Архитектура на сигурността

© Христо Тужаров, януари 2010 

ЗАЩИТА ОТ ВИРУСИ

[Home] [Съдържание] [Асеневци] [Студентите] [Консултации]

КОНТРОЛ ЗА ИМПОРТ НА ПРОГРАМИ

 

ЗАЩИТА ОТ ВИРУСИ

 

ПРОАКТИВНА АНТИВИРУСНА ЗАЩИТА

 

МЕТОДИ ЗА ПРОАКТИВНА ЗАЩИТА

 

АНТИВИРУС безплатен софтуер

 

КОНТРОЛ НА ИНТЕРАКТИВНИ

ПРОГРАМИ

 

 

 

Етапи за борба с вирусите

  • Предотвратяване - правила, позволяващи да се предотврати заразяването с вируси;

  • Откриване – начини и средства за откриване на вируси в изпълними и текстови файлове

  • Премахване – изчистване на вирусите от заразената компютърна система, включващо понякога:

  • Преинсталация на ОС;

  • Изтриване на файлове

  • Изтриване на вирусите от заразени файлове.

Вероятност за заразяване с вируси - пропорционална на честотата на появяване на нови файлове или приложения в компютъра.

 

Причини за появяване на вируси;

  • Инсталиране на приложение;

  • Четене на файл по FTP,

  • Четене на електронно писмо.

Механизми за защита от с вируси:

  • Обучение на потребителите за защита и борба с вируси;

  • Периодична проверка на мрежата и отделните компютри с антивирусни средства (инсталирани в резидентен режим);

  • Периодично обновяване на антивирусните средства;

  • Водене на дневници за работата на антивирусните средства;

  • Информиране на администратора за всеки открит вирус, промени в конфигурацията или необичайно поведение на компютъра или програма;

  • Зареждане на нови програми да става само със знанието на администратора;

  • Периодична проверка конфигурацията на програмните средства в мрежата и отделните компютри.

 

Действия по премахване на вируси

à Изключване от мрежата на подозирания в заразяване компютър;

à Проверка на компютъра с антивирусни средства; 

Ако антивирусната програма не може да изчисти вируса à Изтриване на всички програми в компютъра à Повторно зареждане на програмите от надежден източник à Проверка за вируси.

 

Антивирусни програми

Най-ефективни срещу компютърните вируси се явяват антивирусните програми (антивируси). Те използват различни принципи за търсене и лекуване на заразени файлове.

 

 

        Полифаги (от поли и от гръцкото  phagos — изяждащ)

Явяват се най- популярните и ефективни антивирусни програми (например, Kaspersky Anti-Virus, Dr.Web).

 

Принцип на работа на Полифаги

Проверка на файловете на зареждащите сектори на дисковете и оперативната памет, с цел търсене на известни и нови (неизвестни полифаги) вируси.

 

За търсене на известни вируси се използват маски.

 

                 Маска на вируса – постоянна последователност от програмен код, специфична за конкретен вирус. Ако антивирусната програма открие такава последователност в някой файл, то той се счита за заразен и подлежи на лечение.

 

За търсене на нови вируси се използват ”алгоритми  „евристично сканиране”.

 

                 Алгоритъм „евристично сканиране” – анализ на последователлност от команди в проверяемия обект. Ако бъде открита „подозрителна” последователност от команди, то полифагът издава съобщение за възможно заразяване на обекта. 

 

                Антивирусни монитори – програми Полифаги, които осигуряват проверка на файловете в процеса на тяхното инсталиране в оперативната памет.

 

         Предимства на Полифагите – универсалност.

 

         Недостатъци на Полифагите – големи  размери на изпозваните от тях антивирусни бази данни, което води до относително ниска скорост на търсене на вируси.

 

        Ревизори

Антивирусна програма (например, ADinf) , която използва контролни суми за откриване на вируси.

 

            Принципът на  работа на Ревизора

Създаване на контролните суми на присъстващите на диска файлове. Тези контролни суми се съхраняват в базата данни на антивируса, както и друга информация – дължина на файла, дата на последната модификация и т.н.

 

При следващото стартиране, ревизора сравнява новосъздадени контролни суми на файловете с тези съхранени в базата данни. Ако контролните суми не съвпаднат ревизора сигнализира, че файла е заразен от вирус.

 

            Недостатък на ревизора – не могат да открият вирус в нови файлове, за  които в базата данни липсва съотвената контролна сума.

 

         Блокировчици

Програми, откриващи вирусооласни ситуации (пример – зареждащия сектор на диска) и съобщаващи за това на потребителя.

 

Най-голямо разпространение са получили антивирусните блокировчици, използвани  в  BIOS на компютъра.

 

С помощта на програма BIOS Setup е възможно да се настрои BIOS по такъв начин, че да се забрани (блокира) всеки запис в зареждащия сектор на диска.

 

           Предимства – способност да се откриват и блокират вируси на най-ранния стадий на тяхното размножаване.