Мониторы вирусов
Антивирусные мониторы — это прогр., перехват. вирусоопасные ситуации и сообщающие об этом пользователю. К вирусоопасным относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочные секторы дисков или MBR винчестера, попытки программ остаться резидентно и т. д., то есть вызовы, которые характерны для вирусов в моменты их размножения.
Достоинства мониторов: способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что очень полезно в случаях, когда давно известный вирус постоянно "выползает неизвестно откуда". Недостатки - существование путей обхода защиты монитора и большое количество ложных срабатываний, что послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ
Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными мониторами, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает ложное срабатывание защиты.
Существует несколько более универсальных аппаратных мониторов, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает мониторы крайне непопулярными на фоне остальных типов антивирусной защиты.
Метод шифровки ключевой информации.
В предложенном варианте антивирусного монитора предусмотрена защита от несанкционированного снятия программы с выполнения - пароль. Он хранится на инсталляционной дискете в файле «pif.ini» в загаммированном виде. Легальный пользователь может всегда задать или изменить этот пароль при помощи специальной программной опции.
Изменить пароль без использования программной опции, т.е. методом непосредственного изменения файла затруднительно, поскольку от этого предусмотрена небольшая защита. Дело в том, что пустой файл «pif.ini» не означает пустой пароль.
Программа антивирусного монитора – это .exe файл для Windows, поэтому запуск его на выполнение порождает в системе процесс и он естественно должен фиксироваться в списке процессов Windows. Но это обстоятельство делает программу очень уязвимой в плане того, что её можно снять с выполнения. Для этого в программе предусмотрен способ обхода системной регистрации процесса и другой пользователь не в силах снять этот процесс не прибегая к сторонним разработкам.