Помимо этого, ревизоры запоминает и затем при каждом запуске проверяет информацию об операционной системе и установленном аппаратном обеспечении: объем оперативной памяти (контроль на заражение загрузочным вирусом), количество установленных жестких дисков.
При проверках эта программа обращается к секторам диска напрямую непосредственно через IOS и не использует стандартные методы (прерывания INT 21h и INT 13h). Данная особенность работы позволяет ему успешно обнаруживать так называемые стелс-вирусы (вирусы-невидимки). Другой разновидностью этой программы являются Доктора – ревизоры.
Программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными. При лечении используются ранее сохранённые данные о состоянии файлов и системных областей диска. Данная информация практически восстанавливается. Естественно, что если копии файлов сохраняются, то они должны занимать место на диске.
Программы- фильтры (Блокировщики).
Антивирусные блокировщики - это резидентные программы, перехватывающие "вирусо-опасные" ситуации и сообщающие об этом пользователю. К "вирусо-опасным" относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения. К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения, что, кстати, бывает очень полезно в случаях, когда давно известный вирус постоянно "выползает неизвестно откуда". К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний, что, видимо, и послужило причиной для практически полного отказа пользователей от подобного рода антивирусных программ (мне, например, неизвестно ни об одном блокировщике для Windows - нет спроса, нет и предложения).
Необходимо также отметить такое направление антивирусных средств, как антивирусные блокировщики, выполненные в виде аппаратных компонентов компьютера ("железа"). Наиболее распространенной является встроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае с программными блокировщиками, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS-утилиты FDISK немедленно вызывает "ложное срабатывание" защиты.
Существует несколько более универсальных аппаратных блокировщиков, но к перечисленным выше недостаткам добавляются также проблемы совместимости со стандартными конфигурациями компьютеров и сложности при их установке и настройке. Все это делает аппаратные блокировщики крайне непопулярными на фоне остальных типов антивирусной защиты.
Имунизаторы
Имунизаторы делятся на два типа: имунизаторы, сообщающие о заражении, и имунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких имунизаторов всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом.
Второй тип иммунизации защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные (пример - печально известная строка "MsDos", предохраняющая от ископаемого вируса "Jerusalem"). Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена.
Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов: одни вирусы считают уже зараженными файлы, если время создания файла содержит метку 62 секунды, а другие - 60 секунд. Однако, несмотря на это, подобные имунизаторы в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет определяться антивирусными сканерами.
Сканеры
Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски". Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфных вирусов.
Во многих сканерах используются также алгоритмы "эвристического сканирования", т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения ("возможно заражен" или "не заражен") для каждого проверяемого объекта. Поскольку эвристическое сканирование является во многом вероятностным методом поиска вирусов, то на него распространяются многие законы теории вероятностей. Например, чем выше процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.
Сканеры также можно разделить на две категории - "универсальные" и "специализированные". Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel.
Сканеры также делятся на "резидентные" (мониторы), производящие сканирование "налету", и "нерезидентные", обеспечивающие проверку системы только по запросу. Как правило, "резидентные" сканеры обеспечивают более надежную защиту системы, поскольку они немедленно реагируют на появление вируса, в то время как "нерезидентный" сканер способен опознать вирус только во время своего очередного запуска.
К достоинствам сканеров всех типов относится их универсальность, к недостаткам - размеры антивирусных баз, которые сканерам приходится "таскать за собой", и относительно небольшую скорость поиска вирусов.
Основные (Распространённые) Антивирусные программы
Наиболее распространенным в России является пакет антивирусных программ, разработанный Санкт-Петербургским «вирусологом» Евгением Касперским, носящий его имя «Kaspersky Anti-Virus». Данный пакет сочетает в себе все перечисленные выше программы защиты от вирусов. В нём представлены и сканеры, и имунизаторы, и блокировщики, и ревизоры и т.д.
Начнём по порядку рассматривать все программы, входящие в систему и их свойства.
Антивирусный сканер Kaspersky Anti-Virus– программа для проверки компьютера на присутствие вирусов по запросу пользователя, и удаления вирусов в случае их обнаружения.
В процессе работы антивирусный сканер выполняет следующие функции.
Обнаруживает и удаляет вирусы всех типов в файлах на указанных для проверки дисках, в загрузочных секторах и оперативной памяти.
Обнаруживает и удаляет вирусы из файлов, упакованных PKLITE, LZEXE, DIET, COM2EXE и другими утилитами сжатия.
Обнаруживает вирусы в архивированных файлах всех наиболее распространенных форматов (ZIP, ARJ, LHA, RAR и др.).
Обнаруживает вирусы в локальных почтовых ящиках наиболее распространенных почтовых систем.
Используя усовершенствованный эвристический механизм поиска неизвестных вирусов (эффективность которого - до 92%).
Запуск программы может быть произведен одним из следующих способов:
1) из главного меню Windows;
2)из Kaspersky ANTI-VIRUS Control Centre(о нём расскажу позже);
3)из командной строки.
Один из быстрых способов запуска – запуск через главное меню Windows. Для этого нажмите кнопку Пуск, затем выберите раздел Программы, далее войдите в группу Kaspersky Anti-Virus и запустите пункт Kaspersky Anti-Virus Scanner. После этого откроется главное окно программы, и в панели задач появится значок, щелкнув по которому правой клавишей мыши, Вы можете открыть системное меню. После запуска программы на экране откроется главное окно программы, и в панели задач появится значок, щелкнув по которому правой клавишей мыши, можно открыть системное меню. Системное меню состоит из следующих пунктов:
Параметры Kaspersky Anti-Virus Scanner… — открыть главное окно программы.
Начать сканирование / Остановить сканирование — запустить сканирование / остановить сканирование.
Приостановить сканирование / Продолжить сканирование — приостановить сканирование / возобновить сканирование.
Изменить приоритет процесса сканирования — изменить приоритет процесса сканирования (данный пункт доступен только если запущен процесс сканирования).
Показать отчет — показать окно с результатами работы программы.
Обновить антивирусные базы – запустить программу обновления антивирусных баз Kaspersky ANTI-VIRUS Updater.
О программе — показать справочное окно с основными сведениями о программе.
Выгрузить Kaspersky Anti-Virus Scanner — выгрузить программу из памяти.
Главное окно программы Kaspersky ANTI-VIRUS Scanner предназначено для изменения настроек сканирования, запуска/остановки сканирования и просмотра результатов. Вы можете закрыть главное окно, не выгружая программу из памяти.
В панели инструментов собраны кнопки, нажимая на которые, Вы можете инициировать те или иные действия: