Резервная копия образа системы

Windows 8 включает отдельные инструменты для создания резервных копий системы и восстановления ОС. Опция обновления позволяет выполнять переустановку системы, не затрагивая большинство пользовательских файлов. Сброс системы восстанавливает абсолютно чистую ОС с заводскими настройками.

Шифрование. За это отвечает BitLocker. Все данные на внешнем накопителе или переносном винчестере USB зашифровываются и при попытке открыть их требуется ввести придуманный ключ. Если добавляются новые файлы, они автоматически зашифровываются, при копировании файлов владельцем на другой носитель информации файлы автоматически расшифровываются.

Установка на накопитель. Нововведение в Windows 8 в виде функции Windows To Go, которая позволяет записать образ системы на флешку и получать доступ к привычному рабочему окружению практически на любом имеющемся под рукой компьютере. С точки зрения безопасности эта встроенная функция позволила штатными средствами создавать LiveUSB.

Виртуализация. Ещё одна новая встроенная функция Windows 8. Новая функциональность задействована в 64-разрядных сборках операционной системы и может быть активирована только при наличии в компьютере процессора с поддержкой аппаратной виртуализации и механизма трансляции адресов второго уровня SLAT (Second Level Address Translation). Для включения VM-инструментария нужно в окне настройки компонентов Windows отметить флажком пункт Hyper-V и произвести установку дополнительного программного модуля. Тем самым, получаем полноценное средство для создания и управления виртуальными машинами. В качестве гостевых систем могут быть использованы не только клиентские и серверные продукты Microsoft, но и решения на базе Linux, развертывание которых может производиться без дополнительной правки пользователем конфигурационных файлов и параметров. В частности, встроенные средства виртуализации Windows 8 поддерживают Ubuntu. Это может оказаться хорошим подспорьем для любителей интернет-сёрфинга, т.к. большинство вредоносных программ являются Windows-ориентированными.

4.2 Идентификация и аутентификация

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности. Идентификация и аутентификация - это первая линия обороны, «проходная» информационного пространства организации.

Идентификация позволяет субъекту - пользователю или процессу, действующему от имени определенного пользователя, назвать себя, сообщив свое имя. Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого себя выдает. В качестве синонима слова «аутентификация» иногда используют сочетание «проверка подлинности». Субъект может подтвердить свою подлинность, если предъявит по крайней мере одну из следующих сущностей:

· нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.;

· нечто, чем он владеет: личную карточку или иное устройство аналогичного назначения;

· нечто, что является частью его самого: голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики;

· нечто, ассоциированное с ним, например координаты.

Главное достоинство парольной аутентификации - простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее по совокупности характеристик их следует признать самым слабым средством проверки подлинности. Надежность паролей основывается на способности помнить их и хранить в тайне. Ввод пароля можно подсмотреть. Пароль можно угадать методом грубой силы, используя, быть может, словарь. Если файл паролей зашифрован, но доступен на чтение, его можно перекачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор.

Пароли уязвимы по отношению к электронному перехвату - это наиболее принципиальный недостаток, который нельзя компенсировать улучшением администрирования или обучением пользователей. Практически единственный выход - использование криптографии для шифрования паролей перед передачей по линиям связи.

Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты:

· наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);

· управление сроком действия паролей, их периодическая смена;

· ограничение доступа к файлу паролей;

· ограничение числа неудачных попыток входа в систему, что затруднит применение метода грубой силы;

· обучение и воспитание пользователей;

· использование программных генераторов паролей, которые, основываясь на несложных правилах, могут порождать только благозвучные и, следовательно, запоминающиеся пароли.

Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации, основанные, например, на применении токенов.

Токен - это предмет или устройство, владение которым подтверждает подлинность пользователя. Различают токены с памятью (пассивные, которые только хранят, но не обрабатывают информацию) и интеллектуальные токены (активные).

Самой распространенной разновидностью токенов с памятью являются карточки с магнитной полосой. Для использования подобных токенов необходимо устройство чтения, снабженное также клавиатурой и процессором. Обычно пользователь набирает на этой клавиатуре свой личный идентификационный номер, после чего процессор проверяет его совпадение с тем, что записано на карточке, а также подлинность самой карточки. Таким образом, здесь фактически применяется комбинация двух способов защиты, что существенно затрудняет действия злоумышленника.

Необходима обработка аутентификационной информации самим устройством чтения, без передачи в компьютер - это исключает возможность электронного перехвата.

Иногда (обычно для физического контроля доступа) карточки применяют сами по себе, без запроса личного идентификационного номера.

Как известно, одним из самых мощных средств в руках злоумышленника является изменение программы аутентификации, при котором пароли не только проверяются, но и запоминаются для последующего несанкционированного использования.

Интеллектуальные токены характеризуются наличием собственной вычислительной мощности. Они подразделяются на интеллектуальные карты, стандартизованные ISO и прочие токены. Карты нуждаются в интерфейсном устройстве, прочие токены обычно обладают ручным интерфейсом (дисплеем и клавиатурой) и по внешнему виду напоминают калькуляторы. Чтобы токен начал работать, пользователь должен ввести свой личный идентификационный номер. По принципу действия интеллектуальные токены можно разделить на следующие категории:

Статический обмен паролями: пользователь обычным образом доказывает токену свою подлинность, затем токен проверяется компьютерной системой;

Динамическая генерация паролей: токен генерирует пароли, периодически изменяя их. Компьютерная система должна иметь синхронизированный генератор паролей. Информация от токена поступает по электронному интерфейсу или набирается пользователем на клавиатуре терминала;

Запросно-ответные системы: компьютер выдает случайное число, которое преобразуется криптографическим механизмом, встроенным в токен, после чего результат возвращается в компьютер для проверки. Здесь также возможно использование электронного или ручного интерфейса. В последнем случае пользователь читает запрос с экрана терминала, набирает его на клавиатуре токена (возможно, в это время вводится и личный номер), а на дисплее токена видит ответ и переносит его на клавиатуру терминала.

4.3 Управление доступом

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты - пользователи и процессы могут выполнять над объектами - информацией и другими компьютерными ресурсами. Речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность путем запрещения обслуживания неавторизованных пользователей. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект, объект) определить множество допустимых операций, зависящее от некоторых дополнительных условий, и контролировать выполнение установленного порядка. Простой пример реализации таких прав доступа - какой-то пользователь (субъект) вошедший в информационную систему получил право доступа на чтение информации с какого-то диска (объект), право доступа на модификацию данных в каком-то каталоге (объект) и отсутствие всяких прав доступа к остальным ресурсам информационной системы.

Контроль прав доступа производится разными компонентами программной среды - ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением (таким как монитор транзакций) и т.д.

4.4 Протоколирование и аудит

Под протоколированием понимается сбор и накопление информации о событиях, происходящих в информационной системе. Например - кто и когда пытался входить в систему, чем завершилась эта попытка, кто и какими информационными ресурсами пользовался, какие и кем модифицировались информационные ресурсы и много других.

Аудит - это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.

Реализация протоколирования и аудита преследует следующие главные цели:

· обеспечение подотчетности пользователей и администраторов;

· обеспечение возможности реконструкции последовательности событий;

· обнаружение попыток нарушений информационной безопасности;

· предоставление информации для выявления и анализа проблем.

4.5 Антивирусная защита

Основной и по совместительству обязательный элемент в антивирусной защите - это, безусловно, антивирусная программа. Без нее нельзя говорить об эффективной антивирусной безопасности, если речь идет о компьютере, способном обмениваться информацией c другими внешними источниками. Даже соблюдение пользователем всех правил компьютерной гигиены не гарантирует отсутствие вредоносных программ, если при этом не используется антивирус.

Антивирусное программное обеспечение - это достаточно сложный программный комплекс, для его создания требуются усилия команды высококвалифицированных вирусных аналитиков, экспертов и программистов с многолетним опытом и весьма специфическими знаниями и умениями. Основная технология антивирусной проверки - сигнатурный анализ подразумевает непрерывную работу по мониторингу вирусных инцидентов и регулярный выпуск обновлений антивирусных баз. Ввиду этих и других причин, антивирусные программы не встраиваются в операционные системы. Встроенным может быть только простейший фильтр, не обеспечивающий полноценной антивирусной проверки.

Меры защиты:

· Профилактика, к профилактическим средствам относятся:

o перекрытие путей проникновения вредоносных программ в компьютер;

o исключение возможности заражения и порчи вредоносными программами, проникшими в компьютер, других файлов.

· Диагностика:

o диагностические средства позволяют обнаруживать вредоносные программы в компьютере и распознавать их тип.

· Лечение:

o лечение состоит в удалении вредоносных программ из зараженных программных средств и восстановлении пораженных файлов.

Защитный комплекс основывается на применении антивирусных программ и проведении организационных мероприятий.

4.5.1 Организационные мероприятия

Вредоносные программы попадают в компьютер только вместе с программным обеспечением. Поэтому самым важным в защите от вредоносных программ является использование незараженных программ, так как главным источником вредоносных программ являются незаконные, так называемые «пиратские» копии программного обеспечения.

4.5.2 Методы антивирусной защиты

Программные средства антивирусной защиты обеспечивают диагностику (обнаружение) и лечение (нейтрализацию) вредоносных программ.

Из всех методов антивирусной защиты можно выделить две основные группы:

· Сигнатурные методы - точные методы обнаружения вредоносных программ, основанные на сравнении файла с известными образцами вредоносных программ.

· Эвристические методы - приблизительные методы обнаружения, которые позволяют с определенной вероятностью предположить, что файл заражен.

· Комбинированные.

4.5.2.1 Сигнатурный анализ

Слово сигнатура в данном случае является калькой на английское signature, означающее «подпись» или же в переносном смысле «характерная черта, нечто идентифицирующее». Собственно, этим все сказано. Сигнатурный анализ заключается в выявлении характерных идентифицирующих черт каждой вредоносной программы и поиска вредоносных программ путем сравнения файлов с выявленными чертами.

Сигнатурой вредоносной программы будет считаться совокупность черт, позволяющих однозначно идентифицировать наличие вредоносной программы в файле (включая случаи, когда файл целиком является вредоносной программой). Все вместе сигнатуры известных вредоносных программ составляют антивирусную базу.

Задачу выделения сигнатур, как правило, решают люди - эксперты в области компьютерной вирусологии, способные выделить код вредоносной программы из кода программы и сформулировать его характерные черты в форме, наиболее удобной для поиска. Как правило, потому что в наиболее простых случаях могут применяться специальные автоматизированные средства выделения сигнатур. Например, в случае несложных по структуре троянов или червей, которые не заражают другие программы, а целиком являются вредоносными программами.

Практически в каждой компании, выпускающей антивирусы, есть своя группа экспертов, выполняющая анализ новых вредоносных программ и пополняющая антивирусную базу новыми сигнатурами. По этой причине антивирусные базы в разных антивирусах отличаются. Тем не менее, между антивирусными компаниями существует договоренность об обмене образцами вредоносных программ, а значит рано или поздно сигнатура новой вредоносной программы попадает в антивирусные базы практически всех антивирусов. Лучшим же антивирусом будет тот, для которого сигнатура новой вредоносной программы была выпущена раньше всех.

Одно из распространенных заблуждений насчет сигнатур заключается в том, каждая сигнатура соответствует ровно одной вредоносной программе. И как следствие, антивирусная база с большим количеством сигнатур позволяет обнаруживать больше вредоносных программ. На самом деле это не так. Очень часто для обнаружения семейства похожих вредоносных программ используется одна сигнатура, и поэтому считать, что количество сигнатур равно количеству обнаруживаемых вредоносных программ, уже нельзя.

Соотношение количества сигнатур и количества известных вредоносных программ для каждой антивирусной базы свое и вполне может оказаться, что база с меньшим количеством сигнатур в действительности содержит информацию о большем количестве вредоносных программ. Если же вспомнить, что антивирусные компании обмениваются образцами вредоносных программ, можно с высокой долей уверенности считать, что антивирусные базы наиболее известных антивирусных программ эквивалентны.

Важное дополнительное свойство сигнатур - точное и гарантированное определение типа вредоносной программы. Это свойство позволяет занести в базу не только сами сигнатуры, но и способы лечения вредоносной программы. Если бы сигнатурный анализ давал только ответ на вопрос, есть вредоносная программа или нет, но не давал ответа, что это за вредоносная программа, очевидно, лечение было бы не возможно - слишком большим был бы риск совершить не те действия и вместо лечения получить дополнительные потери информации.

Другое важное, но уже отрицательное свойство - для получения сигнатуры необходимо иметь образец вредоносной программы. Следовательно, сигнатурный метод непригоден для защиты от новых вредоносных программ, т. к. до тех пор, пока вредоносная программа не попала на анализ к экспертам, создать её сигнатуру невозможно. Именно поэтому все наиболее крупные эпидемии вызываются новыми вредоносными программами. С момента появления вредоносной программы в сети Интернет до выпуска первых сигнатур обычно проходит несколько часов, и все это время вредоносная программа способна заражать компьютеры почти беспрепятственно. Почти - потому что в защите от новых вредоносных программ помогают дополнительные средства защиты, рассмотренные ранее, а также эвристические методы, используемые в антивирусных программах.

4.5.2.2 Эвристический анализ

Слово «эвристика» происходит от греческого глагола «находить». Суть эвристических методов состоит в том, что решение проблемы основывается на некоторых правдоподобных предположениях, а не на строгих выводах из имеющихся фактов и предпосылок. Поскольку такое определение звучит достаточно сложно и непонятно, проще объяснить на примерах различных эвристических методов.

Если сигнатурный метод основан на выделении характерных признаков вредоносной программы и поиске этих признаков в проверяемых файлах, то эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вредоносные программы часто оказываются похожи на какие-либо из уже известных. Постфактум такое предположение оправдывается наличием в антивирусных базах сигнатур для определения не одного, а сразу нескольких вредоносных программ. Основанный на таком предположении эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вредоносных программ.

Положительным эффектом от использования этого метода является возможность обнаружить новые вредоносные программы еще до того, как для них будут выделены сигнатуры. Отрицательные стороны:

Вероятность ошибочно определить наличие в файле вредоносной программы, когда на самом деле файл чист - такие события называются ложными срабатываниями

Невозможность лечения - и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вредоносной программы, попытка лечения может привести к большим потерям информации, чем сама вредоносная программа, а это недопустимо

Низкая эффективность - против действительно новаторских вредоносных программ, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден

4.5.2.3 Поиск вредоносных программ, выполняющих подозрительные действия

Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру. Метод основан на выделении основных вредоносных действий, таких как, например:

· удаление файла;

· запись в файл;

· запись в определенные области системного реестра;

· открытие порта на прослушивание;

· перехват данных вводимых с клавиатуры;

· рассылка писем;

· и др.

Понятно, что выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Но если программа последовательно выполняет несколько таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа, по меньшей мере, подозрительна. Основанный на этом принципе эвристический анализатор должен постоянно следить за действиями, которые выполняют программы.

Преимуществом описанного метода является возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные. Например, новая вредоносная программа может использовать для проникновения на компьютер новую уязвимость, но после этого начинает выполнять уже привычные вредоносные действия. Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.

Отрицательные черты те же, что и раньше:

· Ложные срабатывания

· Невозможность лечения

· Невысокая эффективность

4.5.3 Дополнительные средства

Практически любой антивирус сегодня использует все известные методы обнаружения вредоносных программ. Но одних средств обнаружения мало для успешной работы антивируса, для того, чтобы чисто антивирусные средства были эффективными, нужны дополнительные модули, выполняющие вспомогательные функции.

4.5.3.1 Модуль обновления

В первую очередь, каждый антивирус должен содержать модуль обновления. Это связано с тем, что основным методом обнаружения вредоносных программ сегодня является сигнатурный анализ, который полагается на использование антивирусной базы. Для того чтобы сигнатурный анализ эффективно справлялся с самыми последними вредоносными программами, антивирусные эксперты постоянно анализируют образцы новых вредоносных программ и выпускают для них сигнатуры. После этого главной проблемой становится доставка сигнатур на компьютеры всех пользователей, использующих соответствующую антивирусную программу.

Именно эту задачу и решает модуль обновления. После того, как эксперты создают новые сигнатуры, файлы с сигнатурами размещаются на серверах компании - производителя антивируса и становятся доступными для загрузки. Модуль обновления обращается к этим серверам, определяет наличие новых файлов, загружает их на компьютер пользователя и дает команду антивирусным модулям использовать новые файлы сигнатур.

Модули обновления разных антивирусов весьма похожи друг на друга и отличаются типами серверов, с которых они могут загружать файлы обновлений, а точнее, типами протоколов, которые они могут использовать при загрузке - HTTP, FTP, протоколы локальных Windows-сетей. Некоторые антивирусные компании создают специальные протоколы для загрузки своих обновлений антивирусной базы. В таком случае модуль обновления может использовать и этот специальный протокол.

Второе, в чем могут отличаться модули обновления - это настройка действий, на случай, если источник обновлений недоступен. Например, в некоторых модулях обновления можно указать не один адрес сервера с обновлениями, а адреса нескольких серверов, и модуль обновления будет обращаться к ним по очереди, пока не обнаружит работающий сервер. Или же в модуле обновления может быть настройка - повторять попытки обновления с заданным интервалом определенное количество раз или же до тех пор, пока сервер не станет доступным. Эти две настройки могут присутствовать и одновременно.

4.5.3.2 Модуль планирования

Второй важный вспомогательный модуль - это модуль планирования. Существует ряд действий, которые антивирус должен выполнять регулярно: в частности, проверять весь компьютер на наличие вредоносных программ и обновлять антивирусную базу. Модуль планирования как раз и позволяет настроить периодичность выполнения этих действий.

Для обновления антивирусной базы рекомендуется использовать небольшой интервал - один час или три часа, в зависимости от возможностей канала доступа в Интернет. В настоящее время новые модификации вредоносных программ обнаруживаются постоянно, что вынуждает антивирусные компании выпускать новые файлы сигнатур буквально каждый час. Если пользователь компьютера много времени проводит в Интернете, он подвергает свой компьютер большому риску и поэтому должен обновлять антивирусную базу как можно чаще.

Полную проверку компьютера нужно проводить хотя бы потому, что сначала появляются новые вредоносные программы, а только потом сигнатуры к ним, а значит всегда есть возможность загрузить на компьютер вредоносную программу раньше, чем обновление антивирусных баз. Чтобы обнаружить эти вредоносные программы, компьютер нужно периодически перепроверять. Разумным расписанием для проверки компьютера можно считать раз в неделю.

Исходя из сказанного, основная задача модуля планирования - давать возможность выбрать для каждого действия расписание, которое больше всего подходит именно для этого типа действия. Следовательно, модуль обновления должен поддерживать много различных вариантов расписания из которых можно было бы выбирать.

4.5.3.3 Модуль управления

По мере увеличения количества модулей в антивирусной программе возникает необходимость в дополнительном модуле для управления и настройки. В простейшем случае - это общий интерфейсный модуль, при помощи которого можно в удобной форме получить доступ к наиболее важным функциям:

· настройке параметров антивирусных модулей;

· настройке обновлений;

· настройке периодического запуска обновления и проверки;

· запуску модулей вручную, по требованию пользователя;

· отчетам о проверке;

· другим функциям, в зависимости от конкретной антивирусной программы.

Основные требования к такому модулю - удобный доступ к настройкам, интуитивная понятность, подробная справочная система, описывающая каждую настройку, возможность защитить настройки от изменений, если за компьютером работает несколько человек. Подобным модулем управления обладают все антивирусные программы для домашнего использования. Антивирусные программы для защиты компьютеров в крупных сетях должны обладать несколько иными свойствами.

Уже не раз говорилось, что в большой организации за настройку и правильное функционирование антивирусной программы отвечают не пользователи компьютеров, а специальные сотрудники. Если компьютеров в организации много, то каждому ответственному за безопасность сотруднику придется постоянно бегать от одного компьютера к другому, проверяя правильность настройки и просматривая историю обнаруженных заражений. Это очень неэффективный подход к обслуживанию системы безопасности.

Поэтому, чтобы упростить работу администраторов антивирусной безопасности, антивирусные программы, которые используются для защиты больших сетей, оборудованы специальным модулем управления. Основные свойства этого модуля управления:

· Поддержка удаленного управления и настройки - администратор безопасности может запускать и останавливать антивирусные модули, а также менять их настройки по сети, не вставая со своего места

· Защита настроек от изменений - модуль управления не позволяет локальному пользователю изменять настройки или останавливать антивирусную программу, чтобы пользователь не мог ослабить антивирусную защиту организации

Это далеко не все требования к управлению антивирусной защитой в крупной организации, а только основные принципы. Подробнее об особенностях антивирусной защиты сетей и требованиях к модулям управления будет рассказано позже в соответствующем разделе.

4.5.3.4 Карантин

Среди прочих вспомогательных средств во многих антивирусных программах есть специальные технологии, которые защищают от возможной потери данных в результате действий антивирусной программы.

Например, легко представить ситуацию, при которой файл детектируется как возможно зараженный эвристическим анализатором и удаляется согласно настройкам антивирусной программы. Однако эвристический анализатор никогда не дает стопроцентной гарантии того, что файл действительно заражен, а значит с определенной вероятностью антивирусная программа могла удалить незараженный файл.

Или же антивирусная программа обнаруживает важный документ зараженный вредоносной программой и пытается согласно настройкам выполнить лечение, но по каким-то причинам происходит сбой и вместе с вылеченной вредоносной программой теряется важная информация.

Разумеется, от таких случаев желательно застраховаться. Проще всего это сделать, если перед лечением или удалением файлов сохранить их резервные копии, тогда если окажется, что файл был удален ошибочно или была потеряна важная информация, всегда можно будет выполнить восстановление из резервной копии.

4.5.4 Виды антивирусных программ

4.5.4.1 Программы-детекторы

Программы-детекторы обеспечивают поиск и обнаружение вредоносных программ в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные.

Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.

Специализированные детекторы выполняют поиск известных вредоносных программ по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вредоносные программы. Детектор, позволяющий обнаруживать несколько вредоносных программ, называют полидетектором. Недостатком таких антивирусных программ является то, что они могут находить только те вредоносные программы, которые известны разработчикам таких программ.

4.5.4.2 Программы-доктора

Программы-доктора (фаги), не только находят зараженные вредоносными программы файлы, но и «лечат» их, т.е. удаляют из файла тело вредоносной программ, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вредоносные программы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вредоносных программ.

Учитывая, что постоянно появляются новые вредоносные программы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

4.5.4.3 Программы-ревизоры

Программы-ревизоры относятся к самым надежным средствам защиты от вредоносных программ. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вредоносной программой, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.

Программы-ревизоры имеют достаточно развитые алгоритмы, могут даже отличить изменения версии проверяемой программы от изменений, внесенных вредоносной программой.

4.5.4.4 Программы-фильтры

Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вредоносных программ. Такими действиями могут являться:

· попытки коррекции файлов с расширениями СОМ и ЕХЕ;

· изменение атрибутов файлов;

· прямая запись на диск по абсолютному адресу;

· запись в загрузочные сектора диска;

· загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вредоносную программу на самой ранней стадии её существования до размножения.

Однако они не «лечат» файлы и диски. Для уничтожения вредоносных программ требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

Поскольку функции детектора, ревизора и сторожа дополняют друг друга, то в современные антивирусные комплекты программ обычно входят компоненты, реализующие все эти функции. При этом часто функции детектора и ревизора совмещаются в одной программе.

4.5.4.5 Вакцины

Вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» эту вредоносную программу. Вакцинация возможна только от известных вредоносных программ. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вредоносная программа будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вредоносных программ.

4.5.5 Режимы проверки и обновление

Основные элементы любой антивирусной защиты рабочей станции или сетевого сервера - это постоянная проверка в режиме реального времени, проверка по требованию и механизм обновления антивирусных баз.

4.5.5.1 Проверка в режиме реального времени

Как правило, на домашнем компьютере происходит постоянный обмен информацией с внешними источниками: файлы загружаются из сети Интернет, копируются с компакт дисков или по домашней локальной сети и впоследствии открываются и запускаются. Следовательно, главное средство в арсенале антивирусной защиты домашнего компьютера - проверка в режиме реального времени. Ее задача - не допустить заражения системы.

На домашнем компьютере настоятельно рекомендуется использовать постоянную проверку всегда, когда он включен - вне зависимости от того, подключен ли он в данный момент к сети, используются ли чужие мобильные носители информации или выполняются только какие-либо внутренние задачи. Постоянная проверка характеризуется минимальными системными требованиями, необходимыми ей в работе, и поэтому запущенный в этом режиме антивирус в подавляющем большинстве случаев остается пользователем незамеченным и проявляется только при обнаружении вредоносных программ или других подозрительных программ.

Без особого ущерба качеству антивирусной защиты домашнего компьютера часто из проверки в режиме реального времени можно исключить проверку исходящих почтовых сообщений и архивов, однако все остальные объекты рекомендуется проверять.

4.5.5.2 Проверка по требованию

Как упоминалось выше, на домашнем компьютере часто происходит обмен информацией с помощью компакт дисков, дискет и других мобильных носителей информации: устанавливаются новые игры, копируются электронные книги и учебники, переписываются фильмы и музыка. Для того чтобы обнаружить проникший в систему вредоносный код, используется проверка по требованию. Всем домашним пользователям настоятельно рекомендуется проверять на наличие вредоносных программ все подозрительные носители информации, причем каждый раз перед тем как начать чтение или копирование с них файлов. Это простое действие занимает немного времени, но позволяет существенно сократить вероятность проникновения вредоносной программы на компьютер. Дополнительно рекомендуется не реже одного раза в неделю проверять на наличие вредоносных программ весь жесткий диск.

По настройкам проверок этот режим отличается особой тщательностью - в проверке по требованию обычно проверяются все объекты файловой системы.

4.5.5.3 Обновление антивирусных баз

Только своевременное обновление антивирусных баз может гарантировать правильную и эффективную работу наиболее надежной части антивирусной защиты - сигнатурного анализа.

Антивирусные базы - это файлы, содержащие сигнатуры вредоносных программ. Они выпускаются компаниями-производителями антивирусов и соответственно для разных п