Антивирусные средства
К настоящему времени накоплен значительный опыт борьбы с компьютерными вирусами, разработаны антивирусные программы, известны меры защиты программ и данных. Происходит постоянное совершенствование, развитие антивирусных средств, которые в короткий срок с момента обнаружения вируса - от недели до месяца - оказываются способными справиться с вновь появляющимися вирусами.
Создание антивирусных программ начинается с обнаружения вируса по аномалиям в работе компьютера. После этого вирус тщательно изучается, выделяется его сигнатура - последовательность байтов, которая полностью характеризует программу вируса (наиболее важные и характерные участки кода), выясняется механизм работы вируса, способы заражения. Полученная информация позволяет разработать способы обнаружения вируса в памяти компьютера и на магнитных дисках, а также алгоритмы обезвреживания вируса (если возможно, удаления вирусного кода из файлов - «лечения»).
Известные ныне антивирусные программы можно разделить на несколько типов:
- Детекторы. Их назначение - лишь обнаружить вирус. Детекторы вирусов могут сравнивать загрузочные сектора дискет с известными загрузочными секторами, формируемыми операционными системами различных версий, и таким образом обнаружить загрузочные вирусы или выполнять сканирование файлов на магнитных дисках с целью обнаружения сигнатур известных вирусов. Такие программы в чистом виде в настоящее время редки.
- Фаги. Фаг - это программа, которая способна не только обнаружить, но и уничтожить вирус, т.е. удалить его код из зараженных программ и восстановить их работоспособность (если возможно). Известнейшим в России фагом является Aidstest, созданный Д.Н.Лозинским. Одна из последних версий обнаруживает более 8000 вирусов. Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой.
Очень мощным и эффективным антивирусом является фаг Dr Web (созданный И.Даниловым). Детектор этого фага не просто сканирует файлы в поисках одной из известных вирусных сигнатур. Для нахождения вирусов Dr Web использует программу эмуляцию процессора, т.е. он моделирует выполнение остальных файлов с помощью программной модели микропроцессора I-8086 и тем самым создает среду для проявления вирусов и их размножения. Таким образом, программа Dr Web может бороться не только с полиморфными вирусами, но и вирусам, которые только еще могут появиться в перспективе.
Основными функциональными особенностями Dr Web 4.33 являются:
· защита от червей, вирусов, троянов, полиморфных вирусов, макровирусов, spyware, программ-дозвонщиков, adware, хакерских утилит и вредоносных скриптов;
· обновление антивирусных баз до нескольких раз в час, размер каждого обновления до 15 KB;
· проверка системной памяти компьютера, позволяющая обнаружить вирусы, не существующие в виде файлов (например, CodeRed или Slammer);
· эвристический анализатор, позволяющий обезвредить неизвестные угрозы до выхода соответствующих обновлений вирусных баз.
Установка. Вначале Dr Web честно предупреждает, что не собирается уживаться с другими антивирусными приложениями и просит убедиться в отсутствии таковых на компьютере. В противном случае совместная работа может привести к "непредсказуемым последствиям". Далее выбирается "Выборочную" или "Обычную" (рекомендуемую) установку и приступают к изучению представленных основных компонентов:
· сканер для Windows. Проверка файлов в ручном режиме;
· консольный сканер для Windows. Предназначен для запуска из командных файлов;
· SpiDer Guard. Проверка файлов "на лету", предотвращение заражений в режиме реального времени;
· SpiDer Mail. Проверка сообщений, поступающих через протоколы POP3, SMTP, IMAP и NNTP.
Интерфейс и работа. В глаза бросается отсутствие согласованности в вопросе интерфейса между модулями антивируса, что создает дополнительный визуальный дискомфорт при и так не слишком дружелюбном доступе к компонентам Dr Web. Большое количество всевозможных настроек явно не рассчитано на начинающего пользователя, однако довольно подробная справка в доступной форме объяснит назначение тех или иных интересующих вас параметров. Доступ к центральному модулю Dr Web - сканер для Windows - осуществляется не через трей, а только через "Пуск".
Обновление доступно как через Интернет, так и с помощью прокси-серверов, что при небольших размерах сигнатур представляет Dr Web весьма привлекательным вариантом для средних и крупных компьютерных сетей.
Задать параметры проверки системы, порядок обновления и настройку условий работы каждого модуля Dr Web можно с помощью удобного инструмента "Планировщик", который позволяет создать слаженную систему защиты из "конструктора" компонентов Dr Web.
В итоге мы получаем нетребовательную к ресурсам компьютера, достаточно несложную (при ближайшем рассмотрении) целостную защиту компьютера от всевозможных угроз, чьи возможности по противодействию вредоносным приложениям однозначно перевешивают единственный недостаток, выраженный "разношерстным" интерфейсом модулей Dr Web.
- Ревизоры. Программа-ревизор контролирует возможные пути распространения программ-вирусов и заражения компьютеров. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов и должны входить в арсенал каждого пользователя. Ревизоры являются единственным средством, позволяющим следить за целостностью и изменениями файлов и системных областей магнитных дисков. Наиболее известна в России программа-ревизор ADinf, разработанная Д.Мостовым.
- Сторожа. Сторож - это резидентная программа, постоянно находящаяся в памяти компьютера, контролирующая операции компьютера, связанная с изменением информации на магнитных дисках, и предупреждающая пользователя о них. В состав операционной системы MS DOS, начиная с версии 6.0, входит сторож VSAFE. Однако, из-за того, что обычные программы выполняют операции, похожие на те, что делают вирусы, пользователи обычно не используют сторожа, так как постоянные предупреждения мешают работе.
- Сканеры - основной элемент любого антивируса, осуществляет, если можно так выразиться, пассивную защиту. По запросу пользователя или заданному распорядку производит проверку файлов в выбранной области системы. Вредоносные объекты выявляет путем поиска и сравнения программного кода вируса. Примеры программных кодов содержатся в заранее установленных сигнатурах (наборах, характерных последовательностей байтов для известных вирусов). В первую очередь к недостаткам данных программ относится беззащитность перед вирусами, не имеющими постоянного программного кода и способными видоизменяться при сохранении основных функций. Также сканеры не могут противостоять разновидностям одного и того же вируса, что требует от пользователя постоянного обновления антивирусных баз. Однако наиболее уязвимое место этого инструмента - неспособность обнаруживать новые и неизвестные вирусы, что особенно актуально, когда посредством e-mail новоявленная угроза способна заразить тысячи компьютеров по всему миру за считаные часы;
- Мониторы - в совокупности со сканерами образуют базовую защиту компьютера. На основе имеющихся сигнатур проводят проверку текущих процессов в режиме реального времени. Осуществляют предварительную проверку при попытке просмотра или запуска файла. Различают файловые мониторы, мониторы для почтовых клиентов (MS Outlook, Lotus Notes, Pegasus, The Bat и другие, использующие протоколы POP3, IMAP, NNTP и SMTP) и специальные мониторы для отдельных приложений. Как правило, последние представлены модулями проверки файлов Microsoft Office. Основное их достоинство - способность обнаруживать вирусы на самой ранней стадии активности;
- Вакцины. Так называются антивирусные программы, ведущие себя подобно вирусам, но не наносящие вреда. Вакцины предохраняют файлы от изменений и способны не только обнаружить факт заражения, но и в некоторых случаях «вылечить» пораженные вирусами файлы. В настоящее время антивирусные программы-вакцины широко не применяются, так как в прошлые годы некоторыми некорректно работающими вакцинами был нанесен ущерб многим пользователям.
Помимо программных средств защиты от вирусов существуют и специальные дополнительные устройства, обеспечивающие надежную защиту определенных разделов винчестера. Примером такого рода устройств является плата Sheriff (разработанная Ю.Фоминым). Несмотря на кажущееся обилие программных антивирусных средств, даже все вместе они не обеспечивают полной защиты программ и данных, не дают 100%-ной гарантии от воздействия вирусных программ. Только комплексные профилактические меры защиты обеспечивают надежную защиту от возможной потери информации. В комплекс таких мер входит:
- регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера);
- избегание использования случайно полученных программ (старайтесь пользоваться только законными путями получения программ);
- входной контроль нового программного обеспечения, поступивших дискет;
- сегментация жесткого диска, т.е. разбиение его на логические разделы с разграничением доступа к ним;
- систематическое использование программ-ревизоров для контроля целостности информации;
- при поиске вирусов (который должен происходит регулярно!) старайтесь использовать заведомо чистую операционную систему, загруженную с дискеты. Защищайте дискеты от записи, если есть хоть малая вероятность заражения.
При неаккуратной работе с антивирусными программами можно не только переносить с ними вирусы, но и вместо лечения файлов безнадежно их испортить. Полезно иметь хотя бы общее представление о том, что могут и чего не могут компьютерные вирусы, об их жизненном цикле, о важнейших методах защиты.
Любой современный антивирусный продукт - это не только набор отдельных технологий детектирования, но и сложная система защиты, построенная на собственном понимании антивирусной компанией того, как нужно обеспечивать безопасность от вредоносных программ. При этом принятые многие годы назад архитектурные и технические решения серьезно ограничивают возможности изменять соотношение проактивных и реактивных методов защиты. Например, в антивирусной системе Eset NOD32 используются как эвристические, так и сигнатурные методы борьбы с вредоносным кодом, но роли между этими двумя технологиями распределяются не так, как в других антивирусах: в то время как большинство антивирусов отталкивается от сигнатурных методов, дополняя их эвристиками, у Eset NOD32 все наоборот. Основным способом противостояния вредоносным программам здесь являются так называемые расширенные эвристики (Advanced Heuristics), представляющие собой сочетание эмуляции, эвристик, алгоритмического анализа и сигнатурного метода. В итоге расширенные эвристики Eset NOD32 позволяют проактивно детектировать почти 90% всех угроз, а остальные устраняются сигнатурными методами. Надежность такого подхода подтверждается результатами независимых тестирований.
Основными функциональными особенностями Esest NOD32 являются:
· эвристический анализ, позволяющий обнаруживать неизвестные угрозы;
· технология ThreatSense - анализ файлов для выявления вирусов, программ-шпионов (spyware), непрошенной рекламы (adware), phishing-атак и других угроз;
· проверка и удаление вирусов из заблокированных для записей файлов (к примеру, защищенные системой безопасности Windows библиотеки DLL);
· поверка протоколов HTTP, POP3 и PMTP.
Установка предложена в трех режимах: "Типичный" (для большинства пользователей), "Расширенный" (частичная настройка устанавливаемых компонентов) и "Эксперт" (полностью настраиваемая установка). Сразу же предлагается указать, используете ли вы прокси-сервер, а также запрашиваются некоторые настройки будущих обновлений. Кроме того, NOD32 заранее интересуется, желаете ли вы использовать "двунаправленную систему своевременного обнаружения" - функция передачи лаборатории Eset подозрительных объектов, найденных на компьютере. Все компоненты защиты при желании будут предложены к установке с подробным описанием поэтапно.
Для защиты системы вниманию пользователя предложены следующие модули:
- Antivirus MONitor (AMON). Сканер, автоматически проверяющий файлы перед их запуском или просмотром;
- NOD32. Сканирование всего компьютера или выбранных разделов. Отличительная особенность - программирование на запуск в часы с наименьшей загрузкой;
- Internet MONitor (IMON). Резидентный сканер, проверяющий Интернет-трафик (HTTP) и входящую почту, полученную по протоколу POP3;
- Email MONitor (EMON). Модуль для работы с почтовыми клиентами, сканирует входящие и исходящие электронные сообщения через интерфейс MAPI (применяется в Microsoft Outlook и Microsoft Exchange);
- Document MONitor (DMON). Основан на использовании запатентованного интерфейса Microsoft API, проверяет документы Microsoft Office.
Интерфейс и работа. Пользователи домашних сетей сразу же мысленно сравнят интерфейс NOD32 с популярным сетевым сканером Netlook - антивирус использует схожую структуру доступа к компонентам. Интерфейс NOD32 организован максимально эргономично и эффективно. Основные пункты меню содержат подзаголовки, которые в свою очередь открывают справа от основного окна область работы с выбранным модулем или компонентом. Каждый подпункт (кроме сканера NOD32) предлагает подробнейшую настройку, которая подойдет скорее специалисту или администратору, нежели рядовому пользователю. Тем не менее, при желании разобраться во всех тонкостях модулей NOD32 вам будет предложена справка, наглядно демонстрирующая и объясняющая назначение настроек.
Обновление - одна из сильных сторон NOD32. Первоначально на выбор предложены целых 3 сервера с возможностью последующего добавления адресов. Также поддерживаются локальные обновления с сетевых ресурсов. Присутствует возможность создания дискет или CD с обновлениями. Обновление происходит каждые несколько часов.



© 2004-2018 ООО "КА "СИСТЕМА"