§ 3. Антивирусные
средства защиты информации
Одним из новых факторов, резко повысивших уязвимость данных,
хранящихся в компьютерных системах, является массовое производство
программно-совместимых персональных компьютеров, которое можно назвать одной
из причин появления нового класса программ вандалов — компьютерных вирусов.
Компьютерный вирус — это специально
написанная программа, способная самопроизвольно присоединяться к другим программам,
создавать свои копии и внедрять их в системные файлы, файлы других программ,
вычислительные файлы в целях нарушения работы программ, порчи файлов и
каталогов, создания всевозможных помех в работе персонального компьютера. На
сегодняшний день дополнительно к тысячам уже известных вирусов появляется 100—
150 новых штаммов ежемесячно.
Учитывая алгоритмы работы и способы
воздействия вирусов на программное обеспечение, их можно условно классифицировать
последующим признакам.
По среде обитания:
•
файловые вирусы, поражающие исполняемые файлы, т.
е. файлы с расширением .com, .схе. sys, .bat;
• вирусы, поражающие загрузочные секторы:
• сетевые, распространяющиеся по компьютерным сетям;
• драйвернме, поражающие драйвера устройств.
По особенностям алгоритма:
• простейшие вирусы паразитические, они изменяют содержимое файлов и
секторов диска и могут быть достаточно легко обнаружены и уничтожены;
• вирусы-репликаторы (черви) — распространяются по компьютерным сетям,
вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии:
• вирусы-невидимки (стелс-вирусы) — перехватывают обращения операционной
системы к пораженным файлам и секторам дисков и подставляют вместо своего тела
незараженные участки диска;
• вирусы-мутанты, содержат алгоритмы шифровки—расшифровки. благодаря
которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки
байтов;
• квазивирусные или «троянские» программы маскируются пол полезную
программу и разрушают загрузочный сектор и файловую систему дисков. Не способны
к самораспростра- нению. но очень опасны.
По способу заражения:
• резидентный вирус — при заражении (инфицировании) компьютера оставляет
в оперативной памяти свою резидентную часть, которая потом перехватывает
обращение операционной системы к объектам заражения (файлам, загрузочным
секторам дисков и т. и.) и внедряется в них. Резидентные вирусы находятся в
памяти и являются активными вплоть до выключения или перезагрузки компьютера;
• нерезидентные вирусы не заражают память компьютера и являются
активными ограниченное время.
По деструктивным особенностям:
• неопасные, не мешающие работе компьютера, но уменьшающие объем
свободной оперативной памяти и памяти на дисках, действия таких вирусов
проявляются в каких-либо графических или звуковых эффектах;
• опасные вирусы, которые могут привести к различным нарушениям в работе
компьютера:
• очень опасные, воздействие которых может привести к потере программ,
уничтожению данных, стиранию информации в системных областях диска.
Каким бы ни был вирус,
пользователю необходимо знать основные методы защиты от компьютерных вирусов:
• общие средства зашиты информации, которые полезны также и как страховка
от физической порчи дисков, неправильно работающих программ или ошибочных
действий пользователя. К ним относится копирование информации — создание копий
файлов и системных областей дисков и разграничение доступа;
• профилактические меры, позволяющие уменьшить вероятность заражения
вирусом: работа с дискетами, защищенными от записи, минимизация периодов
доступности дискетки для записи, раздельное хранение вновь полученных и эксплуатировавшихся
ранее программ, хранение программ на «винчестере» в архивированном виде;
• организационные меры, состоящие в обучении персонала; обеспечение
физической безопасности компьютера и магнитных носителей; создание и отработка
плана восстановления «винчестера» и др;
• специализированные программы для защиты
от вирусов.
Поскольку использование антивирусных
программ является основным средством зашиты информации от компьютерных вирусов,
то данный вопрос рассмотрим более подробно.
Выделяют следующие виды антивирусных
программ: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и
вакцины (иммунизаторы).
Программы-детекторы позволяют
обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти
программы проверяют, имеется ли в файлах на указанном пользователем диске
специфическая для данного вируса комбинация байтов. При ее обнаружении в
каком-либо файле на экран выводится соответствующее сообщение. Многие
детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует
подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые
ей «известны». Некоторые программы-детекторы, например Norton AntiVirus или AVSP фирмы «Диалог-МГУ», могут настраивать на
новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие
этим вирусам. Тем не менее невозможно разработать такую программу, которая
могла бы обнаруживать любой заранее неизвестный вирус.
Большинство программ-детекторов имеют
функцию «доктора», т. с. они пытаются вернуть зараженные файлы или области
диска в их исходное состояние. Те файлы, которые не удалось восстановить, как
правило, делаются неработоспособными или удаляются.
Программы-ревизоры имеют две стадии
работы. Сначала они запоминают сведения о состоянии программ и системных областей
дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска).
Предполагается, что в этот момент программы и системные области дисков не
заражены. После этого с помощью программы-ревизора можно в любой момент
сравнить состояние программ и системных областей дисков с исходным. О выявленных
несоответствиях сообщается пользователю.
Чтобы проверка состояния программ и
дисков проходила при каждой загрузке операционной системы, необходимо включить
команду запуска программы-ревизора в командный файл autoexec.bat. Это позволяет
обнаружить заражение компьютерным вирусом, когда он еше не успел нанести
большого вреда. Более того, та же программа-ревизор сможет найти поврежденные
вирусом файлы.
Многие программы-ревизоры являются
довольно «интеллектуальными» — они могут отличать изменения в файлах,
вызванные, например, переходом к новой версии программы, от изменений, вносимых
вирусом, и не поднимают ложной тревоги. Другие программы часто используют
различные полумеры — пытаются обнаружить вирус в оперативной памяти, требуют
вызовы из первой строки файла autoexec.bat, надеясь работать на «чистом* компьютере, и т.
д. Увы, против некоторых «хитрых» вирусов все это бесполезно.
В последнее время появились очень
полезные гибриды ревизоров и докторов, т. е. Доктора-ревизоры — программы,
которые не только обнаруживают изменения в файлах и системных областях дисков,
но и могут в случае изменений автоматически вернуть их в исходное состояние.
Такие программы могут быть гораздо более универсальными, чем программы
-доктора, поскольку при лечении они используют заранее сохраненную информацию о
состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от
тех вирусов, которые не были созданы на момент написания программы.
Существуют также программы-фильтры,
которые располагаются резидентно в оперативной памяти компьютера и
перехватывают те обращения к операционной системе, которые используются вирусами
для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь
может разрешить или запретить выполнение соответствующей операции.
Программы-вакцины, или иммунизаторы,
модифицируют программы и диски таким образом, что это не отражается на работе
программ, но тот вирус, от которого производится вакцинация, считает эти
программы или диски уже зараженными. Эти программы крайне неэффективны.
В настоящее время разделение антивирусных
программ на виды не является жестким, многие антивирусные программы совмещают
различные функции. Производители антивирусных программ начали создавать не
просто программы антивирусы, а комплексные средства для борьбы с вирусами.
Одна из наиболее популярных и наиболее универсальных антивирусных программ — DoctorWeb, антивирус Касперского Personal Pro. Norton AntiVinis Professional Edition. Это универсальные и перспективные антивирусные программы, сочетающие
функции антивирусного сканера, резидентного сторожа и доктора.
В качестве перспективного подхода к
защите от компьютерных вирусов в последние годы все чаще применяется сочетание
программных и аппаратных методов защиты. Среди аппаратных устройств такого
плана можно отметить специальные антивирусные платы, которые вставляются в
стандартные слоты расширения компьютера.
Оставьте свой комментарий
Авторизуйтесь, чтобы задавать вопросы.