Тема 4 Вивчення основ роботи з антивірусними програмами

Тема 4 Вивчення основ роботи з антивірусними програмами

Антивірусні програми - це програми, які виявляють і видаляють віруси з оперативної пам'яті комп'ютера і файлової системи.

Віруси класифікують за такими основними ознаками:

· середовище проживання;

· Операційна система (OC);

· Особливості алгоритму роботи;

· Деструктивні можливості.

За середовищі перебування віруси можна розділити на:

· Файлові;

· Завантажувальні;

· Макро;

· Мережеві.

Файлові віруси (найбільш поширений тип вірусів) або різними способами впроваджуються у виконувані файли, або створюють файли-двійники (компаньйон-віруси), або використовують особливості організації файлової системи (link-віруси).

Завантажувальні віруси записують себе або в завантажувальний сектор диска (boot-сектор), або в сектор, що містить системний завантажувач вінчестера (Master Boot Record), або змінюють покажчик на активний boot-сектор.

Макро-віруси заражають файли-документи й електронні таблиці декількох популярних редакторів (MS Word).

Мережеві віруси використовують для свого поширення протоколи або команди комп'ютерних мереж і електронної пошти.

Заражається операційна система (вірніше, ОС, об'єкти якої піддані зараженню) є другим рівнем розподілу вірусів на класи. Кожен файловий чи мережний вірус заражає файли який-небудь однієї або декількох ОС - DOS, Windows, OS / 2 і т.д. Макро-віруси заражають файли форматів Word, Excel. Завантажувальні віруси також орієнтовані на конкретні формати розташування системних даних в завантажувальних секторах дисків.

Серед особливостей алгоритмів роботи вірусів виділяються наступні пункти:

· Резидентність;

· Використання стелс-алгоритмів;

· Самошифрування і поліморфічность;

· Використання нестандартних прийомів.

За деструктивним можливостям віруси можна розділити на:

· Нешкідливі, тобто ніяк що не впливають на роботу комп'ютера (крім зменшення вільної пам'яті на диску в результаті свого поширення);

· Безпечні, вплив яких обмежується зменшенням вільної пам'яті на диску і графічними, звуковими й ін. Ефектами;

· Небезпечні віруси, які можуть привести до серйозних збоїв в роботі комп'ютера;

· Дуже небезпечні, в алгоритм роботи яких свідомо закладені процедури, які можуть привести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті, і навіть, як говорить одна з неперевірених комп'ютерних легенд, сприяти швидкому зносу рухомих частин механізмів - вводити в резонанс і руйнувати голівки деяких типів вінчестерів.

Антивірусні програми можна класифікувати за п'ятьма основними групами: фільтри, детектори, ревізори, доктора і вакцинатори.

Антивіруси-фільтри - це резидентні програми, які сповіщають користувача про всі спроби будь-якої програми записатися в зарезервовані операційною системою області вінчестера, а також про інших підозрілих діях (наприклад про спроби змінити установки CMOS). При цьому виводиться запит про дозвіл або заборону даної дії. Принцип роботи цих програм заснований на перехоплення відповідних векторів переривань. До переваг програм цього класу в порівнянні з програмами-детекторами можна віднести універсальність по відношенню як до відомих, так і невідомих вірусів, тоді як детектори пишуться під конкретні, відомі на даний момент програмісту види. Однак, програми-фільтри не можуть відслідковувати віруси, які звертаються безпосередньо до BIOS, а також BOOT-віруси, що активізуються ще до запуску антивірусу, в початковій стадії завантаження операційної системи. До недоліків також можна віднести часту видачу запитів на здійснення будь-якої операції: відповіді на питання віднімають у користувача багато часу. При установці деяких антивірусів-фільтрів можуть виникати конфлікти з іншими резидентними програмами, що використовують ті ж переривання.

Антивіруси-детектори розраховані на конкретні віруси і засновані на порівнянні послідовності кодів містяться в тілі вірусу з кодами перевіряються програм. Такі програми потрібно регулярно оновлювати, так як вони швидко застарівають і не можуть виявляти нові види вірусів.

Ревізори-програми, які аналізують поточний стан файлів і системних областей диска і порівнюють його з інформацією, збереженою раніше в одному з файлів даних ревізора. При цьому перевіряється стан BOOT-сектора, таблиці FAT, а також довжина файлів, їх час створення, атрибути, контрольна сума. Аналізуючи повідомлення програми-ревізора, користувач може вирішити, чим викликані зміни: вірусом чи ні.

До останньої групи належать найбільш неефективні антивіруси-вакцинатори. Вони записують в вакцініруемих програму ознаки конкретного вірусу так, що вірус вважає її вже зараженої.

DOCTOR WEB

Останнім часом стрімко зростає популярність антивірусної програми Doctor Web (рисунок 1). Dr.Web відноситься до класу детекторів-докторів, але на відміну від останнього має так званий «евристичний аналізатор» - алгоритм, що дозволяє виявляти невідомі віруси. «Лікувальна павутиння», як перекладається з англійської назва програми, стала відповіддю вітчизняних програмістів на навала самомодифицирующихся вірусів-мутантів, які при розмноженні модифікують своє тіло так, що не залишається жодної характерною ланцюжка байт, яка була присутня в вихідної версії вірусу.

Малюнок 1 - Вікно програми Dr.Web

Управління режимами може здійснюється за допомогою ключів. Користувач може вказати програмі тестувати як весь диск, так і окремі каталоги або групи файлів, або ж зовсім відмовитися від перевірки дисків і тестувати тільки оперативну пам'ять. У свою чергу можна тестувати або тільки базову пам'ять, або, до того ж, ще й розширену (вказується з допомогою ключа / H). Як і Aidstest Doctor Web може створювати звіт про роботу (ключ / P), завантажувати знакогенератор Кирилиці (ключ / R), підтримує роботу з програмно-апаратним комплексом Sheriff (ключ / Z).

Але, звичайно, головною особливістю «Лечебной павутини» є наявність евристичного аналізатора, який підключається ключем / S. Балансу між швидкістю і якістю можна домогтися, вказавши ключу рівень евристичного аналізу:

- 0 - мінімальний;

- 1 - оптимальний;

- 2 - максимальний;

при цьому, природно, швидкість зменшується пропорційно збільшенню якості.

Важливою функцією є контроль зараження тестованих файлів резидентним вірусом (ключ / V). При скануванні пам'яті немає стовідсоткової гарантії, що «Лікувальна павутиння» виявить всі віруси, що знаходяться там. Так ось, при завданні функції / V Dr.Web намагається перешкодити які залишилися резидентним вірусам заразити тестовані файли.

NA (Norton Antivirus)

Програма поєднує в собі і детектор, і доктор, і ревізор, і навіть має деякі функції резидентного фільтра (заборона запису у файли з атрибутом READ ONLY). Антивірус може лікувати, як відомі, так і невідомі віруси, причому про спосіб лікування останніх програмі може повідомити сам користувач. До того ж NA може лікувати самомодифицирующиеся і стелс-віруси (невидимки).

При запуску NA з'являється система вікон з меню та інформація про стан програми (рисунок 2). Дуже зручна контекстна система підказок, яка дає пояснення до кожного пункту меню. Вона викликається класично, клавішею F1, і змінюється при переході від пункту до пункту. Так само важливим перевагою є підтримка миші. Істотний недолік інтерфейсу NA - відсутність можливості вибору пунктів меню натисканням клавіші з відповідною буквою, хоча це дещо компенсується можливістю вибрати пункт, натиснувши ALT і цифру, що відповідає номеру цього пункту.

До складу пакета NA входить також резидентний драйвер, який дозволяє виявляти більшість невидимих ​​вірусів (крім вірусів типу Ghost-1 963 або DIR), дезактивувати віруси на час своєї роботи, а також забороняє змінювати READ ONLY файли.

При першому запуску AVSP слід протестувати систему на наявність відомих вірусів, вибравши пункти меню «Пошук і видалення вірусів» і «Комплексна перевірка». При цьому перевіряється оперативна пам'ять, BOOT-сектор і файли. Після цього (якщо вірусів не виявлено) потрібно створити таблиці даних про файлах і системних областях, вибравши в основному меню пункт «Дані про файлах і віруси» і підміню «Створення файлів даних».

Вказати програмі, що саме потрібно перевіряти, користувач може за допомогою пункту «Установка параметрів». Можна встановити перевірку розмірів файлів, їх контрольних сум, наявність в них вірусів, або все це разом. Для цього потрібно встановити «прапорці» навпроти відповідних пунктів. Так само можна вказати, що саме перевіряти (Boot-сектор, пам'ять, або файли). Як і в більшості антивірусних програм, тут користувачеві надається можливість вибрати між швидкістю і якістю. Суть швидкісний перевірки полягає в тому, що проглядається не весь файл, а тільки його початок; при цьому вдається виявити більшість вірусів. Якщо ж вірус пишеться в середину, або файл заражений декількома вірусами (при цьому «старі» віруси як би відтісняються в середину "молодим") то програма його і не помітить. Тому слід встановити оптимізацію за якістю, тим більше що в NA якісне тестування займає не набагато більше часу, ніж швидкісне.

Всі операції можуть здійснюватися на поточному диску (за замовчуванням), по поточному шляху, а також на всіх дисках. Для того, щоб поміняти шлях або диск слід натиснути клавішу TAB. Під час роботи інформація про шляху виводиться у верхньому лівому кутку.

Для перевірки комп'ютера на наявність відомих вірусів потрібно в основному меню вибрати пункт «Пошук і видалення вірусів». Після цього можна вибрати або режим «Перевірка наявності вірусів», або режим «Комплексна перевірка». У першому випадку буде проведена перевірка файлів і завантажувальних секторів на відомі віруси, а в другому - будуть перевірені не тільки файли і BOOT-сектора, але і пам'ять.

В першу чергу програма зробить попередній прохід для оцінки обсягу майбутньої роботи, а потім перегляне всі програмні файли. У будь-який момент користувач може натиснути ESC для переривання перегляду або пробіл для тимчасової зупинки. За замовчуванням NA перевіряє розміри файлів. Якщо розмір змінений, то перевіряється контрольна сума і будується карта зміни файлу. Якщо файл новий, то він перевіряється на наявність відомих вірусів.

Під час перевірки диска у вікно, розташоване в правій частині екрана можуть виводитися різні повідомлення, наприклад, про зміну розміру файлу. Після перевірки їх все можна буде переглянути, вибравши в меню пункт «Перегляд Повідомлень». Іноді може бути видане повідомлення про підозрілих файлах. Це означає, що за деякими ознаками можна судити про те, що файл заражений новим вірусом або він раніше був їм заражений, але після лікування характерні для вірусу ознаки залишилися. Таке повідомлення видається також про файли, у яких дивний час створення.

При комплексній перевірці NA виводить імена файлів, в яких відбулися зміни, а також так звану карту змін. Якщо у більшості змінених файлів вона однакова, то, найімовірніше, в систему «закрався" якийсь вірус. Найчастіше в такій ситуації програма сама «запідозрить» недобре і запропонує внести інформацію про нього в бібліотеку. При цьому шаблон вірусу буде обраний автоматично.

AVP

AVP вдає із себе повністю 32-розрядний додаток, оптимізоване для роботи в середовищі Microsoft Windows 95/98 / NT / 2000, і призначене для пошуку та видалення вірусів. AVP має зручний призначений для користувача інтерфейс, велика кількість налаштувань, які вибираються користувачем, а також одну з найбільших в світі антивірусних баз, що гарантує надійний захист від величезного числа найрізноманітніших вірусів. Головне вікно програми AVP сканер представлено на малюнку 3.

В ході роботи програма сканує:

- оперативну пам'ять (DOS, XMS, EMS);

- файли, включаючи архівні та упаковані;

- системні сектори, що містять Master Boot Record, завантажувальний сектор (Boot-сектор) і таблицю розбиття диска (Partition Table).

Основні особливості програми:

- детектування і видалення величезної кількості найрізноманітніших вірусів, у тому числі:

§ поліморфних або самошифруються вірусів;

§ стелс-вірусів або вірусів-невидимок;

§ макро вірусів, що заражають документи Word і таблиці Excel;

- сканування всередині упакованих файлів (модуль Unpacking Engine).

- сканування всередині архівних файлів (модуль Extracting Engine).

- сканування об'єктів на гнучких, локальних, мережних і CD-ROM дисках.

- евристичний модуль Code Analyzer, необхідний для детектування невідомих вірусів.

- пошук в режимі надлишкового сканування.

- перевірка об'єктів на наявність в них змін.

Малюнок 3 - Вікно програми AVP-сканер

AVP-Monitor - резидентний модуль, що знаходиться постійно в оперативній пам'яті комп'ютера і відслідковує всі файлові операції в системі. Дозволяє виявити і видалити вірус до моменту реального зараження системи в цілому.

Контрольні питання.

1 Антивірусні програми та їх види.

2 Віруси і їх класифікація.

3 Можливості програми Dr.Web.

4 Можливості програми AVP.

6