Одним из основных способов защиты компьютерных сетей предприятий от вирусов и шпионского программного обеспечения является использование антивирусных программ. Антивирусы не всегда используются только в качестве средства лечения уже зараженного компьютера, зачастую их устанавливают на чистый ПК для диагностики и защиты в режиме реального времени.
На данный момент для защиты от вредоносного ПО используется несколько программ разного действия. Как правило, крупные разработчики антивирусного ПО выпускают такие программы целым антивирусным пакетом.
Антивирусы можно разделить по нескольким признакам, но наиболее часто используют два - применяемая защита от вирусов и применяемые способы обнаружения вирусов.
К основным способам обнаружения вирусов относят:
Антивирусный мониторинг. В оперативной памяти защищаемого ПК постоянно находится программа, фиксирующая все события, происходящие на компьютере и выделяющая подозрительные и потенциально опасные – удаление, изменение данных. При обнаружении таких действий со стороны подозрительного процесса они будут приостановлены, а пользователь извещен об этом. Примером программы, осуществляющей антивирусный мониторинг, может служить Spider Guard, являющийся частью антивирусного решения Dr. Web.
Эвристический анализ. Позволяет обнаружить новые вирусы, еще не занесенные в антивирусную базу. Смысл метода сводится к проверке действий, совершаемых процессами ПК на соответствие типичным действиям вредоносного ПО (копирование в память, запись в определенные сектора и т.д.). Пример программы эвристического анализа – McAffee VirusScan.
Обнаружение изменений. Специальная программа-ревизор, входящая в состав антивируса, сохраняет все важные характеристики областей и дисков, которые могут быть подвержены заражению вирусом. В дальнейшем, при простом сопоставлении изначальных данных с ситуацией складывающейся на текущий момент обнаруживаются изменения, сделанные вирусом. Таким способом может быть найден, как известный, так и неизвестный вирус.
Сравнение с эталоном. Самый простой метод поиска вирусов. Перебором сигнатура каждого файла на ПК проверяется на соответствие базе эталонных масок вирусов. При определенной доле совпадения (свыше 90% тела кода), файл признается вирусным. Метод довольно надежен, однако имеет существенный недостаток – распознаются только уже известные виды вирусов.
В зависимости от применяемых способов обнаружения вирусов антивирусные программы делятся на несколько классов:
Сканеры. Основными методами этого класса программ являются метод сравнения с эталоном и метод эвристического анализа. Программа действует последовательным перебором – проверяет каждый файл на соответствие вирусным маскам, при обнаружении выводит уведомление пользователю. Отличительная особенность таких программ в том, что они могут не только находить, но и излечивать зараженный файл, возвращая его в исходное состояние.
CRC-сканеры. Применяют для поиска вирусов метод обнаружения изменений. Принцип действия основан на подсчете CRC-сумм (кодов циклического контроля) для находящихся на ПК файлов. Эти сведения, вместе с дополнительной справочной информацией (датой последней модификации файлов, их количестве, размере и т.д.) сохраняются в БД программы. При каждой следующей загрузке программы текущее состояние компьютера сравнивается с эталонным и при обнаружении несоответствий сигнал тревоги выводится пользователю. Один из самых эффективных методов защиты – при использовании антистелс технологий позволяют обнаружить практически 100% вирусов.
Блокировщики. Применяют метод антивирусного мониторинга. Перехватывают вирусоопасные ситуации, блокируют их и сообщают об этом пользователю.
Каждый из перечисленных методов обнаружения вирусов имеет свои плюсы и минусы, поэтому вполне естественно, что для обеспечения надежной защиты от вирусов необходимо использование антивирусов каждого типа. Современные антивирусные решения выпускаются в виде пакетов узкоспециализированных программ, каждая из которых реализует определенный способ защиты. Примером могут быть такие программные комплексы, как avast антивирус Касперского dr. Web и т.д.