Методы защиты от компьютерных вирусов.

Профилактика защиты от вирусов.

Полиморфные вирусы.

Вирусы-мутанты (полиморфные вирусы) содержат алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.

Такие вирусы не только шифруют свой код, но и содержат код генерации шифровщика и расшифровщика.

Это отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.

Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: сделать, невозможным проанализировать, код вируса с помощью обычного дизассемблирования, даже имея зараженный и оригинальный файлы. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку в ходе работы, может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.

1. Наличие обновляемых антивирусных программ.

2. Проверка носителя информации перед считыванием.

3. При получении архивов – проверка сразу после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами.

4. Копирование ценной информации на проверенный носитель.

5. Использование антивирусных программ для входного контроля всех файлов, получаемых из компьютерных сетей.

Для защиты от вирусов можно использовать:

1. Общие средства защиты информации, которые полезны также для страховки от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя.

Существуют две основные разновидности этих средств:

• копирование информации, то есть создание копий файлов и системных областей дисков;

• разграничение доступа. Оно предотвращает несанкционированное использование информации. В частности, защищает от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

2. Профилактические меры, например, проверка диска антивирусом.

3. Специализированные программы для защиты от вирусов.

Эти программы можно разделить на несколько видов: детекторы, детекторы-доктора (фаги), ревизоры, доктора-ревизоры, фильтры, вакцины (иммунизаторы), анивирусы – полифаги.

ПРОГРАММЫ-ДЕТЕКТОРЫ (Программа Scan фирмы McAfee Associates и Aidstest Д. Н. Лозинского позволяют обнаруживать около 1000 вирусов, но всего их более пяти тысяч!) позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах специфическая для данного вируса комбинация байтов. При ее обнаружении на экран выводится соответствующее сообщение. Многие детекторы имею режимы лечения или уничтожения зараженных файлов. подчеркнем, что программы-детекторы могут обнаруживать только те вирусы, которые ей известны.

Некоторые программы-детекторы, могут настраиваться на новые типы вирусов. Для этого надо только указать комбинации байтов, присущие этим вирусам. Тем не мнение невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Многие программы-детекторы не умеют обнаруживать вирус, если он активен в оперативной памяти компьютера. Дело в том, что для чтения диска детекторы используют функции DOS. А функции ДОС перехватываются вирусом, который сообщает системе об отсутствии проблем.

Некоторые детекторы пытаются выявить вирус путем просмотра оперативной памяти, но это не помогает, поскольку вирус перехватывает обращение к BIOS.

ПРОГРАММЫ ДЕКТОРЫ-ДОКТОРА (К таким программам относится AVSP фирмы "Диалог-МГУ») пытаются вернуть зараженные файлы или области диска в исходное состояние. Большинство программ-детекторов имеют функцию "доктора". Но те файлы, которые не удалось восстановить обычно делаются неработоспособными или удаляются.

Большинство программ-докторов умеют "лечить" только фиксированный набор вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов.

ПРОГPAMMbI-PEBH3OPbI (пример – программа SELECTOR) имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены.

После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Многие программы-ревизоры могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом. Дело в том, что вирусы производят одинаковые изменения в разных программных файлах. В обычной ситуации такого количества изменений быть не может, поэтому программа-ревизор делает вывод о заражении вирусом.

Для проверки изменения файла некоторые программы-ревизоры проверяют длину файла. Но эта проверка недостаточна.

Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней практически невозможно.

ДОКТОРА-РЕВИЗОРЫ (пример - Adinf, AVP Inspector ) – это симбиоз (гибрид) ревизоров и докторов. То есть – это программы которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменении автоматически вернуть их в исходное состояние. Такие программы более универсальны, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечить файлы даже от тех вирусов, которые не были созданы на момент написания программы.

Но они могут лечить не от всех вирусов, а только от тех, которые используют "стандартные" ( известные на момент написания программы) механизмы заражения файлов.

ПРОГРАММЫ-ФИЛЬТРЫ (пример - Spider, AVP, Norton Antivirus), которые располагаются резидентно (резидентными называются программы, постоянно находящиеся в оперативной памяти ЭВМ) в оперативной памяти компьютера, перехватывают обращения от вирусов к операционной системе и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры проверяют вызываемые на выполнение программы, на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

ПРОГРАММЫ-ВАКЦИНЫ, или ИММУНИЗАТОРЫ, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы считаются крайне неэффективными.

Их применяют, если отсутствуют программы, «лечащие» тот или иной вид вируса. В настоящее время программы-вакцины имеют ограниченное применение.

Антивирусы-полифаги — наиболее известные средства по борьбе с вирусами.

Исторически они появились первыми и до сих пор удерживают несомненное лидерство в этой области.

В основе работы полифагов стоит простой принцип — поиск во всех программах и документах знакомых участков вирусного кода (так называемых сигнатур вирусов). В общем случае сигнатура — это такая запись о вирусе, которая позволяет однозначно идентифицировать присутствие вирусного кода в программе или документе.

В настоящее время известны такие полифаги, как Касперский, Доктор Веб, Нод32 и т.п.