Архитектура на сигурността © Христо Тужаров, януари 2010 |
ЗАЩИТА ОТ ВИРУСИ
|
|
Етапи за борба с вирусите
Вероятност за заразяване с вируси - пропорционална на честотата на появяване на нови файлове или приложения в компютъра.
Причини за появяване на вируси;
Механизми за защита от с вируси:
Действия по премахване на вируси à Изключване от мрежата на подозирания в заразяване компютър; à Проверка на компютъра с антивирусни средства; ♦ Ако антивирусната програма не може да изчисти вируса à Изтриване на всички програми в компютъра à Повторно зареждане на програмите от надежден източник à Проверка за вируси.
Антивирусни програмиНай-ефективни срещу компютърните вируси се явяват антивирусните програми (антивируси). Те използват различни принципи за търсене и лекуване на заразени файлове.
Полифаги (от поли и от гръцкото phagos — изяждащ)Явяват се най- популярните и ефективни антивирусни програми (например, Kaspersky Anti-Virus, Dr.Web).
Принцип на работа на ПолифагиПроверка на файловете на зареждащите сектори на дисковете и оперативната памет, с цел търсене на известни и нови (неизвестни полифаги) вируси.
За търсене на известни вируси се използват маски.
Маска на вируса – постоянна последователност от програмен код, специфична за конкретен вирус. Ако антивирусната програма открие такава последователност в някой файл, то той се счита за заразен и подлежи на лечение.
За търсене на нови вируси се използват ”алгоритми „евристично сканиране”.
Алгоритъм „евристично сканиране” – анализ на последователлност от команди в проверяемия обект. Ако бъде открита „подозрителна” последователност от команди, то полифагът издава съобщение за възможно заразяване на обекта.
Антивирусни монитори – програми Полифаги, които осигуряват проверка на файловете в процеса на тяхното инсталиране в оперативната памет.
Предимства на Полифагите – универсалност.
Недостатъци на Полифагите – големи размери на изпозваните от тях антивирусни бази данни, което води до относително ниска скорост на търсене на вируси.
РевизориАнтивирусна програма (например, ADinf) , която използва контролни суми за откриване на вируси.
Принципът на работа на РевизораСъздаване на контролните суми на присъстващите на диска файлове. Тези контролни суми се съхраняват в базата данни на антивируса, както и друга информация – дължина на файла, дата на последната модификация и т.н.
При следващото стартиране, ревизора сравнява новосъздадени контролни суми на файловете с тези съхранени в базата данни. Ако контролните суми не съвпаднат ревизора сигнализира, че файла е заразен от вирус.
Недостатък на ревизора – не могат да открият вирус в нови файлове, за които в базата данни липсва съотвената контролна сума.
Блокировчици Програми, откриващи вирусооласни ситуации (пример – зареждащия сектор на диска) и съобщаващи за това на потребителя.
Най-голямо разпространение са получили антивирусните блокировчици, използвани в BIOS на компютъра.
С помощта на програма BIOS Setup е възможно да се настрои BIOS по такъв начин, че да се забрани (блокира) всеки запис в зареждащия сектор на диска.
Предимства – способност да се откриват и блокират вируси на най-ранния стадий на тяхното размножаване.
|