Типы антивирусов

Программно-аппаратная защита (встраивание антивирусов в BIOS) компьютера.

В системные платы встраиваются простейшие средства защиты от вирусов – специальные контроллера и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков, а также загрузочным секторам дисков. Если какая-то программа пытается изменить содержимое загрузочных секторов, срабатывает защита, и пользователь получает соответствующее сообщение. Однако эта защита не очень надежна. Известны вирусы, которые пытаются отключить антивирусный контроль, BIOS, изменяя некоторые ячейки в энергонезависимой памяти CMOS-памяти компьютера.

1. программы-детекторы;

2. программы-ревизоры;

3. программы-доктора или фаги;

4. программы-мониторы (ревизоры);

5. программы-вакцины или иммунизаторы.

1. Программы-детекторы (сканеры).

Принцип работы:выполняют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение.

Во многих сканерах используются также алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения («возможно, заражен» или «не заражен») для каждого проверяемого объекта.

Достоинства:универсальность.

Недостаток:

- могут находить только те вирусы, которые известны разработчикам,

- размеры антивирусных баз, которые сканерам приходится «таскать за собой»,

- относительно небольшая скорость поиска вирусов.

2. Программы-ревизоры (CRC-сканеры)

Относятся к самым надежным средствам защиты.

Принцип работы: основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т. д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

CRC-сканеры, использующие "антистелс"-алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере.

Недостатки:

-CRC-сканеры не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру,

- CRC-сканеры не могут детектировать вирус в новых файлах (в электронной почте, на дискетах, в файлах, при распаковке файлов из архива), поскольку в их базах данных отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту "слабость" CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для CRC-сканеров.

3. Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифагами являются программы Aidstest, Scan, Norton AntiViris, NOD32, Avast, Kaspersky, Doctor Web.