Обнаружение вирусов

Что же делать пользователю если его компьютер подвергся заражению вирусом? Некоторым вредоносным кодам всё таки удаётся проникнуть в операционную систему и произвести свою активацию. В большинстве случаев такое происходит по неосторожности самого пользователя, это как посещение вредоносных сайтов, установка сомнительного программного обеспечения, пренебрежение установкой антивирусной программы!

После попадания вируса на компьютер, начинается его размножение или внедрение, чаще всего активация, первая стадия происходит автоматически или благодаря нажатию пользователя на исполняемый файл!

Что требуется сделать после обнаружения вируса или вирусной активности?

Любой вредоносный код в первую очередь опасность потерять личную информацию, и только после следует фактор нарушения работы прикладных программ или самой операционной системы. Если Вы дорожите сохранностью файлов, то рекомендуем обратиться за квалифицированной компьютерной помощью. Либо при должном опыте попробуйте решить проблему самостоятельно, придерживаясь наших советов ниже:

  1. Не стоит пытаться найти исполняемый файл, это может повлечь за собой дальнейшее распространение кода.
  2. Отключите Интернет соединение, в том числе подключение по локальной сети.
  3. Если имеются подключенные накопители извлеките их, позже проведите сканирование на предмет заражения.
  4. Отключите все сторонние программы активные на момент заражения. Особенно это касается программ отображённых в системном трее (области уведомлений).
  5. С другого компьютера имеющего доступ к Интернет, скачайте свежие утилиты антивирусного программного обеспечения. Не пользуйтесь программами просроченными хотя бы на один день!

Итак, какие же утилиты можно будет задействовать для сканирования уже зараженного компьютера:

  • Kaspersky Virus Removal Tool – автономная антивирусная программа для сканирования вашего ПК. Применяется для устранения заражения и лечения инфицированных файлов.
    Имеет установочный файл, который периодически обновляется на официальном сайте разработчика. В считанные мгновения устанавливается на ПК, после чего готов к проведению сканирования. Вам останется лишь запустить проверку.
    Примечание! Желательно отключить на время проверки имеющийся антивирус, воизбежания конфликтов и системных сбоев.
  • Dr.WEB CureIT – также является автономной антивирусной утилитой для проведения сканирования уже заражённого компьютера. Предоставляется компанией Dr.WEB известной во всём мире российской маркой информационной безопасности.
    После скачивания, потребуется лишь запустить исполняемый файл программы. При запуске у Вас будет запрошен выбор режима работы: обычный или усиленный. Если Вы уверены в заражении системы, то изберите вариант «Усиленного режима». При таком виде сканирования блокируются все сторонние действия и процессы, в том числе и некоторые системные, что даёт большую вероятность обнаружения вируса и его дальнейшую ликвидацию.

Примечание! Запускайте полную проверку компьютера, не ограничиваясь быстрой! Не запускайте обе утилиты единовременно, пользуетесь ими поочередно!После окончании процесса проверки стоит перезагрузить компьютер, предварительно завершив работу антивирусной программы!

Если после перезагрузки системы проблема связанная с заражением не была ликвидирована, то стоит обратиться к специалистам для дальнейшего осмотра и диагностики.

Бонус

Для того чтобы просканировать флэшку на наличие такого вируса как авторун (autorun), следует скачать и запустить небольшую программу Antiautorun.
Данная утилитка отлично справляется с целым рядом вирусов, которые относятся к автозагрузочным.

Сразу же после запуска, автоматически будет обнаружено съёмное устройство и проведена проверка! Вам остаётся лишь наблюдать. После чего на флэшке будет создана папка защиты, она представляет собой обычную директорию созданную в корне устройства, под названием – autorun.inf
Примечание! Данную созданную папку нельзя удалить простыми способами, она создаётся с уникальными атрибутами, которые её сохраняют в содержимом. Единственным минусом этой утилиты это её узкая направленность, если флэшку инфицировать вирусом не из группы автозагрузчики, то программка пропустит их!

Сигнатурный метод — самая распространённая технология обнаружения вирусов и вредоносных программ. Термин сигнатура имеет латинское происхождение (signatura — обозначение). После изучения вирусных угроз составляются сигнатуры – уникальные отрывки машинного кода с помощью которых антивирусные программы идентифицируют вирусы и применяют к зараженным файлам лечение. На сегодняшний день это самый надежный метод нахождения вируса для успешного лечения зараженных объектов. Сигнатурное сканирование – основное оружие антивирусов в борьбе за информационную безопасность.

Сигнатура атаки – особенности компьютерного вируса, характеризующие его код и способ вторжения. Во время сканирования компьютера, антивирус, проверяя файлы, ищет именно вирусные сигнатуры. При обновлении антивируса скачиваются базы, состоящие из сигнатур изученных угроз.

Недостатки сигнатурного сканирования

Изъян сигнатурного сканирования – ложные срабатывания, когда безобидные приложения имеют похожие фрагменты программного кода на вредоносный.

Сигнатурный метод бессилен против новейших вредоносных программ (угроза нулевого дня), которые только появились и не были идентифицированы специалистами по безопасности. В противоположность сигнатурным методам – проактивные технологии защиты от вирусных угроз основываются на изучении их поведения и эвристическом анализе кода.

Несмотря на свои недостатки, сигнатурный метод остается самым эффективным и точным инструментом защиты компьютерной техники от вирусных атак. В свою очередь пользователи должны следить, чтобы антивирусные программы своевременно обновляли базы вирусов, шпионского и вредоносного ПО.

Кишечные простейшие представлены амебами и жгутиковыми. Выделяют две диагностические стадии: вегетативная стадия или трофозоит и покоящаяся стадия или циста. Как первая, так и вторая стадии могут выделяться с фекалиями. Трофозоиты обычно обнаруживаются в жидких или полужидких фекалиях; цисты обычно встречаются в оформленном стуле. Однако как одна, так и другая стадии могут обнаруживаться в одной и той же пробе фекалий.

Трофозоиты и цисты можно наблюдать и в нативных препаратах фекалий с физиологическим раствором. В ряде случаев видовая идентификация может потребовать исследования окрашенных препаратов.

1. ИССЛЕДОВАНИЕ ИСПРАЖНЕНИЙ.

Испражнения (кал) исследуют с целью обнаружения простейших кишечника. Все больные острыми и хроническими кишечными заболеваниями, в первую очередь при наличии крови и слизи в стуле, должны подвергаться лабораторному обследованию на зараженность простейшими.

Движение простейших – один из самых характерных признаков, который позволяет поставить правильных диагноз. Поэтому основное правило – исследование только свежего материала, не позже, чем через 20-30 мин после его выделения. При невозможности немедленного исследования испражнения помещают в консервант (не заменяет нативных мазков). Исследование на цисты простейших допускается в течение суток.

В первую очередь выбирают и исследуют неоформленные фекалии с патологическими примесями, так как в них можно обнаружить подвижные формы патогенных простейших.

В плотном оформленном стуле содержатся только цисты. Они более устойчивы, чем вегетативные формы, поэтому оформленный кал можно исследовать и через более поздние сроки, но, как правило, в день взятия.

А). Исследование мазков фекалий. Обязательным является исследование нативного мазка и мазка, окрашенного раствором Люголя.

Нативный мазок. Препарат готовится на предметном стекле без добавления изотонического раствора хлорида натрия. В нативном мазке обнаруживают подвижные формы простейших, по особенностям движения можно диагностировать отдельные виды.

Окраска раствором Люголя. Цисты отличаются постоянной формой и наличием оболочек. Строение цист видно плохо, не просматриваются ядра. Поэтому исследуют и мазок, окрашенный раствором Люголя. Цисты окрашиваются в золотичто-коричневый цвет. На фоне цитоплазма заметны ядра, видны их строение и число. Хорошо виден гликоген, окрашивающийся в разные оттенки коричневого цвета. При окраске раствором Люголя вегетативные формы погибают и определяются с трудом.

Б). Методы обогащения или накопления цист. Применяются только с целью обнаружения цист. Для исследования жидких фекалий, в которых, как правило, обнаруживаются вегетативные формы простейших, эти методы не пригодны.

Метод всплывания. При смешивании материала, содержащего цисты, с жидкостями, имеющими бóльшую относительную плотность, чем цисты, последние всплывают и находятся в поверхностной пленке. Предварительно отмывают цисты от фекалий, затем цетрифугируют. После этого к осадку добавляют 33% раствор сульфата цинка. Центрифугируют, исследуют поверхностную пленку, которую снимают петлей.

Метод формалин-эфирного обогащения. При обработке фекалий по этому методу происходит отделение и концентрация цист простейших кишечника.

2. ИССЛЕДОВАНИЕ КРОВИ.

С целью обнаружения гемопаразитов микроскопируют с иммерсионным маслом под большим увеличением мазок и толстую каплю крови.

Толстую каплю с отличие от мазка не фиксируют. Под влиянием водных красителей нефиксированные эритроциты гемолизируются, препарат становится прозрачным. Это ускоряет и облегчает обнаружение паразитов, так как в одном поле зрения можно исследовать гораздо больший объем крови, чем в мазке.

Окраску проводят по Романовскому-Гимзе. Раствор красителя должен быть слабо щелочной (рН 7,1-7,2). Для этой цели краску разводят физиологическим раствором. Правильно окрашенная толстая капля имеет фиолетовый цвет.

3. ИССЛЕДОВАНИЕ ВЫДЕЛЕНИЙ МОЧЕПОЛОВЫХ ПУТЕЙ.

Выделения мочеполовых путей исследуют для обнаружения мочеполовых трихомонад. Трихомонады легко отличить от лейкоцитов и других клеток по характерному движению, наличию жгутиков и ундулирующей мембраны. Более четко они видны при использовании темнопольной или фазово-контрастной микроскопии.

Просмотр нативных и окрашенных препаратов способствует эффективности лабораторного исследования.

4. ИССЛЕДОВАНИЕ ДРУГИХ БИОЛОГИЧЕСКИХ МАТЕРИАЛОВ.

А). Желчь и содержимое 12-перстной кишки, полученные при дуоденальном зондировании, осматривают и микроскопируют комочки слизи. Кроме того, материал центрифугируют, просматривают под микроскопом осадок. С помощью этого метода можно обнаружить вегетативные стадии лямблий.

Б). Спинномозговую жидкость, полученную при пункции, центрифугируют и исследуют осадок. Из осадка готовят нативные мазки, окрашивают их по Романовскому и микроскопируют. В препаратах можно обнаружить патогенных амеб, токсоплазм, трипаносом.

В). В гное, извлеченном при пункции абсцессов внутренних органов, микроскопически можно обранужить амеб. Из язв толстого кишечника получают отделяемое и немедленно микроскопируют – при этом можно выявить подвижные вегетативные стадии (эритрофаги) дизентерийной амебы.

Г). Мокроту исследуют в нативном мазке, а также окрашивают раствором Люголя. В мокроте можно обнаружить пневмоцисты, изредка ротовые амебу и трихомонаду.

Д). Костный мозг исследуют с целью обнаружения лейшманий и некоторых других простейших. Получают костный мозг при пункции грудины, гребня подвздошной или головки большеберцовой костей, готовят мазки на предметных стеклах и микроскопируют после окраски по-Романовскому.

Е). При кожных поражениях исследуют мазки в случае подозрения на кожный лейшманиоз. Исследуют кожу из области вокруг язвы и в зоне инфильтрата по краю язвы. Лейшмании обнаруживают в макрофагах, а также вне клеток в виде овальных или удлиненных телец размером 3-5 мкм.

Не рекомендуется брать материал непосредственно из язв, так как наличие микрофлоры и остатков разрушенных клеток затрудняют поиски лейшманий.

Ж). Лимфатические узлы пунктируют, полученный материал исследуют для приготовления окрашенных мазков, посева на питательные среды и биологической пробы с целью обнаружения лейшманий, трипаносом, токсоплазм.

З). В некоторых случаях приходится исследовать кусочки органов или тканей, полученных во время операции (биопсия) или вскрытия (аутопсия). В частности, это необходимо для обнаружения токсоплазм и их цист в гистологических срезах из головного мозга, печени, селезенки, а также пневмоцист в препаратах из легких.

5. СЕРОЛОГИЧЕСКИЕ МЕТОДЫ.

Протозойные болезни сопровождаются выработкой иммунитета и появлением в сыворотке крови антител, на обнаружении которых основаны серологические методы исследований.

С указанной целью применяют

  • реакцию связывания комплемента – РСК (токсоплазмоз),

  • реакцию гемагглютинации – РГА (трихомоноз, токсоплазмоз),

  • реакцию иммунофлюоресценции – РИФ (малярия, лейшманиоз, пневмоцистоз, амебиаз, токсоплазмоз),

  • реакцию антител, меченных ферментами – РЭМА (лейшманиоз, токсоплазмоз, амебиаз, малярия) и др.

Например, на мазки-отпечатки с паразитом наносят капли исследуемой сыворотки в различных разведениях и затем – люминесцирующую сыворотку. Если в исследуемой сыворотке имелись антитела, то вокруг клеток паразита в мазке образуются светящиеся ореолы, наблюдаемые при микроскопии препаратов в люминесцентном микроскопе.

Обнаружение изменений

Обнаружение изменений — метод обнаружения вирусов и вредоносных программ различного типа, основанный на обнаружении изменений, вызываемых вирусами и вредоносными программами в файлах.

Пояснение

Данный метод используется программами с названием ревизоры диска или системы контроля целостности.

Ревизоры диска периодически сканируют содержимое дисков компьютера, записывая в свою базу данных контрольные суммы файлов и критически важных внутренних областей файловых систем. При сканировании новые значения контрольных сумм сравниваются со старыми значениями.

Если при сравнении обнаруживаются изменения, ревизор диска отображает на экране предупреждающее сообщение.

С помощью ревизора диска можно обнаружить любые изменения, сделанные в файлах компьютерными вирусами и другими вредоносными программами, а также пользователями.

Этот факт позволяет использовать ревизоры диска не только для защиты от вредоносных программ, но и для контроля целостности важных файлов и документов.

Пример использования

Ревизоры диска, применяющие метод обнаружения изменений, могут взаимодействовать с антивирусными программами, выполняющими сканирование и эвристический анализ.

Такой метод может ускорить антивирусную проверку файлов, если ревизор диска будет координировать свои действия с антивирусной программой, проверяя только те файлы и каталоги, в которых были обнаружены изменения.

» глоссарий

В настоящее время существует множество антивирусных программных средств, но их можно разделить на группы по методам поиска вирусов, которые они реализовывают.

Рассмотрим эти методы.

1. Сканирование.

Это самый простой метод поиска вируса. Он основан на последовательном просмотре памяти компьютера, загрузочных секторов и проверяемых файлов в поиске так называемых сигнатур (масок) известных вирусов.

Сигнатура вируса — это уникальная последовательность байтов, принадлежащая вирусу и не встречающаяся в других программах.

Определение сигнатуры вируса очень сложная задача. Необходимо тщательно изучить принцип работы вируса и сравнить программы, зараженные данным вирусом, и незараженные. Кроме того, сигнатура не должна содержаться в других программах, иначе возможны ложные срабатывания.

Надежность принципа поиска по маске ограниченной длины не очень высока. Вирус легко модифицировать, чем и занимаются многие авторы вирусов. Достаточно изменить строковую константу, текст выдаваемого сообщения или одну из первых команд, чтобы вирус стал совсем новым.

Надежность увеличивается при приведении вируса к каноническому виду: то есть обнулении всех байтов, приходящихся на переменные и константы.

Хранение сигнатур канонических форм всех известных вирусов (вспомните, что на сегодняшний день их число огромно) требует неоправданно много памяти. Достаточно хранить только контрольную сумму сигнатур вирусов.

При подозрении на вирус необходимо привести подозреваемый код к каноническому виду, подсчитать контрольную сумму и сравнить с эталоном.

Часто в качестве сигнатуры берется характерный для этого вируса фрагмент кода, например, фрагмент обработчика прерывания. Не все вирусы имеют сигнатуры в виде строк байт, для некоторых удается в качестве сигнатур использовать регулярные выражения, а некоторые вирусы могут вообще не иметь сигнатур, например, полиморфные.

2. Обнаружение изменений, или контроль целостности.

Контроль целостности основан на выполнении двух процедур:

· постановка на учет;

· контроль поставленного на учет.

При внедрении вируса в компьютерную систему обязательно происходят изменения в системе (которые некоторые вирусы успешно маскируют). Это и изменение объема доступной оперативной памяти, и изменение загрузочных секторов дисков, и изменения самих файлов.

Достаточно запомнить характеристики, которые подвергаются изменениям в результате внедрения вируса, а затем периодически сравнивать эти эталонные характеристики с действующими.

3. Эвристический анализ.

Метод, который стал использоваться для обнаружения вирусов сравнительно недавно. Он предназначен для обнаружения новых неизвестных вирусов. Программы, реализующие этот метод, тоже проверяют загрузочные секторы дисков и файлы, только уже пытаются обнаружить в них код, характерный для вирусов. Например, таким может быть код, устанавливающий резидентный модуль в памяти и т.п.

4. Метод резидентного сторожа.

Этот метод направлен на выявление «подозрительных» действий пользовательских программ, например, таких, как запись на диск по абсолютному адресу, форматирование диска, изменение загрузочного сектора, изменение или переименование выполняемых программ, появление новых резидентных программ, изменение системных областей DOS и других. При обнаружении «подозрительного» действия необходимо «спросить разрешение» у пользователя на выполнение такого действия.

5. Вакцинирование программ.

Этот метод заключается в дописывании к исполняемому файлу дополнительной подпрограммы, которая первой получает управление при запуске файла, выполняет проверку целостности программы. Проверяться могут любые изменения, например, контрольная сумма файла или другие характеристики.

Что такое ложные тревоги?

Задача любого антивирусного средства — обнаружить вирус в системе с максимальной степенью надежности, то есть не вызывая при этом ложные тревоги.

Ложные тревоги делят на два типа:

· ложная позитивная (положительная);

· ложная негативная (отрицательная).

Ложная позитивная тревога — это когда антивирусное средство сообщает о наличии вируса, а на самом деле его нет.

Ложная негативная тревога — это когда антивирусное средство говорит, что вируса нет, а на самом деле он есть.

Некоторые специалисты ложные тревоги называют ошибками антивирусов, причем ложные негативные тревоги (несрабатывания) называются ошибками первого рода, а ложные позитивные тревоги — ошибками второго рода.

В идеале антивирус должен обнаруживать все возможные вирусы и не должен вызывать ложных тревог.

Типы антивирусных средств

1. Программы-детекторы, или программы-сканеры.

Это наиболее известный и наиболее распространенный вид антивирусных программ. Они осуществляют поиск известных версий вирусов методом сканирования, т.е. поиском сигнатур вирусов. Поэтому программы-сканеры могут обнаружить только уже известные вирусы, которые были предварительно изучены, и для которых была определена сигнатура.

Использование программ-сканеров не защищает компьютер от новых вирусов. Кроме того, такие программы не могут обнаружить большинство полиморфных вирусов, так как для таких вирусов невозможно определить сигнатуру.

Для эффективного использования программ-детекторов, реализующих метод простого сканирования, рекомендуется постоянно обновлять их, получая самые последние версии, так как в них уже будут включены новые типы вирусов.

В последнее время программы-детекторы поставляются со специальными базами данных — сигнатурами вирусов, которые может пополнять сам пользователь. Некоторые сканеры позволяют подключать к своей базе данных внешние файлы — дополнения, содержащие сведения о новых вирусах. В таких случаях достаточно приобретать новые файлы-дополнения к базе для обновления антивирусной программы.

Для компьютеров, подключенных к Internet, существует возможность автоматического пополнения базы сигнатур вирусов новыми сигнатурами, конечно же, при использовании соответствующих антивирусных программ.

Программы-сканеры практически не вызывают ложные позитивные тревоги. Если программа сообщила о заражении, то можно быть уверенным, что это действительно так. (Ранние версии иногда ошибались, например, объявляли зараженными файлы других антивирусных программ, находя в них сигнатуры вирусов.)

Но если сканер не обнаружил вирусы в системе, это означает только то, что в системе нет вирусов, на которые он рассчитан.

Антивирусные программы-сканеры, которые могут удалить обнаруженный вирус, называются полифагами.

В последнее время распространяются полифаги, которые кроме простого сканирования в поисках сигнатур вирусов, содержащихся в их вирусной базе, используют еще и эвристический анализ проверяемых объектов на наличие неизвестных вирусов. Они изучают код проверяемых файлов и содержимое загрузочных секторов и пытаются обнаружить в них участки, выполняющие характерные для вирусов действия. Сканеры, использующие эвристический поиск, уже способны обнаружить многие полиморфные и автоматические вирусы, а также некоторые новые неизвестные вирусы (неизвестные самому антивирусу).

2. Программы-мониторы, или резидентные сторожа.

Это целый класс антивирусов, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. С помощью монитора можно остановить распостранение вируса на самой ранней стадии.

Их цель — не пропустить вирус на компьютер. И поэтому они контролируют обращение к дискам. При обнаружении «подозрительного» действия программа-монитор либо блокирует выполнение такого действия до специального разрешения пользователя, либо просто выдаёт на экран предупреждающее сообщение, либо совершает другие специальные действия.

Рассмотрим наиболее опасные из «подозрительных» действий:

· низкоуровневое форматирование диска;

Это очень опасная операция. Вызывает потерю всех данных на диске. Если монитор обнаружит попытку выполнения такой операции, то пользователю необходимо отменить её и проверить компьютер на наличие вирусов;

· запись данных в загрузочные секторы жёсткого диска;

Если пользователь не форматировал диски, не изменял метку диска и не устанавливал новую версию ОС, то необходимо отменить операцию и проверить компьютер на наличие вирусов;

· запись данных в загрузочный сектор дискеты;

Если пользователь не форматировал дискету, не изменял её метку (команда LABEL), не записывал на дискету ОС (командой SYS или другим способом), необходимо отменить операцию и проверить компьютер на наличие вирусов;

· запись данных в исполняемый файл;

В случае, когда монитор сообщает о такой попытке, необходимо обратить внимание на файл, в который выполняется запись. Если это неизменяемый файл, и пользователь уверен в этом, то необходимо отменить операцию и проверить компьютер на наличие вирусов. Но некоторые программы действительно могут записывать в свой выполнимый файл различную информацию, например, свою конфигурацию.

!!!! Пользователь должен быть знаком с программным обеспечением своего компьютера.

· Изменение атрибута файла;

Скорее всего это действие вируса. В этом случае пользователь должен проанализировать ситуацию.

Невысокая популярность программ-мониторов объясняется психологическим фактором. Многие программы могут выполнять действия, на которые реагируют мониторы. Большое число запросов мешает пользователю работать. Монитор может «замучить» пользователя, и он его отключит. Мониторы отнимают время на проверку программ во время их запуска, и процесс загрузки программы замедлится. Ещё одним недостатком программ-мониторов является то, что они уменьшают объём памяти, доступной программам пользователей, ведь он должен резидентно находится в памяти.

Поэтому мониторы необходимо применять в следующих случаях:

· запуск новых программ неизвестного происхождения;

· во время подозрения на вирус;

· некоторое время после удаления вируса для исключения его появления вновь.

В настоящее время фирмы-производители антивирусных средств поставляют, как правило, целые антивирусные комплексы, а не отдельные программы. В состав многих таких комплексов входят резидентные мониторы. Например, вместе с антивирусным пакетом Antiviral Toolkid Pro (AVP), солзданным фирмой КАМИ (Е. Касперский) поставляется резидентрый монитор Antiviral Monitor. Он позволяет обнаружить и сообщить обо всех проявлениях, которые могут быть вызваны компьютерными вирусами. В комплект Microsoft Anti-Virus входит резидентный монитор Vsafe, позволяющий постоянно контролировать работу компьютера. В состав комплекта Norton AntiVirus for Windows9x входит приложение Norton AntiVirusAuto-Protect. Кроме проверки запускаемых файлов Norton AntiVirus Auto-Protectвыполняет все функции обычного резидентного монитора, позволяя при этом пользователям сделать установки случаев, в которых необходимо сообщать о подозрительном действии.

Большинство распространённых ныне мониторов предназначены для контроля за подключаемыми к компьютеру дисками. Такие мониторы освобождают пользователя от необходимости помнить об обязательном сканировании каждого нового диска или дискеты. Монитор открывает доступ к диску, лишь убедившись в его «чистоте». Так работает, например, монитор McAfee VShield (щит от вирусов) пакета McAfee VirusScan for Windows9x (VirusScan 95). Он также выполняет контроль исполняемых программ и копируемых файлов.

В пакет антивирусной защиты Dr Solomon’s AntiVirus Toolkit входит мониторWinGuard, в обязанности которого входит контроль за подключением внешних дисков, выполнением операций с файлами и поведением исполняемых файлов (сканирование файлов при записи).

2. Программы — ревизоры.

Программы-ревизоры первоначально запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, параметры всех контролируемых файлов (иногда только контрольную сумму файлов), информацию о структуре каталогов, номера плохих кластеров диска, иногда — объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры и многое другое.

Для определения наличия вируса в системе программы-ревизоры проверяют созданные ими образы и производят сравнение с текущим состоянием. Если обнаружено изменение — вполне вероятно, что эти изменения произведены вирусом.

Ревизоры могут обнаружить любые вирусы, даже ранее неизвестные. Но для этого необходимо «поставить на учет” заведомо чистые от вирусов возможные объекты нападения. Кроме этого, ревизор не обнаружит вирус, который попал с новым зараженным уже файлом, так как он «не знает” параметров этого файла до заражения вирусом. Вот когда новый вирус уже заразит другие файлы или загрузочный сектор, он будет обнаружен ревизором. Не сможет ревизор обнаружить вирус, заражающий файлы только при копировании, опять же не имея возможности сравнить параметры файлов. Ревизоры неэффективно использовать для обнаружения вирусов в файлах документов, так как эти файлы очень часто изменяются. Кроме того, следует учитывать, что ревизоры только обнаруживают изменения, но не все изменения связаны с внедрением вируса. Загрузочная запись может измениться при обновлении версии операционной системы, могут измениться командные файлы, некоторые программы могут записывать в свои исполняемые файлы данные, что тоже приводит к изменению файлов, в конце концов, пользователь может просто перекомпилировать свою программу.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *