Программные средства антивирусной защиты

Для нейтрализации вирусов используются программные антивирусы, которые в зависимости от реализованного в них подхода к выявлению и нейтрализации вирусов, делятся на следующие группы:

- детекторы,

- фаги,

- вакцины,

- прививки,

- ревизоры,

- мониторы.

Детекторы – для выявлениявирусов просматривают исполняемые файлы в целях поиска сигнатур, которые представляют собой устойчивые последовательности байтов, имеющиеся в телах известных вирусов. Если в файле обнаружена сигнатура, то он заражен соответствующим вирусом. Если антивирус обеспечивает возможность поиска различных сигнатур, то его называют полидетектором.

Фаги – кромефункций, выполняемых детектором по обнаружению вируса, фаги «излечивают» зараженные программы, «выкусывая» вирусы из их тел. Если фаги обеспечивает возможность по нейтрализации различных вирусов, то их называют полифагами.

Вакцины – по своему принципу действия идентичны вирусам, поскольку имплантируются в защищаемую программу, запоминая ее количественные и структурные характеристики (длина программы, ее контрольная сумма и т.п.). Если произошло инфицирование программы и указанные наборы характеристик изменились, то делается вывод об изменении текста вакцинированной программы вирусом.

Прививки – действуют с учетом того обстоятельства, что вирус, обычно, при инфицировании программы помечает ее каким-либо признаком, для того чтобы повторно не выполнять ее заражение. Прививка, не внося никаких изменений в текст программы, помечает программу тем же признаком, что и вирус, который считая ее уже инфицированной, повторно не заражает ее.

Ревизоры – выполняют контроль файловой системы, при этом они используют подход, который аналогичен реализованному в вакцинах. Ревизоры сравнивают текущие характеристики каждого исполняемого файла с его аналогичными характеристиками, которые были получены в процессе предыдущего просмотра файлов. В случае, файл с момента предыдущего просмотра не обновлялся, а сравниваемые наборы характеристик не совпадают, то файл будет считаться зараженным. В отличие от вакцин, ревизоры запоминают характеристики исполняемых файлов в отдельном файле, поэтому не происходит увеличение длины исполняемых файлов.

Монитор – эторезидентная программа, которая выполняет перехват потенциально опасных прерываний, типичных для вирусов, и запрашивает у пользователей подтверждение на выполнение операций, которые следуют за прерыванием. Если был получен запрет или не поступило подтверждение на выполнение операций, монитор блокирует выполнение пользовательской программы.

Рассмотренные типы программных антивирусов значительно повышают уровень защиты от вирусов как ПК, так и ЛВС, однако, в связи со свойственными им ограничениями, не решают все проблемы. Например, для разработки детекторов, фагов и прививок требуется знать тексты вирусов, то есть их предварительно необходимо выявить. Что касается разработчиков вирусов, то они пытаются создавать все более изощренные вирусы, способные успешно обходить все известные способы защиты. Поэтому, наряду с созданием антивирусов, необходимо использовать другие подходы для нейтрализации программных вирусов, в том числе: создание операционных систем, которые обладают высокой вирусозащищенностью; разработку аппаратных средств защиты от вирусов; обеспечение выполнения организационных мер; проведение систематического контроля целостности информации; создание резервных копий.

 


[1] ISO– International Standart Organization.

[2] Аутентификация– определение источника информации, то есть конечного пользователя или устройства (центрального компьютера, сервера, коммутатора, маршрутизатора и т.д.)

[3] Межсетевой экран – на англ. Firewall, дословный перевод – огнеупорная стенка, отделяющая водителя в гоночном автомобиле от двигателя; если при аварии двигатель загорается, водитель остается жив.

[4] Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: Руководящий документ (утв. решением председателя Гостехкомиссии РФ 25.07.1997.

[5] Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных: Выписка (утв. ФСТЭК РФ 15.02.2008).