Обычно в качестве сигнатуры берется фрагмент кода характерный для этого вируса запятые
В настоящее время существует множество антивирусных программных средств, но их можно разделить на группы по методам поиска вирусов, которые они реализовывают.
Рассмотрим эти методы.
Это самый простой метод поиска вируса. Он основан на последовательном просмотре памяти компьютера, загрузочных секторов и проверяемых файлов в поиске так называемых сигнатур (масок) известных вирусов.
Определение сигнатуры вируса очень сложная задача. Необходимо тщательно изучить принцип работы вируса и сравнить программы, зараженные данным вирусом, и незараженные. Кроме того, сигнатура не должна содержаться в других программах, иначе возможны ложные срабатывания.
Надежность принципа поиска по маске ограниченной длины не очень высока. Вирус легко модифицировать, чем и занимаются многие авторы вирусов. Достаточно изменить строковую константу, текст выдаваемого сообщения или одну из первых команд, чтобы вирус стал совсем новым.
Надежность увеличивается при приведении вируса к каноническому виду: то есть обнулении всех байтов, приходящихся на переменные и константы.
Хранение сигнатур канонических форм всех известных вирусов (вспомните, что на сегодняшний день их число огромно) требует неоправданно много памяти. Достаточно хранить только контрольную сумму сигнатур вирусов.
При подозрении на вирус необходимо привести подозреваемый код к каноническому виду, подсчитать контрольную сумму и сравнить с эталоном.
Часто в качестве сигнатуры берется характерный для этого вируса фрагмент кода, например, фрагмент обработчика прерывания. Не все вирусы имеют сигнатуры в виде строк байт, для некоторых удается в качестве сигнатур использовать регулярные выражения, а некоторые вирусы могут вообще не иметь сигнатур, например, полиморфные.
2. Обнаружение изменений, или контроль целостности.
Контроль целостности основан на выполнении двух процедур:
· постановка на учет;
· контроль поставленного на учет.
При внедрении вируса в компьютерную систему обязательно происходят изменения в системе (которые некоторые вирусы успешно маскируют). Это и изменение объема доступной оперативной памяти, и изменение загрузочных секторов дисков, и изменения самих файлов.
Достаточно запомнить характеристики, которые подвергаются изменениям в результате внедрения вируса, а затем периодически сравнивать эти эталонные характеристики с действующими.
3. Эвристический анализ.
Метод, который стал использоваться для обнаружения вирусов сравнительно недавно. Он предназначен для обнаружения новых неизвестных вирусов. Программы, реализующие этот метод, тоже проверяют загрузочные секторы дисков и файлы, только уже пытаются обнаружить в них код, характерный для вирусов. Например, таким может быть код, устанавливающий резидентный модуль в памяти и т.п.
4. Метод резидентного сторожа.
Этот метод направлен на выявление «подозрительных» действий пользовательских программ, например, таких, как запись на диск по абсолютному адресу, форматирование диска, изменение загрузочного сектора, изменение или переименование выполняемых программ, появление новых резидентных программ, изменение системных областей DOS и других. При обнаружении «подозрительного» действия необходимо «спросить разрешение» у пользователя на выполнение такого действия.
5. Вакцинирование программ.
Этот метод заключается в дописывании к исполняемому файлу дополнительной подпрограммы, которая первой получает управление при запуске файла, выполняет проверку целостности программы. Проверяться могут любые изменения, например, контрольная сумма файла или другие характеристики.
Что такое ложные тревоги?
Ложные тревоги делят на два типа:
· ложная позитивная (положительная);
· ложная негативная (отрицательная).
В идеале антивирус должен обнаруживать все возможные вирусы и не должен вызывать ложных тревог.
Типы антивирусных средств
1. Программы-детекторы, или программы-сканеры.
Это наиболее известный и наиболее распространенный вид антивирусных программ. Они осуществляют поиск известных версий вирусов методом сканирования, т.е. поиском сигнатур вирусов. Поэтому программы-сканеры могут обнаружить только уже известные вирусы, которые были предварительно изучены, и для которых была определена сигнатура.
Использование программ-сканеров не защищает компьютер от новых вирусов. Кроме того, такие программы не могут обнаружить большинство полиморфных вирусов, так как для таких вирусов невозможно определить сигнатуру.
Для эффективного использования программ-детекторов, реализующих метод простого сканирования, рекомендуется постоянно обновлять их, получая самые последние версии, так как в них уже будут включены новые типы вирусов.
Программы-сканеры практически не вызывают ложные позитивные тревоги. Если программа сообщила о заражении, то можно быть уверенным, что это действительно так. (Ранние версии иногда ошибались, например, объявляли зараженными файлы других антивирусных программ, находя в них сигнатуры вирусов.)
Но если сканер не обнаружил вирусы в системе, это означает только то, что в системе нет вирусов, на которые он рассчитан.
Антивирусные программы-сканеры, которые могут удалить обнаруженный вирус, называются полифагами.
В последнее время распространяются полифаги, которые кроме простого сканирования в поисках сигнатур вирусов, содержащихся в их вирусной базе, используют еще и эвристический анализ проверяемых объектов на наличие неизвестных вирусов. Они изучают код проверяемых файлов и содержимое загрузочных секторов и пытаются обнаружить в них участки, выполняющие характерные для вирусов действия. Сканеры, использующие эвристический поиск, уже способны обнаружить многие полиморфные и автоматические вирусы, а также некоторые новые неизвестные вирусы (неизвестные самому антивирусу).
2. Программы-мониторы, или резидентные сторожа.
Это целый класс антивирусов, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. С помо щ ью монитора можно остановить распостранение вируса на самой ранней стадии.
Рассмотрим наиболее опасные из «подозрительных» действий :
· низкоуровневое форматирование диска ;
· запись данных в загрузочные секторы жёсткого диска;
Если пользователь не форматировал диски, не изменял метку диска и не устанавливал новую версию ОС, то необходимо отменить операцию и проверить компьютер на наличие вирусов;
· запись данных в загрузочный сектор дискеты;
Если пользователь не форматировал дискету, не изменял её метку (команда LABEL ), не записывал на дискету ОС (командой SYS или другим способом), необходимо отменить операцию и проверить компьютер на наличие вирусов;
· запись данных в исполняемый файл;
. Пользователь должен быть знаком с программным обеспечением своего компьютера.
· Изменение атрибута файла;
Скорее всего это действие вируса. В этом случае пользователь должен проанализировать ситуацию.
Невысокая популярность программ-мониторов объясняется психологическим фактором. Многие программы могут выполнять действия, на которые реагируют мониторы. Большое число запросов мешает пользователю работать. Монитор может «замучить» пользователя, и он его отключит. Мониторы отнимают время на проверку программ во время их запуска, и процесс загрузки программы замедлится. Ещё одним недостатком программ-мониторов является то, что они уменьшают объём памяти, доступной программам пользователей, ведь он должен резидентно находится в памяти.
Поэтому мониторы необходимо применять в следующих случаях:
· запуск новых программ неизвестного происхождения;
· во время подозрения на вирус;
· некоторое время после удаления вируса для исключения его появления вновь.
Большинство распространённых ныне мониторов предназначены для контроля за подключаемыми к компьютеру дисками. Такие мониторы освобождают пользователя от необходимости помнить об обязательном сканировании каждого нового диска или дискеты. Монитор открывает доступ к диску, лишь убедившись в его «чистоте». Так работает, например, монитор McAfee VShield (щит от вирусов) пакета McAfee VirusScan for Windows 9 x ( VirusScan 95). Он также выполняет контроль исполняемых программ и копируемых файлов.
Ревизоры могут обнаружить любые вирусы, даже ранее неизвестные. Но для этого необходимо «поставить на учет” заведомо чистые от вирусов возможные объекты нападения. Кроме этого, ревизор не обнаружит вирус, который попал с новым зараженным уже файлом, так как он «не знает” параметров этого файла до заражения вирусом. Вот когда новый вирус уже заразит другие файлы или загрузочный сектор, он будет обнаружен ревизором. Не сможет ревизор обнаружить вирус, заражающий файлы только при копировании, опять же не имея возможности сравнить параметры файлов. Ревизоры неэффективно использовать для обнаружения вирусов в файлах документов, так как эти файлы очень часто изменяются. Кроме того, следует учитывать, что ревизоры только обнаруживают изменения, но не все изменения связаны с внедрением вируса. Загрузочная запись может измениться при обновлении версии операционной системы, могут измениться командные файлы, некоторые программы могут записывать в свои исполняемые файлы данные, что тоже приводит к изменению файлов, в конце концов, пользователь может просто перекомпилировать свою программу.
Методы И СРЕДСТВА
Методы, которые используют антивирусные средства
В настоящее время существует множество антивирусных программных средств, но их можно разделить на группы по методам поиска вирусов, которые они реализовывают.
Рассмотрим эти методы.
Это самый простой метод поиска вируса. Он основан на последовательном просмотре памяти компьютера, загрузочных секторов и проверяемых файлов в поиске так называемых сигнатур (масок) известных вирусов.
Определение сигнатуры вируса ¾ очень сложная задача. Необходимо тщательно изучить принцип работы вируса и сравнить программы, зараженные данным вирусом, и незараженные. Кроме того, сигнатура не должна содержаться в других программах, иначе возможны ложные срабатывания.
Надежность принципа поиска по маске ограниченной длины не очень высока. Вирус легко модифицировать, чем и занимаются многие авторы вирусов. Достаточно изменить строковую константу, текст выдаваемого сообщения или одну из первых команд, чтобы вирус стал совсем новым.
Надежность увеличивается при приведении вируса к каноническому виду: то есть обнулении всех байтов, приходящихся на переменные и константы.
Хранение сигнатур канонических форм всех известных вирусов (вспомните, что на сегодняшний день их число огромно) требует неоправданно много памяти. Достаточно хранить только контрольную сумму сигнатур вирусов.
При подозрении на вирус необходимо привести подозреваемый код к каноническому виду, подсчитать контрольную сумму и сравнить с эталоном.
Часто в качестве сигнатуры берется характерный для этого вируса фрагмент кода, например, фрагмент обработчика прерывания. Не все вирусы имеют сигнатуры в виде строк байт, для некоторых удается в качестве сигнатур использовать регулярные выражения, а некоторые вирусы могут вообще не иметь сигнатур, например, полиморфные.
2. Обнаружение изменений, или контроль целостности.
Контроль целостности основан на выполнении двух процедур:
· постановка на учет;
· контроль поставленного на учет.
При внедрении вируса в компьютерную систему обязательно происходят изменения в системе (которые некоторые вирусы успешно маскируют). Это и изменение объема доступной оперативной памяти, и изменение загрузочных секторов дисков, и изменения самих файлов.
3. Эвристический анализ.
Метод, который стал использоваться для обнаружения вирусов сравнительно недавно. Он предназначен для обнаружения новых неизвестных вирусов. Программы, реализующие этот метод, тоже проверяют загрузочные секторы дисков и файлы, только уже пытаются обнаружить в них код, характерный для вирусов. Например, таким может быть код, устанавливающий резидентный модуль в памяти и т.п.
4. Метод резидентного сторожа.
Этот метод направлен на выявление «подозрительных» действий пользовательских программ, например, таких, как запись на диск по абсолютному адресу, форматирование диска, изменение загрузочного сектора, изменение или переименование выполняемых программ, появление новых резидентных программ, изменение системных областей DOS и других. При обнаружении «подозрительного» действия необходимо «спросить разрешение» у пользователя на выполнение такого действия.
5. Вакцинирование программ.
Этот метод заключается в дописывании к исполняемому файлу дополнительной подпрограммы, которая первой получает управление при запуске файла, выполняет проверку целостности программы. Проверяться могут любые изменения, например, контрольная сумма файла или другие характеристики.
Ложные тревоги делят на два типа:
· ложная позитивная (положительная);
· ложная негативная (отрицательная).
В идеале антивирус должен обнаруживать все возможные вирусы и не должен вызывать ложных тревог.
Типы антивирусных средств
1. Программы-детекторы, или программы-сканеры.
Это наиболее известный и наиболее распространенный вид антивирусных программ. Они осуществляют поиск известных версий вирусов методом сканирования, т.е. поиском сигнатур вирусов. Поэтому программы-сканеры могут обнаружить только уже известные вирусы, которые были предварительно изучены, и для которых была определена сигнатура.
Использование программ-сканеров не защищает компьютер от новых вирусов. Кроме того, такие программы не могут обнаружить большинство полиморфных вирусов, так как для таких вирусов невозможно определить сигнатуру.
Для эффективного использования программ-детекторов, реализующих метод простого сканирования, рекомендуется постоянно обновлять их, получая самые последние версии, так как в них уже будут включены новые типы вирусов.
Программы-сканеры практически не вызывают ложные позитивные тревоги. Если программа сообщила о заражении, то можно быть уверенным, что это действительно так. (Ранние версии иногда ошибались, например, объявляли зараженными файлы других антивирусных программ, находя в них сигнатуры вирусов.)
Но если сканер не обнаружил вирусы в системе, это означает только то, что в системе нет вирусов, на которые он рассчитан.
Антивирусные программы-сканеры, которые могут удалить обнаруженный вирус, называются полифагами.
В последнее время распространяются полифаги, которые кроме простого сканирования в поисках сигнатур вирусов, содержащихся в их вирусной базе, используют еще и эвристический анализ проверяемых объектов на наличие неизвестных вирусов. Они изучают код проверяемых файлов и содержимое загрузочных секторов и пытаются обнаружить в них участки, выполняющие характерные для вирусов действия. Сканеры, использующие эвристический поиск, уже способны обнаружить многие полиморфные и автоматические вирусы, а также некоторые новые неизвестные вирусы (неизвестные самому антивирусу).
2. Программы-мониторы, или резидентные сторожа.
Это целый класс антивирусов, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. С помо щ ью монитора можно остановить распостранение вируса на самой ранней стадии.
Рассмотрим наиболее опасные из «подозрительных» действий :
· низкоуровневое форматирование диска
· запись данных в загрузочные секторы жёсткого диска
Если пользователь не форматировал диски, не изменял метку диска и не устанавливал новую версию ОС, то необходимо отменить операцию и проверить компьютер на наличие вирусов;
· запись данных в загрузочный сектор дискеты
Если пользователь не форматировал дискету, не изменял её метку (команда LABEL ), не записывал на дискету ОС (командой SYS или другим способом), необходимо отменить операцию и проверить компьютер на наличие вирусов;
· запись данных в исполняемый файл
. Пользователь должен быть знаком с программным обеспечением своего компьютера.
· Изменение атрибута файла
Скорее всего, это действие вируса. В этом случае пользователь должен проанализировать ситуацию.
Невысокая популярность программ-мониторов объясняется психологическим фактором. Многие программы могут выполнять действия, на которые реагируют мониторы. Большое число запросов мешает пользователю работать. Монитор может «замучить» пользователя, и он его отключит. Мониторы отнимают время на проверку программ во время их запуска, и процесс загрузки программы замедлится. Ещё одним недостатком программ-мониторов является то, что они уменьшают объём памяти, доступной программам пользователей, ведь вирус должен резидентно находиться в памяти.
Поэтому мониторы необходимо применять в следующих случаях:
· запуск новых программ неизвестного происхождения;
· во время подозрения на вирус;
· некоторое время после удаления вируса для исключения его появления вновь.
Ревизоры могут обнаружить любые вирусы, даже ранее неизвестные. Но для этого необходимо “поставить на учет” заведомо чистые от вирусов возможные объекты нападения. Кроме этого, ревизор не обнаружит вирус, который попал с новым зараженным уже файлом, так как он “не знает” параметров этого файла до заражения вирусом. Вот когда новый вирус уже заразит другие файлы или загрузочный сектор, он будет обнаружен ревизором. Не сможет ревизор обнаружить вирус, заражающий файлы только при копировании, опять же не имея возможности сравнить параметры файлов. Ревизоры неэффективно использовать для обнаружения вирусов в файлах документов, так как эти файлы очень часто изменяются. Кроме того, следует учитывать, что ревизоры только обнаруживают изменения, но не все изменения связаны с внедрением вируса. Загрузочная запись может измениться при обновлении версии операционной системы, могут измениться командные файлы, некоторые программы могут записывать в свои исполняемые файлы данные, что тоже приводит к изменению файлов, в конце концов, пользователь может просто перекомпилировать свою программу.
Правда, в последнее время ревизоры дополняются базами сигнатур вирусов, и при подозрении на вирус ревизор тут же осуществляет сканирование в поисках вирусов. Такие ревизоры уже более пригодны для использования рядовыми пользователями.
К перспективным средствам защиты стоит отнести адаптивные, cамообучающиеся и интеллектуальные средства.
Адаптивные средства развиваются уже сейчас. Это средства, которые содержат постоянно пополняемые базы вирусов.
Cамообучающееся средство должно при обнаружении неизвестного ему вируса автоматически его проанализировать и добавить к списку вирусов, с которыми может успешно бороться.
Интеллектуальные средства защиты основаны на определении алгоритма и спецификации программы по ее коду, и, следовательно, возможности выявления программ, осуществляющих несанкционированные действия. Известны попытки создания интеллектуальных программ-мониторов, которые пытаются различать ложные тревоги, но пока, к сожалению, это приводит к снижению их надежности.
Как показывает теория и подтверждает практика, создание универсальных средств, которые способны противостоять абсолютно всем вирусам, невозможно.
Практически известно, что для любого вируса можно создать антивирус, но не для любого антивируса можно создать вирус, обходящий его. Теоретически это подтвердил Л. Адлеман (кстати, учитель известного Фредерика Коэна). Он доказал, что множество всех вирусов неперечислимо.
Но это означает только то, что невозможно создать программу, однозначно решающую, есть ли в предъявленном ей файле вирус или нет.
Каталог файлов
по с/к «Методы защиты компьютерной информации»
доцента кафедры ИВТ ГрГУ Ливак Е.Н.
Подробнее см. Ливак Е.Н. Защита информации: Учеб. пособие: В 4 ч. Ч.2 – Как лечить компьютер. – Гродно, 1998 – 95 с.
Методы и средства
обнаружения компьютерных вирусов
Методы, которые используют антивирусные средства
В настоящее время существует множество антивирусных программных средств, но их можно разделить на группы по методам поиска вирусов, которые они реализовывают.
Рассмотрим эти методы.
Это самый простой метод поиска вируса. Он основан на последовательном просмотре памяти компьютера, загрузочных секторов и проверяемых файлов в поиске так называемых сигнатур (масок) известных вирусов.
Определение сигнатуры вируса очень сложная задача. Необходимо тщательно изучить принцип работы вируса и сравнить программы, зараженные данным вирусом, и незараженные. Кроме того, сигнатура не должна содержаться в других программах, иначе возможны ложные срабатывания.
Надежность принципа поиска по маске ограниченной длины не очень высока. Вирус легко модифицировать, чем и занимаются многие авторы вирусов. Достаточно изменить строковую константу, текст выдаваемого сообщения или одну из первых команд, чтобы вирус стал совсем новым.
Надежность увеличивается при приведении вируса к каноническому виду: то есть обнулении всех байтов, приходящихся на переменные и константы.
Хранение сигнатур канонических форм всех известных вирусов (вспомните, что на сегодняшний день их число огромно) требует неоправданно много памяти. Достаточно хранить только контрольную сумму сигнатур вирусов.
При подозрении на вирус необходимо привести подозреваемый код к каноническому виду, подсчитать контрольную сумму и сравнить с эталоном.
Часто в качестве сигнатуры берется характерный для этого вируса фрагмент кода, например, фрагмент обработчика прерывания. Не все вирусы имеют сигнатуры в виде строк байт, для некоторых удается в качестве сигнатур использовать регулярные выражения, а некоторые вирусы могут вообще не иметь сигнатур, например, полиморфные.
2. Обнаружение изменений, или контроль целостности.
Контроль целостности основан на выполнении двух процедур:
· постановка на учет;
· контроль поставленного на учет.
При внедрении вируса в компьютерную систему обязательно происходят изменения в системе (которые некоторые вирусы успешно маскируют). Это и изменение объема доступной оперативной памяти, и изменение загрузочных секторов дисков, и изменения самих файлов.
Достаточно запомнить характеристики, которые подвергаются изменениям в результате внедрения вируса, а затем периодически сравнивать эти эталонные характеристики с действующими.
3. Эвристический анализ.
Метод, который стал использоваться для обнаружения вирусов сравнительно недавно. Он предназначен для обнаружения новых неизвестных вирусов. Программы, реализующие этот метод, тоже проверяют загрузочные секторы дисков и файлы, только уже пытаются обнаружить в них код, характерный для вирусов. Например, таким может быть код, устанавливающий резидентный модуль в памяти и т.п.
4. Метод резидентного сторожа.
Этот метод направлен на выявление «подозрительных» действий пользовательских программ, например, таких, как запись на диск по абсолютному адресу, форматирование диска, изменение загрузочного сектора, изменение или переименование выполняемых программ, появление новых резидентных программ, изменение системных областей DOS и других. При обнаружении «подозрительного» действия необходимо «спросить разрешение» у пользователя на выполнение такого действия.
5. Вакцинирование программ.
Этот метод заключается в дописывании к исполняемому файлу дополнительной подпрограммы, которая первой получает управление при запуске файла, выполняет проверку целостности программы. Проверяться могут любые изменения, например, контрольная сумма файла или другие характеристики.
Что такое ложные тревоги?
Ложные тревоги делят на два типа:
· ложная позитивная (положительная);
· ложная негативная (отрицательная).
В идеале антивирус должен обнаруживать все возможные вирусы и не должен вызывать ложных тревог.
Типы антивирусных средств
1. Программы-детекторы, или программы-сканеры.
Это наиболее известный и наиболее распространенный вид антивирусных программ. Они осуществляют поиск известных версий вирусов методом сканирования, т.е. поиском сигнатур вирусов. Поэтому программы-сканеры могут обнаружить только уже известные вирусы, которые были предварительно изучены, и для которых была определена сигнатура.
Использование программ-сканеров не защищает компьютер от новых вирусов. Кроме того, такие программы не могут обнаружить большинство полиморфных вирусов, так как для таких вирусов невозможно определить сигнатуру.
Для эффективного использования программ-детекторов, реализующих метод простого сканирования, рекомендуется постоянно обновлять их, получая самые последние версии, так как в них уже будут включены новые типы вирусов.
Программы-сканеры практически не вызывают ложные позитивные тревоги. Если программа сообщила о заражении, то можно быть уверенным, что это действительно так. (Ранние версии иногда ошибались, например, объявляли зараженными файлы других антивирусных программ, находя в них сигнатуры вирусов.)
Но если сканер не обнаружил вирусы в системе, это означает только то, что в системе нет вирусов, на которые он рассчитан.
Антивирусные программы-сканеры, которые могут удалить обнаруженный вирус, называются полифагами.
В последнее время распространяются полифаги, которые кроме простого сканирования в поисках сигнатур вирусов, содержащихся в их вирусной базе, используют еще и эвристический анализ проверяемых объектов на наличие неизвестных вирусов. Они изучают код проверяемых файлов и содержимое загрузочных секторов и пытаются обнаружить в них участки, выполняющие характерные для вирусов действия. Сканеры, использующие эвристический поиск, уже способны обнаружить многие полиморфные и автоматические вирусы, а также некоторые новые неизвестные вирусы (неизвестные самому антивирусу).
2. Программы-мониторы, или резидентные сторожа.
Это целый класс антивирусов, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. С помо щ ью монитора можно остановить распостранение вируса на самой ранней стадии.
Рассмотрим наиболее опасные из «подозрительных» действий :
· низкоуровневое форматирование диска ;
· запись данных в загрузочные секторы жёсткого диска;
Если пользователь не форматировал диски, не изменял метку диска и не устанавливал новую версию ОС, то необходимо отменить операцию и проверить компьютер на наличие вирусов;
· запись данных в загрузочный сектор дискеты;
Если пользователь не форматировал дискету, не изменял её метку (команда LABEL ), не записывал на дискету ОС (командой SYS или другим способом), необходимо отменить операцию и проверить компьютер на наличие вирусов;
· запись данных в исполняемый файл;
. Пользователь должен быть знаком с программным обеспечением своего компьютера.
· Изменение атрибута файла;
Скорее всего это действие вируса. В этом случае пользователь должен проанализировать ситуацию.
Невысокая популярность программ-мониторов объясняется психологическим фактором. Многие программы могут выполнять действия, на которые реагируют мониторы. Большое число запросов мешает пользователю работать. Монитор может «замучить» пользователя, и он его отключит. Мониторы отнимают время на проверку программ во время их запуска, и процесс загрузки программы замедлится. Ещё одним недостатком программ-мониторов является то, что они уменьшают объём памяти, доступной программам пользователей, ведь он должен резидентно находится в памяти.
Поэтому мониторы необходимо применять в следующих случаях:
· запуск новых программ неизвестного происхождения;
· во время подозрения на вирус;
· некоторое время после удаления вируса для исключения его появления вновь.
Большинство распространённых ныне мониторов предназначены для контроля за подключаемыми к компьютеру дисками. Такие мониторы освобождают пользователя от необходимости помнить об обязательном сканировании каждого нового диска или дискеты. Монитор открывает доступ к диску, лишь убедившись в его «чистоте». Так работает, например, монитор McAfee VShield (щит от вирусов) пакета McAfee VirusScan for Windows 9 x ( VirusScan 95). Он также выполняет контроль исполняемых программ и копируемых файлов.
Ревизоры могут обнаружить любые вирусы, даже ранее неизвестные. Но для этого необходимо «поставить на учет” заведомо чистые от вирусов возможные объекты нападения. Кроме этого, ревизор не обнаружит вирус, который попал с новым зараженным уже файлом, так как он «не знает” параметров этого файла до заражения вирусом. Вот когда новый вирус уже заразит другие файлы или загрузочный сектор, он будет обнаружен ревизором. Не сможет ревизор обнаружить вирус, заражающий файлы только при копировании, опять же не имея возможности сравнить параметры файлов. Ревизоры неэффективно использовать для обнаружения вирусов в файлах документов, так как эти файлы очень часто изменяются. Кроме того, следует учитывать, что ревизоры только обнаруживают изменения, но не все изменения связаны с внедрением вируса. Загрузочная запись может измениться при обновлении версии операционной системы, могут измениться командные файлы, некоторые программы могут записывать в свои исполняемые файлы данные, что тоже приводит к изменению файлов, в конце концов, пользователь может просто перекомпилировать свою программу.
Правда, в последнее время ревизоры дополняются базами сигнатур вирусов, и при подозрении на вирус ревизор тут же осуществляет сканирование в поисках вирусов. Такие ревизоры уже более пригодны для использования рядовыми пользователями.
3. Перспективные средства защиты.
К перспективным средствам защиты стоит отнести адаптивные, cамообучающиеся и интеллектуальные средства.
Адаптивные средства развиваются уже сейчас. Это средства, которые содержат постоянно пополняемые базы вирусов.
Cамообучающееся средство должно при обнаружении неизвестного ему вируса автоматически его проанализировать и добавить к списку вирусов, с которыми может успешно бороться.
Интеллектуальные средства защиты основаны на определении алгоритма и спецификации программы по ее коду, и, следовательно, возможности выявления программ, осуществляющих несанкционированные действия. Известны попытки создания интеллектуальных программ-мониторов, которые пытаются различать ложные тревоги, но пока, к сожалению, это приводит к снижению их надежности.
Как показывает теория и подтверждает практика, создание универсальных средств, которые способны противостоять абсолютно всем вирусам, невозможно.
Практически известно, что для любого вируса можно создать антивирус, но не для любого антивируса можно создать вирус, обходящий его. Теоретически это подтвердил Л. Адлеман [1] (кстати, учитель известного Фредерика Коэна). Он доказал, что множество всех вирусов неперечислимо. Но это означает только то, что невозможно создать программу, однозначно решающую, есть ли в предъявленном ей файле вирус или нет.
