ОБНАРУЖЕНИЕ ВИРУСОВ И МЕРЫ ПО ЗАЩИТЕ И ПРОФИЛАКТИКЕ

ОБНАРУЖЕНИЕ ВИРУСОВ И МЕРЫ ПО ЗАЩИТЕ И ПРОФИЛАКТИКЕ

Как обнаружить вирус? Традиционный под= ход

Итак, некий ви= русописатель создает вирус и запускает его в“жизнь”. Некоторое время он, возможно, погуляет вволю, но рано или поздно “лафа” закончится. Кто-то заподозрит что-нибудь неладное. Как правило, вирусы обнаруживают обы= чные пользователи, которые замечают те или иные аномалии в поведении компьютера. Они, в большинстве случаев, не способны самостоятельно справиться с заразой= , но этого от них и не требуется.

Необходимо лишь, чтобы как можно ск= орее вирус попал в руки специалистов. Профессионалы будут его изучать, выяснять, “что он делает”, “как он делает”, “когда он делает” и пр. В процессе такой работы собирается вся необходимая информация о данном вирусе, в частности, выделяется сигнатура вируса - последовательность байтов, которая вполне определенно его характеризует. Для построения сигнатуры обычно берутся наиб= олее важные и характерные участки кода вируса. Одновременно становятся ясны механизмы работы вируса, например, в случае загрузочного вируса важно знать, где он прячет свой хвост, где находится оригинальный загрузочный сектор, а в случае файлового - способ заражения файла. Полученная информация позволяет выяснить:

как обнаружить вирус, для этого уточняются методы поиска сигнатур в потенциальных объектах вирусной атаки - файлах и \ или загрузочных секторах
как обезвредить вирус, если это возможно, разрабатываются алгоритмы удаления вирусного кода из поражен= ных объектов

Программы обнаружения и защиты от вирусов<= /b>

Для обнаружения, удаления и защиты = от компьютерных вирусов разработано несколько видов специальных программ, кото= рые позволяют обнаруживать и уничтожать вирусы. Такие программы называются <= i>антивирусными. Различают следующие виды антивирусных программ:

программы-детекторы

программы-доктора или фаги

программы-ревизоры

программы-фильтры

программы-вакцины или иммунизаторы

Программы-детекторы осуществляют поиск характерной для конкретн= ого вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является= то, что они могут находить только те вирусы, которые известны разработчикам так= их программ.

Программы-доктора или фаги, а также программы-вакци= ны не только находят зараженные вирусами файлы, но и “лечат” их, т.е. удаляют = из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к “лечению” файлов. Среди фагов выделяют полифаги, т.е. про= граммы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наибо= лее известные из них: Aidstest, S= can, Norton AntiVirus, Doctor Web.=

Учитывая, что постоянно появляются = новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуе= тся регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты= от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и систе= мных областей диска тогда, когда компьютер не заражен вирусом, а затем периодиче= ски или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. П= ри сравнении проверяются длина файла, код циклического контроля (контрольная с= умма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-виру= сы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распростране= нная в России программа Adinf.

Программы-фильтры или “сторожа” представляют собой неб= ольшие резидентные программы, предназначенные для обнаружения подозрительных дейст= вий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

попытки коррекции файлов с расширениями COM, EXE =

изменение атрибутов файла

прямая запись на диск по абсолютному адресу

запись в загрузочные сектора диска

загрузка резидентной программы

При попытке какой-либо программы произвести указанные действия “сторож” посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-филь= тры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не “лечат” файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их “назойливость”(например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Прим= ером программы-фильтра является программа Vsafe, вхо= дящая в состав пакета утилит MS DOS.

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, “лечащие” этот вирус. Вакцин= ация возможна только от известных вирусов. Вакцина модифицирует программу или ди= ск таким образом, чтобы это не отражалось на их работе, а вирус будет восприни= мать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Основные меры по защите от вирусов

Для того, чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

оснастите свой компьютер современными антивирусными программ= ами, например Aidstest, Do= ctor Web, и постоянно возобновляйте их версии <= o:p>

перед считыванием с дискет информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы своего компьютера

при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничива= я область проверки только вновь записанными файлами

периодически проверяйте на наличие вирус= ов жесткие диски компьютера, запуская антивирусные программы для тестиров= ания файлов, памяти и системных областей дисков с защищенной от записи диск= еты, предварительно загрузив операционную систему с защищенной от записи системной дискеты

всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производится запись информации

обязательно делайте архивные копии на дискетах ценной для вас информации

не оставляйте в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами

используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей

для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использов= анием ревизора диска Adinf