Снижение уровня опасности заражения вычислительной системы

Снижение уровня опасности заражения вычислительной системы

Для снижения уровня опасности заражения вычислительной системы вирусными программами нужно выполнять следующие довольно простые правила.

  1. Перед использованием проверять файлы, являющиеся потенциальными носителями вирусов. Такие файлы поступают извне (приносятся на дискетах, поступают из глобальных сетей и т.п.). Для проверки нужно иметь одну или несколько антивирусных программ (программных комплексов), возможности которых хорошо известны. Не запускать непроверенные и неизвестные файлы, в том числе полученные из компьютерной сети. Перед запуском новых программ обязательно проверить их одним или несколькими антивирусами. В случае большого объема документов, поступающих по электронной почте, целесообразно иметь активный антивирус, отслеживающий наличие вирусов. Для этого подходят программы-ревизоры, проверяющие наличие несанкционированных изменений в системных областях и в файловой системе компьютера.
  2. Круг лиц, работающий на конкретном компьютере, должен быть максимально ограничен, а права и полномочия пользователей строго регламентированы.
  3. Не следует использовать нелицензионное программное обеспечение. Лучше покупать дистрибутивные копии программного обеспечения у официальных продавцов, чем бесплатно или почти бесплатно копировать их из других источников. Необходимо использовать только хорошо зарекомендовавшие себя источники программ и других файлов. Как следствие из этого правила вытекает необходимость хранения дистрибутивных копий программного обеспечения (в том числе копий операционной системы). Копии желательно хранить на защищенных от записи носителях.
  4. Для обеспечения целостности и сохранности информации следует периодически сохранять на внешнем носителе файлы, с которыми ведется работа, а также файлы, имеющие наибольшую ценность. Резервные копии позволяют восстановить информацию в случае ее потери (разрушения). Не вредно копировать и хранить все содержимое винчестера.
  5. Необходимо осознавать и помнить, что не существует такой защиты, которую невозможно было бы обойти. Поэтому не стоит всецело уповать на встроенные системы защиты от вирусов (например, встроенной в BIOS, MS Word и т.п.). Не следует использовать незнакомые и устаревшие антивирусы для обнаружения и лечения компьютеров от новых вирусов. Вероятность обнаружения активного вируса такими программами снижается по мере их устаревания и появления новых вирусов. А пропуск опасных вирусов может способствовать широкому распространению вируса. Так, например, известны случаи, когда полифаг AIDSTEST способствовал заражению практически всех выполняемых модулей нераспознаваемым им вирусом.
  6. Проблема макровирусов в последнее время перекрывает все остальные проблемы, связанные с прочими вирусами. Существует несколько приемов и встроенных в Word и Excel средств, предотвращающих запуск вируса. Наиболее действенной из них является защита от вирусов, встроенная в Word и Excel (начиная с версий 7.0). Эта защита при открытии файла, содержащего любой макрос, сообщает о его присутствии и предлагает запретить этот макрос. В результате макрос не только не выполняется, но он даже не виден средствами Word и Excel. Такая защита является достаточно надежной, однако абсолютно бесполезна, если пользователь работает с макросами (любыми): она не отличает макросы вируса от не вируса и выводит предупреждающее сообщение при открытии практически любого файла. По этой причине защита в большинстве случаев оказывается отключенной, что дает возможность вирусу проникнуть в систему. Включение защиты от вирусов в уже зараженной системе не во всех случаях помогает: некоторые вирусы, однажды получив управление, при каждом запуске отключают защиту от вирусов и таким образом полностью блокируют ее.

Существуют и другие методы противодействия вирусам.

Антивирусные программные комплексы

Антивирусные программные комплексы

Программы-вакцины. Антивирусные вакцины (иммунизаторы) подразделяются на два типа: сообщающие о заражении и блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса), и при запуске файла каждый раз проверяют его на предмет обнаружения изменений. Недостаток у таких вакцин один, но он летален: абсолютная неспособность вакцины сообщить о заражении СТЕЛСвирусом. Поэтому такие иммунизаторы, как и мониторы, в настоящее время практически не используются.

Второй тип вакцин защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженными. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске зараженной программы, вирус распознает вакцину как свою резидентскую копию и не активизируется. Такой тип вакцинации не может быть универсальным, поскольку при его помощи нельзя иммунизировать файлы от всех известных вирусов.

Однако несмотря на это подобные программные средства в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет детектироваться антивирусными сканерами.

Антивирусные программные комплексы. В современных условиях лишь они могут обеспечить надежную защиту от вирусных программ, отличающихся большим разнообразием принципов построения и функционирования. Обычно современные антивирусные программные комплексы включают в свой состав монитор, сканер, ревизор и планировщик.

Планировщик используется для координации работы разных компонентов антивирусного пакета и планирования антивирусных мероприятий в вычислительной системе.

Вакцина вследствие своей естественной ограниченности использования низкой универсальности в настоящее время практически не применяется.

Программы-ревизоры и программы-мониторы

Программы-ревизоры и программы-мониторы

Программы-ревизоры. Они подсчитывают контрольные суммы для присутствующих на диске файлов и системных секторов. Эти суммы сохраняются в базе данных антивируса вместе с некоторой другой информацией: размерами файлов, датами их последней модификации и т. п. При последующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, ревизоры сигнализируют о том, что файл был изменен или заражен вирусом.

Ревизоры, использующие антиСТЕЛС алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления в компьютере. Существенным недостатком таких средств борьбы с вирусами является то, что программы-ревизоры распознают наличие вируса в системе уже после его распространения. Кроме того, они не распознают вирусы в новых, только что полученных или записанных файлах, поскольку в их базах данных отсутствует информация об этих файлах. Периодически появляются вирусы, которые используют эту слабость ревизоров, заражая только вновь создаваемые файлы. Такие вирусы остаются невидимыми.

Программы-мониторы. Антивирусные мониторы — это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об их возникновении. К вирусоопасным относятся вызовы на открытие для записи в выполняемых файлах, запись в загрузочные секторы дисков, попытки программ остаться резидентно. Иначе говоря, вызовы генерируются вирусами в моменты их размножения.

К достоинствам программ-мониторов относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что бывает очень полезно в случаях, когда давно известный вирус постоянно «выползает неизвестно откуда». К недостаткам относятся существование путей обхода защиты монитора и большое количество ложных срабатываний. Существуют аппаратные реализации некоторых функций мониторов, в том числе встроенные в BIOS. Однако, как и в случае с программными мониторами, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS утилиты FDISK немедленно вызывает ложное срабатывание защиты.

Программы-фаги

Программы-фаги

К настоящему времени разработана довольно широкая и полная система программных средств борьбы с вирусами. Это программы-фаги (сканеры), программы-ревизоры, программы-мониторы, программы-вакцины (иммунизаторы).

Самыми популярными и эффективными антивирусными программами считаются антивирусные фаги (иначе эти программы называются сканерами или полифагами) и ревизоры (CRC сканеры). Часто обе приведенные разновидности объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Реже используют различного типа мониторы (блокировщики) и вакцины (иммунизаторы). Следует, однако, иметь в виду, что, в принципе, нельзя создать универсальное и абсолютно надежное средство борьбы со всеми существующими и будущими вирусами.

Программы-фаги. Принцип работы антивирусных программ-фагов (сканеров) основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются маски или, как их еще называют, сигнатуры — некоторая постоянная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Например, перебор всех возможных вариантов кода вирусов. Этот способ эффективно используется для детектирования полиморфных вирусов.


style="display:block; text-align:center;"
data-ad-layout="in-article"
data-ad-format="fluid"
data-ad-client="ca-pub-6007240224880862"
data-ad-slot="8925203109">

Во многих полифагах используются алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие мягкого решения («возможно, заражен» или «не заражен») для каждого проверяемого объекта.

К достоинствам сканеров относится их универсальность, к недостаткам — низкая скорость сканирования, а также необходимость постоянного обновления антивирусных баз.

Принцип работы типичного алгоритма сканирования сводится к следующему. После загрузки с дискеты, на которой операционная система гарантированно свободна от вируса, программа проверяет дерево каталогов диска, логическое имя которого указывается в виде параметра при запуске.

При нахождении *.ехе или *.сот модуля проверяется его длина. Если длина модуля больше 4 Кбайт, в теле программы ищется сигнатура вируса по соответствующему смещению. Если вирус найден, восстанавливаются скрытые в теле вируса байты начала модуля, после чего длина файла уменьшается на длину вируса и вирус удаляется из зараженного модуля. После этого восстанавливаются исходные время и дата создания файла.

Яндекс.Метрика