И 2 ПОКОЛЕНИЯ ОС. 4 страница

В системах с Кэш-памятью каждый запрос к RAM выполняется в соответствии со следующим алгоритмом:

1) Просматривается содержимое Кэш-памяти с целью определения, не находятся ли нужные данные в Кэш-памяти.

2) Кэш-память не является адресуемой, поэтому поиск происходит по значению адреса данных в RAM, который берется из запроса к RAM.

3) Если данные содержатся в Кэш-памяти, то они считываются из нее и передаются в процессор.

4) Если нужных данных нет, то они копируются в нее из RAM вместе с адресом, а результат затем передается в процессор.

5) Если в Кэш-памяти не оказалось свободного места, тогда выбирается запись в Кэш-памяти, к которой за последний период времени было меньше всего обращений, и она удаляется, а на ее место записывается новая.

На практике в Кэш-память считывается не один элемент данных, а целый блок данных, что увеличивает вероятность нахождения данных в Кэш-памяти. В реальных системах вероятность нахождения нужных данных в Кэш-памяти равна 0,9. Это связано с тем, что у данных имеются объективные свойства: пространственная и временная локальность.

Структура Кэш-памяти.
Адрес данных в RAM	Данные	Управляющая информация
Бит модификации	Бит обращения

Пространственная локальность означает, что если произошло обращение по некоторому адресу, то с большой долей вероятности можно считать, что в ближайшее время произойдет обращение по соседнему адресу.

Временная локальность означает, что если произошло обращение по некоторому адресу, то с большой долей вероятности можно считать, что обращение по этому же адресу произойдет в ближайшее время.

Кэш-память может работать и по отношению к другим парам запоминающих устройств (например, ОЗУ – ВЗУ).

ПОНЯТИЕ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ. ОСНОВНЫЕ ФУНКЦИИ.

По мере компьютеризации общества все больше и больше данные переносятся в электронную форму. Некоторые данные являются конфиденциальными по своей природе. Например, банковские счета, истории болезней и т.д. Существует очень большое количество причин, по которым пользователь желает, чтобы его информация была скрыта от посторонних глаз.

Совершенствование средств доступа к данным и их совместного использования порождает дополнительные возможности несанкционированного доступа. Ярким примером этого являются современные компьютерные сети, которые предоставляют доступ к огромному объему информации. Однако пользователи и организации, подключающиеся к глобальным компьютерным сетям, подвергают информацию, хранящуюся на и компьютерах, серьезной угрозе.

Эта угроза заключается в том, что в таких сетях очень сложно обнаружить злоумышленника, даже если обнаружен сам факт взлома. Поэтому проблема информационной безопасности является одной из важнейших задач, которые должна решать ОС.

Идеальная система безопасности должна обеспечивать полностью прозрачный санкционированный доступ к данным и непреодолимые трудности при попытках несанкционированного доступа. Кроме того, такая система должна предоставлять гибкие способы управления доступом, что облегчает возможность отслеживать все попытки несанкционированного доступа. В настоящее время не существует теории безопасности для вычислительных систем, что объясняется большой сложностью проблемы. Т.к. доступ к данным может быть получен не только за счет взлома системы, но и за счет хищения компьютера, подкупа сотрудников, имеющих доступ к этим данным.

Идеальная система безопасности физически не реализуема, а на практике при построении систем безопасности исходят из экономической целесообразности. Это означает, что система безопасности должна быть достаточно сложной для того, чтобы выгоды потенциального взломщика были ниже затрат на преодоление защиты.

УГРОЗЫ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ.

С позиции безопасности, компьютерная система должна решать 3 основные задачи:

1) Конфиденциальность. Если владелец данных решил, что эти данные будут доступны только определенному кругу лиц, то система должна гарантировать, что к этим данным не смогут получить доступ лица, не входящие в этот круг.

2) Целостность данных. Целостность данных означает, что неавторизированные пользователи не должны иметь возможности изменять данные без разрушения владельца, т.е. изменять, удалять или добавлять фальшивые данные.

3) Доступность системы. Это означает, что никто не может вывести систему из строя. В настоящее время одним из наиболее распространенных способов вывода из строя узлов Интернет являются атаки, которые называются «отказ в обслуживании». Для этого, злоумышленники посылают на данный узел такое огромное число запросов, что он не в состоянии и обработать и, поэтому, становится недоступен. Эти атаки называются DdoS-атаки. Для этого нужно иметь несколько компьютеров и специальные программы.

ТИПЫ ЗЛОУМЫШЛЕННИКОВ.

Люди, которые пытаются получить несанкционированный доступ к данным, в компьютерной литературе называются злоумышленниками. Существует 2 категории злоумышленников: пассивные и активные. Пассивные пытаются получить информацию. Активные пытаются ее изменить.

Наиболее распространенными категориями злоумышленников являются:

1) Случайные любопытные пользователи, не применяющие специальные технические средства для доступа к данным.

2) Отдельные люди, а также члены некоторых организаций, которые считают для себя взлом системы компьютерной безопасности личным вызовом. К этому типу обычно относятся различного рода компьютерные специалисты. Это, как правило, высококвалифицированные люди, которые посвящают взлому компьютерных систем достаточно продолжительное время. К этому же типу людей относят команды специалистов, которые тестируют системы безопасности.

3) Люди, которые взламывают КС для обогащения. Это те, кто взламывают банковские системы, номера кредитных карточек.

4) Люди, которые занимаются военным и коммерческим шпионажем.

5) Еще одним видом злоумышленников являются компьютерные программы, которые называются компьютерными вирусами. Вирусы – это особый вид программ, которые обладают способностью к самовоспроизведению, и могут наносить компьютерной системе различный урон.

Помимо угроз со стороны злоумышленников, существует возможность потери данных от различного рода случайностей. К ним относятся:

1) Уничтожение данных в результате пожаров, наводнений и других стихийных бедствий.

2) Различного рода сбои и ошибки аппаратуры компьютера.

3) Человеческие ошибки.

Все эти проблемы решаются путем резервного копирования данных.

АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ.

Когда пользователь хочет приступить к работе на компьютере, в большинстве ОС ему необходимо пройти процедуру регистрации. Процедура регистрации происходит при помощи процесса, который называется аутентификация пользователя. Впервые аутентификация пользователей появилась уже в ОС второго поколения.

Большинство методов аутентификации основаны на распознавании:

1) Чего-то, известного пользователю.

2) Чего-то, имеющегося у пользователя.

3) Чего-то, чем является пользователь.

На этих трех принципах построены различные системы аутентификации, обладающие различными степенями сложности и характеристиками безопасности.

АУТЕНТИФИКАЦИЯ С ИСПОЛЬЗОВАНИЕМ ПАРОЛЯ.

В этом методе аутентификации для регистрации пользователя в системе необходимо соответствие двух символьных последовательностей:

1) Login

2) Password

Этот метод является наиболее простым, т.к. для его применения не требуется никакого дополнительного оборудования. Использование пароля базируется на трех предположениях:

1) Пользователь может запомнить свой пароль

2) Никто не сможет догадаться, какой пароль используется

3) Пользователь никому не сообщает свой пароль

Этот метод имеет существенные недостатки: первые два пункта противоречат друг другу, т.к. количество легко запоминающихся слов ограничено, и перебрать всевозможные случаи достаточно просто. На этом основываются программы-взломщики.

Вид атаки, в котором перебираются все возможные пароли, называется словарной атакой. Возможности словарной атаки были продемонстрированы в 1987 году студентом Робертом Моррисом. Разработанная Моррисом программа, червь Морриса, использовала словарную атаку и последующий вход в систему с целью заполнения всей ОЗУ этой самой программой.

После входа в систему, червь создавал многочисленные свои копии, которые и заполняли всю ОЗУ. При подборе пароля, червь Морриса использовал следующие варианты:

1) Входное имя пользователя

2) Входное имя пользователя задом на перед

3) Компонент полного имени пользователя (имя, фамилия и т.д.)

4) Эти же элементы, но задом на перед

А пароли подбирал из заранее заданной таблицы. Такая таблица строится на основании статистики наиболее употребляемых слов.

Для усложнения доступа пытаются усложнить пароль. Самый простой вариант – использовать строчные и прописные буквы. Это позволяет увеличить число переборов в 2n, где n – число символов имени. Также, использование в пароле небуквенных символов еще больше увеличивает число возможных переборов в пароле. Современные ОС требуют, чтобы длина пароля была не менее 6 символов.

Использование букв разных регистров, достаточной длины и цифр приводит к подбиранию пароля в течение нескольких дней.

Следующий метод защиты основан на том, что ограничивается число попыток входа в систему. Как правило, это не более 3-х раз. И, наконец, последняя ступень защиты – это оповещение администратора системы о попытках неудачного входа в систему.

Современные ОС позволяют достаточно надежно обеспечивать защиту при помощи пароля. Однако при этом существует проблема безопасного хранения базы данных паролей. Если администратор системы будет иметь доступ к паролям пользователей, то злоумышленник, выдающий себя за администратора или имеющий его права, также может получить доступ. Для обеспечения секретности паролей, обычно используют шифрование паролей. Обычно, такое шифрование является односторонним. Такое шифрование называется хеширование.

В этом способе шифрования по зашифрованному значению нельзя узнать исходное слово. При вводе пароля аутентификация сравнивает код с тем, что хранится в базе данных.

В ранних версиях Unix база зашифрованных паролей хранилась в файле, доступном для всех пользователей. Но червь Морриса продемонстрировал, что для подбора пароля не нужно перебирать всевозможные комбинации символов, т.к. пользователи в качестве паролей выбирают ограниченный набор слов.

Процесс, имеющий возможность непосредственно читать базу данных закодированных паролей может осуществлять подбор, не обращаясь к процессу аутентификации. В настоящее время шифры паролей хранятся в специальном файле, недоступном для чтения. А все способы получения несанкционированного доступа к базам данных паролей называют дырами в системе безопасности.

АУТЕНТИФИКАЦИЯ С ИСПОЛЬЗОВАНИЕМ ФИЗИЧЕСКОГО ОБЪЕКТА.

Заключается в проверке некоторого физического объекта, который есть у пользователя. Самым простым видом данного способа аутентификации являются металлические дверные ключи. В настоящее время таким физическим объектом являются пластиковые карты. Пользователь должен вставить пластиковую карту в устройство для считывания информации и ввести пароль, чтобы предотвратить использование потерянной или украденной карты.

В качестве пароля используется pin-код. Как правило, pin-код состоит из 4 цифр. Существует 2 основные разновидности пластиковых карт:

1) Магнитные

2) С микросхемой

Магнитные карты хранят около 140 байт информации, записанной на магнитную ленту, прикрепленную к пластику. На этой карте хранится различная информация, в том числе имя пользователя, его pin-код, и т.д.

Дешевые, следовательно, широко распространенные, пластиковые карты, содержащие микросхему, делятся на 2 типа:

1) Карты, хранящие информацию

2) Смарт-карты

Карты, хранящие информацию, содержат встроенную микросхему, которая представляет из себя электрически стираемое, перепрограммируемое ПЗУ. Т.к. в этой карте нет микропроцессора, то она может обмениваться информацией только с внешним процессором. Наиболее широко известный пример – телефонная карточка. Такие карты можно использовать для аутентификации доступа.

В настоящее время наибольший V работ в сфере безопасности производится со смарт-картами. В эти карты встраивается 8-ми разрядный CPU, работающий с тактовой частотой 4 MHz, 16 Кб ПЗУ, 512 Кб ОЗУ и каналом связи с V 9600 бит в секунду. Причем постоянно происходит совершенствование этих карт. Эти карты являются самыми дорогими среди пластиковых карт, но и обладают большими возможностями. С использованием смарт-карт могут применяться различные схемы аутентификации. Самый простой, работающий на протоколе «отзыв-отклик», работает следующим образом:

1) Центральный компьютер-сервер посылает случайное 512-разрядное число смарт-карте.

2) Она добавляет к нему 512-разрядный пароль, хранящийся в ПЗУ.

3) Возводит эту сумму в квадрат, и средние 512 бит посылаются обратно на сервер, которому известен пароль пользователя.

4) Сервер производит те же самые операции и сравнивает полученные результаты, тем самым, проверяя правильность пароля.

Если даже злоумышленник, перехватывает информацию, которая передается между смарт-картой и сервером, то он не может определить по ней пароль, т.к. в следующий раз сервер пошлет карте другое 512-разрядное число.

Раскрыть пароль смарт-карты могут только хорошо подготовленные специалисты при анализе энергопотребления карты. Эксперт, обладающий соответствующим оборудованием, наблюдая за потреблением картой электрической мощностью, может вычислить пароль.

АУТЕНТИФИКАЦИЯ С ИСПОЛЬЗОВАНИЕМ БИОМЕТРИЧЕСКИХ ДАННЫХ.

Основывается на использовании некоторых особенностей пользователя, которые трудно подделать. В настоящее время такими характеристиками являются отпечатки пальцев, характеристики радужной оболочки глаза и тембр голоса.

Работа типичной биометрической системы состоит из 2-х этапов:

1) Внесение пользователя в список

2) Идентификация пользователя

Во время первого этапа снимается физическая характеристика пользователя и оцифровывается. Затем из оцифрованной информации извлекаются существенные особенности, которые хранятся в базе данных, хранящейся на локальном компьютере (например, laptop, в который для входа необходимы отпечатки пальца) или на центральном компьютере.

На втором этап производится идентификация пользователя. Он вводит свое имя, и система производит замеры физических характеристик пользователя. Если новое совпадает со значением из базы данных, то пользователь идентифицируется.

Среди способов аутентификации с использованием биометрических данных самым точным является идентификация по радужной оболочке глаза, т.к. у каждого человека неповторимый рисунок сосудов на радужной оболочке глаза. Измерение можно проводить с расстояния в 1 метр.

Существуют и другие биометрические методы.

АТАКИ ИЗНУТРИ СИСТЕМЫ. «ТРОЯНСКИЙ КОНЬ». ФАЛЬШИВЫЕ ПРОГРАММЫ РЕГИСТРАЦИИ.

Атаки изнутри системы – это атаки со стороны уже зарегистрированных в системе пользователей, либо взломщиков, либо законных пользователей со злым умыслом против кого-нибудь.

ТРОЯНСКИЕ КОНИ.

Это один из наиболее распространенных видов атак, который появился еще в начале 80-х годов. Троянский конь представляет собой программу, внешне привлекательную по ее названию, которая вместе с полезными функциями может выполнять неожиданные вредные действия. Этими действиями может быть удаление или шифрование файлов, передача данных по сетям и т.д.

В настоящее время такого рода программы в основном распространяются через Интернет, и часто включаются в состав каких-либо полезных программ. Обычно это: игры, проигрыватели музыкальных файлов и т.д.

Основным отличием троянов от других вредоносных программ является то, что пользователь сам устанавливает их на компьютере, и сам запускает. При этом не требуется взлом системы безопасности.

ФАЛЬШИВЫЕ ПРОГРАММЫ РЕГИСТРАЦИИ.

Фальшивые программы регистрации работают следующим образом: при входе в систему пользователю необходимо ввести логин и пароль. Для этого на экране выводится специальное окно регистрации.

Злоумышленник создает программу, которая при попытке регистрации выводит на экран свое окно регистрации в точности такое же, как и настоящее. Пользователь вводит в него логин и пароль, и получает при этом сообщение об ошибке, и на экране появляется настоящее окно регистрации.

Введенные в фальшивое окно данные сохраняются в специальном файле, а фальшивая программа регистрации сама себя уничтожает. Таким образом, злоумышленник может получать информацию о доступе в систему.

Методом защиты от фальшивых программ регистрации является, например, ситуация, когда настоящая программа регистрации запускается при нажатии какой-либо комбинации клавиш.

АТАКИ ИЗНУТРИ СИСТЕМЫ. ЛОГИЧЕСКАЯ БОМБА. ПОТАЙНЫЕ ДВЕРИ.

ЛОГИЧЕСКИЕ БОМБЫ.

Логическая бомба представляет собой программу, созданную одним из сотрудников данного предприятия или фирмы, и тайно установленную им в ОС. До тех пор, пока пользователь, установивших эту программу входит в систему и регистрируется там, логическая бомба не предпринимает никаких действий. Если этого пользователя увалят или он будет не допущен в систему, то через некоторое время эта программа начнет действовать.

Существует много разных вариантов таких действий. Самый знаменитый из них: логическая бомба проверяла наличие пользователя с такой фамилией в платежной ведомости. Когда пользователя там не оказалось, то были отформатированы жесткие диски.

ПОТАЙНЫЕ ДВЕРИ.

Этот способ заключается в следующем: для этого в систему внедряется специальная программа, которая позволяет обойти процедуру регистрации. Для пользователя с неким конкретным логином устанавливается вход в систему независимо от того, какой введен пароль.

АТАКИ СИСТЕМЫ СНАРУЖИ. ПОНЯТИЕ КОМПЬЮТЕРНОГО ВИРУСА. ПОРЯДОК ЗАРАЖЕНИЯ.

В настоящее время атаки снаружи представляют из себя значительно большую часть всех атак систем компьютерной безопасности.

Как правило, атака снаружи представляет из себя передачу либо по сети, либо с внешнего носителя на компьютер некоторой программы, которая при выполнении наносит компьютеру и данным ущерб.

Основную часть таких программ составляют вирусы и компьютерные черви.

ПОНЯТИЕ КОМПЬЮТЕРНОГО ВИРУСА.

Компьютерный вирус – это программа, которая может самовоспроизводиться путем приписывания себя к другим программам, а так же записываться в специальные служебные области магнитного диска и может производить на компьютере различные нежелательные действия.

Идея компьютерных вирусов тесно связана с идеей о самовоспроизводящихся механизмах, которые предложил в 50-х годах XX века математик Норберт Винер. В начале 70-х годов прошлого века группа итальянских математиков для проверки этой идеи создала программу, которая обладала возможностью размножаться путем приписывания себя к другим программам.

Об этой программе была опубликована статья в научном журнале, и считается, что она послужила источником для создания вирусов. Наибольшее распространение вирусы получили в связи с массовым выпуском ПК и созданием компьютерных сетей.

ПОРЯДОК ЗАРАЖЕНИЯ.

Сценарий заражения компьютерным вирусом упрощенно можно представить следующим образом:

1) Зараженная вирусом программа через сеть или при помощи копирования файла с ВЗУ попадает на компьютер.

2) При запуске такой программы на компьютере первым получает управление вирус.

3) Он ищет в памяти незараженные программы, и приписывает себя к ним, а затем управление передается основной программе.

4) Вредоносные действия вирус проявляет либо сразу, либо через какое-то определенное количество времени.

ВИРУСЫ-КОМПАНЬОНЫ. ВИРУСЫ, ЗАРАЖАЮЩИЕ ИСПОЛНЯЕМЫЕ ФАЙЛЫ.

Существует 7 основных разновидностей вирусов, отличающихся друг от друга тем, что они заражают:

ВИРУСЫ-КОМПАНЬОНЫ.

Эта разновидность вирусов не заражает программу, а запускается вместо них. Пример: в ОС MS-DOS вводят в командной строке имя какой-нибудь программы. При этом MS-DOS вначале ищет файл с именем prog.com. Расширение.com имеют программные файлы определенного формата. V таких файлов ограничен 64 Кб. В настоящее время файлы с расширением com практически не создаются и не используются. Злоумышленник знает, что под таким именем есть популярная программа, которая часто используется при работе в MS-DOS. Поэтому он создает программу с именем prog.com, которая вначале запустится, выполнит свою работу, а затем передаст управление программе prog.exe.

ВИРУСЫ, ЗАРАЖАЮЩИЕ ИСПОЛНЯЕМЫЕ ФАЙЛЫ.

Это вирусы, которые заражают файлы с расширением exe и com. В ОС MS-DOS наиболее опасным является заражение файла command.com. Т.к. этот файл взаимодействует со всеми программными файлами, которые запускаются в ОС MS-DOS. Наиболее простым видом такого типа вирусов являются вирусы, которые записывают себя поверх исполняемого файла. Но такие вирусы легко обнаружить, т.к. программный файл перестает работать. Большая часть такого рода вирусов приписывают себя либо в начало, либо в конец файла. Если вирус приписывается в конец файла, то он изменяет структуру файла таким образом, что при запуске первым получает управление. Среди этого типа вирусов наибольшее распространение получили вирусы, которые заражают файлы exe. Затем вирусы, которые заражают exe и com файлы. И последние вирусы, которые заражают только com файлы.

РЕЗИДЕНТНЫЕ ВИРУСЫ. БУТОВЫЕ ВИРУСЫ.

РЕЗИДЕНТНЫЕ ВИРУСЫ.

Резидентные вирусы – это разновидность вирусов, которые постоянно находятся в памяти. Продвинутые разновидности этих вирусов могут даже изменять карту памяти таким образом, чтобы ОС не могла использовать те участки памяти, в которых размещен этот вирус. Эта разновидность вирусов является одной из наиболее опасных, т.к. может заражать все запускаемые программы.

БУТОВЫЕ ВИРУСЫ.

При включении ЭВМ начинают работать программы, которые входят в состав BIOS. Эти программы проверяют функционирование компьютера, а затем передают управление программе загрузчику ОС. В MS-DOS и Windows эта программа называется Boot record, и размещается в специальной служебной области магнитного диска. В MS-DOS эти область называется системной областью, и размещается на нулевой дорожке магнитного диска. При форматировании или при работе программы fdisk не происходит изменения записи в этой области диска, поэтому эта область является хорошим укрытием для вируса. Вирус, который заражает или портит программу boot record, копирует ее на свободное место диска, чтобы затем передать ей управление.

МАКРО-ВИРУСЫ. ВИРУСЫ ДРАЙВЕРОВ УСТРОЙСТВ.

МАКРОВИРУСЫ.

Макро-вирусы – это вирусы, которые заражают файлы программ Word и Exel, имеющие в своем составе макросы. Макрос – небольшая программа, написанная на языке VBA (Visual Basic for Aducation). Эти программы обычно предназначены для автоматического выполнения некоторых операций. Была создана разновидность вирусов, которая приписывалась к макросам. Этот вирус получает управление, когда запускается макрос. От этих вирусов легко избавиться, удалив макрос.

ВИРУСЫ ДРАЙВЕРОВ УСТРОЙСТВ.

Во многих ОС драйверы устройств представляют собой программные файлы. Эти программы получают управление, когда происходит обращение к устройству ввода-вывода. Если драйвер заражен вирусом, то управление получает вирус.

ПРОГРАММЫ «ЧЕРВИ».

В настоящее время эти программы распространяются главным образом через Интернет. В отличие от вирусов, черви не приписываются к другим программам. При попадании на другой компьютер они могут производить копирование самих себя в ОЗУ. Первым червем стала программа червь Морриса.

Технически червь Морриса состоял из 2-х программ:

1) Начальный загрузчик

2) Червь

Начальный загрузчик связывался с другим компьютером и пытался путем словарной атаки пройти аутентификацию. После аутентификации начальный загрузчик загружал основного червя и передавал ему управление. Основной червь загружал себя в ОЗУ и пытался скопировать программу загрузчик на другие компьютеры сети, с которыми был связан зараженный компьютер.

В настоящее время Интернет-черви составляют 85% от всех вредоносных программ. В 2003 году произошло несколько глобальных эпидемий. Первую эпидемию вызвал червь Slammed A Hacker. 25 января 2003 года за несколько часов было заражено 100 тысяч компьютеров, подключенных к Интернет. Это привело к перегрузке и выводу из строя целых национальных участков сети Интернет.

Вторая эпидемия – Lovesson Blaster (август 2003 года). Этот червь предназначался для систем, работающих под Windows XP.

АНТИВИРУСНЫЕ ПРОГРАММЫ: СКАНЕРЫ. CRC-СКАНЕРЫ.

Наиболее эффективным методом защиты от вирусов являются антивирусные программы. С помощью математических методов доказано, что нельзя создать абсолютный антивирус, т.к. на любой алгоритм антивируса можно создать алгоритм вируса, не заметный для антивируса.

СКАНЕРЫ.

Принцип работы основан на проверке системных областей диска, файлов, памяти на наличие в них участков кода, известных программе-сканеру как код вируса. Этот участок кода попадает под маску. Маска вируса является некоторой последовательностью кода, характерной для данного вируса.

Если вирус не имеет постоянной маски (полиморфные вирусы) или длина этой маски недостаточно велика, то используются другие методы. Пример – специальный арифметический язык, который описывает все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом.

В некоторых сканерах для поиска вирусов используется эвристический метод (например, Dr. Web). В этом методе для поиска вирусов производится анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения: не заражен или возможно заражен вирусом. Т.к. этот метод вероятностный, то на него распространяются законы теории вероятностей. Например, чем больше находит вирусов – тем больше ложных срабатываний.

Сканеры можно разделить на 2 категории:

1) Универсальные

2) Специализированные

Универсальные проводят проверку на наличие вируса каждого запускаемого файла и каждого нового диска, подключаемого к системе.

Специализированные проверяют только тогда, когда их запускают.

Достоинства: универсальность, относительный V работы.

Недостатки: программы могут определять только уже известные вирусы. Необходимо постоянно обновлять базы данных о вирусах.

CRC-СКАНЕРЫ.

Этот тип антивирусных программ работает в 2 этапа:

1) Запоминает состояние всех файлов и системных областей всех дисков. Для этого для каждого файла и системной области диска подготавливается CRC-сумма. Эти суммы и другие данные о файлах и системных областях дисков хранятся в специальной базе данных.

2) Программа сравнивает текущее состояние файла и область диска с запомненными. Если информация в БД и состояние файла различны, то поступает сообщение о том, что файл был изменен или заражен вирусом.

Достоинства: если произошло заражение вирусом, то почти в 100% случаев заражение будет выявлено.

Недостатки: проверка на вирусы производится достаточно медленно. Такие программы запускают 1 раз в сутки. Если заражение произошло после проверки, то у вируса если достаточно времени, чтобы заразить другие файлы и произвести вредоносные действия.

Есть разновидность вирусов, которые заражают вновь созданные файлы.

АНТИВИРУСНЫЕ ПРОГРАММЫ: БОКИРОВЩИКИ. ИММУНИЗАТОРЫ.

БЛОКИРОВЩИКИ.

Эти программы резидентно размещаются в памяти и перехватывают все обращения к ОС, которые могут совершать вирусы при и размножении или выполнении вредоносных действий. Например, к таким действиям относятся вызовы на открытие или закрытие файла, попытки записи в boot-сектор, попытки программ остаться резидентными.