Защита от вирусов

Антивирусная программа — программа для обнаружения и лечения других программ, зараженных компьютерными вирусами, а так же для предотвращения заражения компьютера вирусами. Антивирусное ПО обычно использует следующие основные методы обнаружения вирусов:

1. Сигнатурный метод

Сигнатура — характерный фрагмент вируса, то есть короткая последовательность байтов, извлечённая из тела определённого вируса. Сигнатурный метод — метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса и если совпадение с сигнатурой есть, антивирусная защита считает данный файл инфицированным. Сигнатурные сканеры обнаруживают только известные вирусы. Развитием сигнатурного подхода можно считать облачные антивирусы, в которых выделяется клиентская и серверная части. Клиентская часть имеет минимальный размер, устанавливается на машины пользователей и содержит в своём составе движок, сканирующий данные и отправляющий контрольные суммы файлов на сервер. Расположенный в облаках сервер принимает от клиентов хеши файлов, ищет их в базе сигнатур вирусов и выдаёт свой вердикт относительно чистоты присланных данных. В случае обнаружения зловредов, сервер отсылает клиенту соответствующие скрипты, выполнение которых очищает пользовательский компьютер от вредоносных объектов.

2. Эвристический метод

Эвристики — правила, с помощью которых поиск вирусов осуществляется не по точным сигнатурам, а по необычным последовательностям программного кода. Эвристический метод обнаруживает вирусы путём тщательного исследования полной структуры программы, её компьютерных команд и других данных, содержащихся в файле. Эвристический анализатор выделяет последовательность операций, каждой из которых присваивает некоторую оценку опасности и по совокупности оценок принимает решение о том, является ли данная последовательность операций частью вредоносного кода, причём сам код не выполняется. Эвристический сканер может сделать вывод о вероятном наличии вируса, а так же обнаруживать неизвестные вирусы.

3. Песочница (виртуализация)

Данная технология позволяет выполнять подозрительные программы в изолированной и защищенной среде, в которой даже в случае заражения вирусом вреда основной системе нанесено не будет. Существует 3 базовые модели изоляции пространства от остальной системы:

1. Изоляция на основе полной виртуализации — заключается в использовании движка виртуальной машины в качестве защитного слоя над операционной системой.

2. Изоляция на основе частичной виртуализации файловой системы и реестра (процессом, запущенным в песочнице подставляются не реальные объекты файловой системы и реестра, а их дубликаты).

3. Изоляция на основе правил — все попытки изменения объектов файловой системы или реестра не виртуализируются, а рассматриваются с точки зрения набора внутренних правил средства защиты.

Основные методы принятия решений о помещении выполняемого приложения в песочницу:

· На основе правил запуска приложений

· На основе эвристических подходов

Антивирусные песочницы могут работать либо в режиме постоянной защиты, либо в режиме ручной защиты.

4. Проактивная защита (блокираторы поведения)

Данные антивирусы представляют собой резидентные программы, выявляющие вирусы по выполняемым ими действиям, а не по их коду в инфецированной программе. Для них не требуется постоянно обновлять базу данных сигнатур и эвристик, а достаточно определить набор действий, характеризующих возможные проявления вируса (например модификация критических системных параметров, модификация логики исполняемых файлов, сценариев, макросов и т.д.).