Э н ц и к л о п е д и я    н е о б х о д и м ы х    к о м п ь ю т е р н ы х    з н а н и й
ezPC
     Поиск:   по сайту  по архиву новостей   

                Сегодня:

Разделы сайта

Первая полоса
Архив новостей
Железо
Компьютеры
Процессоры
Материнские платы
Память
Видеокарты
Звуковые карты
Сетевые карты
Накопители
Устройства ввода
Корпуса
Мониторы
Принтеры
Модемы
Сканеры
Цифровые камеры
Плоттеры
Дигитайзеры
ИБП
Кабели / Разъемы
Ссылки
Софт
Операционные системы
Приложения
Ссылки
Разное
Интернет
Полезняшки
Читальный зал
Конференц-зал
Комната смеха
Веб-камеры
Желтые страницы Сети
Поиск информации
Друзья сайта
EzPC -
Компьютерые новости

Мобилографический Петербург
Реклама
Компьютеры
Типы антивирусных программ

Сейчас на рынке программного обеспечения представлен достаточно широкий спектр антивирусных программ. Чтобы правильно использовать антивирусные средства, необходимо различать их по назначению. Существуют несколько видов программных средств борьбы с вирусами - это сканеры (другие названия: фаги, полифаги), ревизоры диска (CRC-сканеры), резидентные мониторы и иммунизаторы. Изложим основные принципы их работы.

Сканеры

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.
Во многих сканерах используются также алгоритмы «эвристического сканирования», т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения («возможно заражен» или «не заражен») для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.
Сканеры также можно разделить на две категории - «универсальные» и «специализированные». Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.
К достоинствам сканеров всех типов относится их универсальность, к недостаткам - размеры антивирусных баз, которые сканерам приходится «таскать за собой», и относительно небольшую скорость поиска вирусов.

Ревизоры диска

Принцип работы ревизоров диска (CRC-сканеров) основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры проверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.
CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры неспособны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут детектировать вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup-a или при распаковке файлов из архива), поскольку в их базах отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них.
Часто ревизоры диска и сканеры объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность.

Резидентные мониторы

Резидентные мониторы - это программы, постоянно находящиеся в оперативной памяти и контролирующие операции, которые производятся с диском и оперативной памятью. Именно эти программы позволяют обнаружить вирус до момента реального заражения системы (в отличие от предыдущих двух), поскольку они немедленно реагируют на появление вируса. Один из их недостатков - замедление работы, поскольку мониторы работают в интерактивном режиме, постоянно сообщая пользователю о том, что происходит и спрашивая что делать дальше. Кроме того, мониторы могут вступать в конфликт с другими программами, загруженными в оперативную память.

Иммунизаторы

Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые из них обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он летален -абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, практически не используются в настоящее время.
Второй тип иммунизации защищает систему от поражения каким-либо определенным типом вируса. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные (пример - печально известная строка «MsDos», предохраняющая от ископаемого вируса «Jerusalem»). Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.
Такой тип иммунизации не может быть универсальным, поскольку нельзя проиммунизировать файлы от всех известных вирусов - одни вирусы считают уже зараженными файлы, если время создания файла содержит метку 62 секунды, а другие - 60 секунд. Однако, несмотря на это, подобные иммунизаторы в качестве полумеры могут защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет детектироваться антивирусными сканерами.

Источник информации: Лаборатория Касперского

 
Наверх /     / Назад /

      
контент
       Rambler's Top100       Рейтинг@Mail.ru       Яндекс цитирования       количество читателей онлайн и всего      
      
контент
       Rambler's Top100       Рейтинг@Mail.ru       Яндекс цитирования       количество читателей онлайн и всего