Антивирусная защита: Учебное пособие для защиты информационных ресурсов (С) Александр Вячеславович Фролов, 2004 Урок 7. Типы антивирусных программ Сканирование по запросу пользователя Сканирование при обращении к файлам Урок 7. Типы антивирусных программНа этом уроке мы рассмотрим различные типы антивирусных программ, а также различные режимы работы антивирусных программ. Все современные антивирусные программы можно разделить по принципу работы и назначению следующим образом: · сканеры; · ревизоры диска; · встроенные антивирусы; · антивирусы для интрасетей и Интернета На этом уроке мы рассмотрим антивирусные программы первых трех типов. Что же касается антивирусов для интрасетей и Интернета, то им мы посвяти следующий урок. СканерыНа 5 уроке мы рассматривали метод обнаружения вирусов и других вредоносных программных объектов, называемых сканированием. Сканирующая антивирусная программа просматривает содержимое файлов, расположенных на дисках компьютера, а также содержимое оперативной памяти компьютера с целью поиска вирусов. Современные антивирусные сканеры ищут вредоносные программы не только по их сигнатурам (т.е. по последовательностям байтов данных, характерных для данных вирусов), но и применяют изощренные эвристические алгоритмы. Как мы уже говорили на 5 уроке, использование эвристических алгоритмов позволяет сканерам обнаруживать полиморфные, шифрующиеся и неизвестные вирусы. Антивирусные сканеры способны работать в нескольких режимах: · сканирование по запросу пользователя; · сканирование при обращении к файлам; · сканирование файлов по расписанию; · сканирование сетевого трафика Сканирование по запросу пользователяСканирование по запросу пользователя выполняется следующим образом: пользователь запускает антивирусную программу и указывает ей файлы, каталоги или диски, которые нужно сканировать. Основным недостатком такого режима сканирования является возможность пропуска инфицированного файла. При использовании режима сканирования по запросу пользователя можно пропустить инфицированные файлы, если проверять не все диски или не все каталоги В самом деле, сканирование всех дисков выполняется достаточно долго, поэтому пользователь может сократить проверку, ограничив ее одним или несколькими каталогами. При этом существует вероятность, что в пропущенных каталогах находятся инфицированные файлы. Сканирование при обращении к файламПрактически все современные антивирусные программы способны работать в режиме сканирования при обращении к файлам. Когда пользователь или операционная система открывает файл, антивирусная программа автоматически сканирует его на предмет наличия в файле вредоносного программного кода. Заметим, что если антивирус работает в режиме сканирования при обращении к файлам, то она проверяет только файлы, которые открывает пользователь. Сканирование при обращении к файлам позволяет проверить файлы, к которым обращается пользователь и ОС Это означает, что в таком режиме невозможно проверить все файлы, хранящиеся на диске компьютера. Для проверки всех файлов следует использовать описанный выше режим сканирования по запросу пользователя, указав антивирусу на необходимость полного сканирования всех дисков, подключенных к компьютеру. Если пользователь только что установил на компьютер антивирусную программу и выбрал для нее режим сканирования при обращении к файлам, нужно выполнить полное сканирование диска. Это позволит проверить все файлы, записанные на диск до установки антивируса. Сканирование по расписаниюПрактически все антивирусные программы позволяют выполнять автоматическое сканирование дисков по заранее составленному расписанию. Составляя такое расписание, пользователь указывает, какие диски и каталоги нужно проверять на наличие вредоносного программного кода, а также составляет расписание выполнения таких проверок. Сканирование по расписанию удобно проводить в такое время, когда компьютер включен, но на нем не ведутся работы. Например, каталоги постоянно работающего сервера можно проверять по ночам, а каталоги рабочих станций — в обеденное время. Пользователь или администратор сети может составить расписание сканирования, выполняя его в такое время, когда загрузка компьютеров минимальна Составляя расписание сканирования, учтите, что когда наступит время сканирования, компьютер пользователя может быть выключен. В результате сканирование не будет выполнено. Сканирование сетевого трафикаПомимо проверки содержимого дисков, файлов и оперативной памяти компьютера, современные антивирусы способны сканировать сетевой трафик, поступающий на компьютер из интрасети или Интернета, а также уходящий из компьютера в интрасеть или в Интернет. При этом сканируются данные почтовых протоколов SMTP, POP3, IMAP, а также данные протокола HTTP, с помощью которого происходит обмен данными с Web-серверами. Сканирование сетевого трафика позволяет удалять вредоносные программные объекты из сообщений электронной почты, а также нейтрализовать вредоносное действие троянских Web-сайтов. Современные антивирусы умеют сканировать сетевой трафик, эффективно блокируя вредоносные программные объекты в сообщениях электронной почты и размещенные на троянских Web-сайтах Программы, сканирующие сетевой трафик, обычно запускаются автоматически после загрузки операционной системы и постоянно фильтруют весь сетевой трафик, проходящий через компьютер. Поэтому пользователю нет необходимости запускать антивирусы для сканирования электронной почты или проверки Web-сайтов. Такие проверки выполняются резидентным модулем антивируса (постоянно находящимся в памяти компьютера) автоматически в фоновом режиме. Ревизоры дискаАнтивирусные программы, называемые ревизорами диска, используют в своей работе метод обнаружения изменений. Этот метод мы описывали ранее на 5 уроке. В режиме предварительного сканирования ревизор диска создает базу данных с контрольными суммами и другой информацией, позволяющей впоследствии контролировать целостность файлов. Каждый раз при загрузке операционной системы или по явному запросу пользователя ревизор выполняет сканирование диска, вычисляя заново контрольную информацию. Затем эта информация сверяется с содержимым предварительно созданной базы данных. Ревизоры диска способны обнаруживать изменения, внесенные в файлы компьютерными вирусами и другими вредоносными программами, а также пользователями Описывая недостатки метода обнаружения изменений на 5 уроке, мы упомянули сложность с обнаружением макрокомандных вирусов в офисных документах (таких, как документы, создаваемые пакетом программ Microsoft Office). Эти сложности связаны с тем, что файлы офисных документов постоянно изменяются в процессе редактирования. Недостатки метода обнаружения изменений несколько ограничивают использование ревизоров диска. Тем не менее, ревизоры могут с успехом использоваться для контроля содержимого файлов. Встроенные антивирусыВ некоторых случаях для защиты от вирусов и других вредоносных программ необходимо использовать специализированные решения. Это происходит когда обычные промышленные антивирусы не в состоянии обеспечить необходимый уровень защиты или когда их применение отрицательно сказывается на производительности системы. Встроенные антивирусы способны защитить специализированные, уникальные и малораспространенные информационные системы Применение встроенных антивирусов позволяет усилить надежность антивирусной защиты. Кроме того, если прикладная программа или информационная система хранит данные в своем внутреннем формате, встроенный модуль позволит выполнять антивирусную проверку этих данных. ИтогиИтак, теперь Вы знаете, что по принципу работы и назначению антивирусные программы делятся на сканеры и ревизоры диска. Сканеры способны проверять содержимое дисков и оперативной памяти на предмет наличия вредоносных объектов, а ревизоры диска контролируют неизменность файлов. Бывают также антивирусы, встроенные в различное программное обеспечение, и антивирусы, предназначенные для защиты интрасетей и ресурсов Интернета. |