О VPN пишут много и часто, но все опубликованные статьи касаются лишь достоинств этой технологии. Однако как у любой медали есть две стороны, так и у технологии построения частных виртуальных сетей есть свои недостатки. Неправильная реализация или эксплуатация средств VPN сведет на нет все их достоинства. Необходимо дать определение VPN и кратко перечислить ее основные компоненты. Это позволит понять, куда могут быть направлены усилия злоумышленников. Итак, не претендуя на истину в последней инстанции, технологию VPN можно определить как комплекс мероприятий по передаче данных из одной точки сети в другую безопасным образом. Это, на первый взгляд достаточно расплывчатое, определение охватывает все возможные технологии построения VPN (включая и MPLS). Анализ этого определения позволяет сделать ряд замечаний: Безопасная передача данных реализуется на базе специальных протоколов VPN и, как правило, с использованием шифрования. Поскольку обычно передача данных происходит по незащищенной сети (например, Internet), то необходимо реализовать обмен ключами шифрования между абонентами VPN, а в общем случае реализовать инфраструктуру управления ключами. Средства построения VPN могут быть реализованы на базе программного или программно-аппаратного обеспечения[12]. Наличие нескольких абонентов VPN требует их аутентификации. VPN не только используется людьми, но и реализуется ими. При этом не стоит забывать, что конечный пользователь также является элементом VPN и также подвержен атакам, наравне со всеми прочими элементами. Пользователь может передать дискету с секретными ключами, а может потерять такую дискету или другой носитель секретных ключей и не сообщать об утере до того момента, пока эта дискета не понадобится вновь. В некоторых системах пользователь может сам создавать себе ключи для шифрования. Генерация ключа основывается на паролях, которые выбираются самим пользователем. Как известно, фантазия в выборе таких паролей у пользователя небогата. Поэтому выбираются легко запоминаемые слова или фразы, которые столь же легко угадываются злоумышленниками.
Проблемы совместимости VPN.
Проблемы совместимости не возникают, если VPN прямо используют службы Frame Relay и ATM, поскольку они довольно хорошо приспособлены для работы в мультипротокольной среде и пригодны как для IP-, так и для не IP–приложений. Все, что требуется в этом случае, так это наличие соответствующей сетевой инфраструктуры, покрывающей необходимый географический район. В качестве устройств доступа чаще всего используются Frame Relay Access Device (FRAD) или маршрутизаторы с интерфейсами Frame Relay и ATM. Многочисленные постоянные или коммутируемые виртуальные каналы могут работать (виртуально) с любой смесью протоколов и топологий. Дело осложняется, если VPN базируется на Internet. В этом случае требуется, чтобы приложения были совместимы с IP–протоколом. При условии выполнения этого требования для построения VPN можно использовать Internet «как она есть», предварительно обеспечив необходимый уровень безопасности. Но поскольку большинство частных сетей являются мультипротокольными или используют неофициальные, внутренние IP–адреса, то они не могут прямо, без соответствующей адаптации подключиться к Internet. Существует множество решений, обеспечивающих совместимость. Наиболее популярными являются следующие: преобразование существующих протоколов (IPX, NetBEUI, AppleTalk и др.) в IP–протокол с официальным адресом; преобразование внутренних IP–адресов в официальные IP–адреса;
установка специальных IP–шлюзов на серверы; использование виртуальной IP–маршрутизации; использование универсальной техники туннелирования. Первый способ, по крайней мере, концептуально, понятен, поэтому остановимся вкратце на остальных. Преобразование внутренних IP-адресов в официальные необходимо в том случае, когда частная сеть базируется на IP-протоколе. Для внутренней адресации обычно используются адреса класса В, которые лежат в диапазоне 192.168.0.0-192.168.255.255, что позволяет идентифицировать 65536 узлов. Преобразование адресов для всей корпоративной сети не является необходимым, так как официальные IP-адреса могут сосуществовать с внутренними в коммутаторах и маршрутизаторах сети предприятия. Другими словами, сервер с официальным IP-адресом по-прежнему доступен клиенту частной сети через локальную инфраструктуру. Наиболее часто используют технику разделения небольшого блока официальных адресов многими пользователями. Она подобна разделению пула модемов, поскольку также опирается на предположение, что не все пользователи одновременно нуждаются в доступе к Internet. Здесь существуют два индустриальных стандарта: протокол динамической конфигурации хостов (Dynamic Host Configuration Protocol - DHCP) и трансляция сетевых адресов (Network Adress Translation - NAT), подходы которых слегка различаются. DHCP «сдает» узлу адрес в аренду на время, определяемое администратором сети, тогда как NAT транслирует внутренний IP-адрес в официальный динамически, на время сеанса связи с Internet.
Другим способом сделать частную сеть совместимой с Internet является установка IP–шлюза. Шлюз транслирует не IP–протоколы в IP-протоколы и наоборот. Большинство сетевых операционных систем, использующих нативные протоколы, имеют программное обеспечение для IP–шлюза. Сущность виртуальной IP–маршрутизации заключается в расширении частных маршрутных таблиц и адресного пространства на инфраструктуру (маршрутизаторы и коммутаторы) Internet–провайдера. Виртуальный IP–маршрутизатор является логической частью физического IP–маршрутизатора, принадлежащего и функционирующего у сервис-провайдера. Каждый виртуальный маршрутизатор обслуживает определенную группу пользователей. Необходимо запомнить главное правило (оно применимо не только к технологии VPN): «Безопасность всей системы равна безопасности самого слабого звена». Поэтому очень важно не только выбирать стойкий криптографический алгоритм и длинные ключи, но и обращать пристальное внимание на другие компоненты VPN— программное и аппаратное обеспечение, пользователей, реализацию и т. д. Только с учетом комплекса этих факторов можно построить эффективную систему защиты.
Компьютерные вирусы
, выпускник НФ СГА 2009 года
Компьютерный вирус это программа, обладающая способностью к скрытому размножению в среде используемой операционной системы путем включения в исполняемые или хранящиеся программы своей, возможно модифицированной копии, которая сохраняет способность к дальнейшему размножению.
Компьютерные вирусы способны размножаться, внедряться в программы, передаваться по линиям связи, сетям обмена информации, выводить из строя системы управления.
В принципе, не все вредоносные программы являются вирусами. Строго определения компьютерного вируса не существует. Разнообразие вирусов столь велико, что дать достаточное условие(перечислить набор признаков, при выполнении которых программу можно однозначно отнести к вирусам) просто невозможно – всегда найдется класс программ с данными признаками, не являющихся при этом вирусом[13].
При этом большинство определений необходимого условия сходятся на том, что компьютерные вирусы – это программы, которые умеют размножаться и внедрять свои копии в другие программы. То есть заражают уже существующие файлы.
Необходимо отметить, что компьютерные вирусы, или, как более правильно, программные вирусы, являются в настоящее время наиболее эффективным средством доставки внедрения различных разведывательных программ. Под программные вирусом понимается автономно функционирующая программа, обладающая способностью к самовключению в тела других программ и последующему самовоспроизведению и самораспространению в информационно – вычислительных сетях и отдельных ЭВМ. Программные вирусы представляют собой весьма эффективное средство реализации практически всех угроз безопасности информационно-вычислительных сетях. Поэтому вопросы анализа возможностей программных вирусов и разработки способов противодействия вирусам в настоящее время приобрели значительную актуальность и образовали одно из наиболее приоритетных направлений работ по обеспечению безопасности информационно вычислительных сетях.
Предшественниками программных вирусов принято считать так называемые троянские программы, тела которых содержат скрытые последовательности команд, выполняющие действия, наносящие вред пользователям. Наиболее распространенной разновидностью троянских программ являются широко известные программы массового применения (редакторы, игры, трансляторы), в которых встроены так называемые логические бомбы, срабатывающие по наступлению некоторого события. В свою очередь, разновидностью логической бомбы являет «бомба с часовым механизмом», запускаемая в моменты времени. Следует отметить, что троянские программы не являются саморазмножающимися и распространяются по информационно – вычислительным сетям самими программистами, в частности посредством общедоступных банков данных и программ.
Принципиальное отличие вируса от троянской программы состоит в том, что вирус после запуска его в информационно - вычислительные сети существуют самостоятельно и в процессе своего функционирования заражает программы путем включения в них своего текста. Таким образом, вирус представляет собой своеобразный генератор троянских программ. Программы, зараженные вирусом, называют также вирусоносителем[14].
Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на вирус, тест заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие – либо другие действия, после чего отдает управление вирусоносителю.
«Первичное заражение» происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как магнитные носители (дискеты), так и каналы информационно – вычислительных сетей. Вирусы, использующие для размножения каналы информационно – вычислительных сетей, принято называть сетевыми.
Вероятные пути проникновения вирусов, в течение многих лет наиболее распространенным способом заражения компьютера являлась дискета. С ростом глобальных сетей пальма первенства перешла к сети Internet и системе электронной почты.
Вирус может попасть на локальный компьютер пользователя следующими способами:
- напрямую через дискету, компакт – диск, удаленный почтовый ящик – классический способ;
- через корпоративную систему электронной почты;
- через корпоративный канал доступа в систему Internet;
- с корпоративного сервера.
Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликация (самозаражение) и проявление. В течение инкубационного периода вирус пассивен. Что усложняет задачу поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации на магнитных носителях.
Физическая структура вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонент, получающий управление первым. Хвост – это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называются несегментированными, тогда как вирусы, содержащие голову и хвост – сегментированными[15]. Современные компьютерные вирусы обладают широкими возможностями враждебного воздействия, начиная от безобидных шуток и кончая серьезными повреждениями аппаратуры. В этом плане примером может служить вирус Win95. CIH, он разрушает память BIOS, определяющий саму рабочую логику компьютера. При этом наносимые повреждения достаточно легко исправляются, профилактика деструктивной функции довольна, проста – достаточно в программе Setup установить запрет на обновление BIOSФайловые вирусы. Файловые вирусы – это вирусы, которые при размножении используют систему, какой – либо операционной системы. Внедрение файлового вируса возможно во все исполняемые файлы всех популярных операционных систем – DOS, Windows, OS\2, Macintosh, UNIX и т. д.
По способу заражения файлов файловые вирусы делятся на обычные, которые встраивают свой код в файл, по возможности не нарушая его функциональности, а также на overwriting, паразитические (parasitic), компаньон-вирусы (companion), link-вирусы, вирусы-черви, заражающие объектные модули (OBJ), библиотеки компиляров (LIB) и исходные тексты программ.
Файловый нерезидентный вирус. Файловый нерезидентный вирус целиком размещается в исполняемом файле, в связи, с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.
Файловый резидентный вирус отличается от нерезидентного тем, что заражает не только исполняемые файлы, находящиеся во внешней памяти, но и оперативную память ПЭВМ[16].
Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая программа вируса.
В связи с существенно более универсальной по сравнению с нерезидентными вирусами обще схемой функционирования, резидентные вирусы могут реализовать самые разные способы инфицирования. Наиболее распространенными способами являются инфицирование запускаемых программ, а так же файлов при их открытии или чтении.
Overwriting-вирусы. Overwriting-вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое, после чего файл перестает работать и не восстанавливается. Такие вирусы быстро обнаруживают себя, так как операционная система и приложения быстро перестают работать.
Parasitic-вирусы. Parasitic-вирусы изменяют содержимое файлов, оставляя при этом сами файлы полностью или частично работоспособными. Такие вирусы подразделяются на вирусы, записывающиеся в начало, в конец и в середину файлов.
Companion-вирусы. Companion-вирусы не изменяют заражаемых файлов, а создают для заражаемого файла файл – двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус.
Файловые черви. Файловые черви (worms) являются разновидностью компаньон – вирусов, однако не связывают свое присутствие с каким – либо выполняемым файлом. При размножении они всего копируют свой код в какие – либо каталоги дисков в надежде, что эти новые копии будут когда – либо запущены пользователем.
Link-вирусы. Link-вирусы используют особенно организации файловой системы. Они, как и компаньон – вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» операционную систему выполнить свой код за счет модификации необходимых полей файловой системы.
OBJ, LIB и вирусы в исходных текстах. Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ. Вирусы, заражающие OBJ - и LIB - файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл не является выполняемым и не способен на дальнейшее распространение вируса в текущем состоянии. Носителем же «живого» вируса становится СОМ - или ЕХЕ-файл, получаемый в процессе линковки зараженного OBJ/LIB – файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB файлы, на втором этапе (линковка) получается работоспособный вирус.
Макровирусы. Макровирусы являются программами на макроязыках, встроенные в некоторые системные обработки данных (текстовые редакторы, электронные таблицы и т. д.). Они заражают документы и электронные таблицы ряда офисных редакторов. Для размножения они используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла в другие. Наибольшее распространение получили Макровирусы для Microsoft Word, Excel и Office. Вирусы этого типа получают управление при открытии зараженного файла и идентифицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения – Word, Excel и пр.
Скрипт-вирусы. Скрипт-вирусы – это вирусы, написанные на скрипт-языках, таких как Visual Basic script, Java Script и др. Они, в свою очередь, делятся на вирусы для DOS, для Windows, для других систем. Помимо описанных классов существует большое количество сочетаний: например файлово - загрузочный вирус, заражающий как файлы, так и загрузочные сектора дисков, или сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Резидентные вирусы. Вирус находится в оперативной памяти и перехватывает сообщения ОС. Если нерезидентные вирусы активны только в момент запуска зараженной программы, то резидентные вирусы находятся в памяти и остаются активными вплоть до выключения компьютера или перезагрузки операционной системы. Резидентные вирусы находятся в оперативной памяти, перехватывают обращения операционной системы к тем или иным объектам и внедряются в них. Такие вирусы активны не только в момент работы зараженной программы, но и после завершения работы.
Бутовые (загрузочные, BOOT) вирусы. Одной из разновидностей резидентных вирусов являются так называемые бутовые вирусы. Отличительной особенностью последних является инфицирование загрузочного (бут - сектора) магнитного носителя (гибкого или жесткого диска). При этом инфицированным могут быть как загружаемые, так и не загружаемые дискеты[17].
Голова бутового вируса всегда находится в бут - секторе (единственном для гибких дисков и одном из двух – для жестких), а хвост – в любой другой области носителя.
Хвост бутового вируса всегда содержит копию оригинального бут сектора. Механизм инфицирования, реализуемый бутовыми вирусами таков. При загрузке MS DOS с инфицированного диска вирус в силу своего положения на нем (независимо от того, с дискеты или винчестера производится загрузка) получает управление и копирует себя в оперативную память. Затем он моделирует вектор прерываний таким образом, чтобы прерывания по обращении к диску обрабатывались собственным обработчиком прерываний вируса, и запускает загрузчик операционной системы. Благодаря перехвату прерываний бутовые вирусы могут реализовать столь же широкий набор способов инфицирования и целевых функций, сколь и файловые резидентные вирусы.
Близость механизмов функционирования бутовых и файловых резидентных вирусов сделала возможным и естественным появление файлово - бутовых, или гибридных, вирусов, инфицирующих как файлы, так и бут секторы. Особенностью пакетного вируса является размещение его головы в пакетном файле. При этом голова представляет собой строку или программу на языке управления заданиями операционной системы.
Стелс-вирусы. Стелс-вирусы (невидимки) скрывают факт своего присутствия в системе. Они изменяют информацию таким образом, что файл появляется перед пользователем в незараженном виде, например, временно лечат зараженные файлы.
Полиморфик – вирусы. Полиморфик-вирусы используют шифрование для усложнения процедуры определения вируса. Данные вируса не содержат постоянных участков кода, что достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. В большинстве случаев два образца одного и того же полиморфик - вируса не будут иметь ни одного совпадения. Именно поэтому полиморфик - вирус невозможно обнаружить при помощи выявления участков постоянного кода, специфичных для конкретного вируса. Полиморфизм встречается в вирусах всех типов – от загрузочных и файловых DOS – вирусов до Windows – вирусов и даже макровирусов.
Антивирусное программное обеспечение
, выпускник НФ СГА 2009 года
Наиболее распространенным средством нейтрализации вирусов являются программные антивирусы. Антивирусы появились более десяти лет назад, в первое время они распространялись как бесплатное противоядие. Не было должной поддержки сервиса, поскольку проекты были не коммерческие. Как индустрия служба создания и предоставления антивирусных программ оформилась примерно в 1992 году.
Антивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делит на следующие группы: детекторы, фаги, вакцины, прививки, ревизоры, мониторы.
Детекторы.
Детекторы обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так называемых – сигнатур – устойчивых последовательностей байтов, имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файле свидетельствует о его заражении соответствующим вирусом. Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.
Фаги.
Фаги выполняют функции, свойственные детекторам, но, кроме того, «излечивают» инфицированные программы посредством «выкусывания» («пожирания») вирусов из их тел. По аналогии с полидетекторами фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.
Вакцины.
В отличие от детекторов и фагов, вакцины по своему принципу действия напоминают сами вирусы. Вакцина имплантируется в защищаемую программу и запоминает ряд количественных и структурных характеристик последней. Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее. Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе. В последней, в свою очередь, сначала управление получит вакцина, которая выполнит проверку соответствия заполненных ею характеристик аналогичным характеристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакцинированной программы вирусом. Характеристиками, используемыми вакцинами, могут быть длина программ, ее контрольная сумма и т. п.
Прививки.
Принцип действия прививок основан на учете того обстоятельства, что любой вирус, как правило, помечает инфицированные программы каким-либо признаком с тем, чтобы не выполнять их повторное заражение. В ином случае имело бы место многократное инфицирование, сопровождаемое существенным и поэтому легко обнаруживаемым увеличением объема зараженных программ. Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком, что и вирус, который, таким образом, после активизации и проверки наличия указанного признака считает ее инфицированной и «оставляет в покое».
Ревизоры.
Ревизоры обеспечивают слежение за состоянием файловой системы, используя для этого подход, аналогичный реализованному в вакцинах. Программа-ревизор в процессе своего функционирования выполняет применительно к каждому исполняющему файлу сравнение его текущих характеристик с аналогичными характеристиками, полученными в ходе предшествующего просмотра файлов.
Если при этом обнаруживается, что согласно имеющейся системной информации файл с момента предшествующего просмотра не обновлялся пользователем, а сравниваемые наборы характеристик не совпадают, то файл считается инфицированным.
Характеристики исполняемых файлов, получаемые в ходе очередного просмотра, запоминаются в отдельном файле, в связи с чем увеличение длин исполняемых файлов, имеющего место при вакцинировании, в данном случае не происходит. Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых файлов ревизором требует повторного запуска.
Мониторы.
Монитор представляет собой резидентную программу, обеспечивающую перехват потенциально опасных прерываний, характерных для вирусов, и запрашивающую у пользователей подтверждение на выполнение операций, следующих за прерыванием. В случае запрета или отсутствия подтверждения монитор блокирует выполнение пользовательской программы.
Антивирусы рассмотренных типов существенно повышают вирусозащитность отдельных ПЭВМ и информационно-вычислительных сетей в целом, однако в связи со свойственными им ограничениями, естественно, не являются панацеей. Так, для разработки детекторов, фагов и прививок нужно иметь тексты вирусов, что возможно только для выявленных вирусов.
Вакцины обладают потенциальной способностью защиты программ не только от известных, но и от новых вирусов, однако обнаруживают факт заражения только в тех случаях, если сами были имплантированы в защищаемую программу раньше вируса.
Результативность применения ревизоров зависит от частоты их запуска, которая не может быть выше 1-2 раз в день в связи со значительными затратами времени на просмотр файлов.
Мониторы контролируют процесс функционирования пользовательских программ постоянно, однако характеризуются чрезмерной интенсивностью ложных срабатываний, которые развивают у оператора «рефлекс подтверждения» и тем самым по существу минимизируют эффект от такого контроля.
Анализ современных антивирусных программ показывает, что в последнее время наметилось явно выраженная тенденция к интеграции различных видов программ в единое программное средство с функциями детектора – ревизора - доктора, что делает это средство удобным для пользователя. Однако приходится констатировать, что в настоящее время абсолютной защиты от неизвестных вирусов не существует, поэтому антивирусные программы постоянно обновляются, как правило не реже одного раза в месяц[18].
Классификация антивирусов по способу воздействия на вирусы.
Все антивирусы можно разделить на два больших класса: чистые антивирусы и антивирусы двойного назначения. Чистый антивирус отличается наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальная особенность в этом случае заключается в возможности лечения. Далее чистые антивирусы подразделяются по типу доступа к файлам на две категории – on access и on demand, которые соответственно осуществляют контроль по доступу или проверку по требованию.
Например, в терминологии продуктов «Лаборатории Касперского» on access – продукт – это «Монитор», а on demand – продукт – это «Сканер». On demand – продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка.
On access – продукт – это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.
Программа двойного назначения – это программы, используемые и в антивирусах и в ПО, которое не является антивирусом.
Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их.
От классического антивируса с антивирусным ядром, «узнающим» и лечащим от вирусов, которые анализировались в лаборатории и к которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов не умеют, поскольку ничего о них не знают. Это свойство блокираторов полезно тем, что они могут работать с любыми вирусами, в том числе и с неизвестными. Это сегодня особенно актуально, поскольку распространители вирусов и антивирусов используют одни и те же каналы передача данных, то есть Интернет. При этом вирус всегда имеет некоторую фору (время задержки), поскольку антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули.
Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.
На российском рынке в настоящее время присутствуют программные средства обнаружения и обезвреживания компьютерных вирусов, представлены в таблице 1.
Таблица 1- Основные типы средств защиты от вирусов
Средство защиты | Назначение | Принцип действия |
1 | 2 | 3 |
Детектор | Обнаружение зараженных вирусом файлов | Поиск участка кода, принадлежащего известному вирусу |
Фильтр | Перехват «подозрительных» обращений к операционной системе и сообщение о них пользователю | Контроль действий, характерных для поведения вируса |
Доктор (фаг) | «Лечение» зараженных программы или дисков | Уничтожение тела вируса |
Ревизор | Постоянная ревизия целостности файлов | Запоминание сведений о состоянии программ и системных областей дисков, сравнение их состояния с исходным |
Доктор - ревизор | Обнаружение и «лечение» зараженных файлов | Обнаружение изменений в файлах и дисках и возврат их в исходное состояние |
Анализ современных антивирусных программ показывает, что в последнее время наметилась явно выраженная тенденция к интеграции различных видов программ в единое программное средство с функциями детектора- ревизора – доктора, что делает это средство удобным для пользователя. Однако приходится констатировать, что в настоящее время абсолютной защиты от неизвестных вирусов не существует, поэтому антивирусные программы постоянно обновляются, как правило, не реже одного раза в месяц. Надежно защитить компьютер от вирусов может только сам пользователь. В первую очередь необходимо правильно организовать работу и избегать бесконтрольной переписи программ с других компьютеров. Далее, особу бдительность необходимо проявлять при работе с выходом в компьютерную сеть, где вероятность внедрения компьютерных вирусов резко возрастает. Учитывая то, что в основе большинства вредоносных программ присутствуют программные вирусы, последние всегда должны быть в поле зрения пользователя.
Далее рассмотрим наиболее популярные антивирусные программы представленные на российском рынке и их производителей.
Производители антивирусных программ.
Среди российских производителей антивирусных программ следует отметить в первую очередь «Лабораторию Касперского» «Лаборатория Касперского» является крупнейшим российским разработчиком антивирусных систем безопасности. Как независимое юридическое лицо компания была образована в июне 1997 года. Разработка основного продукта «Лаборатории Касперского» - антивирусного комплекса «Антивирус Касперского» началась в 1989 году.
В России и странах бывшего СССР компанию представляют более 100 дилеров и дистрибьюторов. Свыше 30 российских производителей устанавливают продукты «Лаборатории Касперского» на компьютеры своей сборки. Клиенты компании: Администрация Президента РФ; Федеральное агентство правительственной связи и информации при Президенте РФ; Конституционный суд РФ; Центральный банк РФ; Государственная налоговая полиция РФ; Российские представительства зарубежных банков и фирм Credit Swiss, Microsoft, Daimler Chrysler и многие другие. AVP - это российский программный пакет, который уже завоевал большую популярность в России. В нем присутствуют все мыслимые антивирусные модули, многочисленные настройки и варианты конфигураций. Программа хорошо зарекомендовала себя на многих предприятиях, однако даже ориентированный на индивидуального пользователя вариант явно предполагает достаточно высокую квалификацию владельца компьютера. Иначе говоря, не все пользователи смогут оценить некоторые особенности программного пакета. Огромное количество кнопок, окошек и настроек может поставить в тупик, а несколько запутанные системные сообщения способны сбить с толку неопытного пользователя; К недостаткам данного продукта можно отнести то, что имели место проблемы с установкой пакета в операционную систему Windows 2000 SP – 2, подобные случаи наблюдались и с операционной системой Windows NT. Также в программе отсутствует собственный деинсталятор (есть только стандартный Windows), что затрудняет пользователю общение с компьютером при возникновении непонятных ситуации и конфликтов с другими ПО.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 |
