Программированиеи компьютеры /
←предыдущая следующая→
1 2
дискеты.
Некоторые детекторы, скажем, ADinf фирмы "Диалог-Наука", умеют ловить "неви-
димые" вирусы, даже когда они активны. Для этого они читают диск, не используя
вызовы DOS. Правда, этот метод работает не на всех дисководах.
Большинство программ-детекторов имеют функцию "доктора", т.е. они пытаются
вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, ко-
торые не удалось восстановить, как правило, делаются неработоспособными или уда-
ляются.
Большинство программ-докторов умеют "лечить" только от некоторого фиксирован-
ного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут
обучаться не только способам обнаружения, но и способам лечения новых вирусов.
К таким программам относится AVSP фирмы "Диалог-МГУ".
ПРОГРАММЫ-РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминают све-дения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью про-граммы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользовате-лю.
Чтобы проверка состояния программ и дисков проходила при каждой загрузке опе-
рационной системы, необходимо включить команду запуска программы-ревизора в ко-
мандный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-
-ревизор сможет найти поврежденные вирусом файлы.
Многие программы-ревизоры являются довольно "интеллектуальными" - они могут
отличать изменения в файлах, вызванные, например, переходом к новой версии про-
граммы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в
том, что вирусы обычно изменяют файлы весьма специфическим образом и произво-дят
одинаковые изменения в разных программных файлах. Понятно, что в нормальной си-ту
ации такие изменения практически никогда не встречаются, поэтому программа-реви-
зор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они
вызваны именно вирусом.
Следует заметить, что многие программы-ревизоры не умеют обнаруживать зараже-
ние "невидимыми" вирусами, если такой вирус активен в памяти компьютера. Но неко-
торые программы-ревизоры, например ADinf фирмы "Диалог-Наука", все же умеют де-
лать это, не используя вызовы DOS для чтения диска (правда, они работают не на
всех дисководах).Другие программы часто используют различные полумеры - пытают-ся
обнаружить вирус в оперативной памяти, требуют вызовы из первой строки файла
AUTOEXEC.BAT, надеясь работать на "чистом" компьютере, и т.д. Увы против некото-
рых "хитрых" вирусов все это бесполезно.
Для проверки того, не изменился ли файл, некоторые программы-ревизоры про-
веряют длину файла. Но эта проверка недостаточна - некоторые вирусы не изменяют
длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычис-
лить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма оста-
лась прежней, практически невозможно.
В последнее время появились очень полезные гибриды ревизоров и докторов, т.е.
ДОКТОРА-РЕВИЗОРЫ,- программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универ-сальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.
Но они могут лечить не от всех вирусов, а только от тех, которые используют
"стандартные", известные на момент написания программы, механизмы заражения фай-
лов.
Существуют также ПРОГРАММЫ-ФИЛЬТРЫ, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и со-общают о них пользователя. Пользователь может разрешить или запретить выполне-ние соответствующей операции.
Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют
вызываемые на выполнение программы на наличие вирусов. Это вызывает замедле-ние
работы компьютера.
Однако преимущества использования программ-фильтров весьма значительны - они
позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не
успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса
к минимуму.
ПРОГРАММЫ-ВАКЦИНЫ, или ИММУНИЗАТОРЫ, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже заражен-ными. Эти программы крайне неэффективны.
Ни один тип антивирусных программ по отдельности не дает полной защиты от
вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелони-
рованная" оборона. Опишу структуру этой обороны.
Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы,
позволяющие проверять вновь полученное программное обеспечение на наличие
вирусов.
На переднем крае обороны находятся программы-фильтры. Эти программы могут пер-
выми сообщить о работе вируса и предотвратить заражение программ и дисков.
Второй эшелон обороны составляют программы-ревизоры, программы-доктора и док-
тора-ревизоры.
Самый глубокй эшелон обороны - это средства разграничения доступа. Они не
позволяют вирусам и неверно работающим программам, даже если они проникли в ком-
пьютер, испортить важные данные.
В "стратегическом резерве" находятся архивные копии информации. Это позволяет
восстановить информацию при её повреждении.
Это неформальное описание позволяет лучше понять методику применения антиви -
русных средств.
ДЕЙСТВИЯ ПРИ ЗАРАЖЕНИИ ВИРУСОМ
При заражении компьютера вирусом (или при подозрении на это) важно соблюдать
4-е правила:
1) Прежде всего не надо торопиться и принимать опрометчивых решений.
Непродуманные действия могут привести не только к потери части файлов, но к пов-
торному заражению компьютера.
2) Надо немедленно выключить компьютер, чтобы вирус не продолжал
своих разрушительных действий.
3) Все действия по обнаружению вида заражения и лечению компьютера
следует выполнять при загрузке компьютера с защищенной от записи дискеты с ОС
(обязательное правило).
4) Если Вы не обладаете достаточными знаниями и опытом для лечения
компьютера, попросите помочь более опытных коллег.
←предыдущая следующая→
1 2