Основы построения и технологии локальных компьютерных сетей


Лекция №7. Защита от вредоносного ПО



Pdf көрінісі
бет11/24
Дата07.01.2022
өлшемі0,74 Mb.
#19409
түріКонспект
1   ...   7   8   9   10   11   12   13   14   ...   24
Байланысты:
kt 2

Лекция №7. Защита от вредоносного ПО 

 

Цель  лекций:  ознакомить  студентов  с  принципами  работы  и 

функциональностью  антивирусного  программного  обеспечения,  видами 

сканеров безопасности. 

 

Антивирусное программное обеспечение. 



Невозможность  существования  абсолютного  антивируса  была доказана 

Фредом Коэном математически на основе теории конечных автоматов. 

В антивирусном ПО используются следующие термины: 



 

 

 



 

26 


«Ложное  срабатывание»  (False  positive)  —  детектирование  вируса  в 

незараженном  объекте.  Обратный  термин  —  «False  negative»,  т.е. 

недетектирование вируса в зараженном объекте. 

«Сканирование по запросу» («on-demand») — поиск вирусов по запросу 

пользователя. 

«Сканирование  на-лету»  («real-time»,  «on-the-fly»)  —  постоянная 

проверка  на  вирусы  объектов,  к  которым  происходит  обращение  (запуск, 

открытие,  создание  и  т.п.).  В  этом  режиме  антивирус  постоянно  активен,  он 

присутствует  в  памяти  «резидентно»  и  проверяет  объекты  без  запроса 

пользователя. 

Качество  антивирусной  программы  можно  определить  по  следующим 

позициям: 

- надежность и удобство работы  — отсутствие «зависаний» антивируса 

и  прочих  технических  проблем,  требующих  от  пользователя  специальной 

подготовки; 

-  качество  обнаружения  вирусов  всех  распространенных  типов, 

сканирование  внутри  файлов-документов/таблиц  (Word,  Excel),  упакованных 

и архивированных файлов; 

- отсутствие «ложных срабатываний»; 

 - многоплатформенность антивирусного программного обеспечения; 

- возможность лечения зараженных объектов; 

- периодичность обновления; 

-  существование  серверных  версий  с  возможностью  проверки  сетевых 

дисков; 


- скорость работы и другие полезные функции; 

Антивирусное ПО может использовать следующие методы обнаружения 

вирусов и других вредоносных программ: 

- сканирование; 

- эвристический анализ (блокирование подозрительных действий); 

- CRC-сканирование (обнаружение изменений); 

анализ сетевого трафика

- анализ баз данных почтовых программ; 

- обнаружение вирусов в системе автоматизации документооборота. 

Принцип  работы  антивирусных сканеров основан  на  проверке  файлов, 

секторов и системной памяти и поиске в них известных и новых (неизвестных 

сканеру)  вирусов.  Для  поиска  известных  вирусов  используются  так 

называемые  «маски».  Маской  вируса  является  некоторая  постоянная 

последовательность  кода,  специфичная  для  этого  конкретного  вируса.  Если 

вирус  не  содержит  постоянной  маски,  или  длина  этой  маски  недостаточно 

велика,  то  используются  другие  методы.  Примером  такого  метода  являетcя 

алгоритмический язык, описывающий все возможные варианты кода, которые 

могут  встретиться  при  заражении  подобного  типа  вирусом.  Такой  подход 

используется  некоторыми  антивирусами  для  детектирования  полиморфик-

вирусов. 

Во  многих  сканерах  используются  также алгоритмы  «эвристического 

сканирования»,  т.е.  анализ  последовательности  команд  в  проверяемом 




 

 

 



 

27 


объекте,  набор  некоторой  статистики  и  принятие  решения  («возможно 

заражен»  или  «не  заражен»)  для  каждого  проверяемого  объекта.  Поскольку 

эвристическое  сканирование  является  во  многом  вероятностным  методом 

поиска  вирусов,  то  на  него  распространяются  многие  законы  теории 

вероятностей.  Эвристический  анализ  не  дает  полной  гарантии  обнаружения 

любых новых вирусов. Кроме того, эвристический анализатор может принять 

«безобидную»  программу  за  вредоносную.  Это  происходит  в  тех  случаях, 

когда  программа  выполняет  какие-либо  действия,  характерные  для  вирусов 

или  вредоносных  программ  другого  типа.  Эвристический  анализ  отнимает 

немало  процессорного  времени.  Поэтому,  настраивая  антивирусную 

программу,  пользователь  может  отключить  эвристический  анализатор. 

Учитывая,  что  без  эвристического  анализатора  антивирусная  программа  не 

сможет  обнаружить  полиморфные  и  шифрующиеся,  а  также  новые  вирусы, 

такое отключение приведет к снижению надежности антивирусной защиты. 

Наиболее  эффективной  методикой  обнаружения  и  нейтрализации 

вредоносных программ, распространяющихся по каналам электронной почты, 

является анализ  трафика  электронной  почты непосредственно  на  почтовом 

сервере. При этом антивирусные программы проверяют данные, проходящие 

через почтовый сервер, и удаляют из них вредоносные объекты еще до того, 

как  они  попадут  на  компьютер  пользователя.  Антивирусы,  работающие  на 

почтовом  сервере,  сканируют  трафик  электронной  почты,  исключая 

распространение  вредоносных  программ  вместе  с  почтовыми  сообщениями. 

Для передачи сообщений электронной почты используются протоколы SMTP, 

POP3  и  IMAP.  Специализированные  антивирусы,  работающие  на  почтовых 

серверах,  способны  анализировать  потоки  данных,  передаваемые  с 

использованием 

этих 

протоколов, 



предотвращая 

распространение 

вредоносных программных объектов через электронную почту. 

Сканеры также можно разделить на две категории  — «универсальные» 

и  «специализированные».  Универсальные  сканеры  рассчитаны  на  поиск  и 

обезвреживание  всех  типов  вирусов  вне  зависимости  от  операционной 

системы, на работу в которой рассчитан сканер. Специализированные сканеры 

предназначены для обезвреживания ограниченного числа вирусов или только 

одного  их  класса,  например  макро-вирусов.  Специализированные  сканеры, 

рассчитанные только на макро-вирусы, часто оказываются наиболее удобным 

и  надежным  решением  для  защиты  систем  документооборота  в  средах  MS 

Word и MS Excel. 

Сканеры  также  делятся  на  «резидентные»  (мониторы),  производящие 

сканирование  «на-лету»,  и  «нерезидентные»,  обеспечивающие  проверку 

системы  только  по  запросу.  Как  правило,  «резидентные»  сканеры 

обеспечивают  более  надежную  защиту  системы,  поскольку  они  немедленно 

реагируют  на  появление  вируса,  в  то  время  как  «нерезидентный»  сканер 

способен опознать вирус только во время своего очередного запуска. 

К  достоинствам  сканеров  всех  типов  относится  их  универсальность,  к 

недостаткам  —  размеры  антивирусных  баз,  которые  сканерам  приходится 

«таскать за собой», и относительно небольшую скорость поиска вирусов. 



 

 

 



 

28 


Принцип  работы  CRC-сканеров основан  на  подсчете  CRC-сумм 

(контрольных  сумм)  для  присутствующих  на  диске  файлов/системных 

секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, 

впрочем, и некоторая другая информация: длины файлов, даты их последней 

модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, 

содержащиеся  в  базе  данных,  с  реально  подсчитанными  значениями.  Если 

информация  о  файле,  записанная  в  базе  данных,  не  совпадает  с  реальными 

значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или 

заражен вирусом. 

CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно 

сильным  оружием  против  вирусов:  практически  100%  вирусов  оказываются 

обнаруженными  почти  сразу  после  их  появления  на  компьютере.  Однако  у 

этого  типа  антивирусов  есть  врожденный  недостаток,  который  заметно 

снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры 

не способны поймать вирус в момент его появления в системе, а делают это 

лишь  через  некоторое  время,  уже  после  того,  как  вирус  разошелся  по 

компьютеру.  CRC-сканеры  не  могут  определить  вирус  в  новых  файлах  (в 

электронной  почте,  в  файлах,  восстанавливаемых  из  backup  или  при 

распаковке  файлов  из  архива),  поскольку  в  их  базах  данных  отсутствует 

информация  об  этих  файлах.  Более  того,  периодически  появляются  вирусы, 

которые  используют  эту  «слабость»  CRC-сканеров,  заражают  только  вновь 

создаваемые файлы и остаются, таким образом, невидимыми для них. 

Антивирусные  блокировщики  —  это  резидентные  программы, 

перехватывающие  «вирусоопасные»  ситуации  и  сообщающие  об  этом 

пользователю.  

К 

достоинствам 



блокировщиков 

относится 

их 

способность 



обнаруживать  и  останавливать  вирус  на  самой  ранней  стадии  его 

размножения.  К недостаткам относятся  существование  путей  обхода  защиты 

блокировщиков,  большое  количество  срабатываний,  требующих  от 

пользователя принятия решения. 

 



Достарыңызбен бөлісу:
1   ...   7   8   9   10   11   12   13   14   ...   24




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет