Ћекции.ќрг


ѕоиск:




 атегории:

јстрономи€
Ѕиологи€
√еографи€
ƒругие €зыки
»нтернет
»нформатика
»стори€
 ультура
Ћитература
Ћогика
ћатематика
ћедицина
ћеханика
ќхрана труда
ѕедагогика
ѕолитика
ѕраво
ѕсихологи€
–елиги€
–иторика
—оциологи€
—порт
—троительство
“ехнологи€
“ранспорт
‘изика
‘илософи€
‘инансы
’ими€
Ёкологи€
Ёкономика
Ёлектроника

 

 

 

 


јнтивирусные программы




јнтивирусна€ программа (антивирус) Ч изначально программа дл€ обнаружени€ и лечени€ вредоносных объектов или инфицированных файлов, а также дл€ профилактики Ч предотвращени€ заражени€ файла или операционной системы вредоносным кодом.

ћногие современные антивирусы позвол€ют обнаруживать и удал€ть также тро€нские программы и прочие вредоносные программы. —уществуют программы - файрволы, которые также способствуют защите компьютерных сетей или отдельных узлов от несанкционированного доступа, однако их основна€ задача Ч не пропускать (фильтровать) пакеты, не подход€щие под критерии, определЄнные в конфигурации, т.е. от несанкционированного доступа извне или, наоборот, дл€ ограничени€ св€зи программ с внешними источниками из-за возможной утечки информации.

ѕервые наиболее простые антивирусные программы по€вились почти сразу после по€влени€ вирусов. —ейчас разработкой антивирусов занимаютс€ крупные компании.  ак и у создателей вирусов, в этой сфере также сформировались оригинальные приЄмы Ч но уже дл€ поиска и борьбы с вирусами. —овременные антивирусные программы могут обнаруживать сотни тыс€ч вирусов, но, ни одна из них не даст 100% защиты.

јнтивирусное программное обеспечение состоит из подпрограмм, которые пытаютс€ обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.

ћетод соответстви€ определению вирусов в словаре

ќбнаружение, основанное на сигнатурах.

—игнату́ра ата́ки (вируса) Ч характерные признаки атаки или вируса, используемые дл€ их обнаружени€. Ѕольшинство современных антивирусов, сканеров у€звимостей и систем обнаружени€ вторжений (—ќ¬) используют Ђсинтаксическиеї сигнатуры, вз€тые непосредственно из тела атаки (файла вируса или сетевого пакета, принадлежащего эксплойту). “акже существуют сигнатуры, основанные на поведении или аномали€х Ч например, слишком агрессивное обращение к какому-либо сетевому порту на компьютере.

Ёто метод, когда антивирусна€ программа, просматрива€ файл, обращаетс€ к антивирусным базам, которые составлены производителем программы-антивируса. ¬ случае, соответстви€ какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий:

1. ”далить инфицированный файл.

2. «аблокировать доступ к инфицированному файлу.

3. ќтправить файл в карантин (то есть сделать его недоступным дл€ выполнени€ с целью недопущени€ дальнейшего распространени€ вируса).

4. ѕопытатьс€ Ђвылечитьї файл, удалив вирус из тела файла.

5. ¬ случае невозможности лечени€/удалени€, выполнить эту процедуру при следующей перезагрузке операционной системы.

ƒл€ того чтобы, така€ антивирусна€ программа успешно работала на прот€жении долгого времени, в базу сигнатур вирусов нужно периодически загружать (обычно, через »нтернет) данные о новых вирусах. ≈сли бдительные и имеющие склонность к технике пользователи определ€т вирус по гор€чим следам, они могут послать зараженные файлы разработчикам антивирусной программы, а те затем добавл€ют информацию о новых вирусах в свои базы.

јнтивирусные программы, созданные на основе метода соответстви€ определению вирусов в словаре, обычно просматривают файлы тогда, когда компьютерна€ система создаЄт, открывает, закрывает или посылает файлы по электронной почте. “аким образом, вирусы можно обнаружить сразу же после занесени€ их в компьютер и до того, как они смогут причинить какой-либо вред. Ќадо отметить, что системный администратор может составить график дл€ антивирусной программы, согласно которому могут просматриватьс€ (сканироватьс€) все файлы на жЄстком диске.

’от€, антивирусные программы, созданные на основе поиска соответстви€ определению вируса в словаре, при обычных обсто€тельствах, могут достаточно эффективно преп€тствовать вспышкам заражени€ компьютеров, авторы вирусов стараютс€ держатьс€ на полшага впереди таких программ-антивирусов. ќни создают Ђолигоморфическиеї, Ђполиморфическиеї и, самые новые, Ђметаморфическиеї вирусы, в которых некоторые части участки кода перезаписываютс€, модифицируютс€, шифруютс€ или искажаютс€ так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.

—оздание и распределение сигнатур

—игнатуры антивирусов создаютс€ в результате кропотливого анализа нескольких копий файла, принадлежащего одному вирусу. —игнатура должна содержать только уникальные строки из этого файла, настолько характерные, чтобы гарантировать минимальную возможность ложного срабатывани€ Ч главный приоритет любой антивирусной компании.

–азработка сигнатур Ч ручной процесс, т€жело поддающийс€ автоматизации. Ќесмотр€ на массу исследований, посв€щЄнных автоматической генерации сигнатур, нарастающий полиморфизм (и Ђметаморфизмї) вирусов и атак делают синтактические сигнатуры бессмысленными. јнтивирусные компании вынуждены выпускать большое количество сигнатур дл€ всех вариантов одного и того же вируса, и если бы не закон ћура, ни один современный компьютер уже не смог бы закончить сканирование большого числа файлов с такой массой сигнатур в разумное врем€. “ак, в марте 2006 года сканеру Norton Antivirus было известно около 72 131 вирусов, а база этой программы содержала пор€дка 400 000 сигнатур.

¬ нынешнем виде, базы сигнатур должны пополн€тьс€ регул€рно, так как большинство антивирусов не в состо€нии обнаруживать новые вирусы самосто€тельно. Ћюбой владелец ѕќ, основанного на сигнатурах, обречЄн на регул€рную зависимость от обновлени€ сигнатур. Ёто составл€ет основу бизнес-модели производителей антивирусов и —ќ¬.

—воевременна€ доставка новых сигнатур до пользователей также €вл€етс€ серьЄзной проблемой дл€ производителей ѕќ. —овременные вирусы и черви распростран€ютс€ с такой скоростью, что к моменту выпуска сигнатуры и доставки еЄ на компьютер пользователей, эпидеми€ уже может достигнуть своей высшей точки и охватить весь мир. ѕо опубликованным данным, доставка сигнатуры занимает от 11 до 97 часов в зависимости от производител€, в то врем€ как теоретически, вирус может захватить весь интернет меньше, чем за 30 секунд.

¬ большинстве ѕќ по безопасности база сигнатур €вл€етс€ €дром продукта, наиболее трудоЄмкой и ценной частью. »менно поэтому большинство вендоров предпочитает держать свои сигнатуры закрытыми Ч хот€ и в этой области существует р€д открытого ѕќ (напр., ClamAV), а также исследовани€ по обратной разработке закрытых сигнатур. ∆урнал Virus Bulletin регул€рно публиковал сигнатуры новых вирусов вплоть до 2000 года.

ƒостоинство синтаксических сигнатур в том, что они позвол€ют определ€ть конкретную атаку с высокой тонностью и малой долей ложных вызовов.

—интаксические сигнатуры имеют р€д недостатков:

1. Ќеспособны вы€вить какие-либо новые атаки

2. Ѕеззащитны перед полиморфическими вирусами и изменЄнными верси€ми той же атаки

3. “ребуют регул€рного и крайне оперативного обновлени€

4. “ребуют кропотливого ручного анализа вирусов.

ћетод эвристического сканировани€ призван улучшить способность сканеров примен€ть сигнатуры и распознавать модифицированные вирусы в тех случа€х, когда сигнатура совпадает с телом неизвестной программы не на 100%. ƒанна€ технологи€, однако, примен€етс€ в современных программах очень осторожно, так как может повысить количество ложных срабатываний.

ћетод обнаружени€ странного поведени€ программ

ќбнаружение аномалий Ч динамический метод работы антивирусов, хостовых и сетевых систем обнаружени€ вторжений. ѕрограмма, использующа€ этот метод, наблюдает определЄнные действи€ (работу программы/процесса, сетевой трафик, работу пользовател€), след€ за возможными необычными и подозрительными событи€ми или тенденци€ми.

јнтивирусы, использующие метод обнаружени€ подозрительного поведени€ программ, не пытаютс€ идентифицировать известные вирусы. ¬место этого они прослеживают поведение всех программ. ≈сли программа пытаетс€ записать какие-то данные в исполн€емый файл (exe-файл), программа-антивирус может пометить этот файл, предупредить пользовател€ и спросить, что следует сделать.

¬ отличие от метода соответстви€ определению вируса в словаре, метод подозрительного поведени€ даЄт защиту от совершенно новых вирусов и сетевых атак, которых ещЄ нет ни в одной базе вирусов или атак. ќднако программы, построенные на этом методе, могут выдавать также большое количество ошибочных предупреждений, что делает пользовател€ маловосприимчивым к предупреждени€м. ≈сли пользователь нажимает мышью на окно Ђѕрин€тьї (ЂAcceptї) в каждом случае по€влени€ такого предупреждени€, антивирусна€ программа не приносит никакой пользы. ¬ последнее врем€ эта проблема ещЄ более усугубилась, так как стало по€вл€тьс€ всЄ больше невредоносных программ, модифицирующих другие exe-файлы, несмотр€ на существующую проблему ошибочных предупреждений.

ћетод обнаружени€ при помощи эмул€ции

ќбнаружение, основанное на эмул€ции Ч метод работы антивирусной программы, при котором подозрительный файл либо запускаетс€ в тщательно контролируемой среде, либо эмулируетс€ его исполнение с целью вы€влени€ тех признаков вредоносного кода, которые по€вл€ютс€ только во врем€ исполнени€ программы.

Ќекоторые программы-антивирусы пытаютс€ имитировать начало выполнени€ кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. ≈сли программа использует самоизмен€ющийс€ код или про€вл€ет себ€ как вирус (то есть немедленно начинает искать другие exe-файлы например), така€ программа будет считатьс€ вредоносной, способной заразить другие файлы. ќднако этот метод тоже изобилует большим количеством ошибочных предупреждений.

ћетод использовани€ Ђпесочницыї

≈щЄ один метод определени€ вирусов включает в себ€ использование Ђпесочницыї (зачастую основанной на виртуальной машине). ѕесочница имитирует операционную систему и запускает исполн€емый файл в этой имитируемой системе.

ѕосле исполнени€ программы, антивирусное программное обеспечение анализирует содержимое песочницы на присутствие каких либо изменений, которые можно квалифицировать как вирус. »з-за того, что быстродействие системы снижаетс€ и требуетс€ достаточно продолжительное врем€ дл€ выполнени€ программы, антивирусные программы, построенные по этому методу, обычно используютс€ только дл€ сканировани€ по запросу пользовател€. —ледует отметить, что эффективность данных программ намного выше, чем у всех остальных, но и затраты на их работу также выше. Ќесомненно, эти программы представл€ют интерес дл€ профессионалов, занимающихс€ вопросами компьютерной безопасности и восстановлением данных после несанкционированного доступа в компьютер пользовател€ или атак на сервер.

ћетод ЂЅелого спискаї

ќбща€ технологи€ по борьбе с вредоносными программами Ч это Ђбелый списокї. ¬место того, чтобы искать только известные вредоносные программы, эта технологи€ предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные.

¬ыбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных дл€ обновлени€ сигнатур вирусов.   тому же, те приложени€ на компьютере, которые системный администратор не хочет устанавливать, не выполн€ютс€, так как их нет в Ђбелом спискеї. “ак как у современных предпри€тий есть множество надежных приложений, ответственность за ограничени€ в использовании этой технологии возлагаетс€ на системных администраторов и соответствующим образом составленные ими Ђбелые спискиї надежных приложений. –абота антивирусных программ с такой технологией включает инструменты дл€ автоматизации перечн€ и эксплуатации действий с Ђбелым спискомї.

“ехнологи€ эвристического анализа

ћетоды эвристического сканировани€ не обеспечивают какой-либо гарантированной защиты от новых, отсутствующих в сигнатурном наборе компьютерных вирусов, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации Ч знаний о механизме полиморфизма сигнатур. ¬ то же врем€, этот метод поиска базируетс€ на эмпирических предположени€х, полностью исключить ложные срабатывани€ нельз€.

¬ р€де случаев эвристические методы оказываютс€ чрезвычайно успешными, к примеру, в случае очень коротких программных частей в загрузочном секторе: если программа производит запись в сектор 1, дорожку 0, сторону 0, то это приводит к изменению раздела накопител€. Ќо кроме вспомогательной программы fdisk эта команда больше нигде не используетс€, и потому в случае ее неожиданного по€влени€ речь идЄт о загрузочном вирусе.

¬ процессе эвристического анализа производитс€ проверка эмулируемой программы анализатором кода.   примеру, программа инфицирована полиморфным вирусом, состо€щим из зашифрованного тела и расшифровщика. Ёмул€тор кода эмулирует работу данного вируса по одной инструкции, после этого анализатор кода подсчитывает контрольную сумму и свер€ет ее с той, котора€ хранитс€ в базе. Ёмул€ци€ будет продолжатьс€ до тех пор, пока необходима€ дл€ подсчета контрольной суммы часть вируса не будет расшифрована. ≈сли сигнатура совпала Ч программа идентифицирована.

ƒругим распространЄнным методом эвристического анализа, примен€емым большой группой антивирусов, €вл€етс€ декомпил€ци€ подозрительной программы и анализ еЄ исходного кода. »сходный код подозрительного файла проходит сверку и сравнение с исходным кодом известных вирусов и образчиков вирусной активности. ¬ случае, если определЄнный процент исходного кода идентичен коду известного вируса или вирусной активности, файл отмечаетс€ как подозрительный, о чем оповещаетс€ пользователь.

Ќедостатки эвристического сканировани€

„резмерна€ подозрительность эвристического анализатора может вызывать ложные срабатывани€ при наличии в программе фрагментов кода, выполн€ющего действи€ и/или последовательности, в том числе и свойственные некоторым вирусам. ¬ частности, распаковщик в файлах, запакованных PE-упаковщиком (Win)Upack вызывает ложные срабатывани€ целого р€да антивирусных средств, де-факто не признающих такой проблемы.

Ќаличие простых методик обмана эвристического анализатора.  ак правило, прежде чем распростран€ть вредоносную программу (вирус), ее разработчики исследуют существующие распространенные антивирусные продукты, различными методами избега€ ее детектирование при эвристическом сканировании.   примеру, видоизмен€€ код, использу€ элементы, выполнение которых не поддерживаетс€ эмул€тором кода данных антивирусов, использу€ шифрование части кода и др.

Ќесмотр€ на за€влени€ и рекламные проспекты разработчиков антивирусных средств относительно совершенствовани€ эвристических механизмов, эффективность эвристического сканировани€ на данный момент далека от ожидаемой. Ќезависимые тесты компонентов эвристического анализа показывают, что уровень обнаружени€ новых вредоносных программ составл€ет не более чем 40-50 % от их числа.[1](англ.)

ƒаже при успешном определении, лечение неизвестного вируса практически всегда €вл€етс€ невозможным.  ак исключение, некоторыми продуктами возможно лечение однотипных и р€да полиморфных, шифрующихс€ вирусов, не имеющих посто€нного вирусного тела, но использующих единую методику внедрени€. ¬ таком случае, дл€ лечени€ дес€тков и сотен вирусов может существовать одна запись в вирусной базе, как это реализовано, к примеру, в антивирусе ». ƒанилова.

«амечани€

1. »ногда приходитс€ отключать антивирусную защиту при установке обновлений программ, таких, например, как Windows Service Packs. јнтивирусна€ программа, работающа€ во врем€ установки обновлений, может стать причиной неправильной установки модификаций или полной отмене установки модификаций. ѕеред обновлением Windows 98, Windows 98 SE или Windows ME на Windows XP лучше отключить защиту от вирусов, в противном случае процесс обновлени€ может завершитьс€ неудачей.

2. Ќекоторые антивирусные программы на самом деле €вл€ютс€ шпионским ѕќ, которое под них маскируетс€. Ћучше несколько раз проверить, что антивирусна€ программа, которую вы загружаете, действительно €вл€етс€ таковой. ≈щЄ лучше использовать ѕќ известных производителей и загружать дистрибутивы только с сайта разработчика.

3. ќбучение пользователей может стать эффективным дополнением к антивирусному программному обеспечению. ѕростое обучение пользователей правилам безопасного использовани€ компьютера (например не загружать и не запускать на выполнение неизвестные программы из »нтернета) снизило бы веро€тность распространени€ вирусов и избавило бы от надобности пользоватьс€ многими антивирусными программами.

4. ѕользователи компьютеров не должны всЄ врем€ работать с правами администратора. ≈сли бы они пользовались режимом доступа обычного пользовател€, то некоторые разновидности вирусов не смогли бы распростран€тьс€ (или, по крайней мере, ущерб от действи€ вирусов был бы меньше). Ёто одна из причин, по которым вирусы в Unix-подобных системах относительно редкое €вление.

5. ћетод обнаружени€ вирусов по поиску соответстви€ в словаре не всегда достаточен из-за продолжающегос€ создани€ всЄ новых вирусов, метод подозрительного поведени€ не работает достаточно хорошо из-за большого числа ошибочных решений о принадлежности к вирусам не заражЄнных программ.

6. –азличные методы шифровани€ и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми антивирусным программным обеспечением. ƒл€ обнаружени€ этих Ђзамаскированныхї вирусов требуетс€ мощный механизм распаковки, который может дешифровать файлы перед их проверкой. ќднако во многих антивирусных программах эта возможность отсутствует и, в св€зи с этим, часто невозможно обнаружить зашифрованные вирусы.

7. Ќекоторые антивирусные программы могут значительно понизить быстродействие. ѕользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействи€, в свою очередь, увеличива€ риск заражени€ вирусами. ƒл€ максимальной защищЄнности антивирусное программное обеспечение должно быть подключено всегда, несмотр€ на потерю быстродействи€. Ќекоторые антивирусные программы (как AVG for Windows) не очень сильно вли€ют на быстродействие.

8. Ќекоторые из продуктов дл€ лучшего обнаружени€ используют несколько €дер дл€ поиска и удалени€ вирусов и программ-шпионов. Ќапример, в разработке NuWave Software используетс€ одновременно п€ть €дер (три дл€ поисков вирусов и два дл€ поиска программ-шпионов).





ѕоделитьс€ с друзь€ми:


ƒата добавлени€: 2015-01-29; ћы поможем в написании ваших работ!; просмотров: 1561 | Ќарушение авторских прав


ѕоиск на сайте:

Ћучшие изречени€:

Ћибо вы управл€ете вашим днем, либо день управл€ет вами. © ƒжим –он
==> читать все изречени€...

1372 - | 1181 -


© 2015-2024 lektsii.org -  онтакты - ѕоследнее добавление

√ен: 0.017 с.