 ПОЗНАВАТЕЛЬНОЕ
| Метод виявлення за допомогою емуляції 12
РЕФЕРАТ НА ТЕМУ: “ Сучасні засоби антивірусного захисту “ Виконав Учень 9-Б класу Козелко Владислав А. Тернопіль-2012 Антивірусна програма (антивірус)- програма для виявлення комп'ютерних вірусів, а також небажаних (що вважаються шкідливими) програм взагалі, і відновлення заражених (модифікованих) такими програмами файлів, а також для профілактики - запобігання зараженню (модифікації) файлів або операційної системи шкідливим кодом Антивірусне програмне забезпечення складається з підпрограм, які намагаються виявити, запобігти розмноженню і видалити комп'ютерні віруси і інше шкідливе програмне забезпечення. Методи виявлення вірусів Антивірусне програмне забезпечення зазвичай використовує два відмінних один від одного методу для виконання своїх завдань:
Метод відповідності визначенню вірусів в словнику Це метод, при якому антивірусна програма, аналізуючи файл, звертається до антивірусних баз, складені виробником програми-антивіруса. У разі відповідності якої-небудь ділянки коду файлу (сигнатурі) вірусу, що переглядається, в базах, програма-антивірус може за запитом виконати одну з наступних дій :
Вірусна база регулярно оновлюється виробником антивірусів, користувачем рекомендується оновлювати їх як можна частіше. Деякі з продуктів для кращого виявлення використовують декілька ядер для пошуку і видалення вірусів і програм-шпигунів. Наприклад, в розробці NuWave Software використовується одночасно п'ять ядер (три для пошуків вірусів і два для пошуку програм-шпигунів). Для багатьох антивірусних програм з базою сигнатур характерна перевірка файлів в мить, коли операційна система звертається до файлів. Таким чином, програма може виявити відомий вірус відразу після його отримання. При цьому системний адміністратор може встановити в антивірусній програмі розклад для регулярної перевірки (сканування) усіх файлів на жорсткому диску комп'ютера. Хоча антивірусні програми, створені на основі пошуку сигнатур, при звичайних обставинах можуть досить ефективно перешкоджати зараженню комп'ютерів, автори вірусів намагаються обійти такі антивіруси, створюючи "олигоморфические", "поліморфічні" і "Метаморфізм (безпека) метаморфічні" віруси, окремі частини яких шифруються або спотворюються так, щоб було неможливо виявити збіг із записом в сигнатурі. Метод виявлення дивної поведінки програм Антивіруси, що використовують метод виявлення підозрілої поведінки програм не намагаються ідентифікувати відомі віруси, замість цього вони простежують поведінку усіх програм. Якщо програма намагається виконати які-небудь підозрілі з точки зору антивірусної програми дії, то така активність буде заблокована, або ж антивірус може попередити користувача про потенційно небезпечні дії такої програми. Нині подібні превентивні методи виявлення шкідливого коду, в тому або іншому виді, широко застосовуються в якості модуля антивірусної програми, а не окремого продукту. На відміну від методу пошуку відповідності визначенню вірусу в антивірусних базах, метод виявлення підозрілої поведінки дає захист від нових вірусів, яких ще немає в антивірусних базах. Але в той же час, такий метод дає велику кількість помилкових спрацьовувань, виявляючи підозрілу активність серед не шкідливих програм. Деякі програми або модулі, побудовані на цьому методі, можуть видавати занадто велику кількість попереджень, що може заплутати користувача. Метод виявлення за допомогою емуляції Деякі програми-антивіруси намагаються імітувати початок виконання коду кожної нової програми, що викликається на виконання, перш ніж передати їй управління. Якщо програма використовує само код, що змінюється, або проявляє вірусну активність, така програма вважатиметься шкідливою, здатною заразити інші файли. Проте цей метод теж рясніє великою кількістю помилкових попереджень. Метод "Білого списку" Загальна технологія по боротьбі з шкідливими програмами - це "білий список". Замість того, щоб шукати тільки відомі шкідливі програми, ця технологія запобігає виконанню усіх комп'ютерних кодів за винятком тих, які були раніше позначені системним адміністратором як безпечні. Вибравши цей параметр відмови за умовчанням, можна уникнути обмежень, характерних для оновлення сигнатур вірусів. До того ж, ті застосування на комп'ютері, які системний адміністратор не хоче встановлювати, не виконуються, оскільки їх немає в "білому списку". Оскільки у сучасних підприємств є безліч надійних застосувань, відповідальність за обмеження у використанні цієї технології покладається на системних адміністраторів і відповідним чином складені ними "білі списки" надійних застосувань. Робота антивірусних програм з такою технологією включає інструменти для автоматизації переліку і експлуатації дій з "білим списком". Евристичний аналіз В цілому терміном "евристичний аналіз" сьогодні називають сукупність функцій антивіруса, націлених на виявлення невідомих вірусним базам шкідливих програм, але в той же час цей же термін означає один з конкретних чинів. Евристичне сканування в цілому схоже з сигнатурним, проте, на відміну від нього, шукається не точний збіг із записом в сигнатурі, а допускається розбіжність. Таким чином стає можливим виявити різновид раніше відомого вірусу без необхідності оновлення сигнатур. Також антивірус може використовувати універсальні евристичні сигнатури, в яких закладений загальний вигляд шкідливої програми. У такому разі антивірусна програма може лише класифікувати вірус, але не дати точної назви. HIPS HIPS - система моніторингу усіх застосувань, що працюють в системі, з чітким розподілом прав для різних застосувань. Таким чином HIPS може запобігти деструктивній діяльності вірусу, не надавши йому необхідних прав. Додатки діляться на групи, починаючи від "Довірених", права яких не обмежені, закінчуючи "Заблокованими", яким HIPS не надасть прав навіть на запуск. 12 |
