|
Программы-ревизоры
Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.
Многие пользователи включают команду запуска программы-ревизора в командный файл AUTOEXEC.BAT, чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.
Анализ изменений. Многие программы-ревизоры являются довольно "интеллектуальными" — они могут отличать изменения в файлах, вызванные, например, переходом к новой версии, программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги, мешая Вам работать. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сооощить, что они вызваны именно вирусом.
Невидимые вирусы. Следует заметить,что многие программы-ревизоры не умеют обнаруживать заражение "невидимыми" вирусами, если такой вирус активен в памяти компьютера. Но некоторые программы-ревизоры, например ADinf фирмы "Диалог-Наука", все же умеют делать это, не используя вызовы DOS для чтения диска (правда, они работают не нтэ всех дисководах). Другие программы часто используют различные полумеры — пытаются обнаружить вирус в оперативной памяти, требуют вызова из первой строки файла AUTOEXEC.BAT, надеясь работать на "чистом" компьютере, и т.д. Увы, против некоторых "хитрых" вирусов вседто бесполезно. Если Вы имеете,такую программу-ревизор, запускайте хотя бы время от времени ее "чистую" копию с защищенной от записи дискеты после перезагрузки DOS с такой дискеты.
Режимы проверки. Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Увы, эта проверка недостаточна — некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка — прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно. Но полностью читать все проверяемые файлы на диске весьма долго.
Чтобы обеспечить и достаточную надежность проверки, и приемлемое время ее проведения, многие программы-ревизоры имеют режим, в котором они проверяют неизменность только критически важных участков программных файлов, которые чаще всего и меняются вирусом: заголовка ЕХЕ-файла, первых выполняемых команд файла и т.д. Это позволяет проводить ежедневную проверку наличия изменений в файлах. А для особо строгой проверки такие программы-ревизоры обычно имеют и режим полного чтения файла.
Доктора-ревизоры. В последнее время появились очень полезные гибриды ревизоров и докторов — программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей диска. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.
Конечно, доктора-ревизоры — это не панацея. Они могут лечить не от всех вирусов, а только от тех, которые используют "стандартные" известные на момент написания программы, механизмы заражения файлов. Кроме того, никто не может излечить программы при заражении вирусами-"грубиянами" типа AJDS, которые записывают себя в середину программ, не заботясь о том, будет ли после этого работать программа или нет. Но все же защита от 90-95% вирусов — это совсем неплохо. В качестве примера докторов-ревизоров можно привести ADInf+ADinfExt фирмы "Диалог-Наука" и комплексную антивирусную систему AVSP фирмы "Диалог-МГУ".
Рекомендуем почитать:
Программы-фильтры
Одной из причин, из-за которых стало возможным такое явление, как компьютерный вирус, является отсутствие в операционной системе MS DOS эффективных средств для защиты информации от несанкционированного доступа
|
Программы-детекторы
В большинстве случаев для обнаружения вируса, заразившего Ваш компьютер, можно найти уже разработанные программы-детекторы
|
Резидентные программы
Из-под Windows можно запускать не только обычные DOS-программы, но и резидентные DOS-программы
|
Прикладные программы
Для IBM PC разработаны и используются сотни тысяч различных прикладных программ для различных применений
|
Системные программы
Число всех разновидностей системных программ очень велико, здесь будут кратко описаны некоторые из них
|
|
|
|