Методи виявлення комп’ютерних вірусів та боротьба з ними
З основними поняттями і класифікацією вірусних загроз ясність більш або менш внесена. Нарешті, перейдемо до визначення можливих засобів боротьби з комп’ютерними вірусами всіх представлених вище типів. Сучасні розробники антивірусного програмного забезпечення використовують кілька основних принципів, що дозволяють вчасно виявити загрозу, нейтралізувати її вилікувати заражений об’єкт) або безболісно видалити з системи, якщо лікування виявляється неможливим. Серед усього різноманіття методів боротьби з вірусами особливо можна виділити наступні:
- сканування (сигнатурний аналіз);
- евристичний (поведінковий) аналіз;
- метод резидентного моніторингу і відстеження змін програм;
- вакцинація додатків;
- використання програмно-апаратних засобів.
Сканування шляхом порівняння сигнатур є найпримітивнішим і досить неефективним методом, оскільки в процесі перевірки системи проводиться порівняння тільки з уже відомими сигнатурами, що зберігаються у великих базах даних. Як вже зрозуміло, виявити нові загрози, яких у таких базах немає, буде вкрай важко.
Для боротьби з вірусами в такій ситуації застосовуються більш просунуті методи. Евристичний аналіз отримав широке поширення відносно недавно. Цей принцип заснований на тому, що захисне ПО перевіряє роботу всіх програм, виявляючи можливі відхилення та наявність ознак створення копій, приміщення резидентних команд в оперативну пам’ять, створення записів в завантажувальних секторах і т. д. Іншими словами, перевіряється можлива приналежність якогось неправильно працює аплету до погроз саме на основі їх нестандартного поведінки. Така методика здебільшого виявляється максимально ефективною при виявленні нових невідомих вірусів.
В якості одного з найбільш потужних засобів боротьби з вірусами досить часто застосовуються спеціальні резидентні монітори, які відстежують підозрілі дії додатків, як це було показано в описі евристичного аналізу. Але такі методи мають вузьку спрямованість.
Під вакцинацією програм розуміють перевірку цілісності додатків на основі порівняння контрольних сум файлів. При виявленні розбіжностей може видаватися попередження або запускатися якась лікуюча утиліта. Але ось стелс-погрози такими методами виявити неможливо.
Нарешті, найбільш ефективними засобами боротьби з вірусами вважаються спеціальні програмно-апаратні модулі, що встановлюються в роз’ємах із загальним доступом до шини і дозволяють контролювати абсолютно всі що протікають в системі процеси. Вони являють собою спеціальні контролери, які відстежують будь-які зміни. Їх програмна частина запам’ятовується в спеціальних областях жорсткого диска. Саме тому внести зміни в завантажувальні запису і сектори, файли конфігурації або виконувані аплети вірус вже не зможе.
