Отправляет email-рассылки с помощью сервиса Sendsay

Секреты Windows: статьи о реестре, rundll32.exe, программах

Рассылка закрыта

При закрытии подписчики были переданы в рассылку "Всё о работе в Интернет" на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

  Октябрь 2009  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
25.10.2009
02:00:29
02:00:49
26
27
28
29
30
31
Автор
Клименко Роман aka parad0x

Статистика

3.339 подписчиков
-4 за неделю
  Все выпуски  

Секреты Windows: статьи о реестре, rundll32.exe, программах


Глава 2. Организация защиты от вирусов - Антивирусная программа — кто она
Дата: 15 октября 2009, четверг

Новинки нашей сети


http://hand.co.ua. Добавлены массажный прием Разминание.
http://mybody.co.ua. Добавлено новое силовое упражнение: Подъем ног к перекладине в висе
http://gadalka.in.ua. Добавлено 5 новых заклинаний.
http://know.in.ua. Добавлены новые советы.
http://inf.biz.ua. Добавлен код нового информера Праздники и именины сегодня.
files.biz.ua. Доступна для скачивания новая программа: Сборник полезных советов.v2009.10
http://he.biz.ua. В галерею Основные типы рубашечных воротников добавлен новый воротник Таб. А также в галерею Завязываем галстук добавлен новый галстучный узел Виндзор.
http://progi.co.ua. Добавлено описание бесплатного PHP-класса и PHP-сценария Bulk SMS. А также обновлено описание некоторых добавленных ранее программ.
http://mylink.co.ua. Добавлено описание новых сайтов: askadvice.ru/addpressrelease/, announces.ru/add, alltoday.ru/press-release.html, 20minut.ua/add_pressrelize. А также обновлено описание некоторых добавленных ранее сайтов.
http://words.co.ua. Добавлены новые слова.
http://neodn.ru. Добавлен раздел Выбор тарифного плана книги CMS Drupal: система управления содержимым сайта.

В конец записи

Данная книга была написана под руководством литературного агентства «Сигма+» по заказу Лаборатории Касперского. Однако в дальнейшем, по словам литературного агентства «Сигма+», Лаборатория Касперского «передумала» платить за уже написанную книгу, которая до этого им нравилась. И гонорар мне так и не был выплачен. Как думаете, почему?

Ну что, я вас очень сильно напугал рассказом о страшных вирусах и троянских программах? Надеюсь, вы не читали предыдущую главу на ночь?

Честное слово, я не хотел вас напугать. Я просто хотел вас просветить. Дать вам понять, что вирусы, троянские и другие вредоносные программы — не лучшие соседи. И вообще, что дружить с такими программами не стоит.

Если вы это уже поняли, тогда давайте поговорим о нашем спасителе. О том, кто всегда спешит к нам на помощь в случае опасности. Нет, речь пойдет не о Чипе и Дейле, храбрых бурундуках, и даже не о Супер Мэне и Бэтмене. Речь пойдет об антивирусной программе.

Антивирусная программа — это волшебная фея. Она всегда сможет защитить нас от нехорошего знакомства. И поймает всех паразитов, в каких бы закоулках нашей операционной системы они бы не прятались. Храбрость, сила, выносливость, ум и доброта — вот те качества, которые отличают антивирусную программу.

Способы работы антивирусов

Антивирусные программы появились еще на заре компьютерной эры. Сразу после того, как появился n-ный вирус, мыслящее меньшинство стало задумываться о том, как поймать всех этих паразитов, набирающих популярность. Сначала появились антивирусные таблетки в виде программ, которые не ловили вирусы, но вместо этого делали так, что вирус, попавший на ваш компьютер, считал, что все ваши файлы уже заражены им. Такие вот иммунные прививки.

Но чем больше вирусов появлялось, тем больше люди задумывались над другими способами защиты, поиска и удаления вирусов. Так и появились самые первые самые настоящие антивирусные программы.

Антивирусы того времени умели обнаруживать вирусы только одним способом — сигнатурным. Этот способ и сейчас считается основным, хотя помимо него современные антивирусы используют множество других способов.

Сигнатурный поиск — это поиск по базе данных, в которой содержится описание каких-либо особенностей уже известных вирусов. Как правило, в качестве сигнатур используется часть вируса, которая в каждой копии вируса одинакова. Эта частичка вируса (в виде последовательности машинных команд) ищется во всех файлах на вашем компьютере. И если в каком-то файле обнаруживается аналогичная последовательность, тогда он, скорее всего, заражен вирусом.

Сигнатурный поиск можно сравнить с поиском злоумышленника по его отпечаткам пальцев. Либо же с поиском все того же злоумышленника по составленному фотороботу. Второе сравнение подходит больше, так как при поиске по фотороботу наши доблестные правоохранительные органы могут и ошибиться. А антивирусные программы также не безгрешны и иногда бьют тревогу напрасно.

Если у вас достаточно давно находится на компьютере какой-то файл, и после скачивания очередных вирусных баз данных антивирус обнаруживает в нем вирус, вам следует насторожиться. Если вирус был обнаружен только в одном этом файле, вспомните о самом любимом развлечении вирусов — размножении. А теперь согласитесь, довольно странно, что данный вирус не очень активен и до сих пор не заразил ни одного другого файла. Поэтому скорее всего это просто ложное срабатывание. Проверьте этот же файл другими антивирусными программами, и если они ничего не найдут, отправьте якобы зараженный файл на изучение разработчикам своей антивирусной программы.

Сигнатурный метод эффективен только при поиске уже известных вирусов. Вирусы же, сигнатуры которых еще не занесены в базу данных, обнаружить таким способом не получится. Именно поэтому антивирусы и используют ряд дополнительных методов поиска вирусов. В частности…

  • ПОВЕДЕНЧЕСКИЙ БЛОКИРАТОР. Данный метод заключается в том, что антивирусная программа следит за запуском любой программы на вашем компьютере, и дотошно проверяет, что именно программа делает. Если запущенная программа пытается сделать что-то подозрительное или явно вредоносное, тогда антивирусная программа останавливает работу такой программы и сообщает о возможном заражении вирусом.

    Для того, что определить, является ли действие программы подозрительным, антивирусная программа сравнивает поведение запущенной программы с рядом предопределенных правил, которые описывают стандартное поведение вредоносной программы.

    Поведенческий блокиратор гарантированно способен защитить ваш компьютер от ряда известных и даже еще неизвестных вирусов. Однако можете не сомневаться, также поведенческий блокиратор гарантированно будет совершать ошибки, и сообщать о вирусах в ни в чем не повинной абсолютно чистой программе. Но что еще хуже, поведенческий блокиратор может и не распознать даже очень старый вирус.

    Поэтому поведенческий блокиратор — штука хорошая. Однако его нужно использовать совместно со стандартным сигнатурным методом.

  • ЭВРИСТИЧЕСКИЙ АНАЛИЗАТОР. Еще один метод поиска вредоносных программ. Суть этого метода заключается в анализе предполагаемого поведения программы еще до ее запуска. После анализа программе выносится вердикт — подозрительная она или нет.

    В антивирусных программах от разных производителей эвристический анализ может быть реализован по-разному. Например, в продуктах Лаборатории Касперского эвристический анализ начинается со статистического анализа, после чего выполняется динамический анализ. Статистический анализ — поиск в коде программы подозрительных признаков (команд), характерных для вредоносных программ. В коде программы KIS анализирует частоту использования команд, строит таблицу встречающихся команд и на основе этой информации делает вывод о заражении файла вирусом. Данный метод имеет высокую скорость работы, однако редко обнаруживает новые вирусы. Поэтому после его работы вступает в силу динамический анализ, который заключается в эмулировании запуска программы в безопасном виртуальном окружении (песочнице) и слежении, не пытается ли программа выполнить подозрительные действия.

    Если метод поведенческого блокиратора можно сравнить с работой вышибалы в баре (тебя не трогают до тех пор, пока ты не начнешь буянить), то эвристический метод подобен действию фейс-контроля на входе. Если лицом не вышел, то не взыщи.

    Август 2007 года знаменателен тем, что именно в августе компьютерный вирус поразил систему интернет-трейдинга Quik. И в этом нет ничего удивительного, так как вирус был написан специально для данной системы — хакер бил наверняка.

    Основное назначение созданного вируса — хищение логинов и паролей. Чем он и занимался до 2008 года. Примечательно, что за это время всего два пользователя системы обратились в прокуратуру — остальные жертвы мошенника решили воздержаться от обвинений. Но и двух пострадавших хватило на то, чтобы обогатить мошенника на 2,5 млн. рублей. Правда, радовался он этому факту недолго, так как в феврале 2008 года хакер был пойман.

    Эвристические методы отлова вирусов работают до тех пор, пока вирусописатели не обращают на них внимания при создании нового вируса. Если же вирусописатель обратит внимание на метод эвристики, то можете не сомневаться — созданный вирус никакой эвристический метод обнаружить не сможет.

    Поэтому лучше всего одновременно использовать все виды поиска вирусов: сигнатурный, поведенческий, эвристический. Правда, это не самым лучшим образом скажется на производительности вашего компьютера.

  • ПРОЦЕДУРЫ ОБЩЕГО ДЕТЕКТИРОВАНИЯ (GENERIC DETECTION). Данный тип защиты направлен на поиск любых вредоносных программ (старых и новых) одного семейства. То есть, поиск новых версий вредоносных программ, которые являются доработанными и улучшенными старыми версиями.

Запомните эти методы — в следующих главах, когда мы будем устанавливать и настраивать антивирусные программы, эти знания нам еще пригодятся.

Антивирусная программа и ее проблемы

Жизнь без проблем бывает только в сказках и в теории. На практике же всегда возникает масса проблем, с которыми приходится сталкиваться, и которые нужно преодолеть. Поэтому жизнь антивируса назвать масляной никак не получится.

Первая проблема антивирусной программы — пользователь. Ведь пользователь хочет, чтобы антивирус решил все его проблемы, и при этом, чтобы антивируса не было видно и слышно, а главное, чтобы антивирус не использовал ресурсы компьютера. А такого, извините, конечно, за разрушенные мечты, но такого не бывает. Либо ловит абсолютно все, но 90% производительности компьютера нужно принести в жертву. Либо антивирус не видно и не слышно, но ловит он не многое. Ну, или золотая середина — тормозит систему не очень сильно и ловит 80-90% вирусов.

Вторая проблема антивирусной программы, как вы могли уже догадаться — вирусы. Они плодятся намного быстрее, чем кролики. И что самое плохое, они заражают другие файлы. Вот в этом то и проблема — как удалить из зараженного файла вирус, да так, чтобы файл после удаления остался работоспособным? Придется вас разочаровать — очень часто такое оказывается невозможным. Поэтому будьте готовы к тому, что вашу любимую программу после заражения вирусом придется переустанавливать заново.

Третья проблема антивирусной программы — вирусописатели. Эти нехорошие люди становятся все умнее и изощреннее. Они применяют в своих творениях новые и новые методы сокрытия кода, поэтому с каждым годом антивирусным программам выполнять свою работу становится все сложнее. Если раньше вирусы были просты как две копейки, то сейчас это настоящие произведения искусства, использующие все достижения современного злостроения: мутацию кода, сокрытие присутствия, упаковку и шифрование кода. А что будет через 3-7 лет даже представить страшно.

Четвертая проблема антивирусной программы — собственная безопасность. Представьте себе, встречаются очень нехорошие вирусы. Настолько нехорошие, что они готовы лишить нашу антивирусную программу девичьей чести, а иногда даже и жизни. И скромной, хрупкой антивирусной программе приходится постоянно противостоять волосатым сильным лапам вредоносных программ.

В качестве примера, есть такая программа — Rootkit Revealer — от Марка Руссиновича, известного программиста и уже с давних пор сотрудника Microsoft. Она предназначена для поиска руткитов, и ее разработчик гордится тем, что программа способна обнаружить все руткиты, представленные на сайте WWW.ROOTKITS.COM. Примечательно, что многие разработчики руткитов с сайта WWW.ROOTKITS.COM также гордятся. Только не тем же, чем и Марк Руссинович. Они гордятся тем, что их руткиты способы обнаружить программу Rootkit Revealer. А после обнаружения их руткиты способы удалить все упоминания о себе из списка с обнаруженными руткитами, который отображается программой после сканирования компьютера.

Продолжение следует
Рейтинг: 4.50 [ 2 ] 
Оцените: 1 2 3 4 5
moemesto.ru bobrdobr.ru - добавить в социальные закладки
В начало записи
Оригинал статьи: http://www.onestyle.com.ua/txt.php?u=679
В избранное