Антивирусная индустрия в канун десятилетия

иеся в начало, в конец и в середину файлов.


                             Companion – вирусы


Companion – вирусы не изменяют заражаемых файлов, а создают для заражаемого
файла файл – двойник, причем при запуску зараженного файла управление
получает именно этот двойник, то есть вирус.


                               Файловые черви
 Файловые черви ( worms ) являются разновидностью компаньон – вирусов,
однако не связывают своё присутствие с каким-либо выполняемым файлом. При
размножении они всего лишь копируют свои код в какие-либо каталоги
дисков  в надежде, что эти новые копии будут когда-либо запущены
пользователем.
                                Link – вирусы
Link – вирусы используют особенности организации файлов системы. Они, как и
компаньон – вирусы, не изменяют физического содержимого файлов, однако при
запуске зараженного файла «заставляют» ОС свой код за счет модификации
необходимых полей файловой системы.
                    OBJ, LIB и вирусы в исходных текстах
Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные
тексты программ. Вирусы, заражающие  OBJ - и LIB - файлы, записывают в них
свой код в формате объектного модуля или библиотеки. Зараженный файл не
является выполняемым и не способен на дальнейшее распространение вируса в
текущем состоянии. Носителем же «живого» вируса становится COM - или EXE -
файл, получаемый в процессе линковки зараженного OBJ / LIB - файла с
другими объектными модулями и библиотеками. Таким образом, вирус
распространяется в два этапа: на первом заражаются  OBJ /LIB - файлы, на
втором этапе (линковка) получается работоспособный вирус.



                             Загрузочные  вирусы



Загрузочные вирусы называются так потому, что заражают загрузочный ( boot)
сектор – записывают себя в загрузочный сектор диска ( boot - сектор ) либо
в сектор, содержащий системный загрузчик винчестера ( Master Boot Record ).
Загрузочные вирусы замещают код программы, получающей управление при
загрузки системы. Таким образом  при перезагрузке управление передается
вирусу. При этом оригинальный  - сектор обычно переносится в какой  – либо
другой сектор диска.


                                 Макровирусы

Макровирусы являются программами на макроязыках, встроенных в некоторые
системы обработки данных ( текстовые редакторы, электронные таблицы и т.
д.). Они заражают документы и электронные таблицы ряда офисных редакторов.
Для размножения они используют возможности макроязыков и при их помощи
переносят себя из одного зараженного файла в другие. Наибольшее
распространение получили макровирусы для Microsoft Word, Excel и Office 97.
Вирусы этого типа получают управление при открытии зараженного файла и
инфицируют файлы, к которым в последствии идет обращение из
соответствующего офисного приложения – Word, Excel и пр.
                               Скрипт – вирусы
Visual Basic Script, java Script  и др  .Они в свою очередь ,делятся на
вирусы для DOS, для Windows, для других систем . Помимо описанных классов
существует большое количество сочетаний: например файлово – загрузачный
вирус, заражающий файлы, так и загрузочные сектора дисков, или сетевой
макровирус, который заражает редактируемые документы, но и рассылает свои
электронные копии по электронной почте.



      Особенности алгоритмов работы вирусов



Разнообразие вирусов классифицировать их также по особенностям работы их
алгоритмов. Об этом стоит поговорить отдельно.
                             Резидентные вирусы
Вирус находится в оперативной памяти и перехватывает сообщения ОС. Если
нерезидентные вирусы активны только в момент запуска зараженной программы,
то резидентные вирусы находятся  в памяти и остаются активными вплоть до
выключения компъютера или  перезагрузки операционной системы. Резидентные
вирусы находятся в оперативной памяти , перехватывают обращения
операционной системы к тем или иным  объектам и внедряются в них. Такие
вирусы активны не только в момент работы зараженной программы, но и после
завершения  ее работы.
                               Стелс – вирусы
Стелс-вирусы (невидимки) скрывают факт своего присутствия в системе.
Ониизменяют информацию таким образом ,  что файл появляется перед
ползователем в незараженном виде , например временно лечат зараженные
файлы.
                             Полиморфик – вирусы
Полиморфик – вирусы используют шифрование для усложнения процедуры
определения вируса. Данные вирусы не содержат постоянных участков кода ,что
 достигается шифрованием  основного тела вируса и модификациями программы-
расшифровщика. В большинстве случаев два образца одного итого же полиморфик-
вируса не будут иметь  ни одного совпадения. Именно поэтому полиморфик-
вирус невозможно обнаружить при помощи выявления участков постоянного кода
,специфичных для конкретного вируса. Полиморфизм встречается в вирусах всех
типов – от  загрузочных и
файловых  DOS - вирусов до Windows – вирусов и даже макровирусов.


                     Классификация антивирусных программ
Все антивирусы можно разделить на два больших класса: чистые антивирусы и
антивирусы двойного назначения.

                              Чистые антивирусы
Чистый вирус-отличается  наличием антивирусного ядра , которое выполняет
функцию сканирования по образцам. Принципиальная особенность в этом случае
заключается в возможности лечения. Если вирус известен , значит  возможно
лечение. Далее  чистые антивирусы подразделяются по типу доступа  к файлам
на две категории –  on access  и on demand, которые соответственно
осуществляет контроль по доступу или проверку по требованию. Например, в
терминологоии продуктов « Лаборатории Касперского»  on access - продукт –
это «Монитор », а on demand - продукт – это «Сканер». On demand –продукт
работает по следующей схеме: пользователь хочет что- либо проверить и
выдает запрос ( demand ), после чего осуществляется проверка. On access
–продукт – это резидентная программа, которая отслеживает доступ и в момент
доступа осуществляет проверку. Кроме того, антивирусные программы, также
как и вирусы, можно разделить по платформе. Понятие «Платформа» в
антивирусной терминологии немного отличается от общепринятого в
компьютерной индустрии. В антивирусной  индустрии  SW – платформа – это тот
продукт, внутри которого работает антивирус. То есть на ряду с Windows или
Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft
 Office, Lotus Notes.


                         Программы двойного значения


Программы двойного назначения - это программы, используемы и в антивирусах,
и в ПО, которое не является антивирусом. Например,  - ревизор изменений на
основе контрольных сумм, может использоваться не только для ловли вирусов.
В «Лаборатории Касперского» ревизор реализован под коммерческим названием
«Инспектор»
( «Сканер», «Монитор», «Инспектор» - это коммерческие названия
соответствующих модулей «Лаборатории Касперского» )
Разновидностью программ двойного назначения являются поведенческие
блокираторы, которые анализируют поведение других программ и при
обнаружении подозрительных действий блокируют их.
От классического антивируса с антивирусным ядром, «узнающим» и лечащим от
вирусов, которые анализировались в лаборатории и к которым был прописан
алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от
вирусов не умеют, поскольку ничего о них не знают. Это свойство
блокираторов полезно тем, что они могут работать с любыми вирусами, в том
числе и с неизвестными. Это сегодня особенно актуально, поскольку
распространители вирусов и антивирусов используют одни и те же каналы
передачи данных, то есть Интернет. При этом вирус всегда имеет некоторую
форму (время задержки), поскольку антивирусной  компании всегда нужно время
на то, чтобы получить сам вирус, проанализировать его и написать
соответствующие лечебные модули. Программы из группы двойного назначения
как раз и позволяют блокировать распространение вируса до того момента,
пока компания не напишет лечебный модуль.



                     Основные методы определения вирусов


                       Алгоритм «сравнение с эталоном»

  Самый старый алгоритм – это алгоритм, в котором вирус определяется
классическим ядром по некоторой маске. Смысл данного алгоритма заключается
в использовании статистических методов. Маска  должна быть, с одной
стороны, маленькой, чтобы объем файла был приемлемых размеров, с другой
стороны – настолько большой, чтобы избежать ложных срабатываний (когда
«свой» воспринимается как «чужой», и наоборот) .

  [pic]
[pic]

Рис. 1. Схемы работы программы, инфицированной незашифрованным
 вирусом,  и программы, инфицированной зашифрованным вирусом



           [pic]                              Рис. 2. Схема работы эмулятора
процессора



                        Алгоритм «контрольной суммы»

Алгоритм контрольной суммы предполагает, что действия вируса изменяют
контрольную сумму. Однако синхронные изменения в двух разных сегментах
могут привести к тому, что контрольная сумма останется неизменной при
изменении файла. Основная задача построения алгоритма состоит в том, чтобы
изменения в файле гарантированно приводили к изменению контрольной суммы.

                   Методы определения полиморфик – вирусов

На рис. 1 показана работа программы, информированной вирусом (а), и
программы, информированной зашифрованным вирусом (б). В первом случае схема
работы вируса выглядит следующим образом: идет выполнение программы, в
какой –то момент начинает выполнятся

1 2 3

скачать работу

Отправка СМС бесплатно