Электронная библиотека книг Александра Фролова и Григория Фролова.
Shop2You.ru Создайте свой интернет-магазин
Библиотека
Братьев
Фроловых
[Назад] [Содержание] [Дальше]

Антивирусная защита: Учебное пособие для защиты информационных ресурсов

(С) Александр Вячеславович Фролов, 2004

Урок 5. Обнаружение компьютерных вирусов и других вредоносных программ.. 2

Сканирование. 2

Эвристический анализ. 2

Обнаружение изменений. 3

Анализ сетевого трафика. 3

Анализ баз данных почтовых программ.. 4

Обнаружение вирусов в системе автоматизации документооборота. 4

Вакцинирование. 5

Итоги. 5

Урок 5. Обнаружение компьютерных вирусов и других вредоносных программ

На 5 уроке мы рассмотрим применяемые на сегодня методы обнаружения вирусов и других вредоносных программ:

·       сканирование;

·       эвристический анализ;

·       обнаружение изменений;

·       анализ сетевого трафика;

·       анализ баз данных почтовых программ;

·       обнаружение вирусов в системе автоматизации документооборота;

·       вакцинирование

Современные антивирусные программы реализуют многие из перечисленных выше методов. Далее мы расскажем об этих методах подробнее.

Сканирование

Исторически первые антивирусные программы использовали для обнаружения компьютерных вирусов метод сканирования.

При сканировании антивирусная программа просматривает содержимое файлов, расположенных на дисках компьютера, а также содержимое оперативной памяти компьютера с целью поиска вирусов.

При этом классическое сканирование предполагает поиск вредоносных программ по их сигнатурам, т.е. по последовательностям байтов данных, характерных для данных вирусов.

Метод сканирования позволяет обнаружить такие вредоносные программы, которые не используют для противодействия антивирусным программам шифрование своего программного кода, а также полиморфизм.

Метод сканирования не позволяет обнаружить полиморфные и шифрованные вирусы

Заметим, что антивирусные программы не в состоянии сканировать зашифрованные архивы и документы, если ей не известен пароль или ключ для расшифровки данных. Перед поиском вредоносных программ в таких архивах или документах пользователь должен их расшифровать.

Аналогично, сканер антивирусной программы не сможет получить доступ к файлам, хранящимся на шифрованных виртуальных дисках PGPDisk и аналогичных, если ей не известен пароль или ключ для расшифровки данных.

Метод сканирования не позволяет искать вирусы и другие вредоносные программы в зашифрованных файлах и архивах,  а также на зашифрованных дисках

Перед сканированием таких дисков пользователь должен сам ввести всю необходимую парольную информацию.

Эвристический анализ

Как мы отметили выше, обычное сканирование не позволяет обнаруживать полиморфные и шифрующиеся вирусы. Кроме того, этот метод бессилен перед вредоносными программами, сигнатуры которых отсутствуют в базе данных антивируса, т.е. с новыми вирусами.

Сканирование не позволяет обнаружить полиморфные и шифрующиеся вирусы

Для устранения этого недостатка разработчики антивирусов создали новый метод обнаружения вредоносных программ с названием эвристический анализ.

При использовании этого метода антивирус контролирует все действия, которые может выполнить проверяемая программа. При этом  отслеживаются потенциально опасные действия, характерные для вирусов.

Контролируя действия проверяемых программ, эвристический анализатор современных антивирусов способен обнаружить новые, неизвестные вирусы еще до того, как эти вирусы начали действовать.

Тем не менее, эвристический анализ не дает полной гарантии обнаружения любых новых вирусов.

Кроме того, эвристический анализатор может принять «безобидную» программу за вредоносную. Это происходит в тех случаях, когда программа выполняет какие-либо действия, характерные для вирусов или вредоносных программ другого типа.

Эвристический анализатор не позволяет гарантированно обнаруживать все новые вирусы. Кроме того, он иногда принимает за вредоносные обычные программы

Эвристический анализ отнимает немало процессорного времени. Поэтому, настраивая антивирусную программу, пользователь может отключить эвристический анализатор.

Учитывая, что без эвристического анализатора антивирусная программа не сможет обнаружить полиморфные и шифрующиеся, а также новые вирусы, такое отключение приведет к снижению надежности антивирусной защиты.

Современные антивирусные программы, работающие в режиме монитора, способны сканировать файлы, к которым выполняет обращение ОС и программы, запускаемые пользователем. Таким образом, сканируются все файлы, к которым происходит обращение.

Обнаружение изменений

Другой метод обнаружения вирусов и вредоносных программ различного типа основан на обнаружении изменений, вызываемых вирусами и вредоносными программами в файлах.

Программы, чья работа основана на обнаружении изменений, называются ревизорами диска.

Ревизоры диска периодически сканируют содержимое дисков компьютера, записывая в свою базу данных контрольные суммы файлов и критически важных внутренних областей файловых систем. При сканировании новые значения контрольных сумм сравниваются со старыми значениями.

Если при сравнении обнаруживаются изменения, ревизор диска отображает на экране предупреждающее сообщение.

Ревизоры диска позволяют обнаруживать новые вирусы, после того как они начали действовать

С помощью ревизора диска можно обнаружить любые изменения, сделанные в файлах компьютерными вирусами и другими вредоносными программами, а также пользователями.

Этот факт позволяет использовать ревизоры диска не только для защиты от вредоносных программ, но и для контроля целостности важных файлов и документов.

Заметим, что ревизоры диска малопригодны для обнаружения макрокомандных вирусов в файлах офисных документов, создаваемых такими программами, как Microsoft Word, Microsoft Excel и т.п.

Метод обнаружения изменений малоэффективен для обнаружения макрокомандных вирусов

Это связано с тем, что  файлы офисных документов постоянно редактируются, вследствие чего они подвержены очень частым изменениям.

Ревизоры диска могут взаимодействовать с антивирусными программами, выполняющими сканирование и эвристический анализ.

Такая связка может ускорить антивирусную проверку файлов, если ревизор диска будет координировать свои действия с антивирусной программой. При этом ревизор находит изменившиеся файлы, а программа-антивирус выполняет их сканирование и анализ.

Ускорение происходит за счет того, что проверке подвергаются не все, а только изменившиеся файлы.

Анализ сетевого трафика

Следует отметить, что сегодня наибольшую угрозу представляют собой вирусы и другие вредоносные программы, распространяющиеся по каналам электронной почты. Это связано с популярностью электронной почты, которая проникла практически во все сферы деятельности человека.

Наиболее эффективной методикой обнаружения и нейтрализации вредоносных программ, распространяющихся по каналам электронной почты, является анализ трафика электронной почты непосредственно на почтовом сервере.

При этом антивирусные программы проверяют данные, проходящие через почтовый сервер, и удаляют из них вредоносные объекты еще до того, как они попадут на компьютер пользователя.

Антивирусы, работающие на почтовом сервере, сканирую трафик электронной почты, исключая распространение вредоносных программ вместе с почтовыми сообщениями

Для передачи сообщений электронной почты используются протоколы SMTP, POP3 и IMAP. Специализированные антивирусы, работающие на почтовых серверах, способны анализировать потоки данных, передаваемые с использованием этих протоколов, предотвращая распространение вредоносных программных объектов через электронную почту.

Сканирование трафика электронной почты можно выполнять и на компьютере пользователя, блокируя проникновения вредоносных программных объектов в базы данных почтовых программ

Метод сканирования сетевого трафика может эффективно применяться не только для блокирования прохождения вредоносных программных объектов, но и для обнаружения попыток получения несанкционированного доступа к узлу сети.

При этом сканер, анализируя сетевой трафик, пытается обнаружить действия, характерных для атак на систему разграничения доступом, а также атак на другие критичные системы узла сети.

Анализ баз данных почтовых программ

Обычные антивирусные программы, предназначенные для сканирования файлов, оказываются малоэффективными для обнаружения почтовых вирусов.

Это связано с тем, что сообщения электронной почты хранятся не в виде отдельных файлов, а внутри базы данных сообщений почтовой программы. Поэтому антивирусная программа, не рассчитанная на сканирование содержимого таких баз данных, не сможет обнаружить вредоносные программные объекты внутри сообщений электронной почты.

И хотя можно создать такую антивирусную программу, которая будет способна сканировать содержимое баз данных наиболее популярных почтовых программ, это не решит всех проблем.

Невозможно создать антивирус, способный сканировать содержимое баз данных любых почтовых программ

Базы данных сообщений разных почтовых клиентов имеют разный формат, поэтому трудно (если вообще возможно) создать антивирус, «понимающий» структуру баз данных любой почтовой программы. К тому же, в любой момент может появиться новый почтовый клиент, применяющий новый формат базы данных сообщений.

Таким образом, более предпочтительным способом борьбы с почтовыми вирусами является сканирование сетевого трафика на почтовом сервере или на компьютере пользователя.

Обнаружение вирусов в системе автоматизации документооборота

Системы автоматизации документооборота, такие как Microsoft Exchange и Lotus Notes, хранят документы и сообщения в базах данных собственного формата. Кроме этого, в таких системах имеется возможность программирования с использованием макрокоманд.

Вредоносные программный код может инфицировать сообщения, хранящиеся в базах данных систем автоматизации документооборота, в том числе с использованием внутреннего языка макрокоманд этих систем.

Обычные антивирусные программы, рассчитанные на проверку файлов, не могут быть использованы для защиты систем автоматизации документооборота, так как они не в состоянии проверять содержимое баз данных таких систем.

Для защиты систем документооборота нельзя использовать обычные антивирусные программы, рассчитанные только на проверку файлов

Однако в настоящее время многие антивирусные компании выпустили специальные версии антивирусных программ, способные проверять базы данных систем документооборота Microsoft Exchange и Lotus Notes. Без их применения защиту сервера системы автоматизации документооборота нельзя считать полной.

Помимо Microsoft Exchange и Lotus Notes существует немало менее известных информационных систем, хранящих документы в базах данных. Эти системы могут создаваться для использования только в отдельных компаниях или для решения каких-либо специфических задач.

Для защиты малораспространенных и уникальных информационных систем от вирусов и других вредоносных программ можно использовать встроенные антивирусы

Разработчики таких систем могут приобретать у антивирусных компаний лицензии на использование антивирусного ядра и встраивать это ядро в создаваемые системы. Это обеспечит надежную антивирусную защиту малоизвестных или «нестандартных» информационных систем.

Вакцинирование

На заре развития антивирусных программ использовался метод защиты от вирусов с названием вакцинирование.

При вакцинировании к защищаемой программе присоединяется специальный модуль контроля, следящий за ее целостностью. Этот модуль проверяет контрольную сумму программы или какие-либо другие ее характеристики.

Вакцинирование — малоэффективный способ защиты, основанный на присоединении к программам специального модуля. Этот модуль контролирует целостность файла программы

Заметим, что метод вакцинирования неэффективен, так как, например, не может защитить компьютер от стелс-вирусов.

Поэтому современные средства антивирусной защиты не применяют вакцинирование.

Итоги

На этом уроке мы рассмотрели все основные методы обнаружения компьютерных вирусов и других вредоносных программ, такие как сканирование, эвристический анализ, обнаружение изменений, анализ сетевого трафика, анализ баз данных почтовых программ и баз данных систем автоматизации документооборота, а также вакцинирование.

Мы отметили, что простейшее сканирование, выполняемое без эвристического анализа, не позволяет добиться высокой эффективности антивирусной защиты.

Метод обнаружения изменений пригоден для контроля целостности файлов, но малоэффективен для обнаружения макрокомандных вирусов.

Что касается почтовых вирусов, то для их обнаружения необходимо анализировать сетевой трафик. Это можно делать как на почтовом сервере, так и на компьютере пользователя.

Защита систем документооборота должна выполняться с применением специализированных или встраиваемых антивирусных средств.

[Назад] [Содержание] [Дальше]