Інформаційні технології в галузі_Васюра Р.В._lk

Основними технологіями виявлення вірусів (і інших шкідливих програмних засобів) є:

·       пошук сигнатур;

·       евристичний аналіз;

·       контроль незмінності об’єктів.

Однією з основних технологій виявлення вірусів був і залишається пошук характерних ознак відомих вірусів (так званих сигнатур) у файлах і оперативній пам’яті комп’ютера. Деякий час великі надії покладали на так званий “евристичний аналіз”, коли впровадження шкідливого коду визначалось (точніше, “підозрювалось”) за наявністю “підозрілих операцій” (як, наприклад, відкриття для модифікації виконуваних файлів, перехоплення переривань, тощо). Також деякі засоби контролювали незмінність файлів, здебільшого виконуваних, що гарантувало неможливість впровадження в них коду вірусу. Сучасні антивірусні засоби поєднують в собі всі ці можливості, причому для виявлення відомих вірусів (а також хробаків, “троянських коней” і інших небезпечних програмних засобів) найефективнішим залишається саме пошук їхніх сигнатур.

За режимом дії з-проміж антивірусних засобів виділяють:

·       антивірусні сканери (АВС);

·       антивірусні монітори (АВМ);

·       антивірусні фільтри (АВФ).

Антивірусні сканери періодично або за запитом здійснюють повне сканування файлової системи комп’ютера або вибіркове сканування заданих файлів або каталогів. Обсяг файлової системи сучасних комп’ютерів і кількість сигнатур в базі сучасних антивірусних засобів такий, що повне сканування комп’ютера з рутинної операції перетворилось на авральну процедуру, яка на кілька годин паралізує будь-яку діяльність на комп’ютері. Тому, незважаючи на переконливі вимоги антивірусних засобів провести повне сканування файлової системи, на практиці таке сканування проводять дуже нечасто (є можливість проводити такі сканування вночі, але реально так роблять здебільшого в корпоративних мережах).

Антивірусні монітори працюють неперервно, але вони здійснюють лише вибіркову перевірку, і тому, як правило, не дуже сильно уповільнюють роботу комп’ютера. Обов’язково перевіряються всі файли, з якими проводяться будь-які операції (відкривання, зчитування, записування, переміщення файлу, запуск на виконання), а якщо таких операцій відбувається мало, іде повільне вибіркове сканування файлової системи. Слід зазначити, що в момент відкривання файлу, особливо великих файлів і архівів, перевірка займає помітний проміжок часу, так що антивірусний монітор дійсно помітно уповільнює деякі види операцій, а саме: запуск великих програм, відкриття великих документів і, особливо, архівів, що містять документи, а також пакетні операції оброблення великої кількості файлів (наприклад, переміщення великого каталогу з документами WinWord).

Антивірусні фільтри призначені для роботи з потоками даних, головним чином – тими, що надходять з мережі. Вони ефективні для перевірки електронної пошти, повідомлень з каналів IRC, P2P-мереж і інших. Також вони ефективні проти так званих безтілесних хробаків, які не пов’язані з жодними файлами.

Віруси (а також хробаки і “троянські коні”) із свого боку протидіють антивірусним засобам різними, часто досить вибагливими способами.

Головним засобом проти пошуку сигнатур став так званий поліморфізм – модифікація коду вірусу від одного екземпляру до іншого. Для реалізації поліморфізму, як правило, здійснюється зашифровування коду з використанням різних ключів, а першим компонентом вірусу, який отримує керування, є розшифрувальник.

Деякі віруси досить ефективно приховують себе від програм, які контролюють розмір файлів (наприклад, на системний запит видають невірну інформацію про довжину файла, дату його модифікації, тощо). Подібні технології отримали назву “стелс” (англ. – stealth).

Досить неприємною для антивірусних засобів є тенденція розсилати код вірусу упакованим в архів (антивірусні засоби для виявлення сигнатури повинні вміти розпаковувати всі необхідні формати архівів). Ще більшим утрудненням стало пакування вірусів у архіви, що захищені паролем (пароль надсилається окремо, наприклад, вірус – у приєднаному до електронного листа файлі, а пароль – в самому листі).

Також віруси можуть включати в себе механізми захисту від дослідження, протидії запуску в режимі налагодження, а також “логічні бомби”, які спрацьовують при спробі видалення компонентів вірусу.