Программные средства борьбы с вирусами

К настоящему Бремени разработана довольно широкая и пол­ная система программных средств борьбы с вирусами. Это программы-фаги (сканеры), программы-ревизоры, программы-мониторы, программы-вакцины (иммунизаторы).

Самыми популярными и эффективными антивирусными про­граммами считаются антивирусные фаги (иначе эти программы называются сканерами или полифагами) и ревизоры (CRC скане­ры). Часто обе приведенные разновидности объединяются в одну универсальную антивирусную программу, что значительно повы­шает ее мощность. Реже используют различного типа мониторы (блокировщики) и вакцины (иммунизаторы). Следует, однако, иметь в виду, что, в принципе, нельзя создать универсальное и абсолютно надежное средство борьбы со всеми существующими и будущими вирусами.

Программы-фаги. Принцип работы антивирусных программ-фагов (сканеров) основан на проверке файлов, секторов и си­стемной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вируеов используются маски или, как их еще называют, сищатуры-— некоторая посто­янная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. На­пример, перебор всех возможных вариантов кода вирусов. Этот способ эффективно используется для детектирования полиморф­ных вирусов.

Во многих полифагах используются алгоритмы эвристического сканирования, т. е. анализ последовательности команд в проверя­емом объекте, набор некоторой статистики и принятие мягкого решения («возможно, заражен» или «не заражен») для каждого проверяемого объекта.

К достоинствам сканеров относится их универсальность, к не­достаткам — низкая скорость сканирования, а также необходи­мость постоянного обновления антивирусных баз.

Принцип работы типичного алгоритма сканирования сводится к следующему. После загрузки с дискеты, на которой операцион­ная система гарантированно свободна от вируса, программа про­веряет дерево каталогов диска, логическое имя которого указыва­ется в виде параметра при запуске. При нахождении *.ехе или *.сот модуля проверяется его длина. Если длина модуля больше 4 Кбайт, в теле программы ищется сигнатура вируса по соответствующему смещению. Если вирус найден, восстанавливаются скрытые в теле вируса байты начала модуля, после чего длина файла уменьшает­ся на длину вируса и вирус удаляется из зараженного модуля. После этого восстанавливаются исходные время и дата создания файла.

Программы-ревизоры. Они подсчитывают контрольные суммы для присутствующих на диске файлов и системных секторов. Эти суммы сохраняются в базе данных антивируса вместе с некоторой другой информацией: размерами файлов, датами их последней модификации и т.п. При последующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе дан­ных, не совпадает с реальными значениями, ревизоры сигнали­зируют о том, что файл был изменен или заражен вирусом.

Ревизоры, использующие антиСТЕЛС алгоритмы, являются довольно сильным оружием против вирусов: практически 100 % вирусов оказываются обнаруженными почти сразу после их по­явления в компьютере. Существенным недостатком таких средств борьбы с вирусами является то, что программы-ревизоры рас­познают наличие вируса в системе уже после его распростране­ния. Кроме того, они не распознают вирусы в новых, только что полученных или записанных файлах, поскольку в их базах дан­ных отсутствует информация об этих файлах. Периодически по­являются вирусы, которые используют эту слабость ревизоров, заражая только вновь создаваемые файлы. Такие вирусы остают­ся невидимыми.

Программы-мониторы. Антивирусные мониторы — это резиден­тные программы, перехватывающие вирусоопасные ситуации и сообщающие об их возникновении. К вирусоопасным относятся вызовы на открытие для записи в выполняемых файлах, запись в загрузочные секторы дисков, попытки программ остаться рези­дентно. Иначе говоря, вызовы генерируются вирусами в моменты их размножения.

К достоинствам программ-мониторов относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что бывает очень полезно в случаях, когда давно известный вирус постоянно «выползает неизвестно откуда». К не­достаткам относятся существование путей обхода защиты мони­тора и большое количество ложных срабатываний. Существуют аппаратные реализации некоторых функций мониторов, в том чи­сле встроенные в BIOS. Однако, как и в случае с программными мониторами, такую защиту легко обойти прямой записью в пор­ты контроллера диска, а запуск DOS утилиты FDISK немедленно вызывает ложное срабатывание защиты.

Программы-вакцины. Антивирусные вакцины (иммунизаторы) подразделяются на два типа: сообщающие о заражении и блоки­рующие заражение каким-либо типом вируса. Первые обычно за­писываются в конец файлов (по принципу файлового вируса), и при запуске файла каждый раз проверяют его на предмет обнару­жения изменений. Недостаток у таких вакцин один, но он летален: абсолютная неспособность вакцины сообщить о заражении СТЕЛСвирусом. Поэтому такие иммунизаторы, как и мониторы, в настоящее время практически не используются.

Второй тип вакцин защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженными. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске заражен­ной программы, вирус распознает вакцину как свою резидент­скую копию и не активизируется. Такой тип вакцинации не может быть универсальным, поскольку при его помощи нельзя иммуни­зировать файлы от всех известных вирусов. Однако несмотря на это подобные программные средства в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного ви­руса вплоть до того момента, когда он будет детектироваться ан­тивирусными сканерами.

Антивирусные программные комплексы. Всовременных условиях лишь они могут обеспечить надежную защиту от вирусных про­грамм, отличающихся большим разнообразием принципов пост­роения и функционирования. Обычно современные антивирусные программные комплексы включают в свой состав монитор, ска­нер, ревизор и планировщик.

Планировщик используется для координации работы разных компонентов антивирусного пакета и планирования антивирус­ных мероприятий в вычислительной системе.

Вакцина вследствие своей естественной ограниченности исполь­зования низкой универсальности в настоящее время практически не применяется.