Средства антивирусной защиты

Основным средством защиты информации является резервное копирование наиболее ценных данных. В случае утраты информации по какой-либо причине жёсткие диски переформатируют и подготавливают к новой эксплуатации.

При резервировании данных следует также иметь в виду и то, что надо отдельно сохранять все регистрационные и парольные данные для доступа к сетевым службам Интернета. Их не следует хранить на компьютере. Обычное место хранения – служебный дневник в сейфе руководителя подразделения.

Следует также учитывать, что резервные копии должны храниться отдельно от компьютера. Относительно новым и достаточно надёжным приёмом хранения ценных, но не конфиденциальных данных является их хранение в Web-папках на удалённых серверах в Интернете. Резервные копии конфиденциальных данных сохраняют на внешних носителях, которые хранят в сейфах, желательно в отдельных помещениях.

Вспомогательными средствами защиты являются антивирусные программы и средства аппаратной защиты.

Существует достаточно много программных средств антивирусной защиты. Они предоставляют следующие возможности:

Создание образа жёсткого диска на внешних носителях

Регулярное сканирование жёстких дисков в поисках компьютерных вирусов.

Контроль за изменением размеров и других атрибутов файлов.

Контроль за обращениями к жёсткому диску.

Программные вирусы – это блоки программного кода, целенаправленно внедрённые внутрь других прикладных программ. К компьютерным вирусам примыкают и так называемые троянские кони (троянские программы , троянцы ). При запуске программы, несущей вирус, происходит запуск имплантированного в неё вирусного кода. Работа этого кода вызывает скрытые от пользователя изменения в файловой системе жёстких дисков и/или в содержании других программ. Так, например вирусный код может воспроизводить себя в теле других программ – этот процесс называется размножением. По прошествии определённого времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям – нарушению работы программ и операционной системы, удалению информации, хранящейся на жёстком диске. Этот процесс называется вирусной атакой. Самые разрушительные вирусы могут инициировать форматирование жёсткого диска.

Программные вирусы поступают на компьютер при запуске непроверенных программ, полученных на внешнем носителе (гибкий диск, компакт-диск и др.) или принятых из Интернета. Следует отметить, что при обычном копировании заражённых файлов, заражение компьютера произойти не может. В связи с этим все данные, принятые из Интернета, должны проходить обязательную проверку на безопасность, а если получены незатребованные данные из незнакомого источника, их следует уничтожать, не рассматривая. Обычный приём распространения «троянских» программ – приложение к электронному письму с «рекомендацией» извлечь и запустить якобы полезную программу.

Загрузочные вирусы от программных отличаются методом распространения. Они поражают не программные файлы, а определённые системные области магнитных носителей (гибких и жёстких дисков). Кроме того, на включённом компьютере они могут временно располагаться в оперативной памяти. Обычно заражение происходит при попытке загрузки компьютера с магнитного носителя, системная область которого содержит загрузочный вирус.

Макровирусы. Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения макрокоманд. В частности, к таким документам относятся документы текстового процессора Microsoft Word. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд. Как и для других типов вирусов, результат атаки может быть как относительно безобидным, так и разрушительным.

Защита информации - это применение различных средств и методов, использование мер и осуществление мероприятий для того, чтобы обеспечить систему надежности передаваемой, хранимой и обрабатываемой информации.

Проблема защиты информации в системах электронной обработки данных возникла практически одновременно с их созданием. Ее вызвали конкретные факты злоумышленных действий над информацией.

Если в первые десятилетия активного использования ПК основную опасность представляли хакеры, подключившиеся к компьютерам в основном через телефонную сеть, то в последнее десятилетие нарушение надежности информации прогрессирует через программы, компьютерные вирусы, глобальную сеть Интернет.

Имеется достаточно много способов несанкционированного доступа к информации, в том числе: просмотр; копирование и подмена данных; ввод ложных программ и сообщений в результате подключения к каналам связи; чтение остатков информации на ее носителях; прием сигналов электромагнитного излучения и волнового характера; использование специальных программ.

1. Средства опознания и разграничения доступа к информации

Одним из наиболее интенсивно разрабатываемых направлений по обеспечению безопасности информации является идентификация и определение подлинности документов на основе электронной цифровой подписи.

2. Криптографический метод защиты информации

Наиболее эффективным средством повышения безопасности является криптографическое преобразование.

3. Компьютерные вирусы

Разрушение файловой структуры;

Загорание сигнальной лампочки дисковода, когда к нему нет обращения.

Основными путями заражения компьютеров вирусами обычно служат съемные диски (дискеты и CD-ROM) и компьютерные сети. Заражение жесткого диска компьютера может произойти в случае загрузки компьютера с дискеты, содержащей вирус.

По тому, какой вид среды обитания имеют вирусы, их классифицируют на загрузочные, файловые, системные, сетевые и файлово - загрузочные (многофункциональные).

Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, который содержит программу загрузки системного диска.

Файловые вирусы помещаются в основном в исполняемых файлах с расширением.СОМ и.ЕХЕ.

Системные вирусы внедряются в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов.

Сетевые вирусы находятся в компьютерных сетях, а файлово-загрузочные - заражают загрузочные секторы дисков и файлы прикладных программ.

По пути заражения среды обитания вирусы разделяются на резидентные и нерезидентные.

Резидентные вирусы при заражении компьютера оставляют в ОП свою резидентную часть, которая после заражения перехватывает обращение ОС к другим объектам заражения, внедряется в них и выполняет свои разрушительные действия, которые могут привести к выключению или перезагрузке компьютера. Нерезидентные вирусы не заражают ОП компьютера и проявляют активность ограниченное время.

Особенность построения вирусов влияет на их проявление и функционирование.

Логическая бомба является программой, которая встраивается в большой программный комплекс. Она безвредна до наступления определенного события, после которого реализуется ее логический механизм.

Программы-мутанты, самовоспроизводясь, создают копии, явно отличающиеся от оригинала.

Вирусы-невидимки, или стелс-вирусы, перехватывают обращения ОС к пораженным файлам и секторам дисков и подставляют вместо себя незараженные объекты. Эти вирусы при обращении к файлам применяют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы.

Макровирусы используют возможности макроязыков, которые встроены в офисные программы обработки данных (текстовые редакторы, электронные таблицы).

По степени воздействия на ресурсы компьютерных систем и сетей, или по деструктивным возможностям, выделяют безвредные, неопасные, опасные и разрушительные вирусы.

Безвредные вирусы не оказывают патологического влияния на работу компьютера. Неопасные вирусы не разрушают файлы, однако уменьшают свободную дисковую память, выводят на экран графические эффекты. Опасные вирусы часто вызывают значительные нарушения в работе компьютера. Разрушительные вирусы могут привести к стиранию информации, полному или частичному нарушению работы прикладных программ. Важно иметь в виду, что любой файл, способный к загрузке и выполнению кода программы, является потенциальным местом, где может помещаться вирус.

4. Антивирусные программы

Широкое распространение компьютерных вирусов привело к разработке антивирусных программ, которые позволяют обнаруживать и уничтожать вирусы, «лечить» пораженные ресурсы.

Основой работы большинства антивирусных программ является принцип поиска сигнатуры вирусов. Вирусной сигнатурой называют некоторую уникальную характеристику вирусной программы, выдающую присутствие вируса в компьютерной системе.

По способу работы антивирусные программы можно разделить на фильтры, ревизоры, доктора, детекторы, вакцины и др.

Программы-фильтры - это «сторожа», которые постоянно находятся в ОП. Они являются резидентными и перехватывают все запросы к ОС на выполнение подозрительных действий, т. е. операций, которые используют вирусы для своего размножения и порчи информационных и программных ресурсов в компьютере, в том числе для переформатирования жесткого диска. Среди них можно выделить попытки изменения атрибутов файлов, коррекции исполняемых СОМ- или ЕХЕ-файлов, записи в загрузочные секторы диска.

Постоянное нахождение программ-«сторожей» в ОП существенно уменьшает ее объем, что является основным недостатком этих программ. К тому же программы-фильтры не способны «лечить» файлы или диски. Эту функцию выполняют другие антивирусные программы, например AVP, Norton Antivirus for Windows, Thunder Byte Professional, McAfee Virus Scan.

Программы-ревизоры являются надежным средством защиты от вирусов. Они запоминают исходное состояние программ, каталогов и системных областей диска при условии, что компьютер еще не был заражен вирусом. Впоследствии программа периодически сравнивает текущее состояние с исходным. При обнаружении несоответствий (по длине файла, дате модификации, коду циклического контроля файла) сообщение об этом появляется на экране компьютера. Среди программ-ревизоров можно выделить программу Adinf и дополнение к ней в виде Adinf cure Module.

Программа-доктор способна не только обнаруживать, но и «лечить» зараженные программы или диски. При этом она уничтожает зараженные программы тела вируса. Программы данного типа можно разделить на фаги и полифаги. Фаги - это программы, с помощью которых отыскиваются вирусы определенного вида. Полифаги предназначены для обнаружения и уничтожения большого числа разнообразных вирусов. В нашей стране наиболее часто используются такие полифаги, как MS Antivirus, Aidstest, Doctor Web. Они непрерывно обновляются для борьбы с появляющимися новыми вирусами.

Программы-детекторы способны обнаруживать файлы, зараженные одним или несколькими известными разработчикам программ вирусами.

Программы-вакцины, или иммунизаторы, относятся к классу резидентных программ. Они модифицируют программы и диски так, что это не отражается на их работе. Однако вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них. В настоящий момент разработано множество антивирусных программ, получивших широкое признание и постоянно пополняющихся новыми средствами для борьбы с вирусами.

5. Безопасность данных в интерактивной среде

Интерактивные среды уязвимы с позиций безопасности данных. Примером интерактивных сред является любая из систем с коммуникационными возможностями, например электронная почта, компьютерные сети, Интернет.

С целью защиты информации от хулиганствующих элементов, неквалифицированных пользователей и преступников в системе Интернет применяется система полномочий, или управление доступом.

Задание: конспект, ответить на вопросы уч.Цв., стр.176, вопр. 3, 4 и 5.

Для обеспечения своего функционирования вирусу достаточно лишь нескольких вполне обычных операций, используемых большинством обычных программ. Поэтому принципиально не может существовать универсальный метод, защищающий операционную систему от распространения любого вируса. Тем не менее, можно существенно затруднить задачу создания вируса, применяя специальные методы, как в самой ОС, так и используя дополнительные резидентные и нерезидентные средства защиты. Аппаратные средства защиты – это специальные платы, вставляемые в компьютер. Вместе с соответствующей резидентной программой такая плата аппаратно блокирует пути инфекции. Загрузка с дискеты происходит только по паролю, подозрительные действия с дискетами и винчестером блокируются и на экран выдаются предупреждающие сообщения.

Общие средства антивирусной защиты

резервное копирование информации (создание копий файлов и системных областей жестких дисков);

избежание пользования случайными и неизвестными программами. Чаще всего вирусы распространяются вместе с компьютерными программами;

ограничение доступа к информации, в частности физическая защита дискеты во время копирования файлов с нее.

Специальные средства антивирусной защиты

К программным средствам защиты относят разные антивирусные программы (антивирусы). Антивирус - это программа, выявляющая и обезвреживающая компьютерные вирусы. Следует заметить, что вирусы в своем развитии опережают антивирусные программы, поэтому даже в случае регулярного пользования антивирусов, нет 100% гарантии безопасности. Антивирусные программы могут выявлять и уничтожать лишь известные вирусы, при появлении нового компьютерного вируса защиты от него не существует до тех пор, пока для него не будет разработан свой антивирус. Однако, много современных антивирусных пакетов имеют в своем составе специальный программный модуль, называемый эвристическим анализатором, который способен исследовать содержимое файлов на наличие кода, характерного для компьютерных вирусов. Это дает возможность своевременно выявлять и предупреждать об опасности заражения новым вирусом.

Виды антивирусных программ:

программы-детекторы : предназначены для нахождения зараженных файлов одним из известных вирусов. Некоторые программы-детекторы могут также лечить файлы от вирусов или уничтожать зараженные файлы. Существуют специализированные, то есть предназначенные для борьбы с одним вирусом детекторы и полифаги, которые могут бороться с многими вирусами; Простейшим средством защиты от вируса является программа, позволяющая составить список зараженных программ. Такая программа называется детектором. Он может быть и резидентным. В этом случае после загрузки программы он проверяет ее на зараженность и, если вирус не обнаружен, передает ей управление. Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

программы-лекари : предназначены для лечения зараженных дисков и программ. Лечение программы состоит в изъятии из зараженной программы тела вируса. Также могут быть как полифагами, так и специализированными; Вторым и наиболее распространенным средством защиты от вирусов являются так называемые фаги – программы, “выкусывающие” вирус из зараженной программы. Полифаги рассчитаны на несколько типов вирусов. Они умеют распознавать и выкусывать вирусы, информация о которых в них уже заложена (SOS и Aidstest).

программы-ревизоры : предназначены для выявления заражения вирусом файлов, а также нахождение поврежденных файлов. Эти программы запоминают данные о состоянии программы и системных областей дисков в нормальном состоянии (до заражения) и сравнивают эти данные в процессе работы компьютера. В случае несоответствия данных выводится сообщение о возможности заражения; Четвертый тип – это программы-ревизоры, которые подсчитывают контрольные суммы и другие параметры файлов и сравнивают их с эталонными. Этот вид контроля представляется наиболее надежным, так как позволяет выявить даже при наличии в оперативной памяти резидентного КВ, выявить все измененные программы, несмотря на то, что вирус может пытаться эти изменения замаскировать. Ревизоры также могут быть резидентными.

лекари-ревизоры : предназначены для выявления изменений в файлах и системных областях дисков и, в случае изменений, возвращают их в начальное состояние.

программы-фильтры : предназначены для перехвата обращений к операционной системе, которые используются вирусами для размножения и сообщают об этом пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции. Такие программы являются резидентными, то есть они находятся в оперативной памяти компьютера.

программы-вакцины : используются для обработки файлов и boot-секторов с целью предупреждения заражения известными вирусами (в последнее время этот метод используется все чаще). Наиболее изощренным типом антивирусных программ являются так называемые вакцины. Они делают вирус неспособным к размножению. Вакцины могут быть пассивными или активными. Пассивная вакцина представляет собой программу, которая обрабатывает файл или все файлы на диске таким образом, что проставляется признак, который вирус использует, чтобы отличить зараженные файлы. Например, некоторые вирусы дописывают в конец файла строку “Ms Dos”. Если искусственно дописать в конец всех файлов эту строку, то файлы заражаться не будут.Активные вакцины являются резидентными программами, действие которых основано на имитации присутствия вируса в оперативной памяти. Поэтому они применяются против резидентных вирусов. Поливакцины имитируют наличие в оперативной памяти нескольких вирусов.

Для борьбы с программами вирусами широко используются антивирусные программы. Рассмотрим основные классы антивирусных программ.

• Программы проверки целостности программного обеспечения.

Этот класс позволяет подсчитать контрольную сумму (названную сигнатурой) каждой программы пользователя. Перед выполнением программы расчетное значение контрольной суммы сравнивается с записанным для защищенных копий программы. Такие программы не могут препятствовать заражению, однако дают пользователю ценную информацию о зараженных или измененных программах.

• Программы контроля.

Программы этого класса используют режим прерывания работы ЭВМ. Если, по мнению автора антивирусной программы, программы замечают что-либо подозрительное, то прерывают работу ЭВМ и выдают оператору рекомендацию о дальнейших действиях.

• Программы удаления вирусов.

Такие программы проверяют наличие на магнитном диске только известных вирусов. Обнаружив вирус, они сообщают об этом оператору или удаляют вирус.

• Копии.

Копирование программ является методом защиты, однако оно не гарантирует отсутствие вирусов.

• Существуют смешанные антивирусные программы , сочетающие свойства программ перечисленных выше классов.

До настоящего времени не найдено метода, дающего полную гарантию защиты от вируса. Среди разрабатываемых перспективных методов можно отметить следующие:

• адаптивные и самообучающиеся методы;
• интеллектуальные методы;
• аппаратные методы.

Адаптивные и самообучающиеся средства – это средства, автоматически расширяющие список вирусов, которым они противостоят. К ним относятся средства, содержащие постоянно пополняемые базы вирусов.

Интеллектуальные методы – методы, базирующиеся в системах логического вывода. Их суть сводится к определению алгоритма, реализуемого программой по ее коду, и выявлению таким образом программ, осуществляющих несанкционированные действия. Это перспективный метод, но он требует огромных затрат.

Аппаратные средства – это дополнительное усиление системы защиты. Применяются в специальных приложениях, широкого распространения пока не получили, т.к. их применение ограничивает возможности системы.

Системный подход к обеспечению безопасности

Построение и поддержка безопасной системы требует системного подхода. В соответствии с этим подходом необходимо осознать весь спектр возможных угроз для конкретной сети и для каждой из этих угроз продумать тактику ее отражения. В этой борьбе нужно использовать различные средства и приемы: морально-этические, законодательные, административные, психологические, защитные возможности программных и аппаратных средств сети.

К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств.

Законодательные средства защиты – это законы, постановления правительства, указы президента. Нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.

Административные меры – это действия, предпринимаемые руководством предприятия или организации для обеспечения организационной безопасности (должностные инструкции, строго определяющие порядок работы с конфиденциальной информацией на компьютере, правила приобретения предприятием средств безопасности и т.д.).

Психологические меры безопасности могут играть значительную роль в укреплении безопасности системы. Пренебрежение учетом психологических моментов в неформальных процедурах, связанных с безопасностью, может привести к нарушениям защиты.

К физическим средствам защиты относятся экранирование помещений для защиты от излучения, проверка поставляемой аппаратуры на соответствие ее спецификациям и отсутствие аппаратных "жучков", средств наружного наблюдения, устройства, блокирующие физический доступ к отдельным блокам компьютера, различные замки и другое оборудование, защищающие помещения, где находятся носители информации, от незаконного проникновения.

Технические средства информационной безопасности реализуются программным и аппаратным обеспечением вычислительных сетей. Такие средства называются службами сетевой безопасности . Круг решаемых ими задач по защите разнообразен (контроль доступа, аудит, шифрование информации, антивирусная защита, контроль сетевого трафика и т.д.). Технические средства безопасности могут быть либо встроены в программное (ОС, приложения) и аппаратное (компьютеры и коммуникационное оборудование) обеспечение сети, либо реализованы в виде отдельных продуктов, созданных специально для решения проблем безопасности.

Политика безопасности

Политика информационной безопасности определяет, какую информацию и от кого следует защищать, каков может быть ущерб от успешно реализованной угрозы, какими средствами вести защиту. Специалисты, ответственные за безопасность системы, формируя политику безопасности, должны учитывать несколько базовых принципов:

• Предоставление каждому сотруднику предприятия того минимального уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей.
• Использование комплексного подхода к обеспечению безопасности. Это подразумевает использование самых разных средств безопасности, начиная с организационно- административных запретов и кончая встроенными средствами сетевой аппаратуры.
• Используя многоуровневую систему защиты, важно обеспечивать баланс надежности защиты всех уровней.
• Использование средств, которые при отказе переходят в состояние максимальной защиты . Это касается самых различных средств безопасности.
• Принцип единого контрольно-пропускного пункта – весь входящий во внутреннюю сеть и выходящий во внешнюю сеть трафик должен проходить через единственный узел сети, например через межсетевой экран. Только это позволяет в достаточной мере контролировать трафик.
• Принцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение. Ни одна система безопасности не гарантирует защиту данных на 100%, т.к. является результатом компромисса между возможными рисками и возможными затратами.

При определении политики безопасности для сети, имеющей выход в Интернет, рекомендуется разделить задачу на 2-е части: выработать политику доступа к сетевым службам Интернета и выработать политику доступа к ресурсам внутренней сети компании.

Политика доступа к сетевым службам Интернета :

• Определение списка служб Интернета, к которым пользователи внутренней сети должны иметь ограниченный доступ.
• Определение ограничений на методы доступа, например на использование протоколов SLIP и PPP.
• Принятие решения о том, разрешен ли доступ внешних пользователей из Интернета во внутреннюю сеть.

Политика доступа к ресурсам внутренней сети компании может быть выражена в одном из двух принципов:

• Запрещать все, что не разрешено в явном виде;
• Разрешать все, что не запрещено в явном виде.

Одним из новых факторов, резко повысивших уязвимость данных, хранящихся в компьютерных системах, является массовое производство программно-совместимых персональных компьютеров, которое можно назвать одной из причин появления нового класса программ вандалов - компьютерных вирусов.

Компьютерный вирус - это специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в системные файлы, файлы других программ, вычислительные файлы в целях нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе персонального компьютера. На сегодняшний день дополнительно к тысячам уже известных вирусов появляется 100- 150 новых штаммов ежемесячно.

Учитывая алгоритмы работы и способы воздействия вирусов на программное обеспечение, их можно условно классифицировать по следующим признакам.

По среде обитания:

• файловые вирусы, поражающие исполняемые файлы, т. е. файлы с расширением.com, .exe, sys, .bat;
• вирусы, поражающие загрузочные секторы;
• сетевые, распространяющиеся по компьютерным сетям;
• драйверные, поражающие драйвера устройств.

По особенностям алгоритма:

По способу заражения:

• резидентный вирус - при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера;
• нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По деструктивным особенностям:

• неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
• опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;
• очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

Каким бы ни был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов:

• общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя. К ним относится копирование информации - создание копий файлов и системных областей дисков и разграничение доступа;
• профилактические меры, позволяющие уменьшить вероятность заражения вирусом: работа с дискетами, защищенными от записи, минимизация периодов доступности дискетки для записи, раздельное хранение вновь полученных и эксплуатировавшихся ранее программ, хранение программ на «винчестере» в архивированном виде;
• организационные меры, состоящие в обучении персонала; обеспечение физической безопасности компьютера и магнитных носителей; создание и отработка плана восстановления «винчестера» и др;
• специализированные программы для защиты от вирусов.

Поскольку использование антивирусных программ является основным средством защиты информации от компьютерных вирусов, то данный вопрос рассмотрим более подробно.

Выделяют следующие виды антивирусных программ: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей «известны». Некоторые программы-детекторы, например Norton Antivirus или AVSP фирмы «Диалог-МГУ», могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не менее невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Большинство программ-детекторов имеют функцию «доктора», т. е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл autoexec.bat. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.

Многие программы-ревизоры являются довольно «интеллектуальными» - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Другие программы часто используют различные полумеры - пытаются обнаружить вирус в оперативной памяти, требуют вызовы из первой строки файла autoexec.bat, надеясь работать на «чистом» компьютере, и т. д. Увы, против некоторых «хитрых» вирусов все это бесполезно.

В последнее время появились очень полезные гибриды ревизоров и докторов, т. е. Доктора-ревизоры - программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

Существуют также программы-фильтры, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

В настоящее время разделение антивирусных программ на виды не является жестким, многие антивирусные программы совмещают различные функции. Производители антивирусных программ начали создавать не просто программы антивирусы, а комплексные средства для борьбы с вирусами. Одна из наиболее популярных и наиболее универсальных антивирусных программ - DoctorWeb, антивирус Касперского Personal Pro, Norton Antivirus Professional Edition. Это универсальные и перспективные антивирусные программы, сочетающие функции антивирусного сканера, резидентного сторожа и доктора.

В качестве перспективного подхода к защите от компьютерных вирусов в последние годы все чаще применяется сочетание программных и аппаратных методов защиты. Среди аппаратных устройств такого плана можно отметить специальные антивирусные платы, которые вставляются в стандартные слоты расширения компьютера.