Виявлення комп'ютерних вірусів і інших шкідливих програм

Інженерія захисного ПЗ

Тут ми розглянемо застосовувані на сьогодні методи виявлення вірусів і інших шкідливих програм:

• сканування;
• евристичний аналіз;
• виявлення змін;
• аналіз мережевого трафіку;
• аналіз баз даних поштових програм;
• виявлення вірусів в системі автоматизації документообігу;
• вакцинування

Сучасні антивірусні програми реалізують багато з перерахованих вище методів. Далі ми розповімо про ці методи докладніше.

Історично перші антивірусні програми використовували для виявлення комп'ютерних вірусів метод сканування.

При скануванні антивірусна програма переглядає вміст файлів, розташованих на дисках комп'ютера, а також вміст оперативної пам'яті комп'ютера з метою пошуку вірусів.

При цьому класичне сканування передбачає пошук шкідливих програм по їх сигнатурам, тобто за послідовностей байтів даних, характерних для даних вірусів.

Метод сканування дозволяє виявити такі шкідливі програми, які не використовують для протидії антивірусним програмам шифрування свого програмного коду, а також поліморфізм.

Метод сканування не дозволяє виявити поліморфні і шифровані віруси

Зауважимо, що антивірусні програми не в змозі сканувати зашифровані архіви і документи, якщо їй не відомий пароль або ключ для розшифровки даних. Перед пошуком шкідливих програм в таких архівах або документах користувач повинен їх розшифрувати.

Аналогічно, сканер антивірусної програми не зможе отримати доступ до файлів, що зберігаються на шифрованих віртуальних дисках PGPDisk і аналогічних, якщо їй не відомий пароль або ключ для розшифровки даних.

Метод сканування не дозволяє шукати віруси та інші шкідливі програми в зашифрованих файлах і архівах, а також на зашифрованих дисках

Перед скануванням таких дисків користувач повинен сам ввести всю необхідну парольний інформацію.

Як ми зазначили вище, звичайне сканування не дозволяє виявляти поліморфні і шифр віруси. Крім того, цей метод безсилий перед шкідливими програмами, сигнатури яких відсутні в базі даних антивіруса, тобто з новими вірусами.

Сканування не дозволяє виявити поліморфні і шифр віруси

Для усунення цього недоліку розробники антивірусів створили новий метод виявлення шкідливих програм з назвою евристичний аналіз.

При використанні цього методу антивірус контролює всі дії, які може виконати перевіряється програма. При цьому відслідковуються потенційно небезпечні дії, характерні для вірусів.

Контролюючи дії перевірених програм, евристичний аналізатор сучасних антивірусів здатний виявити нові, невідомі віруси ще до того, як ці віруси почали діяти.

Проте, евристичний аналіз не дає повної гарантії виявлення будь-яких нових вірусів.

Крім того, евристичний аналізатор може прийняти «нешкідливу» програму за шкідливу. Це відбувається в тих випадках, коли програма виконує будь-які дії, характерні для вірусів або шкідливих програм іншого типу.

Евристичний аналізатор не дозволяє гарантовано виявляти все нові віруси. Крім того, він іноді бере за шкідливі звичайні програми

Евристичний аналіз забирає чимало процесорного часу. Тому, налаштовуючи антивірусну програму, користувач може відключити евристичний аналізатор.

З огляду на, що без евристичного аналізатора антивірусна програма не зможе виявити поліморфні і шифрів, а також нові віруси, таке відключення приведе до зниження надійності антивірусного захисту.

Сучасні антивірусні програми, що працюють в режимі монітора, здатні сканувати файли, до яких виконує звернення ОС і програми, що запускаються користувачем. Таким чином, перевірці підлягають всі файли, до яких відбувається звернення.

Інший метод виявлення вірусів і шкідливих програм різного типу заснований на виявленні змін, що викликаються вірусами і шкідливими програмами в файлах.

Програми, чия робота заснована на виявленні змін, називаються ревізорами диска.

Ревізори диска - програми, які періодично сканують вміст дисків комп'ютера, записуючи в свою базу даних контрольні суми файлів і критично важливих внутрішніх областей файлових систем. При скануванні нові значення контрольних сум порівнюються зі старими значеннями. Якщо при порівнянні виявляються зміни, ревізор диска відображає на екрані попередження.

Ревізори диска дозволяють виявляти нові віруси, після того як вони почали діяти

За допомогою ревізора диска можна виявити будь-які зміни, зроблені в файлах комп'ютерними вірусами та іншими шкідливими програмами, а також користувачами.

Цей факт дозволяє використовувати ревізори диска не тільки для захисту від шкідливих програм, а й для контролю цілісності важливих файлів і документів.

Зауважимо, що ревізори диска малопридатні для виявлення макрокомандних вірусів у файлах офісних документів, що створюються такими програмами, як Microsoft Word, Microsoft Excel і т.п.

Метод виявлення змін малоефективний для виявлення макрокомандних вірусів

Це пов'язано з тим, що файли офісних документів постійно редагуються, внаслідок чого вони схильні до дуже частих змін.

Ревізори диска можуть взаємодіяти з антивірусними програмами, які виконують сканування і евристичний аналіз.

Така зв'язка може прискорити антивірусну перевірку файлів, якщо ревізор диска буде координувати свої дії з антивірусною програмою. При цьому ревізор знаходить змінені файли, а програма-антивірус виконує їх сканування та аналіз.

Прискорення відбувається за рахунок того, що перевірці піддаються в повному обсязі, а лише змінені файли.

Слід зазначити, що сьогодні найбільшу загрозу представляють собою віруси та інші шкідливі програми, що поширюються по каналах електронної пошти. Це пов'язано з популярністю електронної пошти, яка проникла практично в усі сфери діяльності людини.

Найбільш ефективною методикою виявлення і нейтралізації шкідливих програм, що розповсюджуються по каналах електронної пошти, є аналіз трафіку електронної пошти безпосередньо на поштовому сервері.

При цьому антивірусні програми перевіряють дані, що проходять через поштовий сервер, і видаляють з них шкідливі об'єкти ще до того, як вони потраплять на комп'ютер користувача.

Антивіруси, які працюють на поштовому сервері, сканують трафік електронної пошти, виключаючи поширення шкідливих програм з поштових повідомлень

Для передачі повідомлень електронної пошти використовуються протоколи SMTP, POP 3 і IMAP. Спеціалізовані антивіруси, які працюють на поштових серверах, здатні аналізувати потоки даних, що передаються з використанням цих протоколів, запобігаючи поширенню шкідливих програмних об'єктів через електронну пошту.

Сканування трафіку електронної пошти можна виконувати і на комп'ютері користувача, блокуючи проникнення шкідливих програмних об'єктів в бази даних поштових програм

Метод сканування мережевого трафіку може ефективно застосовуватися не тільки для блокування проходження шкідливих програмних об'єктів, а й для виявлення спроб отримання несанкціонованого доступу до вузла мережі.

При цьому сканер, аналізуючи мережевий трафік, намагається виявити дії, характерні для атак на систему розмежування доступу, а також атак на інші критичні системи вузла мережі.

Звичайні антивірусні програми, призначені для сканування файлів, виявляються малоефективними для виявлення поштових вірусів.

Це пов'язано з тим, що повідомлення електронної пошти зберігаються не у вигляді окремих файлів, а всередині бази даних повідомлень поштової програми. Тому антивірусна програма, не розрахована на сканування вмісту таких баз даних, не зможе виявити шкідливі програмні об'єкти всередині повідомлень електронної пошти.

І хоча можна створити таку антивірусну програму, яка буде здатна сканувати вміст баз даних найбільш популярних поштових програм, це не вирішить усіх проблем.

Важко створити антивірус, здатний сканувати вміст баз даних будь-яких поштових програм

Бази даних повідомлень різних поштових клієнтів мають різний формат, тому важко (якщо взагалі можливо) створити антивірус, «розуміючий» структуру баз даних будь-якої поштової програми. До того ж, в будь-який момент може з'явитися новий поштовий клієнт, який застосовує новий формат бази даних повідомлень.

Таким чином, кращим способом боротьби з поштовими вірусами є сканування мережевого трафіку на поштовому сервері або на комп'ютері користувача.

Системи автоматизації документообігу, такі як Microsoft Exchange і Lotus Notes, зберігають документи і повідомлення в базах даних власного формату. Крім цього, в таких системах є можливість програмування з використанням макрокоманд.

Шкідливі програмний код може інфікувати повідомлення, що зберігаються в базах даних систем автоматизації документообігу, в тому числі з використанням внутрішнього мови макрокоманд цих систем.

Звичайні антивірусні програми, розраховані на перевірку файлів, не можуть бути використані для захисту систем автоматизації документообігу, так як вони не в змозі перевіряти вміст баз даних таких систем.

Для захисту систем документообігу можна використовувати звичайні антивірусні програми, розраховані тільки на перевірку файлів

Однак в даний час багато антивірусні компанії випустили спеціальні версії антивірусних програм, здатні перевіряти бази даних систем документообігу Microsoft Exchange і Lotus Notes. Без їх застосування захист сервера системи автоматизації документообігу не можна вважати повною.

Крім Microsoft Exchange і Lotus Notes існує чимало менш відомих інформаційних систем, що зберігають документи в базах даних. Ці системи можуть створюватися для використання тільки в окремих компаніях або для вирішення будь-яких специфічних завдань.

Для захисту малопоширених і унікальних інформаційних систем від вірусів і інших шкідливих програм можна використовувати вбудовані антивіруси

Розробники таких систем можуть набувати у антивірусних компаній ліцензії на використання антивірусного ядра і вбудовувати це ядро ​​в створювані системи. Це забезпечить надійний антивірусний захист маловідомих або «нестандартних» інформаційних систем.

На зорі розвитку антивірусних програм використовувався метод захисту від вірусів з назвою вакцинування.

При вакцинації до захищається програмі приєднується спеціальний модуль контролю, що стежить за її цілісністю. Цей модуль перевіряє контрольну суму програми або будь-які інші її характеристики.

Вакцинація - малоефективний спосіб захисту, заснований на приєднання до програм спеціального модуля. Цей модуль контролює цілісність файлу програми

Зауважимо, що метод вакцинації неефективний, так як, наприклад, не може захистити комп'ютер від стелс-вірусів.

Тому сучасні засоби антивірусного захисту не застосовують вакцинування.

На цьому занятті ми розглянули всі основні методи виявлення комп'ютерних вірусів і інших шкідливих програм, такі як сканування, евристичний аналіз, виявлення змін, аналіз мережевого трафіку, аналіз баз даних поштових програм і баз даних систем автоматизації документообігу, а також вакцинацію.

Ми відзначили, що найпростіше сканування, яке виконує без евристичного аналізу, не дозволяє домогтися високої ефективності антивірусного захисту.

Метод виявлення змін придатний для контролю цілісності файлів, але малоефективний для виявлення макрокомандних вірусів.

Що стосується поштових вірусів, то для їх виявлення необхідно аналізувати мережевий трафік. Це можна робити як на поштовому сервері, так і на комп'ютері користувача.

Захист систем документообігу повинна виконуватися із застосуванням спеціалізованих або вбудованих антивірусних засобів.

Чи знаєте Ви,

що будь-яка розумна людина скаже, що не може бути посмішки без кота і диму без вогню, щось там, в космосі, мабуть, тепле, яке випромінює ЕМ-хвилі, який відповідає температурі 2.7ºК. Дійсно, спостерігається космічне мікрохвильове випромінювання (CMB) є теплове випромінювання частинок ефіру, що мають температуру 2.7ºK. Ще на початку ХХ століття великі хіміки і фізики Д. І. Менделєєв і Вальтер Нернст передбачили, що таке випромінювання (температура) має виявлятися в космосі. У 1933 році проф. Еріх регенера з Штуттгарта за допомогою стратосферних зондів виміряв цю температуру . Його вимірювання дали 2.8ºK - практично точне сучасне значення. Детальніше читайте в FAQ по ефірної фізиці . НОВИНИ ФОРУМУ
Лицарі теорії ефіру 13.06.2019 - 5:11: ЕКОЛОГІЯ - Ecology -> ПРОБЛЕМА ГЛОБАЛЬНОЇ ЗАГИБЕЛІ бджіл ТА ІНШИХ запилювачів РОСЛИН - Карім_Хайдаров.
12.06.2019 - 9:05: ВІЙНА, ПОЛІТИКА І НАУКА - War, Politics and Science -> Проблема державного тероризму - Карім_Хайдаров.
11.06.2019 - 18:05: ЕКСПЕРИМЕНТАЛЬНА ФІЗИКА - Experimental Physics -> Експерименти Серлі і його послідовників з магнітами - Карім_Хайдаров.
11.06.2019 - 18:03: ВИХОВАННЯ, ОСВІТА, ОСВІТА - Upbringing, Inlightening, Education -> Просвітництво від Андрія Маклакова - Карім_Хайдаров.
11.06.2019 - 13:23: ВИХОВАННЯ, ОСВІТА, ОСВІТА - Upbringing, Inlightening, Education -> Просвітництво від В'ячеслава Осієвського - Карім_Хайдаров.
11.06.2019 - 13:18: ВИХОВАННЯ, ОСВІТА, ОСВІТА - Upbringing, Inlightening, Education -> Просвітництво від Світлани Віслобоковой - Карім_Хайдаров.
11.06.2019 - 6:28: Астрофізики - Astrophysics -> До 110 річчя Тунгускою катастрофи - Карім_Хайдаров.
10.06.2019 - 21:23: ВИХОВАННЯ, ОСВІТА, ОСВІТА - Upbringing, Inlightening, Education -> Просвітництво від Володимира Васильовича Квачкова - Карім_Хайдаров.
10.06.2019 - 19:27: СОВІСТЬ - Conscience -> Вищий розум - Карім_Хайдаров.
10.06.2019 - 19:24: ВІЙНА, ПОЛІТИКА І НАУКА - War, Politics and Science -> ЗА НАМИ страви - Карім_Хайдаров.
10.06.2019 - 19:14: СОВІСТЬ - Conscience -> РОСІЙСЬКИЙ СВІТ - Карім_Хайдаров.
10.06.2019 - 8:40: ЕКОНОМІКА І ФІНАНСИ - Economy and Finances -> КОЛЛАПС СВІТОВОЇ ФІНАНСОВОЇ СИСТЕМИ - Карім_Хайдаров.