Задача защиты от ПЗ может рассматриваться в трех вариантах:
- не допустить внедрения ПЗ в компьютерную систему;
- выявить внедренную ПЗ;
- удалить внедренную ПЗ.
При рассмотрении этих вариантов решение задачи защиты от ПЗ сходно с решением проблемы защиты от компьютерных вирусов. Как и в случае вирусов (см. далее) задача решается с помощью средств контроля за целостностью запускаемых системных и прикладных программ, а также за целостностью информации, хранимой в компьютерной системе и за критическими для функционирования системы событиями.
Универсальным средством защиты от внедрения ПЗ является создание изолированного компьютера. Компьютер называется изолированным, если:
- в нем установлена BIOS (базовая система ввода-вывода), не содержащая ПЗ;
- ОС проверена на наличие в ней ПЗ;
- достоверно установлена неизменность BIOS и ОС для данного сеанса;
- на компьютере не запускалось и не запускается никаких иных программ, кроме уже прошедших проверку на присутствие в них закладок;
- исключен запуск проверенных программ вне изолированного компьютера.
Выявление внедренного кода ПЗ заключается в обнаружении признаков его присутствия в компьютерной системе. Эти признаки можно разделить на два класса:
- качественные и визуальные;
- обнаруживаемые средствами тестирования и диагностики.
К качественным и визуальным признакам отнесем ощущения и наблюдения пользователя, отмечающие отклонения в работе компьютерной системы (изменение длины и состава файлов, исчезновение файлов, изменение скорости работы прикладных программ и т.д.).
Признаки, выявляемые с помощью средств тестирования и диагностики, характерны как для ПЗ, так и для вирусов.
Конкретный способ удаления ПЗ зависит от метода ее внедрения в компьютерную систему. Если это программно-аппаратная закладка, то следует перепрограммировать ПЗУ компьютера. Если это загрузочная, драйверная, прикладная, замаскированная закладка или закладка-имитатор, то можно заменить их на соответствующую загрузочную запись, драйвер, прикладную или служебную программу, полученную из заслуживающего доверие источника.
Особую разновидность ПЗ составляют троянские программы. Троянской программой называтся:
- программа, которая являясь частью другой программы с известными пользователю функциями, способна тайно выполнять некоторые дополнительные действия с целью причинения ущерба компьютерной системе;
- программа с известными ее пользователю функциями, в которые внесены изменения с тем, чтобы помимо этих функций она могла выполнять некоторые другие действия.
Большинство программных средств, предназначенных для защиты от троянских программ, используют согласование объектов. При этом в качестве объектов фигурируют файлы и каталоги, а согласование представляет собой способ ответить на вопрос, изменились ли файлы и каталоги с момента их последней проверки. В ходе согласования характеристики объектов сравниваются с характеристиками, которыми они обладали раньше. В качестве характеристик такие атрибуты файлов, как время последней модификации и размер. Поскольку эти атрибуты могут быть подделаны троянской программой, то более надежной характеристикой является контрольная сумма файла, для вычисления которой используется специальный алгоритм, называемый односторонним хэшированием.
В семействе ОС Windows средства борьбы с троянцами традиционно являются частью их антивирусного обеспечения, например Norton AntiVirus.
Клавиатурные шпионы – это тоже разновидность ПЗ. Такие программные закладки нацелены на перехват паролей пользователей компьютерной системы, а также на определение их легальных полномочий и прав доступа к компьютерным ресурсам. Клавиатурные шпионы представляют реальную угрозу безопасности компьютерных систем. Чтобы отвести эту угрозу, требуется создавать целый комплекс административных мер и программно-аппаратных средств защиты.