Метод виявлення дивної поведінки програм

РЕФЕРАТ

НА ТЕМУ:

« Сучасні засоби антивірусного захисту»

Виконав:

Учень 9-Б класу

Козелко В.А.

Тернопіль-2012

Антивірусна програма

(антивірус)- програма для виявлення комп'ютерних вірусів, а також небажаних (що вважаються шкідливими) програм взагалі, і відновлення заражених (модифікованих) такими програмами файлів, а також для профілактики - запобігання зараженню (модифікації) файлів або операційної системи шкідливим кодом

Антивірусне програмне забезпечення складається з підпрограм, які намагаються виявити, запобігти розмноженню і видалити комп'ютерні віруси і інше шкідливе програмне забезпечення.

Методи виявлення вірусів

Антивірусне програмне забезпечення зазвичай використовує два відмінних один від одного методу для виконання своїх завдань:

  • Сканування файлів для пошуку відомих вірусів, що відповідають визначенню в антивірусних базах.
  • Виявлення підозрілої поведінки будь-якої з програм, схожого на поведінку зараженої програми.

Метод відповідності визначенню вірусів в словнику:

Це метод, при якому антивірусна програма, аналізуючи файл, звертається до антивірусних баз, складені виробником програми-антивіруса. У разі відповідності якої-небудь ділянки коду файлу (сигнатурі) вірусу, що переглядається, в базах, програма-антивірус може за запитом виконати одну з наступних дій :

1. Видалити інфікований файл.

2. Заблокувати доступ до інфікованого файлу.

3. Відправити файл до карантину (тобто зробити його недоступним для виконання з метою недопущення подальшого поширення вірусу).

4. Спробувати "вилікувати" файл, видаливши тіло вірусу з файлу.

5. У разі неможливості лікування/видалення, виконати цю процедуру при наступному перезавантаженні операційної системи.

Вірусна база регулярно оновлюється виробником антивірусів, користувачем рекомендується оновлювати їх як можна частіше.

Деякі з продуктів для кращого виявлення використовують декілька ядер для пошуку і видалення вірусів і програм-шпигунів. Наприклад, в розробці NuWave Software використовується одночасно п'ять ядер (три для пошуків вірусів і два для пошуку програм-шпигунів).

Для багатьох антивірусних програм з базою сигнатур характерна перевірка файлів в мить, коли операційна система звертається до файлів. Таким чином, програма може виявити відомий вірус відразу після його отримання. При цьому системний адміністратор може встановити в антивірусній програмі розклад для регулярної перевірки (сканування) усіх файлів на жорсткому диску комп'ютера.

Хоча антивірусні програми, створені на основі пошуку сигнатур, при звичайних обставинах можуть досить ефективно перешкоджати зараженню комп'ютерів, автори вірусів намагаються обійти такі антивіруси, створюючи "олигоморфические", "поліморфічні" і "Метаморфізм (безпека) метаморфічні" віруси, окремі частини яких шифруються або спотворюються так, щоб було неможливо виявити збіг із записом в сигнатурі.

Метод виявлення дивної поведінки програм

Антивіруси, що використовують метод виявлення підозрілої поведінки програм не намагаються ідентифікувати відомі віруси, замість цього вони простежують поведінку усіх програм. Якщо програма намагається виконати які-небудь підозрілі з точки зору антивірусної програми дії, то така активність буде заблокована, або ж антивірус може попередити користувача про потенційно небезпечні дії такої програми.

Нині подібні превентивні методи виявлення шкідливого коду, в тому або іншому виді, широко застосовуються в якості модуля антивірусної програми, а не окремого продукту.

На відміну від методу пошуку відповідності визначенню вірусу в антивірусних базах, метод виявлення підозрілої поведінки дає захист від нових вірусів, яких ще немає в антивірусних базах. Але в той же час, такий метод дає велику кількість помилкових спрацьовувань, виявляючи підозрілу активність серед не шкідливих програм. Деякі програми або модулі, побудовані на цьому методі, можуть видавати занадто велику кількість попереджень, що може заплутати користувача.