Méthodes de protection.
Détermination des programmes antivirus et de leur classification.
Quel que soit le virus, l'utilisateur doit connaître les méthodes de base de protection contre les virus informatiques.
Pour protéger contre les virus, vous pouvez utiliser:
Moyens généraux de protection des informations qui sont également utiles comme je. assurance contre les dommages physiques aux disques, les programmes de travail incorrectement ou les actions erronées de l'utilisateur;
Mesures préventives pour réduire probabilité infection par virus;
Programmes spécialisés pour protéger contre les virus. Il existe deux principales variétés d'outils de sécurité généraux d'informations fournissant:
Copier des informations - Créer des copies des fichiers et des régions système des disques;
Séparation d'accès empêchant l'utilisation non autorisée des informations, en particulier une protection contre les changements de changements de programme et des données par virus, de programmes de travail incorrectement et des actions erronées des utilisateurs.
Pour détecter, supprimer et protéger les virus informatiques, plusieurs types de programmes spéciaux ont été développés qui vous permettent de détecter et de détruire des virus. Ces programmes sont appelés antiviral. Distinguer les types de programmes antivirus suivants:
Programmes de détection;
Programmes de médecin ou de phage;
Programmes d'audit;
Programmes de filtrage;
Programmes de vaccins ou immuniseurs.
Programmes de détecteurs Recherchez un code spécifique (Signature) caractéristique d'un virus particulier (signature) en RAM et dans les fichiers et lorsqu'il est détecté, le message correspondant est donné. L'inconvénient de tels programmes antivirus est qu'ils ne peuvent trouver que les virus connus des développeurs de tels programmes.
Les programmes de médecin ou de phage, ainsi que des programmes de vaccination, non seulement les fichiers infectés par des virus, mais aussi les "traités", c'est-à-dire supprimer le corps du programme de virus dans le fichier, renvoyer des fichiers à son état d'origine. Au début de son travail, les phages recherchent des virus dans la RAM, les détruisant et ne sont qu'à un "traitement" des fichiers. Parmi les phages, les polyphags sont isolés, c'est-à-dire les programmes de médecins conçus pour rechercher et détruire un grand nombre de virus. Les plus célèbres d'entre eux sont: AIDSTEST, Scan, Norton Antivirus, Doctor Web.
Étant donné que de nouveaux virus sont constamment émergents, les programmes de détection et les médecins sont rapidement obsolètes et la mise à jour régulière des versions est requise.
Les antivirus polyphag sont les moyens les plus courants de combattre les logiciels malveillants. Historiquement, ils sont apparus en premier et maintiennent toujours un leadership incontestable dans ce domaine.
Sur la base de l'exploitation des polyphs, il existe un principe simple - la recherche dans les programmes et les documents de sections familières du code viral (appelé signature virus). En général, la signature est une telle enregistrement du virus, qui vous permet d'identifier sans ambiguïté la présence d'un code viral dans un programme ou un document. Le plus souvent, la signature est directement la zone de virale coda ou sa somme de contrôle (Digest).
Initialement, les antivirus polyphag ont travaillé sur un principe très simple - ils ont effectué des fichiers de visualisation en série pour l'emplacement des programmes viraux. Si la signature du virus a été détectée, la procédure d'élimination d'un code viral de l'organe d'un programme ou d'un document a été réalisée. Avant de commencer à vérifier les fichiers, le programme FAG vérifie toujours la RAM. Si un virus est fourni en RAM, il est désactivé. Cela est dû au fait que les programmes viraux sont souvent infectés de ces programmes lancés ou ouverts au moment où le virus est dans la phase active (cela est dû au désir d'économiser sur la recherche d'objets d'infection). Ainsi, si le virus reste actif en mémoire, la vérification totale de tous les fichiers exécutables conduira à une infection totale du système.
Actuellement, les programmes viraux ont de manière significative. Par exemple, les "virus furtifs" sont apparus. Leur travail repose sur le fait que le système d'exploitation lors de l'accès des périphériques (y compris des disques durs) utilise le mécanisme d'interruption. Ici, il est nécessaire de faire une légère retraite sur le sujet "Comment fonctionne le mécanisme d'interruption". Si une interruption se produit, le contrôle est transmis par un programme spécial - "Handler interruption". Ce programme est responsable de la saisie et de la sortie d'informations vers / depuis le périphérique. De plus, les interruptions sont divisées en niveaux d'interaction avec la périphérie (dans notre cas - avec des disques rigides et flexibles). Il existe un niveau de système d'exploitation (dans l'environnement MS DOS - Interruption 25H), il existe un système d'E / S de base (niveau BIOS - interruption 13H). Les programmeurs système expérimentés peuvent fonctionner directement en se référant aux ports d'E / S des périphériques. Mais c'est une tâche assez sérieuse et difficile. Un tel système à plusieurs niveaux est fait tout d'abord, afin de préserver la portabilité des applications. C'est grâce à un tel système qu'il a été possible de lancer des applications DOS dans des environnements multitâches tels que MS Windows ou IBM OS / 2.
Mais dans un tel système est initialement masqué et vulnérabilité: contrôler le gestionnaire d'interruptions, vous pouvez contrôler le flux d'informations du périphérique de périphériques à l'utilisateur. Les virus furtifs, en particulier, utilisent le mécanisme de contrôle lors de l'interruption. Remplacement, le gestionnaire d'interruption d'origine avec son code, les virus furtifs contrôlent les données de lecture du disque.
Si un programme infecté est lu à partir du disque, le virus "claque" son propre code (généralement le code n'est pas littéralement "fouetté", et le nombre du secteur de disque lisible est remplacé). En conséquence, l'utilisateur doit lire le code "propre". Ainsi, tant que le vecteur de gestionnaire d'interruptions est modifié par code viral, le virus lui-même est actif dans la mémoire de l'ordinateur, le détecte simplement en lisant simplement le disque à l'aide des outils du système d'exploitation. Un mécanisme de déguisement similaire est utilisé et des virus amorçables qui seront mentionnés. Afin de lutter contre les virus furtifs, il a été recommandé auparavant (et, en principe, il est recommandé d'effectuer une alternative de chargement du système à partir d'un disque flexible et uniquement après la recherche et la suppression de programmes viraux. Actuellement, le chargement à partir d'un disque flexible peut être problématique (pour le cas où les applications Win32 - antivirus ne seront pas lancées). Compte tenu de ce qui précède, les antivirus-polyphags ne sont plus efficaces que lors de la lutte contre des virus déjà connus, c'est-à-dire dont les signatures et les méthodes de comportement sont familières aux développeurs.
Ce n'est que dans ce cas, le virus avec une précision de 100% sera détecté et supprimé de la mémoire de l'ordinateur, puis de tous les fichiers vérifiés. Si le virus est inconnu, il peut affronter avec succès les tentatives de détection et de traitement. Par conséquent, la chose principale lors de l'utilisation de tout polyphag - aussi souvent que possible de mettre à jour les versions du programme et des bases de données virales.
Le manoir ici est dit analyseurs heuristiques. Le fait est qu'il existe un grand nombre de virus, dont l'algorithme est presque copié de l'algorithme d'autres virus.
En règle générale, ces variations créent des programmeurs non professionnels qui, pour une raison quelconque, ont décidé d'écrire un virus. Les analyseurs eureux ont été inventés pour lutter contre de telles copies. Avec leur aide, l'antivirus est capable de trouver de tels analogues de virus célèbres, en disant à l'utilisateur qu'il semblait avoir un virus. Naturellement, la fiabilité de l'analyseur heuristique n'est pas de 100%, mais son efficacité est toujours supérieure à 50%. Les virus qui ne sont pas reconnus par les détecteurs antivirus sont capables d'écrire uniquement les programmeurs les plus expérimentés et les plus qualifiés.
Un analyseur de code heuristique est un ensemble de sous-programmes qui analysent le code de fichiers exécutables, de la mémoire ou de secteurs de démarrage afin de détecter différents types de virus informatiques. La partie principale de l'analyseur heuristique est l'émulateur de code. L'émulateur de code fonctionne en mode d'affichage, c'est-à-dire que sa tâche principale n'est pas d'exécuter le code, mais d'identifier toutes sortes d'événements, c'est-à-dire l'ensemble du code ou appeler une fonction spécifique du système d'exploitation, visant à convertir des données système, travailler avec des fichiers ou détecter des structures virales fréquemment utilisées. À peu près, l'émulateur examine le code du programme et révèle les actions que ce programme fait. Si les actions de ce programme sont empilées dans un système spécifique, il est conclu que la présence d'un code viral dans le programme.
Bien sûr, la probabilité de sauter et de fausse réponse est très élevée. Cependant, en utilisant correctement le mécanisme de l'heuristique, l'utilisateur peut provenir de manière indépendante des bonnes conclusions. Par exemple, si l'antivirus émet un message sur le suspect d'un virus pour un seul fichier, la probabilité de fausse réponse est très élevée. S'il est répété sur de nombreux fichiers (et avant cela, l'antivirus n'a pas détecté de suspect dans ces fichiers), nous pouvons alors parler de l'infection du système par un virus avec une probabilité proche de 100%. L'analyseur heuristique le plus puissant a actuellement le Dr.Web Anti-Virus.
L'utilisation de l'analyseur heuristique, en plus de ce qui précède, vous permet également de traiter avec générateurs de viruset virus polymorphes.
La méthode classique de détermination des virus par signature dans ce "cas est inefficace du tout. Les générateurs de virus sont un ensemble de bibliothèques spécialisé qui permet à l'utilisateur de construire facilement son propre virus, même d'avoir une connaissance faible de la programmation. Au programme écrit, Les bibliothèques de générateur sont connectées dans les appels souhaités des procédures externes - et ici le virus élémentaire transformé en un produit plutôt compliqué. La chose la plus triste est que, dans ce cas, la signature du virus sera différente à chaque fois, afin de suivre le virus n'est possible que possible. Sur les appels caractéristiques des procédures externes - et c'est le travail de l'analyseur heuristique. Virus polymorphe Il a une structure encore plus complexe. Le corps de virus lui-même est modifié d'une infection à l'infection, tout en maintenant son remplissage fonctionnel.
Dans le cas le plus simple - si vous vous dispersez dans le corps du virus, n'effectuez rien, des opérateurs vides (comme «MOV AX, AX» ou «POR»), le corps du code viral subira des changements importants et l'algorithme restera la même chose. Dans ce cas, l'analyseur heuristique vient à l'aide.
Caractéristiques du virus informatique
Entité et manifestation des virus informatiques
L'utilisation massive des ordinateurs personnels, malheureusement, s'est révélée être associée à l'avènement des programmes de virus auto-reproducteurs qui empêchent le fonctionnement normal de l'ordinateur qui détruit la structure de fichiers des disques et endommagent les informations stockées dans l'ordinateur. Pénétrer dans un ordinateur, le virus de l'ordinateur est capable de se propager à d'autres ordinateurs. Virus informatique Un programme spécialement écrit est appelé à une joindre spontanément à d'autres programmes, de créer vos copies et de les mettre en œuvre dans des fichiers, des zones de système informatique et des réseaux informatiques afin de violer les programmes, des dommages causés aux catalogues, créer toutes sortes d'interférences dans l'ordinateur. Aventures et La propagation des virus informatiques, d'une part, est cachée dans la psychologie de la personnalité humaine et de ses côtés ombres (envy, vengeance, vanité de créateurs non reconnus, l'impossibilité d'appliquer de manière constructive leurs capacités), d'autre part, en raison de L'absence de protection matérielle et de contre-sens du système d'exploitation informatique personnelle.. Malgré les lois de la lutte contre les crimes informatiques adoptées dans de nombreux pays et le développement d'une protection logicielle spéciale contre les virus, le nombre de nouveaux virus logiciels est en croissance constante. Cela nécessite l'utilisateur d'un ordinateur personnel de connaissance sur la nature des virus, des moyens d'infection avec des virus et une protection contre eux. Les sources de virus dans l'ordinateur sont des disques amovibles (flexibles et laser), ainsi que des réseaux informatiques. Une infection de disque dur avec des virus peut survenir lorsque l'ordinateur est démarré à partir d'une disquette contenant le virus. Une telle infection peut être aléatoire, par exemple, si la disquette a été retirée de l'entraînement A: et redémaçait l'ordinateur, tandis que la disquette peut ne pas être systémique. Infecter une disquette est beaucoup plus facile. Un virus peut y remettre, même si la disquette a été insérée dans l'entraînement d'un ordinateur infecté et, par exemple, lisez sa table de contenu. Disque infecté - Ceci est un disque, dans le secteur de démarrage de laquelle le programme est un virus. Après avoir démarré un programme contenant le virus, il devient possible d'infecter d'autres fichiers. Le plus souvent, le virus est infecté par le secteur de démarrage du disque et des fichiers exécutables ayant des extensions EXE, .., SYS ou WAT. Texte extrêmement infecté rarement infecté des fichiers graphiques. Programme infecté - Il s'agit d'un programme contenant le virus de programme intégré. Après une infection par ordinateur, le virus est très important pour la détecter dans les meilleurs délais. Pour ce faire, vous devez connaître les principaux signes de la manifestation des virus. Ceux-ci incluent les éléments suivants:- résiliation du travail ou un travail incorrect de programmes de fonctionnement auparavant avec succès;
- travail d'ordinateur lent;
- l'incapacité de charger le système d'exploitation;
- disparition de fichiers et de répertoires ou de déformer leur contenu;
- modification de la date et de l'heure de la modification de fichier;
- modification des tailles de fichier;
- une augmentation significative inattendue du nombre de fichiers sur le disque;
- une réduction significative de la taille de la RAM libre;
- sortie à l'écran de messages imprévus ou d'images;
- alimenter des signaux sonores imprévus;
- frezes fréquents et dysfonctionnements dans l'ordinateur.
- non dangereux, ne pas interférer avec le travail de l'ordinateur, mais la quantité réduite de la mémoire RAM et de la mémoire gratuite sur les disques, les actions de tels virus se manifestent dans des effets graphiques ou sonores;
- dangereux virus qui peuvent conduire à divers troubles de l'ordinateur;
- très dangereux L'impact qui peut entraîner une perte de programmes, détruits, effacer des informations dans les zones système du disque.
Programmes de détection et de protection des virus
Caractéristiques des logiciels antivirusLe jour de la détection, la suppression et la protection contre les virus informatiques ont mis au point plusieurs types de programmes spéciaux vous permettant de détecter et de détruire des virus. Ces programmes sont appelés antivirus. Les types suivants de programmes antivirus distinguent la distinction (Fig. 11.11): Programmes de détecteurs Recherchez une séquence spécifique de la séquence (signature de virus) caractéristique du virus spécifique et dans les fichiers et est détectée. L'inconvénient d'un tel antivirus pro-riz. 11.11. Types de logiciels antivirusgram est qu'ils ne peuvent trouver que ces virus connus des développeurs de tels programmes. Programmes de docteur ou alors phages aussi bien que programmes de vaccins Non seulement trouver des fichiers infectés par des virus, mais aussi "traiter" eux, c'est-à-dire Supprimez le corps du programme de virus dans le fichier, retourner des fichiers à son état d'origine. Au début de son travail, les phages recherchent des virus dans la RAM, les détruisant et ne sont qu'aux fichiers «traitement». Parmi les phages alloués polyphagi., ceux. Programmes de docteur conçus pour rechercher et détruire un grand nombre de virus. Les polyphas les plus célèbres sont des programmes d'aidsest , Scanner, antivirus Norton et docteur Web. . Étant donné que de nouveaux virus émergent constamment, les programmes de détection et les médecins sont rapidement observés et des mises à jour régulières de leurs versions sont nécessaires. Auditeurs de programme appartiennent aux moyens de protection les plus fiables contre les virus. Les auditeurs se souviennent de l'état d'origine des programmes, des répertoires et des régions système du disque lorsque l'ordinateur n'est pas infecté par le virus, puis ou à la demande de l'utilisateur de comparer l'état actuel avec la source. Les modifications détectées sont affichées sur l'écran du moniteur vidéo. En règle générale, les comparaisons d'état sont effectuées immédiatement après le chargement du système d'exploitation. Par comparé, la longueur du fichier, le code de contrôle cyclique (checksum du fichier), la date et l'heure de la modification, d'autres paramètres sont vérifiés. Les programmes d'audit ont des algorithmes suffisamment développés, détectent des virus furtifs et peuvent même distinguer les modifications de la version du programme en cours de vérification des modifications apportées par le virus. Le programme ADINF de la société "Dialog Science" est un programme généralisé. Programmes de filtrage ou alors "Storam" Présentez les petits programmes résidents conçus pour détecter des actions suspectes lorsqu'ils travaillent sur une caractéristique informatique des virus. Ces actions peuvent être:
- tente de corriger les fichiers avec des extensions COM et EXE;
- modification des attributs de fichier;
- enregistrement direct sur le disque à une adresse absolue;
- enregistrement dans le secteur de démarrage du disque.
- dans un mode d'interface à écran complet à l'aide du menu et de la boîte de dialogue;
- en mode de contrôle via la ligne de commande.
- informations sur les secteurs de démarrage;
- informations sur les grappes infructueuses;
- longueur et contrôle des fichiers;
- date et heure pour créer des fichiers.
- Équipez votre ordinateur avec des programmes antivirus modernes, tels que Aidsest. ou alors Doctor Web, et mettre à jour constamment leurs versions;
- avant de lire avec des disques d'information enregistrés sur d'autres ordinateurs, vérifiez toujours ces disques à disquettes pour les virus, lancant les programmes anti-virus de votre ordinateur;
- lorsque vous transférez sur vos fichiers de votre ordinateur sous forme archivée, vérifiez-les immédiatement après avoir décompressé sur le disque dur, limitant la zone de numérisation uniquement par des fichiers nouvellement enregistrés;
- vérifier périodiquement les virus de disques durs de l'ordinateur, exécutant des programmes antivirus pour tester des fichiers, des régions de mémoire et de système de disques avec une disquette protégée par disquette, après avoir téléchargé le système d'exploitation également avec les disques système protégés par enregistrement;
- protégez toujours vos disques de disquettes lorsque vous travaillez sur d'autres ordinateurs si les informations sont enregistrées sur elles;
- assurez-vous de faire des copies archivistiques sur des discrets de précieuses informations pour vous;
- ne laissez pas de lecteur dans votre poche: des disques de disquettes lorsque vous allumez ou redémarrez le système d'exploitation pour exclure l'infection par ordinateur avec des virus de chargement;
- utilisez des programmes antivirus pour la commande d'entrée de tous les fichiers exécutables reçus de réseaux informatiques;
- pour assurer une plus grande application de sécurité Aidsest. et Docteur Web. Il est nécessaire de combiner avec l'utilisation quotidienne de l'auditeur du disque Adinf.
Distinguer les types de programmes antivirus suivants:
Programmes de phage (scanners);
Les programmes d'audit (scanners de CRC);
Bloceurs de programme;
Programmes d'immuniseurs.
Programmes des FIGY (scanners)utilisé pour détecter les virus la méthode de comparaison avec la norme, la méthode d'analyse hurlique et d'autres méthodes. Programmes FUGGE Recherchez un virus de masque spécifique en balayant en RAM et dans les fichiers et lorsque la détection a émis un message correspondant. Les programmes FIGY ne trouvent pas seulement des fichiers infectés par des virus, mais également les "traités", c'est-à-dire supprimer le corps du virus du corps du fichier, renvoyer des fichiers à son état d'origine. Au début de la balayage de programme-phage, les virus détectent et détruisent-leur et ne sont que sur un "traitement" des fichiers. Parmi les phages, les programmes Polyphag-Phage, conçus pour rechercher et détruire un grand nombre de virus.
Les programmes de phage peuvent être divisés en deux catégories - scanners universels et spécialisés. Scanneurs universelsconçu pour rechercher et neutraliser tous les types de virus, quel que soit le système d'exploitation, de travailler dans lequel le scanner est calculé. Scanners spécialisésconçu pour neutraliser un nombre limité de virus ou une seule classe d'entre eux, par exemple, les volumes macro. Les scanners spécialisés, calculés uniquement sur les macrovirus, sont des solutions plus pratiques et fiables pour protéger les systèmes de gestion de documents dans les environnements MS Word et MS Excel.
Les programmes de FAG sont également divisés en moniteurs résidents,produire une analyse "à la volée" et scanners non-résidents,système de support uniquement sur demande. Les moniteurs résidents offrent une protection plus fiable du système, car elles réagissent immédiatement à l'apparition du virus, tandis qu'un scanner non-résident est capable d'identifier le virus uniquement lors de son prochain lancement.
Les avantages des programmes de phage de tous types incluent leur polyvalence. Les inconvénients incluent une vitesse relativement faible de la recherche de virus et de tailles relativement importantes des bases antivirus.
Les programmes de phage les plus célèbres: Aidstest, Scan, Norton Antivirus, Doctor Web. Considérant que de nouveaux virus apparaissent constamment, les programmes de phage deviennent rapidement obsolètes et la mise à jour régulière des versions est requise.
Programmes - Auditeurs (scanners de CRC)utiliser pour rechercher la méthode de la détection des changements de virus. Le principe de fonctionnement des scanners de CRC est basé sur le comptage SUM-SUMC (codes de contrôle cycliques) pour les fichiers / secteurs système présents sur le disque. Ces quantités de CRC, ainsi que d'autres informations (longueurs de fichier, les dates de leur dernière modification, etc.) sont ensuite stockées dans la base de données antivirus. Avec le lancement ultérieur, les scanners de CRC sont vérifiés par les données contenues dans la base de données, avec des valeurs calculées en réalité. Si les informations de fichier enregistrées dans la base de données ne correspondent pas aux valeurs réelles, les scanners de CRC signent que le fichier a été modifié ou infecté par le virus. En règle générale, les comparaisons d'état sont effectuées immédiatement après avoir chargé le système d'exploitation.
Les scanners de CRC utilisant des algorithmes anti-furtifs sont un outil assez puissant contre les virus: près de 100% des virus sont découverts presque immédiatement après leur apparition sur l'ordinateur. Cependant, les scanners de CRC ont un désavantage réduisant considérablement leur efficacité: ils ne peuvent pas déterminer le virus dans de nouveaux fichiers (par courrier électronique, sur des disquettes, dans des fichiers récupérés à partir de la sauvegarde ou lors du déballage des fichiers de l'archive), car leur base de données n'a pas informations sur ces fichiers.
L'inspecteur AVP AVP Inspecteur (AVP Inspecteur Auditor est répandu en Russie. Avec Adinf, le module ADINF CURE (ADINFEXT) est utilisé, qui utilise des informations de fichier précédemment collectées pour leur restauration après la défaite par des virus inconnus. L'auditeur de l'inspecteur AVP comprend également un module assistant pouvant supprimer des virus.
Programmes-bloquantsmettre en œuvre la méthode de surveillance antivirus. Les bloqueurs anti-virus sont des programmes résidents qui interceptent des situations «virus-dangereuses» et qui en font rapport. Les situations "virus-dangereuses" comprennent des appels caractéristiques des virus aux moments de la reproduction (des appels à ouvrir pour écrire à l'exécution des fichiers, d'écrire dans les secteurs de démarrage des disques ou de MBR Winchester, tentent de rester résidence, etc.).
Lorsque vous essayez d'effectuer les actions spécifiées, le bloqueur envoie un message à l'utilisateur et propose d'interdire l'action appropriée. Les avantages des bloqueurs incluent leur capacité à détecter et à empêcher le virus le plus tôt de sa reproduction, ce qui est particulièrement utile dans les cas où un virus connu de longue date apparaît régulièrement. Cependant, ils ne "traitent" pas de fichiers et de disques. Pour détruire les virus, d'autres programmes sont nécessaires, tels que les phages. Les inconvénients des bloqueurs comprennent l'existence de moyens de contourner leur protection et leur "agaçant" (par exemple, ils émettent constamment un avertissement sur toute tentative de copie du fichier exécutable).
Il convient de noter que les bloqueurs antivirus fabriqués sous forme de composants matériels informatiques sont créés. Le plus courant est la protection intégrée de l'écriture dans le MBR Winchester.
Programmes d'immuniseur- Ce sont des programmes qui empêchent l'infection de fichiers. Les immunisers sont divisés en deux types:
· Immuniseurs infectant une infection
· Immunisers bloquant l'infection par tout type de virus.
Les immunistres de premier type sont généralement écrits à la fin des fichiers et lorsque le fichier démarre, chaque fois, vérifiez-le sur le changement. Ces immunistres ont un inconvénient sérieux - ils ne peuvent pas détecter la contamination du virus furtif. Par conséquent, ce type d'immuniseur n'est pratiquement pas utilisé à l'heure actuelle.
La deuxième immuniseur de type protège le système des dommages causés au virus d'une certaine espèce. Il modifie un programme ou un disque de manière à ce que cela ne soit pas reflété dans leur travail, le virus les perçoit en contaminé et n'est donc pas mis en œuvre. Ce type d'immunisation ne peut pas être universel, car il est impossible d'immuniser des fichiers de tous les virus connus. Cependant, comme une immuniseur similaire, semi-dimensionnelle, peut tout de même protéger l'ordinateur d'un nouveau virus inconnu jusqu'au moment où il est déterminé par des scanners antivirus.
Programmes de détecteurs
Programmes de détecteurs Recherchez un virus de signature spécifique en RAM et dans les fichiers et lorsqu'il est détecté, un message correspondant est donné. L'inconvénient de tels programmes antivirus est qu'ils ne peuvent trouver que les virus connus des développeurs de tels programmes.
Programmes de docteur
Les programmes de médecins ou de phages, ainsi que des programmes de vaccination, non seulement les fichiers infectés par des virus, mais aussi les "traiter", c'est-à-dire qu'ils sont supprimés du corps du virus du fichier-virus, qui renvoient des fichiers à son état d'origine. Au début de son travail, les phages recherchent des virus dans la RAM, les détruisant et ne sont qu'à un "traitement" des fichiers. Parmi les phages, les polyphags sont isolés, c'est-à-dire les programmes de médecins conçus pour rechercher et détruire un grand nombre de virus. Les plus célèbres d'entre eux sont: AVP, AIDSTEST, SCAN, NORTON Antivirus, Doctor Web.
Étant donné que de nouveaux virus sont constamment émergents, les programmes de détection et les médecins sont rapidement obsolètes et la mise à jour régulière des versions est requise.
Programmes de révolution (inspecteur)
Les programmes et les auditeurs (inspecteur) se réfèrent aux moyens de protection les plus fiables contre les virus.
Les auditeurs (inspecteur) Vérifiez les données sur le disque pour les virus invisibles, apprenez si le virus grimpait dans des fichiers, il n'existe pas de secteur de disque dur non autorisé, il n'existe pas de changements de registre Windows non autorisés. De plus, l'inspecteur peut ne pas utiliser les moyens du système d'exploitation pour faire appel aux disques (et donc le virus actif ne sera pas en mesure d'intercepter le présent appel).
Le fait est qu'un certain nombre de virus, intégrés dans des fichiers (c'est-à-dire d'ajouter à la fin ou au début du fichier), remplacez les enregistrements sur ce fichier dans les tables d'emplacement de fichier de notre système d'exploitation. Vous regardez des "fenêtres" - cela semble être rien changé: ni la longueur du fichier, ni la date ou la date de création, ni même le code de contrôle (CRC). Comme on dit, tout converge sur les papiers et le détournement de fonds est.
Les auditeurs (inspecteur) se souviennent de l'état d'origine des programmes, des répertoires et des régions système du disque lorsque l'ordinateur n'est pas infecté par le virus, puis ou à la demande de l'utilisateur de comparer l'état actuel avec l'original. Les modifications détectées sont affichées sur l'écran du moniteur. En règle générale, la comparaison des États produisent immédiatement après avoir chargé le système d'exploitation. Par comparé, la longueur du fichier, le code de contrôle cyclique (checksum du fichier), la date et l'heure de la modification, d'autres paramètres sont vérifiés. Les programmes d'audit (inspecteur) ont des algorithmes suffisamment développés, découvrent des virus furtifs et peuvent même effacer les modifications de la version du programme en cours de vérification des modifications apportées par le virus. Le programme ADINF est un programme généralisé ADINF largement distribué en Russie.
Pour exécuter l'auditeur (inspecteur), il est nécessaire lorsque l'ordinateur n'est pas encore infecté, de sorte qu'il puisse créer dans le répertoire racine de chaque disque sur le fichier de fichier kavitab (bykva_dis) (par exemple, kavitabc.dat), avec tout le nécessaire. Informations sur les fichiers disponibles sur ce disque, ainsi que sur sa zone de démarrage. Sur la création de chaque table, nous serons demandés la permission.
Avec le lancement suivant, l'auditeur (inspecteur) affichera les disques, comparant les données sur chaque fichier avec ses enregistrements. Par exemple, la taille du fichier a changé et la date et l'heure sont restées les mêmes. Étrange? Étrange! Plusieurs fichiers ont changé de longueur et quelque chose d'extérieur a été ajouté à chacun des fichiers. Étrange? Toujours! Ou dans le registre Windows, il y avait des changements, bien que vous n'ajoutiez rien de nouveau au système. Méfiant? Au plus haut suspect! Eh bien, lorsque l'inspecteur rapporte d'étranges changements dans le secteur de démarrage, c'est juste un garde! (À moins que, bien sûr, vous n'avez pas défini de nouveau système d'exploitation à partir du chèque précédent.)
Dans une telle situation, l'auditeur (inspecteur) sera en mesure d'utiliser son propre module assistant, ce qui restaurera le fichier corrompu par le virus dans 95 cas sur 100 (au moins ils promettent les auteurs). Pour restaurer des fichiers, l'inspecteur n'a même pas besoin de savoir quoi que ce soit sur le type de virus spécifique, il suffit d'utiliser les données sur les fichiers stockés dans les tableaux.
De plus, si nécessaire, un scanner antivirus peut être causé.
Programmes - Filtres (moniteurs)
Les filtres (moniteurs) ou «Storam» sont des petits programmes résidents conçus pour détecter des actions suspectes lorsqu'ils travaillent sur une caractéristique informatique des virus. Ces actions peuvent être:
1. tente de corriger les fichiers avec COM, des extensions Exe;
2. Modifier les attributs de fichier;
4. Enregistrement dans le secteur de démarrage du disque;
Lorsque vous essayez de faire les actions spécifiées "Watchman" envoie à l'utilisateur un message et propose d'interdire ou de résoudre l'action appropriée. Les programmes de filtrage sont très utiles, car ils peuvent détecter le virus le plus tôt de son existence à la reproduction. Cependant, ils ne "traitent" pas de fichiers et de disques. Pour détruire les virus, vous devez appliquer d'autres programmes, tels que Phages.
Vaccins ou immuniseurs
Les vaccins ou les immuniseurs sont des programmes résidents qui empêchent l'infection de fichiers. Les vaccins sont utilisés s'il n'y a pas de programmes de médecins, «assister à» ce virus. La vaccination n'est possible que de virus célèbres. Le vaccin modifie le programme ou le disque de manière à ce que cela ne soit pas reflété dans leur travail et que le virus les percevrait infectés et ne sera donc pas mis en œuvre. Actuellement, les programmes de vaccins ont une utilisation limitée.
Scanner
Le principe de fonctionnement des scanners anti-virus est basé sur la vérification des fichiers, des secteurs et de la mémoire système, ainsi que de la recherche de virus connus et nouveaux (inconnus) de virus. Pour rechercher des virus célèbres, les "masques" sont utilisés. Le masque du virus est une séquence de code permanente spécifique à un virus particulier. Si le virus ne contient pas de masque permanent ou que la longueur de ce masque ne suffit pas, les autres méthodes sont utilisées. Un exemple de cette méthode est une langue algorithmique décrivant toutes les options de code possibles pouvant se rencontrer lorsqu'il infectait un type de virus similaire. Cette approche est utilisée par certains antivirus pour détecter les virus polymorphes.
L'inconvénient des scanners simples est leur incapacité à détecter les virus polymorphes qui changent complètement leur code. Pour ce faire, il est nécessaire d'utiliser des algorithmes de recherche plus complexes comprenant une analyse heuristique des programmes vérifiés.
De plus, les scanners ne peuvent détecter que des virus déjà connus et déjà étudiés pour lesquels la signature a été déterminée. Par conséquent, les scanners ne protégeront pas votre ordinateur de la pénétration de nouveaux virus qui, au fait, apparaissent plusieurs pièces par jour. En conséquence, des scanners sont observés au moment de la sortie de la nouvelle version.
Les vaccins ou immuniseurs sont des programmes résidents qui n'autorisent pas l'infection au fichier. Les vaccins sont utilisés s'il n'y a pas de programmes de médecins, «assister à» ce virus. La vaccination ne peut être utilisée que sur des virus connus. L'essence de cette méthode est que le vaccin modifie le programme ou le disque de manière à ce qu'il ne soit pas exprimé dans leur travail, et le virus les examinera infectés et, par conséquent, ne sera pas mis en œuvre. Actuellement, les programmes de vaccin sont limités en application.
Les immunisers se distinguent par deux types: les immunistres qui infectent l'infection et les immunistres qui ne permettent aucune infection par un virus. Le premier le plus souvent enregistré à la fin des fichiers et chaque fois que vous démarrez le fichier pour le vérifier sur le changement. Le deuxième type de vaccination protège le système des dommages causés à un virus d'une certaine espèce.
Programmes de filtrage
Les programmes de filtrage, également appelés wrappers et moniteurs résidents, sont toujours en RAM et intercepter les interruptions données afin de les vérifier sur des actions suspectes. Ils sont également capables de bloquer des actions "dangereuses" ou d'émettre une demande à l'utilisateur.
Les actions à contrôler peuvent être les suivantes: modification de l'enregistrement de démarrage principal (MBR) et chargement des enregistrements de disques logiques et de GMD, enregistrement à une adresse absolue, mise en forme de disque de bas niveau, laissant la bélier du module résident, etc., Outre les auditeurs, les filtres sont souvent "obsédants" et créent certains inconvénients dans l'utilisateur.
Tous les types de programmes antivirus sont principalement dirigés pour protéger l'ordinateur des virus empiétant.
Chaque personne, établissant un programme antivirus, s'efforce d'atteindre certains résultats. Pour une tâche importante, c'est empêcher les fuites d'informations. D'autres font attention à l'intégrité de l'information. Pour la troisième fois, le premier endroit est l'exploitation sans problème des systèmes d'information. Il y avait des cas lorsque les virus ont bloqué le travail des organisations et des entreprises. De plus, il y a quelques années, une affaire a été enregistrée lorsqu'un virus informatique a provoqué la mort d'une personne - dans l'un des hôpitaux du patient néerlandais, une dose fatale de morphine a été introduite pour la raison pour laquelle l'ordinateur a été infecté par le virus et émis informations incorrectes.