Антивірусні засоби захисту

 


Комп'ютерний вірус – це програмне забезпечення, метою якого є проникнення на комп'ютер користувача, створення своїх копій і приховане виконання шкідливих дій.

Характерні дії вірусу

  • знищення даних шляхом видалення файлів певних типів або фор­матування дисків;
  • внесення змін у файли, зміна структури розміщення файлів на диску;
  • зміна або повне видалення даних із постійної пам’яті;
  • зниження швидкодії комп’ютера, наприклад за оахунок заповнен­ня оперативної пам’яті своїми копіями;
  • постійне (резидентне) розміщення в оперативній пам’яті від мо­менту звернення до ураженого об’єкта до моменту вимкнення комп’ютера і ураження все нових і нових об’єктів;
  • примусове перезавантаження операційної системи;
  • блокування запуску певних програм;
  • збирання і пересилання копії даних комп’ютерними мережами, наприклад пересилання кодів доступу до секретних даних;
  • використання ресурсів уражених комп’ютерів для організації ко­лективних атак на інші комп’ютери в мережах;
  • виведення звукових або текстових повідомлень, спотворення зобра­ження на екрані монітора тощо.

Види небезпеки вірусів

  • безпечні - проявляються відео та звуковими ефектами, не змінюють фай­лову систему, не ушкоджують файли і не виконують шпигунські дії;
  • небезпечні - призводять до перебоїв у роботі комп’ютерної системи: зменшують розмір доступної оперативної пам’яті, перезавантажують комп’ютер тощо;
  • дуже небезпечні - знищують дані з постійної та зовнішньої пам’яті, виконують шпигунські дії тощо.

Антивірус  - це комплекс програм, призначений для виявлення і знешкодження вредносносного програмного забезпечення, а також для усунення наслідків дій шкідливого програмного забезпечення на комп'ютері.


Функції антивірусного програмного забезпечення

·         Моніторинг файлів.

·         Перевірка файлів на зараження з метою, локалізації та подальшого лікування.

·         Своєчасне оновлення антивірусних баз даних.


Виходячи з визначення, основними завданнями антивірусу є:

  • Перешкоджання проникненню вірусів у комп’ютерну систему
  • Виявлення наявності вірусів у комп’ютерній системі
  • Усунення вірусів з комп’ютерної системи без нанесення ушкоджень іншим об’єктам системи
  • Мінімізація збитку від дій вірусів
  • Технології виявлення вірусів

Технології, застосовувані в антивірусах, можна розбити на дві групи:

  • Технології сигнатурного аналізу
  • Технології імовірнісного аналізу

Сигнатурний аналіз – метод виявлення вірусів, що полягає в перевірці наявності у файлах сигнатур вірусів.

Сигнатурний аналіз є найбільш відомим методом виявлення вірусів і використається практично у всіх сучасних антивірусах. Для проведення перевірки антивірусу необхідний набір вірусних сигнатур, що зберігається в антивірусній базі. Антивірусна база – база даних, у якій зберігаються сигнатури вірусів.[21]

Через те, що сигнатурний аналіз припускає перевірку файлів на наявність сигнатур вірусів, антивірусна база має потребу в періодичному відновленні для підтримки актуальності антивірусу. Сам принцип роботи сигнатурного аналізу також визначає границі його функціональності – можливість виявляти лише вже відомі віруси – проти нових вірусів сигнатурний сканер неспроможний.

З іншого боку, наявність сигнатур вірусів припускає можливість лікування інфікованих файлів, виявлених за допомогою сигнатурного аналізу. Однак, лікування припустиме не для всіх вірусів – трояни й більшість хробаків не піддаються лікуванню по своїх конструктивних особливостях, оскільки є цільними модулями, створеними для завдання збитків.Грамотна реалізація вірусної сигнатури дозволяє виявляти відомі віруси зі стовідсотковою ймовірністю.Технології імовірнісного аналізу у свою чергу підрозділяються на три категорії:

  • Евристичний аналіз
  • Поведінковий аналіз
  • Аналіз контрольних сум

Евристичний аналіз – технологія, заснована на імовірнісних алгоритмах, результатом роботи яких є виявлення підозрілих об’єктів.У процесі евристичного аналізу перевіряється структура файлу, його відповідність вірусним шаблонам. Найбільш популярною евристичною технологією є перевірка вмісту файлу на предмет наявності модифікацій уже відомих сигнатур вірусів й їхніх комбінацій. Це допомагає визначати гібриди й нові версії раніше відомих вірусів без додаткового відновлення антивірусної бази.Евристичний аналіз застосовується для виявлення невідомих вірусів, і, як наслідок, не припускає лікування.Дана технологія не здатна на 100% визначити вірус перед нею чи ні, і як будьякий імовірнісний алгоритм грішить помилковими спрацьовуваннями.

Поведінковий аналіз – технологія, у якій рішення про характер об’єкта, що перевіряє, приймається на основі аналізу виконуваних їм операцій.Поведінковий аналіз досить вузько застосуємо на практиці, тому що більшість дій, характерних для вірусів, можуть виконуватися й звичайними додатками. Найбільшу популярність одержали поведінкові аналізатори скріптів і макросів, оскільки відповідні віруси практично завжди виконують ряд однотипних дій. Наприклад, для впровадження в систему, майже кожен макровірус використає той самий алгоритм: у якийнебудь стандартний макрос, що запускається автоматично середовищем Microsoft Office при виконанні стандартних команд (наприклад, «Save», «Save As», «Open», і т.д.), записується код, що заражає основний файл шаблонів normal.dot і кожен документ, що відкриває знову. Засоби захисту, що вшивають в BIOS, також можна віднести до поведінкових аналізаторів. При спробі внести зміни в MBR комп’ютера, аналізатор блокує дія й виводить відповідне повідомлення користувачеві. Крім цього поведінкові аналізатори можуть відслідковувати спроби прямого доступу до файлів, внесення змін у завантажувальний запис дискет, форматування жорстких дисків і т.д.

Поведінкові аналізатори не використають для роботи додаткових об’єктів, подібних до вірусних баз й, як наслідок, нездатні розрізняти відомі й невідомі віруси – всі підозрілі програми апріорі вважаються невідомими вірусами. Аналогічно, особливості роботи засобів, що реалізують технології поведінкового аналізу, не припускають лікування.Як й у попередньому випадку, можливе виділення дій, що однозначно трактуються як неправомірні – форматування жорстких дисків без запиту, видалення всіх даних з логічного диска, зміна завантажувального запису дискети без відповідних повідомлень й ін. Проте, наявність дій неоднозначних – наприклад, макрокоманда створення каталогу на жорсткому диску, змушує також замислюватися про помилкові спрацьовування й, найчастіше, про тонке ручне настроювання поведінкового блокатора.

Аналіз контрольних сум – це спосіб відстеження змін в об’єктах комп’ютерної системи. На підставі аналізу характеру змін – одночасність, масовість, ідентичні зміни довжин файлів – можна робити вивід про зараження системи. Аналізатори контрольних сум (також використається назва «ревізори змін») як і поведінкові аналізатори не використають у роботі додаткові об’єкти й видають вердикт про наявність вірусу в системі винятково методом експертної оцінки. Більша популярність аналізу контрольних сум пов’язана зі спогадами про однозадачні операційні системи, коли кількість вірусів бути відносно невеликим, файлів було небагато й мінялися вони рідко. Сьогодні ревізори змін втратили свої позиції й використаються в антивірусах досить рідко. Частіше подібні технології застосовуються в сканерах при доступі – при першій перевірці з файлу знімається контрольна сума й міститься в кеші, перед наступною перевіркою того ж файлу сума знімається ще раз, рівняється, і у випадку відсутності змін файл уважається незараженим.

Підводячи підсумки огляду технологій, застосовуваних в антивірусах, відзначимо, що сьогодні практично кожен антивірус використає трохи з перерахованих вище технологій, при цьому використання сигнатурного й евристичного аналізу для перевірки файлів і саме в цьому порядку є повсюдним. Надалі засоби, що реалізують комбінацію сигнатурного й евристичного аналізу, ми будемо називати антивірусними сканерами.[12]

Друга група технологій більше різнорідна, оскільки жоден із застосовуваних підходів не дає гарантії виявлення невідомих вірусів. Очевидно, що й спільне використання всіх цих технологій не дає такої гарантії. На сьогоднішній день кращим способом боротьби з новими погрозами є максимально швидке реагування розроблювачів на появу нових екземплярів вірусів випуском відповідних сигнатур. Також, з огляду на наявність активних шкідливих програм, необхідно не менш швидко реагувати на виявлення нових вразливостей в операційних системах і встановлювати відповідні латки безпеки. Антивірусні програми за своїм призначенням поділяються на детектори, фаги, ревізори, фільтри та вакцини.



Висновок : антивірусні засоби захисту необхідно використовувати для моніторингу файлів, перевірки файлів на зараження з метою, локалізації та подальшого лікування, своєчасного оновлення антивірусних баз даних.

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Міжнародні стандарти інформаціоної безпеки

Изображение
  Стандарти інформаційної безпеки — це стандарти забезпечення захисту, призначені для взаємодії між виробниками, споживачами і експертами з кваліфікації продуктів інформаційних технологій у процесі створення та експлуатації захищених систем оброблення інформації. Стандарт забезпечення захисту звичайно містять опис послідовності оцінок, які необхідно виконати, щоб вважати дану характеристику безпеки підтвердженою з точки зору атестації захисту або множину характеристик безпеки, які повинна забезпечити система захисту, щоб її можна було використовувати в даному конкретному режимі забезпечення безпеки або у відповідності до загальної стратегії захисту. Стандарти інформаційної безпеки викладені в опублікованих матеріалах, вони намагаються захистити кібернетичне середовище користувача чи організації.  Це середовище включає в себе : користувачів мережі пристрої програмне забезпечення процеси інформацію в режимі зберігання або транзиту служби та системи , які можуть бути безпосередньо або оп
Далее...

Виявлення атак. Захист периметра комп'ютерних мереж

Изображение
  Виявлення атак – це процес ідентифікації та регулювання на підозрілу діяльність, направлену на обчислювальні чи мережні ресурси. Усі існуючі технології виявлення мережевих атак можна розділити на два типи: - методи на основі сигнатур (зразкв і правил); - методи на основі аномалій. Класифiкацiї систем виявлення атак За способом виявлення атаки: Виявлення аномального поводження (anomaly-based) Виявлення зловживань (misuse detection або signature-based) За способом збору iнформацiї про атаку За способом реагування: Пасивнi просто фiксують факт атаки, записують данi у файл журналу й видають попередження Активнi намагаються протидiяти атацi  Аналіз активності атак Статичні Статичні засоби роблять «знімки» (snapshot) середовища та здійснюють їх аналіз, розшукуючи вразливе програмне забезпечення, помилки в конфігураціях і т. д. Виявляють сліди вторгнення. Динамічні Здійснюють моніторинг у реальному часі всіх дій, що відбуваються в системі, переглядаючи файли аудиту або мережні пакети,
Далее...

Основні ненавмисні і навмисні штучні загрози.

Изображение
Під безпекою ІС розуміється захищеність системи від випадкового або навмисного втручання в нормальний процес її функціювання, від спроб розкрадання (несанкційованого отримання) інформації, модифікації або фізичного руйнування її’ компонентів, тобто здатність протидіяти різним підбурює впливів на ІС. Основні ненавмисні штучні загрози Основні ненавмисні штучні загрози АС (дії, що здійснюються людьми випадково, через незнання, неуважність або недбалості, з цікавості, але без злого наміру): ненавмисні дії, що приводять до часткової або повної відмови системи або руйнуванню апаратних, програмних, інформаційних ресурсів системи (ненавмисне псування обладнання, видалення, спотворення файлів з важливою інформацією або програм, в тому числі системних і т. п.); неправомірне відключення обладнання або зміна режимів роботи пристроїв і програм; ненавмисне псування носіїв інформації; запуск технологічних програм, здатних при некомпетентному використанні викликати втрату працездатності системи (завис
Далее...