Технологии защиты от вирусов

Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя ОС. Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами. Эвристический анализатор имеется, например, в антивирусной программе Doctor Web.

Метод использования резидентных сторожей основан на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ.

В случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т. п.) резидентный сторож выдает сообщение пользователю. Программа-сторож может загружать на выполнение другие антивирусные программы для проверки «подозрительных» программ, а также для контроля всех поступающих извне файлов (со сменных дисков, по сети).

Существенным недостатком данного метода является значительный процент ложных тревог, что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей.

Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма.

При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением «стеле" — вирусов.

2.2 Методы удаления последствий заражения вирусами В процессе удаления последствий заражения вирусами осуществляется удаление вирусов, а также восстановление файлов и областей памяти, в которых находился вирус. Существует два метода удаления последствий воздействия вирусов антивирусными программами.

Первый метод предполагает восстановление системы после воздействия известных вирусов. Разработчик программы-фага, удаляющей вирус, должен знать структуру вируса и его характеристики размещения в среде обитания.

Второй метод позволяет восстанавливать файлы и загрузочные сектора, зараженные неизвестными вирусами. Для восстановления файлов программа восстановления должна заблаговременно создать и хранить информацию о файлах, полученную в условиях отсутствия вирусов. Имея информацию о незараженном файле и используя сведения об общих принципах работы вирусов, осуществляется восстановление файлов. Если вирус подверг файл необратимым изменениям, то восстановление возможно только с использованием резервной копии или с дистрибутива. При их отсутствии существует только один выход — уничтожить файл и восстановить его вручную.

Если антивирусная программа не может восстановить главную загрузочную запись или загрузочные сектора, то можно попытаться это сделать вручную. В случае неудачи следует отформатировать диск и установить ОС.

Существуют вирусы, которые, попадая в компьютер, становятся частью его ОС. Если просто удалить такой вирус, то система становится неработоспособной.

Одним из таких вирусов является вирус One Half. При загрузке вирус постепенно зашифровывает жесткий диск. При обращении к уже зашифрованным секторам резидентный вирус OneHalf перехватывает обращения и расшифровывает информацию.

Удаление вируса приведет к невозможности использовать зашифрованную часть диска. При удалении такого вируса необходимо сначала расшифровать информацию на диске. Для этого необходимо знать механизм действия вируса.

3 СОВРЕМЕННЫЕ ТЕХНОЛОГИИ АНТИВИРУСНОЙ ЗАЩИТЫ Целесообразно рассматривать все современные технологии сквозь призму 2 структурных угроз:

— защиты приложений

— защите от вторжения вирусов по сети.

Рассмотрим защиту на уровне приложений. Она складывается из защиты при помощи антивирусных систем, технологии предотвращения вирусных атак, технология контроля деятельности приложений.

Антивирусные программные системы — наиболее распространенные средства защиты настольных компьютерных систем, которые используются в начальной фазе жизненного цикла атаки. Традиционные антивирусные продукты эффективны в обнаружении и предотвращении известных вирусов, червей и некоторых троянских программ.

Продуктивность этой технологии напрямую зависит от даты использования обновлений антивируса. Оно должно быть не более суток с момента обнаружения новой угрозы.

Технология предотвращения вирусных атак (Virus Prevention System, VPS), определяет стратегии поведения с неизвестными вирусами. Это технология следующего поколения, которая дополняет обычные антивирусные механизмы и анализирует поведение программ до их выполнения в информационной системе на предмет обнаружения и блокирования враждебных действий.

Следующий этап защиты это технология контроля деятельности приложений, которая блокирует вирусное заражения во время антивирусных атак. Рассмотрим защитные технологии, которые могут дополнить и противостоять новым вирусным атакам.

Повсеместное использование межсетевых экранов и антивирусных средств является необходимой, но сегодня — явно не достаточной мерой защиты. Эти две хорошо зарекомендовавшие себя технологии имеют как достоинства, так и недостатки. А в связи со стремительным развитием угроз информационной безопасности средства защиты, использующие эти технологии разрозненно, сами зачастую становятся объектом атаки.

Поэтому на сетевом уровне защиту рабочих станций и мобильных компьютеров, которая может быть осуществлена, персональным межсетевым экраном, необходимо дополнить системой предотвращения атак и системой защиты памяти или системой предотвращения атак типа «переполнения буфера» .

Персональный межсетевой экран — наиболее распространенная и понятная форма защиты настольных компьютерных систем для подавляющего числа пользователей, работающих в операционной системе Windows. Эта технология имеет ряд недостатков, связанных с невозможностью адаптации к новым угрозам, а так же существенно «тормозит» все ресурсы системы, включая оперативную память, ресурсы центрального процессора. Как определенное достоинство этой технологии — это всесторонний анализ угрозы и сетевого трафика, прошедшего через правила фильтрации межсетевого экрана, для извещения пользователя о попытке атаки на информационную систему. Необходимо заметить что правила работы сетевого экрана могут настраиваться и изменяться достаточно опытным пользователем.

Появившись совсем недавно, технология IDS достаточно быстро переросла в технологию защиты следующего поколения — предотвращение атак. По своему смыслу технология IPS является результатом объединения функциональных возможностей IDS и систем межсетевого экранирования. Механизм обнаружения атак, как правило, основан на сигнатурных методах анализа пакетов и методах анализа протоколов.

Сигнатурные эвристические технологии (анализа реального трафика с возможным сценарием угрозы) эффективны для обнаружения уже известных атак и практически беззащитны перед неизвестными атаками.

В свою очередь, методы анализа протоколов обладают потенциалом для обнаружения неизвестных атак и сетевых червей, но имеют недостаток — большое потребление ресурсов при обнаружении атак в реальном времени. Анализ протоколов включает в себя использование целого ряда методик: поведенческого анализа, сравнения структуры и содержания пакетов на соответствие и т. д. Предотвращение, в данном случае, возможно только для известных и неизвестных атак, направленных на уже известные уязвимости. Поэтому необходим еще один уровень защиты, предотвращающий атаки на неизвестные уязвимости.

Система защиты от «переполнения буфера» — новая технология обеспечения безопасности настольных компьютерных систем. Она предотвращает исполнение вредоносного кода, использующего атаки типа «переполнения буфера» .

Основа этих атак — принцип функционирования операционных систем, где программа получает привилегии и права запустившего ее пользователя или процесса. Атака заключается в том, что в каком-либо месте программы происходит копирование данных из одного участка памяти в другой без проверки того, достаточно ли для них места там, куда их копируют. Область памяти, куда копируются данные, принято называть буфером. Таким образом, если данных слишком много, то часть их попадает за границы буфера — происходит «переполнение буфера» .

Если злоумышленнику удается организовать переполнение буфера, он может удаленно выполнять команды на машине-жертве с правами атакованного приложения — того приложения, в котором обычный пользователь сети получает частичный или полный контроль над этим хостом, например, запуск командной оболочки с правами администратора. «Бессигнатурная» технология BOEP позволяет защититься от подавляющего числа уже известных атак и делает невозможными дальнейшие попытки использовать такого рода уязвимости, т. е. защищает от неизвестных атак.

Технология BOEP стоит является, которая последняя может предотвратить сетевую атаку. Персональный межсетевой экран предотвращает известные и неизвестные атаки против сетевых сервисов и служб, не задействованных пользователем. Система IPS блокирует известные и неизвестные атаки, которые используют уже известные уязвимости.

Безруков Н. Н. Компьютерная вирусология: Справ, руководство. — М.: УРЕ, 1991.-416 с.

Борисов В. И. Забулонов М.Ю., Организация системы антивирусной защиты банковских информационных систем / В. И. Борисов М.Ю. Забулонов// CIT Forum- «К». — (

http://www.citforum.ru/security/virus/bank/).

Доля А. Вирусы — угроза безопасности. / А. Доля // CIT Forum- «К». — (

http://www.citforum.ru/security/virus/kasperskiy/).

Доля А. Проактивные технологии для борьбы с вирусами. / А. Доля // CIT Forum- «К». — (

http://www.citforum.ru/security/virus/proactive_tech/).

Касперский Е. Компьютерные вирусы в MS-DOS. — М: Эдэль, 1992. — 176 с.

Фролов А.В., Фролов Г. В. Осторожно: компьютерные вирусы. -М.:ДИАЛОГ-МИФИ, 1996. — 256 с

Доля А. Вирусы — угроза безопасности. / А. Доля// CIT Forum- «К». — (

http://www.citforum.ru/security/virus/kasperskiy/).

Безруков Н. Н. Компьютерная вирусология: Справ, руководство. — М.: УРЕ, 1991.-416 с.

Касперский Е. Компьютерные вирусы в MS-DOS. — М: Эдэль, 1992. — 176 с.

http://www.citforum.ru/security/virus/

Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие. — М.: Логос; ПБОЮЛ Н. А. Егоров, 2001. -264 с.

Завгородний В. И. Комплексная защита информации в компьютерных системах: Учебное пособие. — М.: Логос; ПБОЮЛ Н. А. Егоров, 2001. -264 с

Фролов А.В., Фролов Г. В. Осторожно: компьютерные вирусы. -М.:ДИАЛОГ-МИФИ, 1996. — 256 с.