10.2. Классификация антивирусных средств
В настоящее время имеется большое количество антивирусных средств.
Однако все они не обладают (да и не могут обладать) свойством универсальности: каждое из них
рассчитано на конкретные вирусы, либо перекрывает некоторые каналы заражения
ПЭВМ или распространения вирусов в ней. В связи с этим хорошей областью
исследований можно считать применение методов ИИ к проблеме создания
антивирусных средств.
Антивирусным
средством называют программный продукт или устройство,
выполняющий (выполняющее) одну, либо несколько из следующих функций:
1) защиту данных (файловой структуры) от
разрушения;
2) обнаружение вирусов;
3) нейтрализацию вирусов.
Зашита данных от
разрушения является более общей проблемой, включающей в себя, наряду с другими,
и вирусный аспект. В связи с этим она решается с использованием средств общесистемного характера, а
именно:
1) утилитами и драйверами, а также аппаратными средствами, ограничивающими доступ к внешним носителям
информации ho записи (примеры — Advanced Disk Manager и Disk Monitor);
2) командами DOS и утилитами, обеспечивающими резервирование
и/или архивацию файлов;
3) утилитами, осуществляющими резервирование
системных областей дисков;
4) утилитами, дефрагментирующими файлы, чтобы облегчить их возможное восстановление.
Вам известно, что DOS практически не обладает возможностями защиты информации на внешних
носителях от несанкционированного доступа (поддержку атрибутов R, S и Н можно во внимание не принимать). Поэтому появились дополнительные
средства, решающие задачу защиты данных от несанкционированного доступа Их
использование делает безопасной работу на ПЭВМ нескольких пользователей,
страхует пользователя от необдуманных действий, а также препятствует деструктивным
проявлениям вирусов. В частности, продукт Advanced Disk Manager, о котором мы уже
упоминали, позволяет создать на винчестере несколько логических дисков, права доступа к которым ограничиваются паролями. Для каждой группы
пользователей можно установить следующие права доступа к конкретному
логическому диску: недоступность диска даже по чтению; доступность диска только
по чтению; доступность диска как по чтению, так и по
записи.
Остальные из перечисленных выше средств, подробно рассмотренные в предыдущих
разделах, обеспечивают возможность восстановления информации, разрушенной
вследствие возникновения дефектов на внешних, носителях, неправильных действий
пользователя или воздействия вирусов.
Классификация созданных главным образом для борьбы с вирусами
программных средств представлена на рис. 10.2. Они
реализуют в основном две последние функции. Лишь вирус-фильтры выполняют также и первую функцию.
Вирус-фильтром (сторожем) называется резидентная программа, обеспечивающая контроль выполнения
характерных для вирусов действий и требующая от пользователя подтверждения на
их производство. Контроль осуществляется путем подмены обработчиков
соответствующих прерываний. В качестве контролируемых действий выступают:
― обновление программных файлов;
― прямая запись на диск (по физическому
адресу);
― форматирование диска;
― резидентное размещение программы в ОЗУ.
Выявив попытку совершения одного из этих действий, вирус-фильтр выдает
пользователю описание ситуации и требует от него подтверждения. Пользователь
может разрешить или отменить операцию.
К широко распространенным вирус-фильтрам
относятся FluShot Plus, Anti4Us, Floserum и Disk Monitor (см. п. 8.6.1).
Последний мы недавно упомянули в несколько другом контексте, что связано с
промежуточным положением программ такого класса.
Рис. 10.2. Классификация специализированных программных антивирусных
средств
Особое место занимает программа VSHIELD из пакета фирмы McAfee Associates, которую мы изучим позже. С одной стороны, ее можно отнести к вирус-фильтрам а с другой — к
детекторам. Мы остановимся на первом варианте соотнесения, так как она
устанавливается резидентно. И тем не менее, эта
программа фильтрует не опасные действия, а запускаемые на выполнение программы.
Детектором называется программа, осуществляющая поиск вирусов
как на внешних носителях информации, так и в ОЗУ. Результатом работы детектора
является список инфицированных файлов и/или областей, возможно, с указанием
конкретных вирусов, их заразивших.
Детекторы делятся на универсальные
(ревизоры) и специализированные.
Универсальные детекторы проверяют
целостность (неизменность) файлов путем подсчета контрольной суммы и ее
сравнения с эталоном. Эталон либо указывается в документации на программный
продукт, либо может быть определен в самом начале его эксплуатации. До
недавнего времени считалось, что описанный подход к проверке целостности файлов
является наилучшим. С появлением же стелс-вирусов
модификация файлов не всегда обнаруживается. Существенным недостатком универсальных
детекторов является невозможность установить точную причину искажения файлов, а
тем более идентифицировать вирусы, в них имплантировавшиеся. Возможны и ложные
срабатывания таких детекторов из-за законной модификации программ, в частности,
в результате их конфигурирования.
Универсальные детекторы могут, конечно же, использоваться не только для
обнаружения вирусов.
Примером универсального детектора является VALIDATE, который мы вскоре
рассмотрим.
Специализированные детекторы настроены на
конкретные вирусы (один или несколько). Если детектор способен обнаруживать
несколько различных вирусов, то его называют полидетектором. Работа специализированного
детектора основывается на поиске строки, принадлежащей тому или иному вирусу,
возможно, заданной регулярным выражением. Такой детектор не способен обнаружить
все возможные вирусы. К тому же не исключены ложные срабатывания. Однако
альтернативы: специализированным детекторам не существует. Наиболее известным
полидетектором является ViruScan, а у нас в стране — отечественный полидетектор-дезинфектор AIDSTEST. Оба эти изделия
мы изучим позже.
Дезинфектором (доктором, фагом)
называется программа, осуществляющая удаление вируса
как с восстановлением, так и без восстановления среды обитания. Ряд вирусов
искажает среду обитания таким образом, что ее исходное состояние не может быть
восстановлено. Широко используемыми дезинфекторами являются Clean-Up, M-DISK и уже упомянутый AIDSTEST. Первый из них
(как и последний) мы будем рассматривать в данном разделе.
Иммунизатором (вакцинатором) называют программу,
предотвращающую заражение среды обитания или памяти конкретными вирусами. Иммунизаторы решают проблему нейтрализации вируса не
посредством его уничтожения, а путем блокирования его способности к
размножению.
Иммунизаторы можно разделить на пассивные и активные.
Пассивные иммунизаторы модифицируют среду обитания вирусов таким образом, что вирус
«распознает» свое присутствие и ее не заражает. Например, чтобы -ввести вакцину от вируса Vienna, достаточно
изменить поле секунд во времени создания всех СОМ-файлов на 62.
Активные иммунизаторы размещаются в памяти резидентно и имитируют наличие в ней вируса,
вследствие чего настоящий вирус в память не загружается. Этот прием эффективен для борьбы с резидентными вирусами. Простейшие
активные иммунизаторы представляют собой лишенный
способности к размножению вирус.
Применимость иммуниэаторов ограниченна, так
как они узко специализированны, а вероятность
повторного заражения одним и тем же вирусом невысока.
Как Вы уже могли догадаться, существуют программные продукты, в той или
иной мере интегрирующие описанные средства.
Еще одним классом антивирусных средств можно считать низкоуровневые редакторы содержимого дисков.
С их помощью квалифицированный пользователь может найти и удалить вирус. Такие
редакторы целесообразно применять лишь тогда, когда использование других
средств не дало положительных результатов. Примером низкоуровневого редактора
является Disk Editor (см. п. 8.4.8).
В настоящее время существует и ряд аппаратных антивирусных средств,
которые в совокупности с программными дают лучший
эффект.
Так, дополнительная плата Immunetec PC фирмы Zeus, стоящая 295 долл., способна предотвратить
загрузку DOS с дискеты, разграничить доступ к жесткому диску по паролям, а также
протестировать его системную область на наличие вирусов.