Методы обнаружения вирусов

Известны следующие методы обнаружения вирусов:

1. сканирование;
2. обнаружение изменений;
3. эвристический анализ;
4. использование резидентных сторожей;
5. вакцинирование программ;
6. аппаратно-программная защита от вирусов.

1 Сканирование – это один из самых старых и простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса - сигнатуры. Программа фиксирует наличие уже извест­ных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру.

Недостатки:

1. Умение определять только уже известные вирусы
2. Не способность противостоять проникновению вирусов и прпятствооать их вредительским действиям
3. Неспособность обнаружить полиморфные и стелс-вирусы.

Самой известной программой-сканером в России является Aidstest Дмитрия Лозинского.

2 Метод обнаружения изменений - базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно раз­мещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характери­стики, получаемые при контроле областей дисков. По результатам ревизии программа выдает сведения о предположительном нали­чии вирусов.

Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров. Могут контролировать­ся также объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.

Достоинство - является возможность обнару­жения вирусов всех типов, а также новых неизвестных вирусов (обнаруживают даже «стелс»-вирусы). Например, программа-ревизор Adinf, разработанная Д. Ю Мостовым

Недостаток - программ-ревизоров невозможно определить вирус в файлах, которые по­ступают в систему уже зараженными (например, обнаружения зараже­ния макровирусами).

3 Эвристический анализ - как и метод обнаружения изме­нений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения ин­формации о файловой системе.

Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. Эври­стические анализаторы при обнаружении «подозрительных» ко­манд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.

Эвристический анализатор имеется, например, в ан­тивирусной программе Doctor Web.

4 В методе резидентных сторожей используются антивирусные программы, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. Резидентный сторож сообщит пользователю о том, что какая-либо программа пытается изменить загрузочный сектор жесткого диска или дискеты, а также выполнимый файл.

Существенным недостатком данного метода является значи­тельный процент ложных тревог, что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей.

5 Вакцинация программ. Под вакцинацией программ понимается создание специально­го модуля для контроля ее целостности. В качестве характеристи­ки целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обна­руживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением «стеле»- вирусов.

Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее.

Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе.

В последней, в свою очередь, сначала управление получит вакцина, которая выполнит проверку соответствия заполненных ею характеристик аналогичным характеристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакцинированной программы вирусом.

6 Постоянный мониторинг. Программы-мониторы имеют одно коренное отличие от других антивирусов. Дело в том, что они работают резидентно, то есть постоянно загружены в память компьютера. В задачу монитора входит проверка всех уязвимых файлов, к которым обращается любое приложение операционной системы.

В принципе, это самый удобный для пользователя вариант. И действительно, не нужно постоянно помнить о необходимости проверки новых файлов. Не нужно терять время в ожидании, пока сканер проверит все файлы на жестком диске. Программы-мониторы работают постоянно и незаметно для пользователя. Хотя, с другой стороны, любое резидентное приложение, тем более такое "активное", требует дополнительных затрат системных ресурсов. Поэтому на старых слабых компьютерах антивирусные мониторы могут стать причиной замедленной работы ПК. Второй важный плюс постоянного мониторинга помимо удобства для пользователей - это надежность. И действительно, этот метод, в отличие от остальных, позволяет определить и обезвредить вирус еще до того, как он приступил к своей разрушительной деятельности.

Монитор "перехватывает" обращения операционной системы к файлам и сначала проверяет их. При этом используются оба описанных выше метода - поиск известных сигнатур и эвристический анализ. Если в результате проверки монитор обнаруживает вирус, то доступ к файлу блокируется, а пользователю выдается специальное сообщение с предложением выбрать необходимое действие (попытаться вылечить файл, удалить его, поместить в специальную папку и т. п.). Ну а если объект "чист", то монитор ничего не делает, а приложение, обращавшееся к нему, продолжает свою работу.