АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Общая характеристика средств нейтрализации компьютерных вирусов

Читайте также:
  1. A. Какова непосредственная причина возникновения этой аномалии?
  2. I. Решение логических задач средствами алгебры логики
  3. II. РАСПРЕДЕЛЕНИЕ ЛЕКАРСТВЕННЫХ СРЕДСТВ В ОРГАНИЗМЕ. БИОЛОГИЧЕСКИЕ БАРЬЕРЫ. ДЕПОНИРОВАНИЕ
  4. III.2. Преступление: общая характеристика
  5. IV. Амортизация основных средств
  6. IV. ИМУЩЕСТВО И СРЕДСТВА ПРИХОДА
  7. VI. Общая задача чистого разума
  8. VI. ОЦЕНОЧНЫЕ СРЕДСТВА ДЛЯ ТЕКУЩЕГО КОНТРОЛЯ УСПЕВАЕМОСТИ И ПРОМЕЖУТОЧНОЙ АТТЕСТАЦИИ
  9. XV. 1. Загальна характеристика електрохімічних процесів
  10. А) Статическая вольт-амперная характеристика
  11. Автобіографія. Резюме. Характеристика. Рекомендаційний лист
  12. Автоматические средства пожаротушения. Устройство спринклерных и дренчерных систем пожаротушения.

 

Наиболее распространенным средством нейтрализации компь­ютерных вирусов являются антивирусные программы (антивиру­сы). Антивирусы, исходя из реализованного в них подхода к выяв­лению и нейтрализации вирусов, принято делить на следующие группы (рис. 8.2):

— детекторы;

— фаги;

— вакцины;

— прививки;

— ревизоры;

— мониторы.


 

Детекторы Антивирусы Мониторы
Фаги Ревизоры
  Вакцины Прививки  
       

 

 

Рис. 8.2 Классификация антивирусов

 

Детекторы обеспечивают выявление вирусов посредством про­смотра исполняемых файлов и поиска так называемых сигнатур — устойчивых последовательностей байтов, имеющихся в телах из­вестных вирусов. Наличие сигнатуры в каком-либо файле свиде­тельствует о его заражении соответствующим вирусом. Антиви­рус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.

Фаги выполняют функции, свойственные детекторам, но, кроме того, «излечивают» инфицированные программы посредством «выкусывания» вирусов из их тел. По аналогии с полидетекторами фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.

В отличие от детекторов и фагов вакцины по своему принципу действия подобны вирусам. Вакцина имплантируется в защищае­мую программу и запоминает ряд количественных и структурных характеристик последней. Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее. Активизация вирусоносителя приведет к получению управления вирусом, кото­рый, выполнив свои целевые функции, передаст управление вак­цинированной программе. В последней, в свою очередь, сначала управление получит вакцина, которая выполнит проверку соот­ветствия запомненных ею характеристик аналогичным характе­ристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении тек­ста вакцинированной программы вирусом. Характеристиками, ис­пользуемыми вакцинами, могут быть длина программы, ее конт­рольная сумма и т. д.

Принцип действия прививок основан на учете того обстоятель­ства, что любой вирус, как правило, помечает инфицируемые про­граммы каким-либо признаком, с тем чтобы не выполнять их по­вторное заражение. В ином случае имело бы место многократное инфицирование, сопровождаемое существенным и поэтому легко обнаруживаемым увеличением объема зараженных программ. Прививка, не внося никаких других изменений в текст защищае­мой программы, помечает ее тем же признаком, что и вирус, кото­рый таким образом после активизации и проверки наличия ука­занного признака считает ее инфицированной и «оставляет в покое».

Ревизоры обеспечивают слежение за состоянием файловой сис­темы, используя для этого подход, аналогичный реализованному в вакцинах. Программа-ревизор в процессе своего функциониро­вания выполняет применительно к каждому исполняемому файлу сравнение erg текущих характеристик с аналогичными характери­стиками, полученными в ходе предшествующего просмотра фай­лов. Если при этом обнаруживается, что, согласно имеющейся сис­темной информации, файл с момента предшествующего просмотра не обновлялся пользователем, а сравниваемые наборы характери­стик не совпадают, то файл считается инфицированным. Характе­ристики исполняемых файлов, получаемые в ходе очередного про­смотра, запоминаются в отдельном файле (файлах), в связи с чем увеличение длин исполняемых файлов, имеющее место при вакци­нации, в данном случае не происходит. Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых фай­лов ревизором требует его повторного запуска.

Монитор представляет собой резидентную программу, обеспе­чивающую перехват потенциально опасных прерываний, харак­терных для вирусов, и запрашивающую у пользователей подтвер­ждение на выполнение операций, следующих за прерыванием. В случае запрета или отсутствия подтверждения монитор блоки­рует выполнение пользовательской программы.

 


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 | 47 | 48 | 49 | 50 | 51 | 52 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.003 сек.)