- •Основные понятия антивирусной защиты
- •Что такое антивирусы
- •Понятие «вредоносная программа». Классификация вредоносных программ.
- •Программ
- •Методы защиты от вредоносных программ
- •16. Технологии обнаружения вирусов. Сигнатурный анализ.
- •17. Технологии обнаружения вирусов. Эвристический анализ.
- •Классификация антивирусных программ
- •20. Режимы работы антивирусов.
- •21. Антивирусные комплексы.
Скрытые
проявления
В
отсутствие явных или косвенных проявлений
о присутствии вируса можно судить,
например, по необычной сетевой активности,
когда ни одно сетевое приложение не
запущено, а значок сетевого соединения
сигнализирует об обмене данными. Другими
признаками могут служить незнакомые
процессы в памяти или файлы на диске.
Однако
в настоящее время на компьютерах обычно
установлено так много различных
программ, что большинство файлов и
процессов неизвестны обычному
пользователю. В то же время поиск скрытых
проявлений это уже фактически поиск
тех самых подозрительных файлов, которые
нужно отправить на анализ в антивирусную
компанию.
Где
искать
Как
видно, ни косвенные, ни даже явные
проявления не могут служить основанием
для уверенности в том, что компьютер
заражен. Всегда существует вероятность,
что наблюдаемый эффект не является
результатом действий вируса, а вызван
обычными ошибками в используемых
программах или же вредоносными скриптами,
которые не оставили никаких файлов на
компьютере.
Для
того чтобы подозрения переросли в
уверенность нужно произвести
дополнительный поиск скрытых проявлений
вредоносных программ, имея конечной
целью обнаружение файлов вредоносной
программы.
Скрытые
проявления включают:
Наличие
в памяти подозрительных процессов
Наличие
на компьютере подозрительных файлов
Наличие
подозрительных ключей в системном
реестре Windows
Подозрительная
сетевая активность
Ключевым
признаком во всех случаях является
атрибут "подозрительный". Это
означает, что пользователю неизвестно
назначение данного процесса, файла или
ключа, и более того, информации о
подозрительном объекте нет ни в
документации к операционной системе,
ни в открытых источниках сети Интернет.
Но
прежде чем судить о подозрительности
файлов и процессов, нужно сначала их
выделить из общего числа и на этом имеет
смысл остановиться подробней.
Подозрительные
процессы
Процесс
- это фактически запущенный исполняемый
файл. Часть процессов относится к
операционной системе, часть к запущенным
программам.
Чтобы
получить список процессов, нужно вызвать
диспетчер задач - стандартное средство
Windows для управления процессами. В
операционных системах Windows для вызова
диспетчера задач нужно нажать комбинацию
клавиш Ctrl
+ Shift + Esc
или вызвать контекстное меню в системной
панели (внизу экрана) и выбрать пункт
Диспетчер задач. Характерный вид окна
Диспетчера задач представлен на рисунке
2.
Рисунок
2 –
Диспетчер задач в Windows 2000 Professional
На
закладке Процессы
в колонке Имя
образа
содержатся имена файлов, которым
соответствуют запущенные процессы.
Процессы, которые видны на рисунке
являются стандартными для свежеустановленной
Windows 2000 Professional. Например, процесс
svchost.exe
отвечает за запуск служб в Windows 2000.
Найти
информацию о неизвестном процессе
можно в сети Интернет.
Недостатком
диспетчера задач в Windows является то,
что он не предоставляет информации обо
всех запущенных процессах в системе.
Поэтому для получения более полной
информации приходится использовать
дополнительные программы, например,
утилиту Process Explorer .
Отличительным
признаком большинства червей и многих
троянских программ является изменение
параметров системы таким образом, чтобы
файл вредоносной программы выполнялся
автоматически при каждом запуске
компьютера. Поэтому наличие незнакомых
файлов в списке файлов автозапуска
также является поводом для пристального
изучения этих файлов.
Сетевая
активность
Вредоносные
программы могут проявляться не только
в виде подозрительных процессов или
файлов автозапуска, но и в виде сетевой
активности. Черви используют сеть для
распространения, троянские программы
- для загрузки дополнительных компонентов
и отсылки информации злоумышленнику.
Некоторые
типы троянских программ специально
предназначены для обеспечения удаленного
управления зараженным компьютером.
Для обеспечения доступа к компьютеру
по сети со стороны злоумышленника они
открывают определенный порт.
Что
такое порт? Как известно, каждый компьютер
обладает IP-адресом, на который этому
компьютеру можно передавать данные.
Но если на компьютере имеется несколько
программ, работающих с сетью, например,
почтовый сервер и веб-сервер, как
определить, какие данные какой программе
предназначены? Для этого и используются
порты. За каждой программой, ожидающей
данные из сети закрепляется определенное
число - номер порта, а данные, пересылаемые
на компьютер, кроме адреса компьютера
содержат также и номер порта, чтобы
было понятно, какая программа должна
получить эти данные.
Как
правило, похожие по назначению программы
используют одни и те же порты для приема
соединений. Почтовый сервер использует
порт 25 для приема исходящих писем от
почтовых клиентов. Веб-сервер использует
порт 80 для приема соединений от браузеров.
Впрочем, никаких принципиальных
ограничений на использование портов
нет, кроме того, что две программы не
могут использовать один и тот же порт.
В3
Стопроцентной
защиты от всех вредоносных программ
не существует, так как они чрезвычайно
быстро меняются. Чтобы снизить риск
потерь от воздействия вредоносных
программ, рекомендуется:
-
использовать современные операционные
системы, имеющие серьёзный уровень
защиты от вредоносных программ;
-
своевременно устанавливать патчи; если
существует режим автоматического
обновления, включить его;
-
постоянно работать на персональном
компьютере исключительно под правами
пользователя, а не администратора, что
не позволит большинству вредоносных
программ инсталлироваться на персональном
компьютере;
-
использовать специализированные
программные продукты, которые для
противодействия вредоносным программам
используют так называемые эвристические
(поведенческие) анализаторы, то есть
не требующие наличия сигнатурной базы;
-
использовать антивирусные программные
продукты известных производителей, с
автоматическим обновлением сигнатурных
баз;
-
использовать персональный Firewall,
контролирующий выход в сеть Интернет
с персонального компьютера на основании
политик, которые устанавливает сам
пользователь;
-
ограничить физический доступ к компьютеру
посторонних лиц;
-
использовать внешние носители информации
только от проверенных источников;
-
не открывать компьютерные файлы,
полученные от ненадёжных источников;
-
отключить автозапуск со сменных
носителей, что не позволит запускаться
кодам, которые находятся на нем без
ведома пользователя (для Windows необходимо
gpedit. msc->Административные шаблоны
(Конфигурация пользователя) -
>Система->Отключить автозапуск->Включен
"на всех дисководах").
Современные
средства защиты от различных форм
вредоносных программ включают в себя
множество программных компонентов и
методов обнаружения "хороших" и
"плохих" приложений. Сегодня
поставщики антивирусных продуктов
встраивают в свои программы сканеры
для обнаружения "шпионов" и другого
вредоносного кода, таким образом, всё
делается для защиты конечного
пользователя. Тем не менее, ни один
пакет против шпионских программ не
идеален. Один продукт может чересчур
пристально относиться к программам,
блокируя их при малейшем подозрении,
в том числе "вычищая" и полезные
утилиты, которыми вы регулярно
пользуетесь. Другой продукт более
лоялен к программам, но может пропускать
некоторый шпионский код. Так что панацеи,
увы, нет.
В
отличие от антивирусных пакетов, которые
регулярно показывают 100% эффективности
по обнаружению вирусов в профессиональном
тестировании, проводящемся такими
экспертами, как "Virus Bulletin", ни один
пакет против рекламных программ не
набирает более 90%, а эффективность
многих других продуктов определяется
между 70% и 80%.
Это
объясняет, почему одновременное
использование, например, антивируса и
антишпионской программы, наилучшим
образом обеспечивает всестороннюю
защиту системы от опасностей, которые
могут прийти неожиданно. Практика
показывает, что один пакет следует
использовать в качестве постоянного
"блокировщика", который загружается
всякий раз при включении компьютера
(например, AVP 6.0), в то время как ещё один
пакет (или более) должен запускаться,
по крайней мере, раз в неделю, чтобы
обеспечить дополнительное сканирование
(например, Ad-Aware). Таким образом, то, что
пропустит один пакет, другой сможет
обнаружить.
Методы защиты от вредоносных программ