А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
280<br />
<strong>В</strong>ся хитрость быстрого распознавания состоит в сочетании двух подходов и получении<br />
наиболее подробного каталога поведенческих штампов за возможно более короткое<br />
время. Для проверки факта заражения файла вирусом специалисты могут использовать<br />
различные варианты искусственного интеллекта — экспертные системы и<br />
нейронные сети.<br />
Недостаток эвристического подхода состоит как раз в его эвристичности. <strong>В</strong>сегда<br />
есть вероятность, что чрезвычайно подозрительный файл в действительности совершенно<br />
безобиден. Однако последний эвристический механизм Symantec под названием<br />
Bloodhound позволяет обнаружить до 80% неизвестных вирусов выполняемых файлов<br />
и до 90% неизвестных макровирусов.<br />
Стоит также заметить, что программы-детекторы не слишком универсальны, поскольку<br />
способны обнаружить только известные вирусы. Некоторым таким программам<br />
можно сообщить специальную последовательность байт, характерную для какого-то<br />
вируса, и они смогут обнаружить инфицированные им файлы: например, это умеют<br />
NotronAntiVirus или AVP-сканер.<br />
Программа Aidstest устарела и сейчас уже практически не используется. Наиболее<br />
широкое распространение получили программы DrWeb и AVP. Благодаря своим новейшим<br />
детекторам, они могут обнаружить любые вирусы: как самые старые, так и<br />
только что появившиеся. Еще нужно упомянуть детектор ADinf. Эта антивирусная<br />
программа обнаруживает все вирусы, не изменяющие длину файлов, невидимые вирусы,<br />
и многие другие. Таким образом, эти три программы обеспечивают мощнейшую<br />
защиту против вирусов. <strong>В</strong>се эти программы можно вписать в файл AUTOEXEC.BAT,<br />
тогда при загрузке компьютера проверка на заражение вирусом будет проводиться<br />
автоматически. Кстати, на Западе тоже предпочитают пользоваться такими российскими<br />
программами, как DrWeb и AVP.<br />
Несколько лет назад детекторы практически уступили свои позиции программам,<br />
называемых полифагами, но сегодня они вновь возвращаются на компьютерный<br />
рынок.<br />
Для тех, кто пользуется только лицензионным программным обеспечением, нет<br />
необходимости тратить время на лечение зараженных вирусом файлов. Проще восстановить<br />
зараженную программу с дистрибутива. Но в связи с тем, что даже во многих<br />
достаточно крупных организациях очень часто используют не лицензионную, а<br />
«пиратскую» продукцию (возможно, уже зараженную вирусом), то и чистые детекторы<br />
(сканеры) еще не скоро будут в состоянии конкурировать с фагами.<br />
Фаги (полифаги) (scanner/cleaner, scaner/remover) — программы, способные не<br />
только обнаруживать, но и уничтожать вирусы, т. е. лечить «больные» программы<br />
(полифаг может уничтожить много вирусов). К полифагам относится и такая старая<br />
программа, как Aidstest, которая обнаруживает и обезвреживает около 2000 вирусов.<br />
Основной принцип работы традиционного фага прост и секретом не является. Для<br />
каждого вируса путем анализа его кода, способов заражения файлов и т. д. выделяется<br />
некоторая характерная только для него последовательность байт. Эта последовательность<br />
называется сигнатурой данного вируса. Поиск вирусов в простейшем случае<br />
сводится к поиску их сигнатур (так работает любой детектор). Современные фаги используют<br />
другие методы поиска вирусов.