Классификация антивирусных программ

Классификация антивирусных программ

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу  хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную  защиту от вирусов, и заявления о  существовании таких систем можно расценить как либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус).

Классификация антивирусов по режиму работы

Проверка в  режиме реального времени 

Проверка в  режиме реального времени, или постоянная проверка, обеспечивает непрерывность  работы антивирусной защиты. Это реализуется с помощью обязательной проверки всех действий, совершаемых другими программами и самим пользователем, на предмет вредоносности, вне зависимости от их исходного расположения – будь это свой жесткий диск, внешние носители информации, другие сетевые ресурсы или собственная оперативная память. Также проверке подвергаются все косвенные действия через третьи программы.

Проверка по требованию

В некоторых  случаях наличия постоянно работающей проверки в режиме реального времени  может быть недостаточно. Возможна ситуация, когда на компьютер был скопирован зараженный файл, исключенный из постоянной проверки ввиду больших размеров и следовательно вирус в нем обнаружен не был. Если этот файл на рассматриваемом компьютере запускаться не будет, то вирус может остаться незамеченным и проявить себя только после пересылки его на другой компьютер.

Для такого режима обычно предполагается, что пользователь лично укажет какие файлы, каталоги или области диска необходимо проверить и время, когда нужно произвести такую проверку – в виде расписания или разового запуска вручную.

Классификация антивирусов по типу

Сканеры (другие названия: фаги, полифаги)

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски". Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы.

Во многих сканерах используются также алгоритмы "эвристического сканирования", т.е. анализ последовательности команд в  проверяемом объекте, набор некоторой  статистики и принятие решения для каждого проверяемого объекта.

Сканеры также  можно разделить на две категории - "универсальные" и "специализированные". Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер.

Специализированные  сканеры предназначены для обезвреживания ограниченного числа вирусов  или только одного их класса, например макро-вирусов, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.

К достоинствам сканеров всех типов относится их универсальность, к недостаткам  —относительно небольшую скорость поиска вирусов.

CRC-сканеры

Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть врожденный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут определить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них. Наиболее используемые в России программы подобного рода- ADINF и AVP Inspector.

Блокировщики

Антивирусные  блокировщики — это резидентные  программы, перехватывающие «вирусо-опасные» ситуации и сообщающие об этом пользователю. К «вирусо-опасным» относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. Иногда некоторые функции блокировщиков реализованы в резидентных сканерах.

К достоинствам блокировщиков  относится их способность обнаруживать и останавливать вирус на самой  ранней стадии его размножения, что, кстати, бывает очень полезно в  случаях, когда давно известный вирус постоянно «выползает неизвестно откуда». К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ (например, неизвестно ни об одном блокировщике для Windows95/NT — нет спроса, нет и предложения).

Необходимо также отметить такое направление антивирусных средств, как антивирусные блокировщики, выполненные в виде аппаратных компонентов  компьютера («железа»). Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает «ложное срабатывание» защиты.

Существует несколько более универсальных аппаратных блокировщиков, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные блокировщики крайне непопулярными на фоне остальных типов антивирусной защиты.

Иммунизаторы

Иммунизаторы - это программы записывающие в  другие программы коды, сообщающие о заражении. Они обычно записывают эти коды в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у них всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время. Кроме того многие программы, разработанные в последнее время, сами проверяют себя на целостность и могут принять внедренные в них коды за вирусы и отказаться работать.

Перспективы борьбы с вирусами

Вирусы успешно  внедрились в повседневную компьютерную жизнь и покидать ее в обозримом будущем не собираются. Так кто же пишет вирусы? Основную их массу создают студенты и школьники, которые только что изучили язык ассемблера, хотят попробовать свои силы, но не могут найти для них более достойного применения. Вторую группу составляют также молодые люди (чаще - студенты), которые еще не полностью овладели искусством программирования, но уже решили посвятить себя написанию и распространению вирусов. Единственная причина, толкающая подобных людей на написание вирусов, это комплекс неполноценности, который проявляет себя в компьютерном хулиганстве. Из-под пера подобных «умельцев» часто выходят либо многочисленные модификации «классических» вирусов, либо вирусы крайне примитивные и с большим числом ошибок. Став старше и опытнее, но так и не повзрослев, некоторые из подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир «профессиональные» вирусы. Однако другие профессионалы будут создавать и новые более совершенные антивирусные средства. Какой прогноз этого единоборства? Для того, чтобы ответить на этот вопрос следует определить, где и при каких условиях размножаются вирусы.

Основная питательная  среда для массового распространения  вируса в ЭВМ – это:

• слабая защищенность операционной системы (ОС);
• наличие разнообразной и довольно полной документации по OC и «железу». используемой авторами вирусов;
• широкое распространение этой ОС и этого «железа».

Хотя следует  отметить, что понятие операционной системы достаточно растяжимое. Например, для макро-вирусов операционной системой являются редакторы Word и Excel, поскольку именно редакторы, а не Windows предоставляют макро-вирусам (т.е. программам на бейсике) необходимые ресурсы и функции.

Чем больше в  операционной системе присутствуют элементов защиты информации, тем труднее будет вирусу поразить объекты своего нападения, так как для этого потребуется (как минимум) взломать систему шифрования, паролей и привилегий. В результате работа, необходимая для написания вируса, окажется по силам только профессионалам высокого уровня. А у профессионалов, как представляется, уровень порядочности все-таки намного выше, чем в среде потребителей их продукции, и, следовательно, число созданных и запущенных в большую жизнь вирусов будет сокращаться. Пример этому – новая операционная система Windows 2000 с модифицированной файловой системой NTFS. (Уже ближайшее будущее даст оценку усилиям разработчиков создать операционную систему с высокой степенью защищенности).

 

Сейчас  вирусы становятся проще и при  этом они вызывают моментальные эпидемии. В начале 90-х в журналах публиковались списки вирусов, несколько десятков. В журнале "Радио" был приведен перечень вирусов и автор высказал робкое опасение, что один из тех вирусов был создан в России. В то время вирусы действительно были опасным явлением, это было вызвано тем, что не существовало нормального антивируса, даже когда появился антивирус следующего поколения DrWeb, в печатных изданиях еще несколько лет советовали пользоваться Aidstest-ом, уже вовсю гуляли полиморфные вирусы, а Aidstest их не мог детектировать. А те вирусы, которые Aidstest находил, лечить мог в редких случаях, когда этот антивирус находил загрузочный вирус, он предлагал "чуть испортить загрузочный сектор дискеты".  
 
Вообще, это было непонятное явление, ДиалогНаука выпускала DrWeb и Aidstest, причем DrWeb находил все вирусы, которые находил Aidstest, даже при запуске Aidstest-а выводился текст, что вирусы не обнаружены, но очень желательно проверить файлы еще и DrWeb-ом. Хотя в России принято все делать через одно место... Еще ДиалогНаука известна созданием антивирусного ревизора ADinf, этот антивирус снимает контрольные суммы с файлов, при заражении ПК вирусом ADinf сообщает пользователю о подозрительных изменениях. Сейчас, я считаю, ADinf должен умереть также как и Aidstest, потому что файловым вирусом сейчас гораздо сложнее заразиться чем макровирусом.  
 
Антивирус Касперского вообще что-то такое непонятное. Базы этого антивируса увеличиваются в офигенной прогрессии. Причем 80 процентов новых вирусов никогда и нигде не будут размножаться. Касперский любит бороться с таким явлением, как BAT-трояны, в каждом обновлении появляется новый Trojan.BAT.FormatX, хотя столь очевидный «@echo y | format c:» AVP так и не научился находить. 
 
Некоторые юзеры используют Norton AntiVirus, хотя совершенно понятно, что для России нужен русский антивирус и использование NAV ничем не обосновано. 
 
Еще есть такой антивирус "Stop!". Его создает бывший вирмейкер. Некоторые узнав это, думают, что если его создает бывший вирмейкер, значит он качественный, т.к. кому как ни ему знать толк в вирусах, но на самом деле этот антивирус является настолько не надежным, что использование его не менее опасно, чем наличие на компьютере активного опасного вируса. 
 
Сейчас вирусы отошли на второй план, а вперед вышли трояны. Причем, если раньше были распространены вирусы заражающие программные файлы, которые трудно найти в файле без наличия спец. знаний, то теперь распространены вирусы написанные на скриптах, для написания которых надо гораздо меньше умений.

Антивирусная  программа (антивирус) — программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще, и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации[1]).

 

^{Антивирусное  программное обеспечение состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другое вредоносное программное обеспечение.}

^{Методы обнаружения  вирусов}

^{Антивирусное  программное обеспечение  обычно использует два отличных друг от друга метода для выполнения своих задач[2]:}

^{Сканирование  файлов для поиска известных вирусов, соответствующих  определению в  антивирусных базах.}

^{Обнаружение подозрительного  поведения любой  из программ, похожего на поведение заражённой программы.}

^{Метод соответствия определению вирусов  в словаре}

^{Основная статья: Обнаружение, основанное на сигнатурах}

^{Это метод, при  котором антивирусная программа, анализируя файл, обращается к  антивирусным базам, составленные производителем программы-антивируса. В случае соответствия какого-либо участка кода просматриваемого файла (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий:}

^{Удалить инфицированный файл.}

^{Заблокировать доступ к инфицированному  файлу.}

^{Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).}

^{Попытаться «вылечить» файл, удалив тело вируса из файла.}

^{В случае невозможности лечения/удаления, выполнить эту  процедуру при  следующей перезагрузке операционной системы.}

^{Вирусная  база регулярно обновляется  производителем антивирусов, пользователем рекомендуется  обновлять их как  можно чаще[3][4][5].}

^{Некоторые из продуктов для лучшего обнаружения используют несколько ядер для поиска и удаления вирусов и программ-шпионов. Например, в разработке NuWave Software используется одновременно пять ядер (три для поисков вирусов и два для поиска программ-шпионов)[6].}

^{Для многих антивирусных программ с базой сигнатур характерна проверка файлов в момент, когда операционная система обращается к файлам[7]. Таким образом, программа может обнаружить известный вирус сразу после его получения. При этом системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жёстком диске компьютера.}