Компьютерные сети. Принципы, технологии, протоколы - [390]

Шрифт

Интервал

то есть блокирует файл от возможного использования. Одним из надежных способов такого блокирования является временное шифрование зараженного файла.

ПРИМЕЧАНИЕ-

Различные методы шифрования и упаковки вредоносных программ используют и хакеры. После шифрования или архивирования даже известный вирус становится «невидимым» для обычного сканера сигнатур.

Затем система сканирования оповещает своего пользователя об обнаружении зараженных файлов и о своих действиях, предпринятых по отношению к ним, а также предлагает пользователю выбрать тот или иной вариант дальнейших действий. В частности, она может предложить удалить файл или попытаться восстановить файл путем удаления вредоносного кода и, возможно, реконструкции его исходной структуры.

Процедура сканирования может выполняться как для отдельных файлов, так и для содержимого всего диска, как регулярно, в соответствии с заранее заданным расписанием, так и время от времени по инициативе пользователя. Некоторые антивирусные системы выполняют сканирование файлов синхронно с выполнением тех или иных операций с файлами: открытием, закрытием файлов или отправкой их в виде почтовых вложений; иногда такая тактика помогает быстрее обнаружить появление вируса.

К достоинствам данного метода относят относительно низкую долю ложных срабатываний. Главным же недостатком является принципиальная невозможность обнаружить присутствие в системе нового вируса, для которого еще нет сигнатуры в базе данных антивирусной программы. Кроме того, создание базы данных сигнатур является делом очень трудоемким, а ее эксплуатация требует постоянного оперативного обновления, что может представлять проблему как для производителей, так и для пользователей антивирусных средств.

Метод контроля целостности

Метод контроля целостности основывается на том, что любое неожиданное и беспричинное изменение данных на диске является подозрительным событием, требующим особого внимания антивирусной системы. Действительно, любой вирус обязательно оставляет свидетельства своего пребывания на диске. Такими «следами» может быть искажение данных в уже существующих файлах или появление новых исполняемых файлов.

Факт изменения данных — нарушение щлостности — легко устанавливается путем сравнения контрольной суммы (или дайджеста), заранее подсчитанной для исходного состояния тестируемого кода, и контрольной суммы (дайджеста) текущего состояния тестируемого кода. Если они не совпадают, значит, целостность нарушена и имеются все основания провести для этого кода дополнительную проверку, например, путем сканирование вирусных сигнатур.

В отличие от сканирования сигнатур метод контроля целостности позволяет обнаруживать следы деятельности любых, в том числе неизвестных, вирусов, для которых в базе данных еще нет сигнатур. Кроме того, он работает быстрее, поскольку операции подсчета контрольных сумм требуют меньше вычислений, чем операции сравнения кодовых фрагментов.

Сканирование подозрительных команд

В арсенале вирусных программ есть особенно опасные средства. Примером такого грозного оружия может служить код, вызывающий форматирование жесткого диска. Каждый случай обнаружения такого кода должен переводить систему в состояние тревоги, или, по крайней мере, система должна уведомить пользователя об этом событии и попросить подтверждения, прежде чем выполнить операцию, которая может привести к катастрофическим последствиям.

Известно, что вирусные программы разных видов могут содержать функционально подобные (но программно не идентичные) блоки. Например, многие виды вирусов содержат функцию внедрения в исполняемый код. Для этого они сначала отыскивают файлы с расширениями ехе, а затем выполняют для них операции открытия и записи. И хотя совокупность этих действий может быть реализована разными кодовыми последовательностями, ее все же можно характеризовать некоторыми общими признаками, которые могут стать опознавательным знаком для функции внедрения вируса.

Если в результате сканирования в файле обнаруживают некоторое число подозрительных команд и/или признаков подозрительных кодовых последовательностей, то делается предположение о вредоносной сущности файла и предпринимаются дополнительные действия по его проверке.

Этот метод обладает хорошим быстродействием, но довольно часто он не способен выявлять новые вирусы.

Отслеживание поведения программ

Принципиально другим подходом по сравнению с методами сканирования содержимого файлов являются методы, основанные на анализе поведения программ во время их выполнения. Этот метод обнаружения вирусов можно сравнить с поимкой преступника «за руку» на месте преступления. Тестируемую программу запускают на выполнение, инструкцию за инструкцией, но все ее подозрительные действия контролируются и протоколируются антивирусной системой. Если программа пытается выполнить какую-либо потенциально опасную команду, например записать данные в исполняемый файл другой программы, то ее работа приостанавливается, и антивирусная система запрашивает пользователя о том, какие действия ей надо предпринять.

Антивирусные средства данного типа часто требуют активного участия в тестировании пользователя, призванного реагировать на многочисленные предупреждения системы, значительная часть которых может оказаться впоследствии ложными тревогами.

Продолжить чтение

Рекомендуем почитать

Саймон Гарфилд

Пурпурный. Как один человек изобрел цвет, изменивший мир

Это история об Уильяме Перкине, который случайно изобрел пурпурный цвет. И навсегда изменил мир вокруг себя. До 1856 года красители были исключительно натуральными – их получали из насекомых, моллюсков, корней и листьев, а искусственное окрашивание было кропотливым и дорогим. Но в 1856 году все изменилось. Английский химик, работая над лекарством от малярии в своей домашней лаборатории, случайно открыл способ массового производства красителей на фабриках. Этот эксперимент – или даже ошибка – произвел революцию в моде, химии и промышленности. Эта книга – удивительный рассказ о том, как иногда даже самая маленькая вещь может менять и иметь такое продолжительное и важное воздействие. В формате PDF A4 сохранён издательский дизайн.

Виктор Зубачевский

Политика России в Центрально-Восточной Европе (первая треть ХХ века): геополитический аспект

100-летие спустя после окончания Первой мировой войны и начала становления Версальской системы предыстория и история этих событий требуют дальнейшего исследования. Тема книги актуальна и в связи с территориальными изменениями в Центрально-Восточной Европе (ЦВЕ) в конце ХХ века. Многие сегодняшние проблемы берут начало в геополитической трансформации региона в ходе Первой мировой войны и после ее окончания. Концептуальной новизной работы является попытка проследить возвращение имперской составляющей во внешнюю политику России.

Лариса Артемьева

Под сенью учителя

Собирая эту книгу из огромного количества материалов, я ставила перед собой нетривиальную задачу: на жизненном примере взаимоотношений ученого каббалиста Михаэля Лайтмана и его великого учителя Баруха Ашлага показать один из возможных путей в каббалу. Удалось ли мне решить эту задачу, пусть решает читатель От составителя книги Ларисы АртемьевойКнига представлена в сокращенном виде. Это связано с тем,что значительная часть материалов данной книги в расширенном и дополненном виде уже скоро (осень 2006 года) будет представлена в новой книги Михаила Лайтмана, в его редакции и с его комментариями.

Георгий Сумаруков

Затаенное имя - Тайнопись в 'Слове о полку Игореве'

В книге рассказывается история главного героя, который сталкивается с различными проблемами и препятствиями на протяжении всего своего путешествия. По пути он встречает множество второстепенных персонажей, которые играют важные роли в истории. Благодаря опыту главного героя книга исследует такие темы, как любовь, потеря, надежда и стойкость. По мере того, как главный герой преодолевает свои трудности, он усваивает ценные уроки жизни и растет как личность.

Александр Кузовкин

`Тук-тук-тук` - и никого!

Эдуард Сукиасян

Алфавитно-предметный указатель к систематическому каталогу