- •Раздел 4
- •1. Основные методы защиты информации
- •Политика безопасности
- •2. Безопасность информации в ис
- •3. Проблема вирусного заражения программ
- •4. Структура современных вирусных программ
- •5. Типы антивирусных программ.
- •6. Описание Антивирус Kaspersky 6.0 для Windows Workstation
- •Преимущества:
- •Функции:
- •Комплексная защита
- •Оптимизация производительности
- •Централизованное администрирование
5. Типы антивирусных программ.
Выделяются 5 основных типов антивирусных программ: сканеры, мониторы, ревизоры изменений, иммунизаторы и поведенческие блокираторы. Некоторые из них практически вышли из употребления в связи с низкой эффективностью, другие еще не используются достаточно широко. Сканеры Антивирусные сканеры – пионеры антивирусного движения, впервые появившиеся на свет практически одновременно с самими компьютерными вирусами. Принцип их работы заключается в поиске в файлах, памяти, и загрузочных секторах вирусных масок, т.е. уникального программного кода вируса. Вирусные маски (описания) известных вирусов содержатся в антивирусной базе данных и если сканер встречает программный код, совпадающий с одним из этих описаний, то он выдает сообщение об обнаружении соответствующего вируса.
Мониторы На данный момент различаются три основных типа: файловые мониторы, мониторы для почтовых программ и мониторы для специальных приложений. По своей сути все они являются разновидностью сканеров, которые постоянно находятся в памяти компьютера и осуществляют автоматическую проверку всех используемых файлов в масштабе реального времени. Современные мониторы осуществляют проверку в момент открытия и закрытия программы. Так исключается возможность запуска ранее инфицированных файлов и заражения файла резидентным вирусом. Файловые мониторы работают как часть операционной системы, в масштабе реального времени проверяя все используемые объекты, вне зависимости от их происхождения и принадлежности какому-либо приложению. Процедура работы файловых мониторов основана на перехвате и антивирусной фильтрации потока данных в т.н. точке входа операционной системы.
Мониторы для почтовых программ представляют собой антивирусные модули, интегрирующиеся в программы обработки электронной почты – как серверные, так и клиентские. В отличие от файловых мониторов они требуют меньше системных ресурсов и гораздо более устойчивы. В дополнение к этому "почтовые" мониторы проверяют все входящие и исходящие сообщения сразу же после их получения или отправления.
Мониторы для специальных приложений обеспечивают фоновую проверку объектов только в рамках приложения, для которого они предназначены. Наглядным примером могут быть антивирусные мониторы для MS Office 2000. По сравнению с антивирусными сканерами мониторы полностью автоматизируют процесс проверки системных ресурсов.
Ревизоры изменений
Третья разновидность антивирусов – ревизоры изменений. Эта технология защиты основана на том факте, что вирусы являются обычными компьютерными программами, имеющими способность тайно создавать новые или внедряться в уже существующие объекты (файлы, загрузочные секторы). Иными словами, они оставляют следы в файловой системе, которые затем можно отследить и выявить факт присутствия вредоносной программы. Принцип работы ревизоров изменений основан на снятии оригинальных “отпечатков” (CRC-сумм) с файлов, системных секторов и системного реестра. Эти “отпечатки” сохраняются в базе данных. При следующем запуске ревизор сверяет “отпечатки” с их оригиналами и сообщает пользователю о произошедших изменениях, отдельно выделяя вирусоподобные и другие, не подозрительные, изменения. Иммунизаторы Иммунизаторы делятся на два вида: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.
Первые обычно записываются в конец файлов и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один: абсолютная неспособность обнаружить заражение вирусами-невидимками.
Второй тип иммунизаторов защищает систему от поражения каким-либо определенным вирусом. Файлы модифицируются таким образом, что вирус принимает их за уже зараженные. Второй тип иммунизации не может быть признан универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов: у каждого из них свои приемы определения зараженности файлов. Кроме того, многие вирусы не проверяют файлы на предмет присутствия в них своей копии. Несмотря на это, подобные иммунизаторы в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.
Поведенческие блокираторы
Все перечисленные выше типы антивирусов не решают главной проблемы – защиты от неизвестных вирусов. Однозначно ответить на вопрос “что же делать с неизвестными вирусами?” предстоит лишь в новом тысячелетии. Однако уже сейчас можно сделать прогноз относительно наиболее перспективных путей развития антивирусного программного обеспечения. Таким направлением станут т.н. поведенческие блокираторы. Именно они имеют реальную возможность со 100% гарантией противостоять атакам новых вирусов. Что такое поведенческий блокиратор? Это резидентная программа, которая перехватывает различные события и в случае "подозрительных" действий, запрещает это действие или запрашивает разрешение у пользователя. Идея блокираторов не нова. Они появились достаточно давно, однако эти антивирусные программы не получили широкого распространения из-за сложности настройки. Несмотря на это, технология неплохо прижилась на других направлениях информационной защиты.