Інформаційні технології та моделювання бізнес-процесів - Томашевський О. М. - 16.4. Програмні антивіруси

Найбільш поширеним засобом нейтралізації вірусів є програмні антивіруси. Вони існують багатьох типів: детектори, фаги, вакцини, щеплення, ревізори, монітори. Розглянемо їх детальніше.

Детектори забезпечують виявлення вірусів шляхом перегляду файлів, що виконуються і пошуку сигнатур. Антивірус, що забезпечує можливість пошуку різних сигнатур, називають полідетектором. Іноді в їх роботі трапляються помилки. Якщо користувач запускав полідетектор, а після нього - другий, але іншого виробника, то друга програма може помилково знайти вірус. Це відбувається тому, що попередня програма-антивірус для своєї роботи використовувала частини сигнатур відомих вірусів (для порівняння), які залишились в пам'яті комп'ютера. Друга програма, знайшовши їх, помилково ідентифікувала як вірус.

Фаги виконують функції детектора і крім того, "лікують" інфіковані програми шляхом "викушування" (або, як ще кажуть, "поїдання") вірусів з тіла програми. Фаги, що здатні нейтралізувати різні віруси, називаються поліфагами.

Вакцини, на відміну від детекторів та фагів, за принципом дії нагадують віруси. Вакцина імплантується у програму, яку необхідно захистити, і запам'ятовує ряд її структурних і кількісних характеристик. Якщо таку програму інфікує вірус, то при першому ж запуску спочатку керування перейде не до вірусу, а до вакцини, яка перевірить параметри файлу і виявить код вірусу. І, відповідно, такий файл не буде запускатись.

Щеплення враховує той факт, що більшість вірусів заражає один файл лише один раз (максимально це може відбуватись в два етапи, проте рідко зустрічається) для того, щоби одразу не виявити себе різкою зміною обсягів файлів. На інфікований файл вірус ставить певну мітку, і більше не використовує. Отже, програма із штучною міткою зараження - щепленням зберігає всі свої робочі властивості і є захищеною від вірусу.

Ревізори - слідкують за станом файлової системи, використовуючи принцип захисту, що застосовано у вакцинах. Характеристики файлів зберігаються ревізором в окремому файлі. Проте, для перевірки наступного файлу необхідно наново запускати програму-ревізор.

Монітори - резидентні програми, що забезпечують перехоплення потенційно небезпечних переривань, які є характерними для вірусів.

Монітор запитує в користувачів підтвердження на виконання операцій, наступних після переривання. У випадку заборони чи відсутності підтвердження монітор блокує виконання програми.

Зазначимо, що деякі резидентні віруси при спробі трасування зараженої програми здатні самі "викушувати" свої копії з коду програм. І таким чином, антивірусна програма отримує для аналізу повністю здоровий файл. Або бутові віруси зберігають перед зараженням оригінальний сектор завантаження (ховають його у нібито зіпсутих секторах), а при перевірці антивірусною програмою тимчасово встановлюють на місце.

Резюме

За даними ITSEC, інформаційна безпека включає в себе наступні складові: конфіденційність, цілісність, доступність. Відповідно до цих складових, існують специфікації функцій безпеки: ідентифікація та аутентифікація; управління доступом; аудит та ряд інших.

Політика безпеки - це набір законів, правил та норм для окремої комп'ютерної системи, що визначають весь процес обробки, поширення та захисту даних в ній.

Аналіз загроз для інформації в системі показує, де і коли в системі з'являється цінна інформація, і в якому місці системи вона може втратити цінність. Загроза реалізується через атаку в певному місці і в певний час. Часто атака реалізується за допомогою введення в систему комп'ютерного вірусу.

Комп'ютерний вірус - це програма, що володіє здатністю заражати інші програми, шляхом додавання до них своєї, можливо зміненої, копії. Головна умова існування вірусів - універсальна інтерпретація інформації в обчислювальних системах. Для зараження файлів віруси використовують три основних способи: запис з перекриттям (overwriting), запис на початку (prepending) та запис в кінці файлу (appending). Протидіють вірусам програми-антивіруси.

Ключові слова

Безпека, конфіденційність, цілісність, доступність, ідентифікація, аутентифікація, політика безпеки, механізм захисту, загроза, атака, вірус, логічна бомба, хробак, троянська програма, несанкціонований доступ, антивірус.

Запитання і завдання для обговорення та самоперевірки:

► Назвіть складові безпеки інформаційної системи і відповідні специфікації функцій безпеки.

► Дайте означення ідентифікації та аутентифікації.

► Опишіть рівні в схемі ієрархічної декомпозиції аналізу захищеності складних інформаційних систем.

► Дайте означення загрози та наведіть приклад загрози доступності в комп'ютерній системі.

► Чим загрожує перевантаженість системи? Опишіть механізм можливої атаки.

► Охарактеризуйте дію троянських програм.

► Наведіть означення комп'ютерного вірусу за Ф. Коеном. Опишіть фізичну структуру вірусу.

► Схематично проілюструйте способи зараження програми вірусом. Опишіть дію вірусу Jerusalem.

► Назвіть типи програм нейтралізації вірусів. Опишіть механізм вакцинації файлу.

► Яка основна відмінність між вірусом та хробаком? Опишіть властивості вірусу, якщо його кодове позначення EC-1701.



Схожі статті




Інформаційні технології та моделювання бізнес-процесів - Томашевський О. М. - 16.4. Програмні антивіруси

Предыдущая | Следующая