Планета Информатики

Антивирусные программы

Для защиты от вирусов можно использовать общие средства защиты информации, такие как дублирование информации, создание резервных копий, разграничение доступа. Разграничение доступа позволяет не только предотвратить несанкционированное использование информации, но и защитить данные от вредных действий вирусов, за счет ограничения доступа к файлам.

Для уменьшения вероятности заражения компьютера вирусом можно использовать профилактические меры. Например, отказаться от использования переносных устройств при работе, отключиться как от локальных вычислительных сетей, так и глобальных сетей (в частности, Internet), отказаться от использования электронной почты и пр. Однако, как мы понимает, это не реально.

Одним из самых удобных методов защиты от компьютерных вирусов является использование специализированных программ. Рассмотрим основные типы антивирусных программ.

Программы-детекторы позволяют обнаружить файлы, зараженные каким-либо известным вирусом. Данные программы проводят только проверку компьютера на наличие вирусов. Лечить данные программы не могут.

Программы-доктора позволяют не только обнаружить файлы, зараженные известным вирусом, но и произвести их лечение. При лечении зараженных файлов программа-доктор удаляет тело вируса из файла, т.е. восстанавливает файл в том состоянии, в котором он находился до заражения вирусом.

Программы-ревизоры работают следующим образом. При своем первом запуске они запоминают сведения о состоянии программ и системных областей диска компьютера, в которые входят загрузочные секторы, таблицы размещения файлов, корневой каталог. Предполагается, что в этот момент программы и системные области дисков не заражены. Затем при последующих проверках компьютера программы-ревизоры сравнивают состояние файлов и системных областей диска с исходным. Если произошли изменения, характерные для действий вируса, то они сообщают об этом пользователю.

Разновидностью данных программ являются доктора-ревизоры. Они представляют собой комбинацию ревизоров и докторов, т.е. они могут не только обнаруживать изменения в файлах и системных областях дисков, но и в случае изменений автоматически вернуть их в исходное состояние.

Программы-фильтры, постоянно находясь в памяти компьютера, следят за действиями, которые выполняются на компьютере. При появлении действий, указывающих на наличие вирусов, они сообщают об этом пользователю. К этим действиям можно отнести изменение файлов с расширением СОМ и ЕХЕ, снятие с файлов атрибута "только для чтения", прямая запись на диск, форматирование диска, установка "резидентной" (постоянно находящейся в оперативной памяти) программы.

При появлении таких действий, на экран компьютера выводится сообщение о том, какое действие затребовано, и какая программа желает его выполнить. Пользователь может либо разрешить выполнение этого действия, либо запретить его.

Программы-фильтры обладают одним большим преимуществом по сравнению с другими программами. Оно заключается в том, что данные программы позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

Программы-вакцины – это программы, предотвращающие заражение файлов. Сущность действия данных программ заключается в том, что они изменяют файлы специальным образом. Причем это не отражается на работе, но вирус воспринимает эти файлы как зараженные и не внедряется в них. В настоящее время данный вид программ практически не используется.

Существует несколько основных методов поиска вирусов, которые применяются антивирусными программами. К ним относятся:

Сканирование - наиболее традиционный метод поиска вирусов, который заключается в поиске кодов известных вирусов. Программы, которые работают на основе сканирования, называются полифагами.

Полифаги могут обнаружить только уже известные и предварительно изученные вирусы. Поэтому программы-сканеры не защищают компьютер от проникновения новых неизвестных вирусов.

Эвристический анализ используется для поиска шифрующихся и полиморфных вирусов. Эвристический анализатор позволяет обнаруживать ранее неизвестные вирусы, хотя их лечение при этом бывает невозможным.

Обнаружение изменений. Заражая компьютер, вирус делает изменения на жестком диске: изменяет файлы или загрузочные записи (например, у файлов может измениться размер, дата и время создания). Антивирусные программы-ревизоры находят такие изменения и сообщают об этом пользователю.

Однако у программ, использующих данную технологию, имеется недостаток. Он заключается в том, что не все изменения на компьютере вызываются вторжением вируса.

Постоянное наблюдение используется программами, получившими название резидентные мониторы. Резидентные мониторы - это программы, которые постоянно находятся в памяти компьютера и отслеживают все подозрительные действия, выполняемыми другими программами.