чему оставаясь надежно невидимым практически всем антивирусным полифагам того времени. ADInf первым обнаружил этот чрезвычайно продвинутый по тем временам stealth-вирус, причем, сделал это в полностью автоматическом режиме.
Из-за техники низкоуровневого доступа к дискам, в отличие от других антивирусов, ADInf не требует для идеального лечения обязательной загрузки с эталонной, защищённой от записи системной дискеты (или компакт-диска) — даже при обычной загрузке с винчестера, с заведомо зараженной операционной системой, надежность его работы не уменьшается.
Что собой представляет ADInf сегодня
Несмотря на богатую историю этой программы, начиная с далеких DOS'овских времен, этот проект не был заброшен и прошел весь длинный путь совершенствования и адаптации к жестким современным требованиям времени. На данный момент имеется его Windows-версия, которая регулярно обновляется и дорабатывается, вот её главные характеристики и возможности, изложенные сухим техническим языком.
В следующей части этой статьи, мы пройдемся по всем особенностям и полезным возможностям самой последней, четвертой версии этого знаменитого антивирусного ревизора для Windows, честно рассмотрев все его плюсы и минусы, акцентировав внимание уже на практической плоскости работы с ним.
Читайте также: