Характеристика антивірусних програм

Для виявлення, видалення і захисти від комп'ютерних вірусів розроблено декілька видів спеціальних програм, що дозволяють виявляти і знищувати віруси. Такі програми називаються антивірусними.

Розрізняють наступні види антивірусних програм (мал. 11.11):

· програми-детектори;

· доктора чи фаги;

· програми-ревізори;

· програми-фільтри;

· вакцини чи імунізатори.

Програми-детекториздійснюють пошук характерної для конкретного вірусу послідовності байтів (сигнатури вірусу) в оперативній пам'яті й у файлах і при виявленні видають відповідне повідомлення. Недоліком таких антивірусних програм є те, що вони можуть знаходити тільки ті віруси, що відомі розроблювачам таких програм.

Доктора чи фаги, а також програми-вакцини не тільки знаходять заражені вірусами файли, але і " лікують" їх, тобто видаляють з файлу тіло програми вірусу, повертаючи файли у вихідний стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і тільки потім переходять до " лікування" файлів. Серед фагів виділяють поліфаги, тобто програми-доктора, призначені для пошуку і знищення великої кількості вірусів. Найбільш відомими поліфагами є програми Aidstest, Scan, Norton AntiVirus і Doctor Web.

З огляду на, що постійно з'являються нові віруси, програми-детектори і програми-доктори швидко застарівають, і потрібно регулярне відновлення їх версій.

Програми-ревізори відносяться до самих надійних засобів захисту від вірусів. Ревізори запам'ятовують вихідний стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім чи періодично за бажанням користувача порівнюють поточне стан з вихідним. Виявлені зміни виводяться на екран відеомонітора. Як правило, порівняння станів роблять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файлу, код циклічного контролю (контрольна сума файлу), дата і час модифікації, інші параметри. Програми-ревізори мають досить розвиті алгоритми, виявляють стелс-віруси і можуть навіть відрізнити зміни версії програми, що перевіряється, від змін, внесених вірусом. До числа програм-ревізорів відноситься широко розповсюджена в Росії програма ADinf фірми " Діалог-Наука".

Фільтри чи " сторожа" являють собою невеликі резидентні програми, призначені для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:

• спроби корекції файлів з розширеннями СОМ і ЕХЕ;

• зміна атрибутів файлів;

• прямий запис на диск по абсолютній адресі;

• запис у завантажувальні сектори диска;

• завантаження резидентної програми.

При спробі якої-небудь програми зробити зазначені дії " сторож" посилає користувачу повідомлення і пропонує чи заборонити дозволити відповідну дію. Програми-фільтри дуже корисні, тому що здатні знайти вірус на самій ранній стадії його існування до розмноження. Однак вони не " лікують" файли і диски. Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До недоліків програм-сторожів можна віднести їх " настирливість" (наприклад, вони постійно видають попередження про будь-яку спробу копіювання файлу, що виконується, а також можливі конфлікти з іншим програмним забезпеченням. Прикладом програми-фільтра є програма Vsafe, що входить до складу пакета утиліт операційної системи MS DOS.

Вакцини чи і мунизатори - це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-доктора, " лікуючі" цей вірус. Вакцинація можлива тільки від відомих вірусів. Вакцина модифікує чи програму диск таким чином, щоб це не відбивалося на їхній роботі, а вірус буде сприймати їх зараженими і тому не впровадиться. В даний час програми-вакцини мають обмежене застосування.

Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення виявлених вірусів на кожнім комп'ютері дозволяють уникнути поширенні вірусної епідемії на інші комп'ютери.

Програма-поліфаг Aidstest. Aidstest —це програма, що уміє виявляти і знищувати більш 1300 комп'ютерних вірусів, що одержали найбільш широке поширення в Росії. Версії Aidstest регулярно обновляються і поповнюються інформацією по нові віруси.

Програма-поліфаг Doctor Web. Ця програма призначена для боротьби з поліморфними вірусами, що порівняно недавно з'явилися в комп'ютерному світі. Використання Dr. Web для перевірки дисків і видалення виявлених вірусу подібно програмі Aidstest. При цьому дублювання перевірки практично не відбувається, тому що. Aidstest і Dr. Web працюють на різних наборах вірусів.

Антивірус-ревізор диска ADinf. Ревізор ADinf дозволяє знайти появу будь-якого вірусу, включаючи стелс-віруси, віруси-мутанти і невідомі на сьогоднішній день віруси. Програма запам'ятовує:

• інформацію про завантажувальні сектори;

• інформацію про збійні кластери;

• довжину і контрольні суми файлів;

• дату і час створення файлів.

Протягом усієї роботи комп'ютера програма ADinf стежить за зберігання цих характеристик. У режимі повсякденного контролю ADinf запускається автоматично при першому включенні комп'ютера. Особливо відслідковуються вірусоподібні зміни, про які негайно видається попередження. Крім контролю за цілісністю файлів ADinf стежить за створенням і видаленням підкаталогів, створенням, видаленням, переміщенням і перейменуванням файлів, появою нових збійних кластерів, зберіганя завантажувальних секторів тощо.