Антивирусная программа – любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики – предотвращения заражения файлов и ОС вредоносным кодом.
Современные антивирусные программы обычно состоят из нескольких модулей:
1. Антивирусный монитор работает постоянно, проверяя все открываемые файлы.
2. Антивирусный сканер проверяет систему только тогда, когда пользователь сам пожелает.
3. Веб-экран защищает компьютер от вторжения вирусов, скриптов и несанкционированного вторжения при серфинге в Интернет.
4. Модуль защиты электронной почты проверяет все приходящие письма на наличие вредоносных элементов и спама.
5. Модуль автоматического обновления производит обновление антивирусной базы с сервера фирмы- производителя этого антивируса. В связи с постоянным появлением новых образцов вирусов данных модуль должен запускаться как можно чаще, а лучше оставить его работать постоянно.
6. Планировщик организует запуск тех или иных задач по расписанию. Например, обновление раз в час, сканирование диска С раз в неделю.
7. Всю работу организует обычно отдельный модель, который называют Центром управления. Как правило, через центр управления можно управлять любым модулем – отключать, принудительно запускать и прочее.
Из всех методов антивирусной защиты можно выделить две основные группы:
Сигнатурные методы – точные методы обнаружения вирусов, основанные на сравнении файла с известными образцами вирусов.
Эвристические методы – приблизительные методы обнаружения, которые позволяют с определенной вероятность предположить, что файл заражен.
СИГНАТУРНЫЙ АНАЛИЗ. Сигнатурный анализ заключается в выявлении характерных идентифицирующих черт каждого вируса и поиска вирусов путем сравнения файлов с выявленными чертами. Сигнатурой вируса будет считаться совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле. Все вместе сигнатуры известных вирусов составляют антивирусную базу.
Задачу выделения сигнатур, как правило, решают люди – эксперты в области компьютерной вирусологии, способные выделить код вируса из кода программы и сформулировать его характерные черты в форме, наиболее удобной для поиска.
Практически в каждой компании, выпускающей антивирусы, есть своя группа экспертов, выполняющая анализ новых вирусов и пополняющая антивирусную базу новыми сигнатурами. По этой причине антивирусные базы в разных антивирусах отличаются. Тем не менее, между антивирусными компаниями существует договоренность об обмене образцами вирусов, а значит рано или поздно сигнатура нового вируса попадет в антивирусных базы практически всех антивирусов. Лучшим же антивирусом будет тот, для которого сигнатура нового вируса была выпущена раньше всех.
Одно из распространенных заблуждений насчет сигнатур заключается в том, что каждая сигнатура соответствует ровно одному вирусу или вредоносной программе. И как следствие, антивирусная база с большим количеством сигнатур позволяет обнаруживать больше вирусов. На самом деле это не так. Очень часто для обнаружения семейства похожих вирусов используется одна сигнатура, и поэтому считать, что количество сигнатур равно количеству обнаруживаемых вирусов, уже нельзя.
Соотношение количества сигнатур и количества известных вирусов для каждой антивирусной базы свое и вполне может оказаться, что база с меньшим количеством сигнатур в действительности содержит информацию о большем количестве вирусов.
Важное дополнительное свойство сигнатур – точное и гарантированное определение типа вируса. Это свойство позволяет занести в базу не только сами сигнатуры, но и способы лечения вируса.
Другое важное, но уже отрицательное свойство – для получения сигнатуры необходимо иметь образец вируса. Следовательно, сигнатурный метод непригоден для защиты от новых вирусов, т.к. до тех пор пока вирус не попал на анализ к экспертам, создать его сигнатуру невозможно. Именно поэтому все наиболее крупные эпидемии вызываются новыми вирусами. С момента появления вируса в сети Интернет до выпуска первых сигнатур обычно проходит несколько часов, и все это время вирус способен заражать компьютеры.
Эвристический анализ.Суть эвристических методов состоит в том, что решение проблемы основывается на некоторых правдоподобных предположениях, а не на строгих выводах из имеющихся фактов и предпосылок.
