Роздрукувати сторінку
Главная \ Методичні вказівки \ Методичні вказівки \ 834 Тема Антивіруси Навчальний посібник Internet для користувача частина 2, НУДПСУ

Тема Антивіруси Навчальний посібник Internet для користувача частина 2, НУДПСУ

« Назад

834 Тема Антивіруси Навчальний посібник Internet для користувача частина 2, НУДПСУ

2.2. Антивіруси

2.2.1. Загальна характеристика

Хоча відповідно визначення [111] антивірус це програмний засіб, призначений для боротьби з вірусами, однак на сьогодні він є основним засобом захисту від всіх типів шкідливого програмного забезпечення. Основними завданнями антивірусу є:

- Перешкоджання проникненню вірусів та іншого шкідливого програмного забезпечення в комп'ютерну систему.

- Виявлення наявності вірусів та іншого шкідливого програмного забезпечення у комп'ютерній системі.

- Знищення вірусів та іншого шкідливого програмного забезпечення в комп'ютерної системи без нанесення ушкоджень іншим об’єктам системи.

- Мінімізація збитку від дій вірусів та іншого шкідливого програмного забезпечення.

Основним моментом функціонування антивірусів є технологія виявлення вірусів та іншого шкідливого програмного забезпечення. Сучасні технології, що застосовуються в антивірусах, можна розбити на дві групи:

- Технології сигнатурного аналізу.

- Технології ймовірнісного аналізу.

Сигнатурний аналіз - метод виявлення вірусів, що полягає в перевірці наявності у файлах сигнатур вірусів. Сигнатурний аналіз є найбільш відомим методом виявлення вірусів і використається практично в всіх сучасних антивірусах.

Для проведення перевірки антивірусу необхідний набір вірусних сигнатур, що зберігається в антивірусній базі. Зазначимо, що антивірусна база це база даних, у якій зберігаються сигнатури вірусів. Через те, що сигнатурний аналіз припускає перевірку файлів на наявність сигнатур вірусів, антивірусна база має потребу в періодичному відновленні для підтримки актуальності антивірусу. Для цього, у неї потрібно періодично завантажувати (звичайно, через Інтернет) обновлені дані. В багатьох антивірусних програм які працюють по методу сигнатур характерна перевірка файлів у той момент, коли операційна система створює, відкриває, закриває або посилає їх поштою. Таким чином, програма антивірус може виявити відомий вірус відразу після його одержання. Також,  системний адміністратор може встановити в антивірусній програмі розклад для регулярної перевірки (сканування) всіх файлів на жорсткому диску комп'ютера.

Хоча антивірусні програми, створені на основі пошуку відповідності визначенню вірусу в антивірусній базі, при звичайних обставинах, можуть досить ефективно перешкоджати спалахам зараження комп'ютерів, автори вірусів намагаються обминути захист, створюючи «олігоморфічні», «поліморфічні» і, найбільш нові, «метаморфічні» віруси. В таких вірусах деякі частини шифруються або спотворюються так, щоб неможливо було виявити збіг з визначенням у словнику вірусів. Сам принцип роботи сигнатурного аналізу також визначає границі його функціональності -можливість виявляти лише вже відомі віруси. Проти нових типів вірусів сигнатурний сканер як правило мало ефективний. Однак, грамотна реалізація вірусної сигнатури дозволяє виявляти відомі віруси зі стовідсотковою ймовірністю.

Технології ймовірнісного аналізу у свою чергу підрозділяються на три категорії:

- Евристичний аналіз.

- Поведінковий аналіз.

- Аналіз контрольних сум.

Евристичний аналіз - технологія, заснована на імовірнісних алгоритмах, результатом роботи яких є виявлення підозрілих об'єктів. У процесі евристичного аналізу перевіряється структура файлу, його відповідність вірусним шаблонам. Найбільш популярною евристичною технологією є перевірка вмісту файлу на предмет наявності модифікацій уже відомих сигнатур вірусів і їхніх комбінацій. Це допомагає визначати гібриди й нові версії раніше відомих вірусів без додаткового відновлення антивірусної бази. Евристичний аналіз застосовується для виявлення невідомих вірусів, і, як наслідок, не припускає лікування. Дана технологія, однак, застосовується в сучасних програмах дуже обережно, тому що може підвищити кількість помилкових спрацьовувань. Практично всі сучасні антивірусні засоби застосовують технологію евристичного аналізу програмного коду. Евристичний аналіз нерідко використається разом із сигнатурним скануванням для пошуку зашифрованих та поліморфних вірусів. Методика евристичного аналізу дозволяє виявляти раніше невідомі інфекції, однак, лікування в таких випадках практично завжди виявляється неможливим. У такому випадку, як правило, потрібне додаткове відновлення антивірусних баз для одержання останніх сигнатур й алгоритмів лікування.

Поведінковий аналіз - технологія, у якій рішення про характер перевіряє мого об’єкту, приймається на основі аналізу виконуваних їм операцій. Поведінковий аналіз досить вузько застосуємо на практиці, тому що більшість дій, характерних для вірусів, можуть виконуватися й звичайними додатками. Найбільшу популярність одержали поведінкові аналізатори скриптів і макросів, оскільки відповідні віруси та трояни практично завжди виконують ряд однотипних дій. Засоби захисту, що вшивають в BIOS, також можна віднести до поведінкових аналізаторів. При спробі внести зміни в MBR комп'ютера, аналізатор блокує дія й виводить відповідне повідомлення користувачеві. Крім цього поведінкові аналізатори можуть відслідковувати спроби прямого доступу до файлів, внесення змін у завантажувальний запис дискет, форматування  дисків і т.д. Найбільш відомим різновидом поведінкового аналізу є метод виявлення аномалій, який крім антивірусів використовується хостовими та мережевими системами виявлення вторгнень. Програма, що використає цей метод, спостерігає певні дії (роботу програми/процесу, мережний трафік, роботу користувача), стежачи за можливими незвичайними й підозрілими подіями або тенденціями. Антивіруси, що використають метод виявлення підозрілого поводження програм, не намагаються ідентифікувати відомі віруси. Замість цього вони простежують поводження всіх програм. Якщо програма намагається записати якісь дані у виконуваний файл (exe-файл), програма-антивірус може знищити цей файл, попередити користувача, тощо. На відміну від методу сигнатур, технологія виявлення підозрілого поводження дозволяє виявити  зовсім нові віруси та шкідливе програмне забезпечення, яке ще представлене в жодній базі вірусів або атак. Однак програми, побудовані на цьому методі, можуть видавати також велика кількість помилкових попереджень, що ускладнює прийняття користувачем рішення про необхідність захисту. Останнім часом ця проблема ще більше загострилась, тому що з'являється все більше нешкідливих програм, які модифікують інші exe-файли, незважаючи на існуючу проблему помилкових попереджень. Незважаючи на це, у сучасному антивірусному програмному забезпеченні метод виявлення аномалій використається все частіше. Так, в 2006 році вийшло кілька продуктів відомих антивірусних розробників, що вперше реалізували цей метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe’n’Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall.

Аналіз контрольних сум - це спосіб відстеження змін в об’єктах комп'ютерної системи. На підставі аналізу характеру змін - одночасність, масовість, ідентичність зміни довжин файлів, можна робити висновок про зараження системи.

Як правило, більшість сучасних реалізацій антивірусів використовують комбіновані методики виявлення шкідливих програм, що дозволяє значно підвищити ефективність захисту.

2.2.2. Режими роботи антивірусів

Крім технологій розпізнавання, антивіруси відрізняються друг від друга режимом контролю комп'ютерної системи - безперервним або періодичним. Вже з аналізу завдань можна зробити висновок про те, що перешкоджання проникненню шкідливого коду повинне здійснюватися безперервно, тоді як процес виявлення шкідливого коду в існуючій системі повинен носити періодичний  характер. Тому, засоби, що вирішують ці два завдання повинні функціонувати по-різному. Відповідно, антивіруси можна розділити на дві більші категорії:

  • Призначені для безперервної роботи - до цієї категорії ставляться засоби перевірки доступу, поштові фільтри, системи сканування мережевого трафіку Інтернет, інші засоби, які сканують потоки даних.

  • Призначені для періодичного запуску - різного роду засоби перевірки за запитом та засоби призначені для однократного сканування певних об'єктів. До таких засобів можна віднести сканер "на вимогу" файлової системи в антивірусному комплексі для робочої станції, сканер "на вимогу" поштових скриньок і загальних папок в антивірусному комплексі для поштової системи.

Як показує практика, запобігти виникненню проблеми набагато простіше, ніж намагатися ліквідувати наслідки. Саме тому сучасні антивірусні комплекси здебільшого мають призначені для безперервного режиму експлуатації. Проте, засоби періодичної перевірки набагато ефективніші при боротьбі з наслідками зараження й тому не менш необхідні. Відповідно режиму та методиці роботи склалась суасна класифікація антивірусів:

Сканери (застарілий варіант «поліфаги») - визначають наявність вірусу за допомогою бази даних, в якій зберігаються сигнатури (контрольні суми сигнатур) вірусів. Ефективність сканерів визначається актуальністю та повнотою вірусної бази й наявністю евристичного аналізатора.

Ревізори - запам'ятовують стан файлової системи, що робить надалі можливим аналіз змін системи. Цей клас антивірусів близький до систем виявленя вразливостей.

Сторожа (монітори) - відслідковують потенційно небезпечні операції, видаючи користувачеві відповідний запит на дозвіл/заборону операції.

Вакцини - змінюють захищаємий файл таким чином, щоб вірус, проти якого робиться щеплення, вважав файл зараженим. У сучасних умовах, коли кількість можливих вірусів виміряється десятками тисяч, цей підхід не застосується.

З повагою ІЦ “KURSOVIKS”!