Антивирусные программы

Зарождение компьютерных вирусов

О появлении первого компьютерного вируса много разных мнений. Доподлинно только известно, что на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, его не было, а на Univax 1108 и IBM 360/370, в середине 1970-х годов они уже были. Интересно, что идея компьютерных вирусов появилась намного раньше самих персональных компьютеров. Точкой отсчета можно считать труды известного ученого Джона фон Неймана по изучению самовоспроизводящихся математических автоматов, о которых стало известно в 1940-х годах. В 1951 году он предложил способ создания таких автоматов. А в 1959 году журнал Scientific American опубликовал статью Л.С. Пенроуза, посвященную самовоспроизводящимся механическим структурам. В ней была описана простейшая двумерная модель самовоспроизводящихся механических структур, способных к активации, размножению, мутациям, захвату. Позднее другой ученый Ф.Ж. Шталь реализовал данную модель на практике с помощью машинного кода на IBM 650.

Процесс заражения

Упрощенно процесс заражения вирусом программных файлов можно
представить следующим образом.Код зараженной программы обычно вирус получил управление первым,до начала работы программы - вирусоносителя.
При передаче управления вирусу он каким-то способом находит
новую программу и выполняет вставку собственной копии в
начало или добавляет ее в конец этой обычно еще не зараженой
программы. Если вирус дописывается в конец программы, то он
то он корректирует код программы, чтобы получить управление
первым.Для этого первые несколько байтов запоминаются в теле
вируса, а на их место вставляется команда перечода на начало
вируса. Этот способ является наиболее распространенным. По -
лучив управление, вирус восстанавливает "спрятанные" первые
байты, а после обработки своего тела передает управление
программе – вирусоносителю.

Антивирусные программы

Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.

С давних времен известно, что к любому яду рано или поздно

можно найти противоядие. Таким противоядием в компьютерном мире

стали программы, называемые антивирусными. Данные программы мож-

но классифицировать по пяти основным группам: фильтры, детекторы,

ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры - это резидентные программы, которые опо-

вещают пользователя о всех попытках какой-либо программы запи-

саться на диск, а уж тем более отформатировать его , а также о

других подозрительных действиях (например о попытках изменить ус-

тановки CMOS). При этом выводится запрос о разрешении или запре-

щении данного действия. Принцип работы этих программ основан на

перехвате соответствующих векторов прерываний. К преимуществу

программ этого класса по сравнению с программами-детекторами мож-

но отнести универсальность по отношению как к известным,так и

неизвестным вирусам, тогда как детекторы пишутся под конкрет-

ные,известные на данный момент программисту виды. Это особенно

актуально сейчас, когда появилось множество вирусов-мутантов,не

имеющих постоянного кода. Однако, программы-фильтры не могут от-

слеживать вирусы, обращающиеся непосредственно к BIOS, а также

BOOT-вирусы, активизирующиеся ещс до запуска антивируса, в на-

чальной стадии загрузки DOS, К недостаткам также можно отнести

частую выдачу запросов на осуществление какой-либо операции: от-

веты на вопросы отнимают у пользователя много времени и дей-

ствуют ему на нервы. При установке некоторых антивиру-

сов-фильтров могут возникать конфликты с другими резидентными

программами, использующими те же прерывания, которые просто пе-

рестают работать.

Наибольшее распространение в нашей стране получили програм-

мы-детекторы,а вернее программы, объединяющие в себе детектор и

доктор. Наиболее известные представители этого класса - Aidstest,

Doctor Web,MicroSoft AntiVirus.

Антивирусы-детекторы расчитаны на конкретные вирусы и основаны на

сравнении последовательности кодов содержащихся в теле вируса с

кодами проверяемых программ.Такие программы нужно регулярно об-

новлять, так как они быстро устаревают и не могут обнаруживать

новые виды вирусов.

Ревизоры - программы, которые анализируют текущее состояние

файлов и системных областей диска и сравнивают его с информацией,

сохраненной ранее в одном из файлов данных ревизора. При этом

проверяется состояние BOOT-сектора, таблицы FAT, а также длина

файлов, их время создания, атрибуты, контрольная сумма. Анализи-

руя сообщения программы-ревизора, пользователь может решить, чем

вызваны изменения: вирусом или нет. При выдаче такого рода сооб-

щений не следует предаваться панике, так как причиной изменений,

например, длины программы может быть вовсе и не вирус

К последней группе относятся самые неэффективные антивирусы -

вакцинаторы. Они записывают в вакцинируемую программу признаки

конкретного вируса так, что вирус считает ее уже зараженной.