Антивирусные программы. Классификация. Алгоритмы поиска компьютерных вирусов. Особенности применения

Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры (другие названия: доктора, фаги, полифаги). Следом за ними по эффективности и популярности следуют CRC-сканеры (так-же: ревизор, checksumer, integrity checker). Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа мониторы (фильтры, блокировщики) и иммунизаторы (детекторы).

Сканеры

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Сканеры также можно разделить на две категории — «универсальные» и «специализированные». Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel. Сканеры также делятся на «резидентные», производящие сканирование «на лету», и «нерезидентные», обеспечивающие проверку системы только по запросу.

CRC-сканеры

Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

Мониторы

Антивирусные мониторы — это резидентные программы, перехватывающие «вирусо-опасные» ситуации и сообщающие об этом пользователю. К «вирусо-опасным» относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочные сектора дисков, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения.

Иммунизаторы

Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, что он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и мониторы, практически не используются в настоящее время.

Алгоритмы поиска компьютерных вирусов

Сигнатурный метод поиска вирусов

Сигнатура – это программный код вируса. Когда антивирусная компания находит тело вируса, она добавляет в свою базу его сигнатуру. Скачивая обновленные базы, Вы, таким образом, уменьшаете вероятность проникновения вируса на Ваш компьютер. Антивирусная программа, сканирует каждый файл на компьютере на предмет известных сигнатур.

В этой связи есть один интересный момент. Некоторые базы имеют в своем арсенале 70 тысяч сигнатур, а в других – скажем сто. Вторые в глазах пользователя выглядят привлекательнее. Но, самом деле, это ничего не означает. Алгоритмы создания сигнатуры одних производителей отличаются от алгоритмов других. Поэтому у одной компании одна сигнатура может обозначать целую группу вирусов, в то время как у другой эту же группу будет описывать несколько сигнатур.

Существенный недостаток в таком методе – его нединамичность. Компании требуется несколько дней для поиска и создания новых сигнатур. А программисту нужно всего несколько минут для написания нового вируса и несколько секунд для заражения его на тысячи и сотни тысяч компьютеров.

Эвристический метод поиска

Именно медлительность в обновлении баз и все более сложные алгоритмы вирусов породили антивирусные компании этот метод. Собственно с помощью него антивирусные компании сканируют сеть на предмет поиска новых вирусов.

Что же он собой представляет? Это нечто типа «сигнатурный метод для сигнатур». Здесь анализируются не файлы, а прошлые методы поиска, их ошибки и достижения, устанавливаются определенные закономерности в поведении вирусов. Только этот метод сможет уберечь Вас от свежего вируса. Недостаток его заключается в том, что есть возможность отправить в вирусное хранилище ни в чем не повинный файл, если он по своему поведению или содержанию напомнит вирус. Зараженные файлы, отправленные в хранилище, не контактируют с другими файлами и с системой, поэтому безопасны. Антивирусная система может отсылать эти файлы на сайты антивирусных лабораторий, где они будут подвергаться дальнейшему анализу.