Общая характеристика средств нейтрализации компьютерных вирусов

 

Наиболее распространенным средством нейтрализации компь­ютерных вирусов являются антивирусные программы (антивиру­сы). Антивирусы, исходя из реализованного в них подхода к выяв­лению и нейтрализации вирусов, принято делить на следующие группы (рис. 8.2):

— детекторы;

— фаги;

— вакцины;

— прививки;

— ревизоры;

— мониторы.

 

Детекторы	Антивирусы	Мониторы
Фаги	Ревизоры
	Вакцины	Прививки

 

 

Рис. 8.2 Классификация антивирусов

 

Детекторы обеспечивают выявление вирусов посредством про­смотра исполняемых файлов и поиска так называемых сигнатур — устойчивых последовательностей байтов, имеющихся в телах из­вестных вирусов. Наличие сигнатуры в каком-либо файле свиде­тельствует о его заражении соответствующим вирусом. Антиви­рус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.

Фаги выполняют функции, свойственные детекторам, но, кроме того, «излечивают» инфицированные программы посредством «выкусывания» вирусов из их тел. По аналогии с полидетекторами фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.

В отличие от детекторов и фагов вакцины по своему принципу действия подобны вирусам. Вакцина имплантируется в защищае­мую программу и запоминает ряд количественных и структурных характеристик последней. Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее. Активизация вирусоносителя приведет к получению управления вирусом, кото­рый, выполнив свои целевые функции, передаст управление вак­цинированной программе. В последней, в свою очередь, сначала управление получит вакцина, которая выполнит проверку соот­ветствия запомненных ею характеристик аналогичным характе­ристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении тек­ста вакцинированной программы вирусом. Характеристиками, ис­пользуемыми вакцинами, могут быть длина программы, ее конт­рольная сумма и т. д.

Принцип действия прививок основан на учете того обстоятель­ства, что любой вирус, как правило, помечает инфицируемые про­граммы каким-либо признаком, с тем чтобы не выполнять их по­вторное заражение. В ином случае имело бы место многократное инфицирование, сопровождаемое существенным и поэтому легко обнаруживаемым увеличением объема зараженных программ. Прививка, не внося никаких других изменений в текст защищае­мой программы, помечает ее тем же признаком, что и вирус, кото­рый таким образом после активизации и проверки наличия ука­занного признака считает ее инфицированной и «оставляет в покое».

Ревизоры обеспечивают слежение за состоянием файловой сис­темы, используя для этого подход, аналогичный реализованному в вакцинах. Программа-ревизор в процессе своего функциониро­вания выполняет применительно к каждому исполняемому файлу сравнение erg текущих характеристик с аналогичными характери­стиками, полученными в ходе предшествующего просмотра фай­лов. Если при этом обнаруживается, что, согласно имеющейся сис­темной информации, файл с момента предшествующего просмотра не обновлялся пользователем, а сравниваемые наборы характери­стик не совпадают, то файл считается инфицированным. Характе­ристики исполняемых файлов, получаемые в ходе очередного про­смотра, запоминаются в отдельном файле (файлах), в связи с чем увеличение длин исполняемых файлов, имеющее место при вакци­нации, в данном случае не происходит. Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых фай­лов ревизором требует его повторного запуска.

Монитор представляет собой резидентную программу, обеспе­чивающую перехват потенциально опасных прерываний, харак­терных для вирусов, и запрашивающую у пользователей подтвер­ждение на выполнение операций, следующих за прерыванием. В случае запрета или отсутствия подтверждения монитор блоки­рует выполнение пользовательской программы.