Инженерия защитного ПО   PHP   БДИ   Безопасность в Интернет   ТП  

Инженерия защитного ПО

(С) Александр Вячеславович Фролов, 2004

Типы антивирусных программ

Сканеры.. 1

Сканирование по запросу пользователя. 1

Сканирование при обращении к файлам.. 2

Сканирование по расписанию.. 2

Сканирование сетевого трафика. 2

Ревизоры диска. 3

Встроенные антивирусы.. 3

Итоги. 3

На этом занятии мы рассмотрим различные типы антивирусных программ, а также различные режимы работы антивирусных программ.

Все современные антивирусные программы можно разделить по принципу работы и назначению следующим образом:

·       сканеры;

·       ревизоры диска;

·       встроенные антивирусы;

·       антивирусы для интрасетей и Интернета

На этом занятии мы рассмотрим антивирусные программы первых трех типов. Что же касается антивирусов для интрасетей и Интернета, то им мы посвятим следующее занятие.

Сканеры

На 5 занятии мы рассматривали метод обнаружения вирусов и других вредоносных программных объектов, называемых сканированием.

Сканирующая антивирусная программа просматривает содержимое файлов, расположенных на дисках компьютера, а также содержимое оперативной памяти компьютера с целью поиска вирусов.

Современные антивирусные сканеры ищут вредоносные программы не только по их сигнатурам (т.е. по последовательностям байтов данных, характерных для данных вирусов), но и применяют изощренные эвристические алгоритмы.

Как мы уже говорили на 5 занятии, использование эвристических алгоритмов позволяет сканерам обнаруживать полиморфные, шифрующиеся и неизвестные вирусы.

Антивирусные сканеры способны работать в нескольких режимах:

·       сканирование по запросу пользователя;

·       сканирование при обращении к файлам;

·       сканирование файлов по расписанию;

·       сканирование сетевого трафика

Сканирование по запросу пользователя

Сканирование по запросу пользователя выполняется следующим образом: пользователь запускает антивирусную программу и указывает ей файлы, каталоги или диски, которые нужно сканировать.

Основным недостатком такого режима сканирования является возможность пропуска инфицированного файла.

При использовании режима сканирования по запросу пользователя можно пропустить инфицированные файлы, если проверять не все диски или не все каталоги

В самом деле, сканирование всех дисков выполняется достаточно долго, поэтому пользователь может сократить проверку, ограничив ее одним или несколькими каталогами.

При этом существует вероятность, что в пропущенных каталогах находятся инфицированные файлы.

Сканирование при обращении к файлам

Практически все современные антивирусные программы способны работать в режиме сканирования при обращении к файлам.

Когда пользователь или операционная система открывает файл, антивирусная программа автоматически сканирует его на предмет наличия в файле вредоносного программного кода.

Заметим, что если антивирус работает в режиме сканирования при обращении к файлам, то она проверяет только файлы, которые открывает пользователь.

Сканирование при обращении к файлам позволяет проверить файлы, к которым обращается пользователь и ОС

Это означает, что в таком режиме невозможно проверить все файлы, хранящиеся на диске компьютера.

Для проверки всех файлов следует использовать описанный выше режим сканирования по запросу пользователя, указав антивирусу на необходимость полного сканирования всех дисков, подключенных к компьютеру.

Если пользователь только что установил на компьютер антивирусную программу и выбрал для нее режим сканирования при обращении к файлам, нужно выполнить полное сканирование диска.

Это позволит проверить все файлы, записанные на диск до установки антивируса.

Сканирование по расписанию

Практически все антивирусные программы позволяют выполнять автоматическое сканирование дисков по заранее составленному расписанию.

Составляя такое расписание, пользователь указывает, какие диски и каталоги нужно проверять на наличие вредоносного программного кода, а также составляет расписание выполнения таких проверок.

Сканирование по расписанию удобно проводить в такое время, когда компьютер включен, но на нем не ведутся работы. Например, каталоги постоянно работающего сервера можно проверять по ночам, а каталоги рабочих станций — в обеденное время.

Пользователь или администратор сети может составить расписание сканирования, выполняя его в такое время, когда загрузка компьютеров минимальна

Составляя расписание сканирования, учтите, что когда наступит время сканирования, компьютер пользователя может быть выключен. В результате сканирование не будет выполнено.

Сканирование сетевого трафика

Помимо проверки содержимого дисков, файлов и оперативной памяти компьютера, современные антивирусы способны сканировать сетевой трафик, поступающий на компьютер из интрасети или Интернета, а также уходящий из компьютера в интрасеть или в Интернет.

При этом сканируются данные почтовых протоколов SMTP, POP3, IMAP, а также данные протокола HTTP, с помощью которого происходит обмен данными с Web-серверами.

Сканирование сетевого трафика позволяет удалять вредоносные программные объекты из сообщений электронной почты, а также нейтрализовать вредоносное действие троянских Web-сайтов.

Современные антивирусы умеют сканировать сетевой трафик, эффективно блокируя вредоносные программные объекты в сообщениях электронной почты и размещенные на троянских Web-сайтах

Программы, сканирующие сетевой трафик, обычно запускаются автоматически после загрузки операционной системы и постоянно фильтруют весь сетевой трафик, проходящий через компьютер.

Поэтому пользователю нет необходимости запускать антивирусы для сканирования электронной почты или проверки Web-сайтов. Такие проверки выполняются резидентным модулем антивируса (постоянно находящимся в памяти компьютера) автоматически в фоновом режиме.

Ревизоры диска

Антивирусные программы, называемые ревизорами диска, используют в своей работе метод обнаружения изменений. Этот метод мы описывали ранее на 5 занятии.

В режиме предварительного сканирования ревизор диска создает базу данных с контрольными суммами и другой информацией, позволяющей впоследствии контролировать целостность файлов.

Каждый раз при загрузке операционной системы или по явному запросу пользователя ревизор выполняет сканирование диска, вычисляя заново контрольную информацию. Затем эта информация сверяется с содержимым предварительно созданной базы данных.

Ревизоры диска способны обнаруживать изменения, внесенные в файлы компьютерными вирусами и другими вредоносными программами, а также пользователями

Описывая недостатки метода обнаружения изменений на 5 занятии, мы упомянули сложность с обнаружением макрокомандных вирусов в офисных документах (таких, как документы, создаваемые пакетом программ Microsoft Office).

Эти сложности связаны с тем, что файлы офисных документов постоянно изменяются в процессе редактирования.

Недостатки метода обнаружения изменений несколько ограничивают использование ревизоров диска. Тем не менее, ревизоры могут с успехом использоваться для контроля содержимого файлов.

Встроенные антивирусы

В некоторых случаях для защиты от вирусов и других вредоносных программ необходимо использовать специализированные решения.

Это происходит когда обычные промышленные антивирусы не в состоянии обеспечить необходимый уровень защиты или когда их применение отрицательно сказывается на производительности системы.

Встроенные антивирусы способны защитить специализированные, уникальные и малораспространенные информационные системы

Применение встроенных антивирусов позволяет усилить надежность антивирусной защиты.

Кроме того, если прикладная программа или информационная система хранит данные в своем внутреннем формате, встроенный модуль позволит выполнять антивирусную проверку этих данных.

Итоги

Итак, теперь Вы знаете, что по принципу работы и назначению антивирусные программы делятся на сканеры и ревизоры диска. Сканеры способны проверять содержимое дисков и оперативной памяти на предмет наличия вредоносных объектов, а ревизоры диска контролируют неизменность файлов.

Бывают также антивирусы, встроенные в различное программное обеспечение, и антивирусы, предназначенные для защиты интрасетей и ресурсов Интернета.

Инженерия защитного ПО   PHP   БДИ   Безопасность в Интернет   ТП  

Знаете ли Вы, что только в 1990-х доплеровские измерения радиотелескопами показали скорость Маринова для CMB (космического микроволнового излучения), которую он открыл в 1974. Естественно, о Маринове никто не хотел вспоминать. Подробнее читайте в FAQ по эфирной физике.

НОВОСТИ ФОРУМА

Форум Рыцари теории эфира


Рыцари теории эфира
 10.11.2021 - 12:37: ПЕРСОНАЛИИ - Personalias -> WHO IS WHO - КТО ЕСТЬ КТО - Карим_Хайдаров.
10.11.2021 - 12:36: СОВЕСТЬ - Conscience -> РАСЧЕЛОВЕЧИВАНИЕ ЧЕЛОВЕКА. КОМУ ЭТО НАДО? - Карим_Хайдаров.
10.11.2021 - 12:36: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от д.м.н. Александра Алексеевича Редько - Карим_Хайдаров.
10.11.2021 - 12:35: ЭКОЛОГИЯ - Ecology -> Биологическая безопасность населения - Карим_Хайдаров.
10.11.2021 - 12:34: ВОЙНА, ПОЛИТИКА И НАУКА - War, Politics and Science -> Проблема государственного терроризма - Карим_Хайдаров.
10.11.2021 - 12:34: ВОЙНА, ПОЛИТИКА И НАУКА - War, Politics and Science -> ПРАВОСУДИЯ.НЕТ - Карим_Хайдаров.
10.11.2021 - 12:34: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Вадима Глогера, США - Карим_Хайдаров.
10.11.2021 - 09:18: НОВЫЕ ТЕХНОЛОГИИ - New Technologies -> Волновая генетика Петра Гаряева, 5G-контроль и управление - Карим_Хайдаров.
10.11.2021 - 09:18: ЭКОЛОГИЯ - Ecology -> ЭКОЛОГИЯ ДЛЯ ВСЕХ - Карим_Хайдаров.
10.11.2021 - 09:16: ЭКОЛОГИЯ - Ecology -> ПРОБЛЕМЫ МЕДИЦИНЫ - Карим_Хайдаров.
10.11.2021 - 09:15: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Екатерины Коваленко - Карим_Хайдаров.
10.11.2021 - 09:13: ВОСПИТАНИЕ, ПРОСВЕЩЕНИЕ, ОБРАЗОВАНИЕ - Upbringing, Inlightening, Education -> Просвещение от Вильгельма Варкентина - Карим_Хайдаров.
Bourabai Research - Технологии XXI века Bourabai Research Institution