Методы обнаружения вирусов и технологии антивирусных программ.

Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:

· Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах.

· Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.

Обычно, все ниже перечисленные методы, вместе редко используются в одной антивирусной программе. Но более тонкая спецификация антивирусов позволяет им более надежно защититься от определенных видов угроз, если ее учитывать.

Рассмотрим возможности, которые предоставляют нам большинство антивирусных программ:

· Обнаружение, основанное на сигнатурах. Антивирусная программа, анализируя файл, обращается к антивирусным базам.

· Метод обнаружения аномалий. Наблюдаются определённые действия (работа программ/процессов, сетевой трафик, работа пользователя) в поисках необычных событий и тенденций.

· Обнаружение основанное на эмуляции. Эмулируется исполнение файлов, с целью выявления тех признаков вредоносного кода, которые появляются только во время исполнения программы.

· Метод «Белого списка». Эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены как безопасные

· Эвристический анализ. Эвристическое сканирование схоже с сигнатурным, однако, в отличие от него, ищется не точное совпадение с записью в сигнатуре, а допускается расхождение.

· HIPS. Система мониторинга всех приложений, работающих в системе, с чётким разделением прав для разных приложений.

· Ревизоры изменений. Эта технология защиты основана на том факте, что вирусы могут создавать новые или внедряться в уже существующие объекты, таким образом оставляя следы в файловой системе, которые затем можно отследить и выявить факт присутствия вредоносной программы.

· Монитор доступа к файлам и реестру. Предоставляет ясную картину текущей файловой и реестровой активности и становится отличным подспорьем продвинутым пользователям. Можно наблюдать за любым активным процессом, видеть его расположение и время выполнения, а также отслеживать изменения реестра и, «в случае чего», мгновенно реагировать.

· Внутренняя защита (самозащита) + защита конфигурации паролем. Делает невозможным выключение антивируса кем-либо, кроме авторизованного пользователя программы. Защищает от попыток выключения антивируса вредоносными программами.

· Контроль доступа приложений к сети (сетевой экран). Осуществляет контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

· Почтовый Антивирус + Антиспам. Проверка почтовых сообщений.

· IM-антивирус. Защищает информацию, поступающую по протоколам интернет-пейджеров.

· Антируткиты. Обнаруживают в системе присутствие руткитов и удаляют их.

· Детектор клавиатурных шпионов. Выявляют кейлогеры.

· Анализатор открытых портов TCP/UDP. Анализатор опирается на обновляемую базу портов известных Trojan/Backdoor программ и известных системных сервисов.

· Анти-фишинг. Веб-адреса проверяются на принадлежность к спискам фишинговых и подозрительных адресов.

· Анти-баннер. Блокирует рекламную информацию.

· Безопасная среда (sandbox). Позволяет запускать приложения в безопасном для системы окружении.

Недостатки антивирусных программ:

· Ни одна из существующих антивирусных технологий не может обеспечить полной защиты от вирусов.

· Антивирусная программа забирает часть вычислительных ресурсов системы, нагружая центральный процессор и жёсткий диск. Особенно это может быть заметно на слабых компьютерах.

· Антивирусные программы могут видеть угрозу там, где её нет (ложные срабатывания).

· Антивирусные программы загружают обновления из Интернета, тем самым расходуя трафик.

· Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми, антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. Однако во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.

Классифицировать антивирусные продукты можно сразу по нескольким признакам, таким как: используемые технологии антивирусной защиты, функционал продуктов, целевые платформы.

По целевым платформам:

§ Антивирусные продукты для ОС семейства Windows

§ Антивирусные продукты для ОС семейства UNIX (к данному семейству относятся ОС BSD, Linux, Mac OS X и др.)

§ Антивирусные продукты для мобильных платформ (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др.)

Антивирусные продукты для корпоративных пользователей можно также классифицировать по объектам защиты:

§ Антивирусные продукты для защиты рабочих станций

§ Антивирусные продукты для защиты файловых и терминальных серверов

§ Антивирусные продукты для защиты почтовых и Интернет-шлюзов

§ Антивирусные продукты для защиты серверов виртуализации и др.

Для использования антивирусов необходимы постоянные обновления так называемых баз антивирусов. Они представляют собой информацию о вирусах - как их найти и обезвредить. Поскольку вирусы пишут часто, то необходим постоянный мониторинг активности вирусов в сети. Для этого существуют специальные сети, которые собирают соответствующую информацию. После сбора этой информации производится анализ вредоносности вируса, анализируется его код, поведение, и после этого устанавливаются способы борьбы с ним. Чаще всего вирусы запускаются вместе с операционной системой. В таком случае можно просто удалить строки запуска вируса из реестра, и на этом в простом случае процесс может закончиться. Более сложные вирусы используют возможность заражения файлов. Например, известны случаи, как некие даже антивирусные программы, будучи зараженными, сами становились причиной заражения других чистых программ и файлов. Поэтому более современные антивирусы имеют возможность защиты своих файлов от изменения и проверяют их на целостность по специальному алгоритму. Таким образом, вирусы усложнились, как и усложнились способы борьбы с ними. Сейчас можно увидеть вирусы, которые занимают уже не десятки килобайт, а сотни, а порой могут быть и размером в пару мегабайт. Обычно такие вирусы пишут в языках программирования более высокого уровня, поэтому их легче остановить. Но по-прежнему существует угроза от вирусов, написанных на низкоуровневых машинных кодах наподобие ассемблера. Сложные вирусы заражают операционную систему, после чего она становится уязвимой и нерабочей.