Классификация методов защиты от вредоносного ПО.

Основные методы защиты от компьютерных вирусов.

На сегодняшний день основными предпосылками активности вирусного да и другого вредоносного программного обеспечения являются, в первую очередь, отсутствие встроенных средств контроля в операционных системах семейства WINDOWS, непродуманность самой идеологии безопасности этих операционных систем (хотя, в последнее время разработчик старается повысить защищенность системы путем «навешивания» дополнительных программных средств); во-вторых, наличие огромного количества ошибок в новых версиях операционных систем; и в-третьих, сложность и громоздкость коммерческого антивирусного ПО. При этом, немалую роль играет неподготовленность пользователей информационных систем в вопросах информационной безопасности.

Для защиты от вирусов, троянов и шпионского программного обеспечения, в первую очередь, конечно необходимо использовать пакеты антивирусных программ [17]. На сегодняшний день это самый распространенный и универсальный вариант антивирусной защиты персональной ЭВМ и узлов компьютерной сети – серверов и рабочих станций. Антивирусные программы позволяют обнаружить, блокировать и уничтожить основную массу вредоносного ПО. Современные антивирусы существуют как в персональном, так и в корпоративном вариантах, с возможностью удаленного администрирования.

На сегодняшний день наиболее популярными являются следующие типы программ, входящих в пакет антивирусного ПО:

- сканер – программа, проверяющая носители информации, подключенные к ЭВМ (жеские диски, компакт-диски, и т. п.) на наличие тел компьютерных вирусов, содержащихся в файлах и системных секторах;

- монитор – резидентный модуль, находящийся постоянно в оперативной памяти, либо автоматически подгружаемый в определенные периоды работы компьютера, и отслеживающий все файловые операции в системе. Позволяет обнаружить и удалить вирус до момента реального заражения системы в целом. Резидентный модуль может быть реализован как в функционально интегрированном исполнении, так и в виде подмодулей, выполняющих отдельные функции;

- инспектор (ревизор) – ранее – отдельная программа, в настоящее время – функционально вошедшая в некоторые реализации антивирусных сканеров. Она позволяет контролировать состояние файловой системы ЭВМ, производить поиск измененных и новых файлов, сравнивая состояние файлов и каталогов с исходным, отраженным в собственной базе данных.

 

Сегодня используется несколько основных методик программного обнаружения и защиты от компьютерных вирусов:

- сканирование;

- эвристический анализ;

- использование антивирусных мониторов;

- обнаружение изменений;

- поведенческие блокираторы;

- использование антивирусов, встроенных в BIOS компьютера.

Кроме того, практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов (конечно, если это возможно).

 

Сканирование.

Самая простая методика поиска вирусов заключается в том, что антивирусный сканер последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. (Под сигнатурой понимается уникальная последовательность байтов, принадлежащая телу вируса и не встречающаяся в других программах).

Антивирусные сканеры способны найти только уже известные вирусы, для которых определена сигнатура. Сигнатура должна быть помещена в базу данных каждого проинсталлированного антивирусного пакета. При отсутствии сигнатуры какого-либо вируса в антивирусной базе, сканер данный вирус не обнаружит, даже при наличии вторичных признаков заражения системы. Поэтому, применение одних программ-сканеров не защищает компьютер от проникновения новых вирусов.

Для полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, также сложно выделить сигнатуру, поэтому антивирусные сканеры их обнаруживают не всегда.

Не менее сложно обнаружить в системе стелс – вирусы, т.к. они маскируют свое тело на диске с помощью различных «уловок» (Stealth – уловка, англ.), доступных в операционной системе.

 

Эвристический анализ.

Считается, что эвристический анализ позволяет обнаруживать неизвестные ранее вирусы при отсутствии сигнатур в базе данных антивирусного ПО.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные сектора дисков и внешних накопителей, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы. Практически все современные антивирусные программы реализуют собственные методы эвристического анализа.

 

Антивирусные мониторы.

Существует целый класс антивирусных программ-мониторов, которые постоянно находятся в памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами, особенно если эти действия касаются работы с файлами.

Монитор автоматически проверяет все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет или скопированные на жесткий диск с дискеты либо компакт диска. Антивирусный монитор сообщит пользователю, если какая-либо программа попытается выполнить потенциально опасное действие.

Пример такой программы – сторож Spider Guard, который входит в комплект сканера Doctor Web, разработанного Игорем Даниловым (http://www.drweb.ru/), и выполняет функции антивирусного монитора.

 

Обнаружение изменений.

Антивирусные программы, называемые ревизорами (инспекторами) диска, не выполняют поиск вирусов по сигнатурам. Они предварительно запоминают характеристики файловых систем логических дисков (наличие, размер, контрольная сумма и место расположения файлов, и т.д.), а затем проверяют их при следующих запусках. Ревизор может обнаружить изменения, сделанные как известным, так и неизвестным вирусом. Результаты «инспекции» заносятся в специальный файл отчета, и доступны для визуальной оценки, после проверки, статистика изменений заносится в базу данных программы. При наличии интеграции с антивирусным сканером, список изменений передается ему в качестве задания для сканирования. В этом случае время сканирования значительно сокращается.

Из характера работы программы-ревизора можно сделать вывод, что её инсталляцию и первый запуск необходимо проводить на «чистой» ЭВМ.

В качестве примеров ревизоров диска можно привести программу Advanced Diskinfoscope (ADinf), разработанную в ЗАО "ДиалогНаука" (http://www.dials.ru/, http://www.adinf.ru/), и ревизор AVP Inspector производства ЗАО "Лаборатория Касперского" (http://www.kaspersky.ru/).

К сожалению, и у ревизоров есть свои недостатки. Во-первых, сегодня известны сетевые черви (н-р slammer) которые обитают исключительно в памяти ЭВМ, внедряясь в запущенные программы и сервисы, и никаких изменений на дисках не делают. Во-вторых, ревизоры неспособны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус обосновался на компьютере. И в-третьих, они не могут обнаружить однозначное наличие вируса в новых файлах, появившихся на компьютере, поскольку в их базах данных отсутствует необходимая информация, что обязывает проверять все новые файлы антивирусным сканером.

 

Поведенческие блокираторы.

Технология поведенческого анализа на сегодняшний день является наиболее перспективной. Она позволяет обнаруживать и новые версии вредоносного ПО, и те, сигнатуры которых есть в антивирусной базе. Поведенческий блокиратор – это резидентная программа, следящая за всеми действиями запущенных приложений и проверяющая их на допустимость.

Узкое звено этой технологии – определение вредоносности действий. Если бы все операции можно было четко разделить на две группы – свойственные вирусам и свойственные всем остальным программам, то проблем с вирусами больше никогда бы не было. На практике даже операционная система в процессе работы осуществляет вирусоподобные действия, вызывающие реакцию поведенческого блокиратора.

Чтобы решить эту проблему, существует несколько путей. Самый простой: обеспечить постоянный контроль над программой со стороны пользователя. При обнаружении подозрительных действий блокиратор выдает диалоговое окно, содержащее данные о программе-нарушителе и ее «желаниях», и запрашивает разрешение у пользователя. Этот способ не прошел испытания временем, так как человеку приходится постоянно реагировать на системные события.

Второй способ был реализован, в частности, «Лабораторией Касперского» в модуле Office Guard – специализированном модуле, предназначенном для работы в приложениях Microsoft Office. Его отличительная особенность состоит в том, что блокиратор реагирует лишь на события, возникающие в результате выполнения макрокоманд MSOffice, число которых неизмеримо меньше, чем общее число событий системы и приложений. Более того, все действия, которые может совершить макропрограмма, строго ограничены и зависят лишь от языка Visual Basic for Application. Таким образом, среди них легко вычленить опасные и предотвратить их. В этом случае, когда множество всех операций конечно и исследуемо, модуль Office Guard дает 100%-ную гарантию безопасности (защиты от макровирусов).

В VBA существует ограниченный набор команд, которые макровирусы могут использовать для своих нужд. Наиболее употребительные из них - отключение запроса на сохранение шаблона Normal.dot (команда Application.Options.SaveNormalPrompt = False), отключение защиты от вирусов (Application.Options.VirusProtection = False), попытка вставить свой код в другой макрос (функция WordBasic.MacroCopy) и другие. Как только макровирус попытается выполнить хотя бы одно из этих действий, поведенческий блокиратор в зависимости от настроек либо полностью блокирует вредоносную операцию, либо приостановит ее выполнение и запросит разрешение у пользователя.

Следует обратить внимание, что из-за коммерциализации антивирусного ПО, поведенческий блокиратор, как правило, только предотвращает опасные действия вирусов, но не идентифицирует вредителя и тем более не лечит зараженные объекты. Таким образом, использование только поведенческого блокиратора вряд ли позволит создать полноценную антивирусную защиту. Это важное дополнение к антивирусной системе, включающей сканер, монитор и ревизор, которое поможет затруднить проникновение в ЭВМ неизвестных вирусов и не допустит их дальнейшего распространения в уже пораженной системе.