[ Специализированные средства для защиты от вирусов. ]
Date: 26.02.03
В данной статье я хочу рассказать вам еще о нескольких специализированных
средствах защиты от вирусов.
Программы-детекторы типа AVP и Dr.Web уже были упомянуты в одной из наших статей.
Я хочу привлечт ваше внимание к несколько другим средствам.
- Detectors
Многие программы-детекторы не умеют обнаруживать зараженные hideen viruses программы,
если такие вирусы активны в памяти компьютера. Дело в том, что для чтения диска данный класс
программ использует функции операционной системы, которые в свою очередь, перехватываются
вирусом, который дает в ответ, мол. "все путем! Ищи в другом месте!"
Таким образом надежный диагноз программы-детекторы дают только при загрузке Оси с чистой дискеты,
причем копия программы детектора должна быть запущена с той же дискеты.
Некоторые программы-детекторы позволяют выловить активные hidden вирусы, даже когда они
активны, не прибегая к вызовам ОС.
- Revisor Class Programms
Или просто Ревизоры работают в две стадии:
1. Сначала они запоминают сведения о состоянии программ и системных областей дисков
(загрузочного сектора и сектора с таблицей разбиения жесткого диска) в незараженной форме.
2. Далее пользователь может в любой момент сравнить с помощью Ревизора состояние программ
и системных областей дисков с исходными. Обо всех несоответствиях сообщается пользователю.
Ревизоры могут найти зараженные вирусами файлы. Проверку состояния программ и дисков можно
сделать регулярной: при каждой загрузке системы. Для этого необходимо прописать запуск
Ревизора в autoexec.bat.
Отличительная черта современных Ревизоров - интеллектуальный подход к распознаванию изменений
в файлах. То есть они могут отличать изменения в файлах, вызванные изменениями, всвязи
с переходом к новой версии программы, от изменений, вносимых вирусами, тем самым не
поднимая ложной тревоги.
Все дело в том, что вирусы вносят одинаковые изменения в разные программы, так, уловив
несколько одинаковых изменений, программа даст знать о появлении вируса. Ревизоры
фиксируют факты таких изменений и сообщают об этом пользователю.
Следует отметить, что, как и в случае с Detector'ами, многие Ревизоры не способны
обнаружить заражение hidden вирусами, если такие вирусы находятся в памяти компьютера.
Некоторые Ревизоры, как например ADinf ("Диалог-Наука"), могут обнаружить такие вирусы,
не используя вызовы ОС для чтения диска.
Некоторые Ревизоры проверяют, не изменился ли файл, сравнивая его длину до и после
перезагрузки системы. Зачастую это не помогает, потому как многие вирусы не изменяют
длину зараженных файлов. В таком случае необходимо прочесть весь файл и вычислить его
контрольную сумму, потому как изменить файл, чтобы его контрольная сумма осталась
прежней, практически невозможно.
Некоторые программы данного классы, более мощные, оснащены функцией лечения зараженных файлов.
Это очень удобно, так как позволяет в случае изменения файла вернуть его автоматически
в исходное состояние. Эффективность лечения заключается в предварительно сохраненной информации
о чистом, незараженном, файле. Таким образом, сравнив несколько программ, обнаружив
сходства изменений и приняв эти изменения за вирус, программа вытаскивает из памяти
чистый файл и заменяет им зараженный. Таким образом происходит лечение.
Соответственно, такая программа может вылечить даже зараженные новым неизвестным вирусом
файлы, если сможет идентифицировать алгаритм изменения, вносимый в программы, и идентифицировать
файл как вирус.
- Filters
Фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают
обращения вирусов к операциооной системе, которые используются вирусами для размножения или
нанесения вреда. Соответственно, при возникновении такого рода обращения, фильтр даст
пользователю об этом знать, после чего пользователь может запретить или разрешить
обозначенные действия.
Другой подтип фильтров позволяет проверить вызываемы на выполнение программы на наличие вирусов,
тем самым помогяю предотвратить их дальнейшее распространение.
- Vaccine Software (Вакцина)
Смысл работы программ данного рода заключается в следующем: они модифицируют все
программы и диски таким образом, что вирус считает их уже зараженными и не находит
путей для дальнейшего размножения. Даже из приведенного мною описания можно догадаться, что
такие программы далеко не эффективны, потому как это еще не факт, что появившийся вирус
воспримет "X-зараженный" файл как действительно зараженный.
Подводим Итоги
Ни одна программа в отдельности не дает полной защиты от вирусов. Поэтому необходимо
использовать многоуровневую систему защиты:
- Detectors: средства разведки и проверки вновь полученных программ на наличие вирусов
- Далее идую Filter'ы, позволяющие сразу идентифицировать наличие вируса и предотвратить
его размножение
- Разграничение доступа не позволит вирусам и неверно работающим программам испортить
критические данные.
- Необходимо регулярно делать резервные копии критической информации. Это позволит
восстановить поврежденную или утраченную информацию.
{dr}{NerVe} [KODSWEB]
!!! Статья является собственностью команды KODSWEB !!!
!!! Любое распространение без нашего разрешения строго запрешено !!!
