Cтуденти кафедри
комп’ютеризованих систем захисту інформації
Васильєв А.О., Бєтанов Е.В. , Довніч Р.О.
Національний авіаційний університет, Україна
Сучасні антивіруси та принцип їх дії
Основне джерело загрози у сфері інформаційної безпеки сьогодні є тенденція зростання протиправних дій організованих груп або окремих осіб з використанням різноманітних інформаційних комп'ютерних мереж. Бурхливий розвиток Інтернету кардинально змінив користування інформаційними ресурсами світу. Тепер при роботі в мережі потрібно мати на увазі, що наскільки ресурси Всесвітньої мережі відкриті звичайному клієнтові, настільки ж і ресурси його власної комп'ютерної системи за певних умов можуть бути відкриті всім, хто володіє необхідними засобами.
У комп’ютерній
техніці поняття інформаційної безпеки є широким, воно охоплює і надійність
роботи комп'ютера, і збереження цінних даних, і захист інформації від внесення
до неї змін не уповноваженими персонами (конфіденційність), і збереження
таємниці листування в електронному зв'язку. Зрозуміло, що на варті комп'ютерної
безпеки стоять закони, які й регулюють захист інформації. Але правозастосовна
практика та законотворчий процес не встигають за розвитком інформаційних
технологій, і тому безпека надійної роботи комп'ютерних систем багато в чому
спирається на заходи профілактики. Однією з найстрашніших проблем для
користувача може стати комп’ютерний вірус.
Під комп'ютерним вірусом (або просто вірусом) розуміється програма, здатна до самостійного впровадження в тіла інших програм і подальшого самовідтворення і самопоширення в інформаційно-обчислювальних мережах і окремих ПК. Комп'ютерні віруси схожі на біологічні віруси в тому, як вони розмножуються і в тому, що їм необхідний «господар», щоб вижити.
Основними джерелами для масового поширення вірусу в комп'ютері є:
· слабка захищеність операційної системи (ОС);
· наявність різноманітної і досить повної документації по OC та "заліза", що використовується авторами вірусів;
· широке розповсюдження цієї ОС і цього "заліза".
Для того щоб вирішити проблему з першим пунктом використовують антивірусне програмне забезпечення - антивіруси.
Користувач постійно копіює собі нові програми, модифікує існуючі програми, обмінюється інформацією, тому повністю запобігти інфікуванню систем неможливо.
Дія антивірусних програм заснована
або на загальні властивості вірусів
(тобто на їх
здатності до зміни файлів або завантажувальних записів),
або на характеристиках окремих вірусів або
класів вірусів.
На даний момент існує 5 основних типів антивірусних програм: сканери, монітори, ревізори змін, іммунізатори і поведінкові блокіратори. Деякі з них практично вийшли з ужитку в зв'язку з низькою ефективністю, інші ще не використовуються достатньо широко.
Антивірусні сканери - перші антивіруси, що з'явилися на світ одночасно з комп'ютерними вірусами. Принцип їх роботи полягає в пошуку у файлах, пам'яті, і завантажувальних секторах вірусних масок, тобто унікального програмного коду вірусу. Вірусні маски (описи) відомих вірусів містяться в антивірусній базі даних і якщо сканер зустрічає програмний код, співпадаючий з одним з цих описів, то він видає повідомлення про виявлення відповідного вірусу.
Розвиток апаратних можливостей комп'ютерів і поява більш досконалих операційних систем зробило можливим розробку другого виду антивірусних програм - антивірусних моніторів.
На даний момент розрізняються три основних типи:
файлові монітори, монітори для поштових програм і монітори для спеціальних програм.
За своєю суттю всі вони є різновидом сканерів, які постійно знаходяться в
пам'яті комп'ютера і здійснюють автоматичну перевірку всіх використовуваних
файлів в масштабі реального часу. Сучасні монітори здійснюють перевірку у
момент відкриття та закриття програми. Таким чином, виключається можливість
запуску раніше інфікованих файлів і зараження файлу резидентним вірусом.
Завдяки фоновому режиму роботи антивірусні монітори дозволяють користувачеві не обтяжувати себе турботою про ручне сканування кожного нового файлу: антивірусна перевірка буде здійснена автоматично. У разі виявлення шкідливої програми, монітор, залежно від опцій, вилікує файл, заблокує його виконання або ізолює, перемістивши в спеціальну карантинну директорію для подальшого дослідження.
Третій різновид антивірусів - ревізори змін (integrity checkers). Ця технологія захисту заснована на тому факті, що віруси є звичайними комп'ютерними програмами, що мають здатність таємно створювати нові або упроваджуватися у вже існуючі об'єкти (файли, завантажувальні сектори). Іншими словами, вони залишають сліди у файловій системі, які потім можна відстежити і виявити факт присутності шкідливої програми.
Принцип роботи ревізорів змін заснований на знятті оригінальних "відбитків " (CRC-сум) з файлів, системних секторів і системного реєстру. Ці "відбитки"зберігаються в базі даних. При наступному запуску ревізор звіряє "відбитки" з їх оригіналами і повідомляє користувача про зміни, що відбулися, окремо виділяючи вірусоподібні та інші, не підозрілі, зміни.
Інший вид антивірусів - іммунізатори - діляться на два види: іммунізатори , що повідомляють про зараження, і іммунізатори, що блокують зараження яким-небудь типом вірусу. Перші зазвичай записуються в кінець файлів (за принципом файлового вірусу) і при запуску файлу кожного разу перевіряють його на зміну.
Другий тип іммунізаторів захищає систему від атаки яким-небудь певним вірусом. Файли модифікуються таким чином, що вірус приймає їх уже за заражені. Цей тип імунізації не є універсальним, оскільки не можна імунізувати файли від всіх відомих вірусів: у кожного з них свої прийоми визначення зараженості файлів. Крім того, багато вірусів не перевіряють файли на предмет присутності в них своєї копії.
Всі перераховані вище типи антивірусів не вирішують головної проблеми - захисту від невідомих вірусів. Таким чином, комп'ютерні системи виявляються беззахисними перед ними до тих пір, поки антивірусні компанії не розроблять ліки. Саме поведінкові блокіратори мають реальну можливість з 100% гарантією протистояти атакам нових вірусів. Вони перехоплюють різні події і у разі "підозрілих" дій (дій, які може виробляти вірус або інша шкідлива програма), забороняє цю дію або запитує дозвіл у користувача.
Іншими словами, блокіратор здійснює не пошук унікального програмного коду вірусу (як це роблять сканери і монітори), не порівнює файли з їх оригіналами (на зразок ревізорів змін), а відстежує і нейтралізує шкідливі програми з їх характерним дій. Теоретично, блокіратор може запобігти розповсюдження будь-якого як відомого, так і невідомого вірусу, попереджаючи користувача до того, як вірус заразить інші файли або завдасть будь-якої шкоди комп'ютеру.
Наприкінці хотілося б додати додати, що огляд типів антивірусних програм був би не зовсім повним, якби не згадка про кращий спосіб їх використання. Кращим варіантом може бути продумана комбінація всіх описаних вище способів. У кожного виду антивірусних програм є свої переваги і недоліки. У сукупності вони вдало компенсують один одного підвищуючи ступінь захисту як домашнього комп'ютера, так і мережі світового масштабу.
Список використаної літератури
1.
С.
Симонович, Г. Евсеев, А. Алексеев «Windows. Лаборатория мастера» Москва,
«АСТпресс» 2000