§1. Что такое антивирус?
Антивирус это программа или система программных средств и утилит, которые идентифицируют вредоносный код вирусов и борются с их проявлениями. Известен огромный перечень антивирусных программ. различающихся своими оболочками, под которыми скрывается практически одна и та же суть.
§2. Для чего существуют антивирусы?
Антивирусы предназначены для борьбы как с единичными вирусами, так и для противостояния, так называемым, вирусными атакам и эпидемиям. Эффективность антивирусных средств не бесконечна по их способностям и возможностям: какой функционал заложен разработчиками, такими возможностями и свойствами и обладает такого рода специализированное программное обеспечение.
§3. Как выявляется вредоносный код?
Выявление вредоносного потенциала и идентификация вирусного кода производится путём сравнения исполняемого кода или данных, которые могут быть исполнены как программный код, с сигнатурами вирусов, которые хранятся в базах данных, исследованных и известных штаммов вирусов.
§4. Каким образом работает механизм идентификации и поиска вирусов?
Подозрительный код, который проявился своим вредоносным влиянием, подвергается исследованию, помещается в так называемый карантин, и, к сожалению, не без человеческого участия, изучается. Если этот код действительно похож на вирус или есть подтверждение того, что он оказал вредное влияние, блокировал или вывел из строя компьютеры или компьютерную сеть, то такой код признаётся вирусом. Характерную часть кода вычленяют и создают из него так называемую сигнатуру, по аналогии того, как слепок следа или отпечатки пальцев, в дактилоскопии.
§5. Как формируются базы вирусных сигнатур?
Базы данных с известными вирусными сигнатурами собираются и аккумулируются. Потом такие антивирусные базы распространяются среди пользователей. Антивирусные программы, работающие на клиентских компьютерах, могут получать обновления баз данных вирусных сигнатур по подписке через сеть Интернет или поставляются через другие известные и доступные источники передачи информации, как носители на оптических дисках и т. п. Самым быстрым и оперативным всё же является сетевой способ обновления.
§6. Каким образом работают сами антивирусы?
Антивирусное программное обеспечение (АПО), устроено так, что анализирует программный код и данные путём сканирования файлов и потоков принимаемых данных в компьютер по сети, потом сравнивает эти данные с сигнатурами из баз данных сигнатур известных вирусов.
§7. Зачем надо вести обработку данных в реальном масштабе времени?
Процесс может происходить в реальном масштабе времени, что предпочтительно для обслуживания сети, но требует больше ресурсов процессора и оперативной памяти, либо диагностика откладывается на некоторое время и АПО производит анализ в моменты снижения нагрузки на центральный процессор компьютерной системы и высвобождения достаточного количества оперативной памяти.
§8. Как используются базы вирусных сигнатур?
Если происходит совпадение сигнатур хранимых в базе данных вирусных сигнатур с кодом анализируемого фрагмента файла или потока данных, то антивирус оповещает пользователя локально или удалённо, что компьютерная система содержит вредоносный код. В соответствии с заданными настройками антивирус может удалить данные из системы или поместить их в карантин для последующего анализа.
§9. Из каких модулей состоят антивирусы?
Антивирусы, как правило, состоят из двух модулей, на которых следует остановить внимание. Это сканер антивируса и монитор, главное их отличие именно в том, о чём упоминалось выше. АПО может иметь единое ядро, а вот работа компонент сканера и монитора, обычно разделяются во времени, чтобы экономить и рационально использовать компьютерные ресурсы.
§10. Когда работает антивирусный сканер?
Антивирусный сканер работает во время начальной загрузки системы и по мере необходимости, или спланированного администратором компьютера графика. Чтобы запускать сканер в то время, когда его работа гарантированно не будет влиять на основное использования компьютерной системы.
§11. Почему для работы сканера требуется много ресурсов?
Сканер может использовать все 100% ресурса компьютера, т. к. производимая им работа требует обработки очень больших объёмов данных, хранимых на жёстких дисках компьютера. Чтобы завершить процесс сканирования быстрее и освободить ресурсы для использования компьютера по основному назначению, требуется достаточно много времени и задействовать огромное количество ресурсов. Поэтому в настройках АПО можно указывать, какие данные надо сканировать чаще, а какие периодически. Эмпирически определено, что более пристально надо следить за файлами, имеющими системное назначение и теми, которые изменились недавно.
§12. Когда работает антивирусный монитор?
Вторая важная часть АПО это антивирусный монитор, и он, в отличие от сканера, работает в реальном масштабе времени и обследует файлы, сразу, как они изменяются или только получены из сети. А так же монитор контролирует файлы при любых попытках доступа к файлам, когда производятся операции, результатом которых может быть изменение содержимого файла. Например, чтение с возможной последующей записью, т. е. обновление. Либо создание нового файла, в который, скорее всего, будет производиться последующая запись. Иначе, зачем создаётся файл нулевого размера?
§13. Какие ещё модули включает антивирусное программное обеспечение?
АПО имеет и другие модули, которые не менее важны, например тот, который предназначен для удаления вируса из файла, т. е. произведения операции по «излечению» заражённого или инфицированного файла.
§14. Почему не всегда возможно «вылечить» файлы от вирусов?
В тех случаях, когда вирус перезаписал своё тело непосредственно поверх данных или исполняемого кода, то исцелить такой файл невозможно.
§15. Как и зачем вирусы сохраняют изменённый код?
Хотя вирусы чаще всего сохраняют фрагмент кода в ином месте, помещая взамен код своего тела, опять же не из гуманных соображений, а для усложнения идентификации и обнаружения самого вируса. Вирус обычно перехватывает системные функции управления файлами и поэтому при обращении к файлу подставляет истинное содержимое файла, заменяя фрагмент кода, где он сам расположился, тем, что было до заражения, вот так!
§16. Почему некоторые вирусы безвозвратно портят файлы?
Но бывают и встречаются вирусы, разработчики которых не реализовали такую возможность, так они, вирусы, просто безвозвратно повреждают файлы и их восстановить невозможно, такие файлы монитор может поместить в карантин или только удалить.
§17. Как восстановить утраченные файлы, повреждённые вирусом?
Действия антивирусного монитора протоколируются и, просмотрев протоколы, администратор может вручную восстановить повреждённые файлы, взяв их из резервной копии или из дистрибутива программного обеспечения. Хуже всего, когда вирус повреждает файл, который находился в использовании, т. е. в него вносились текущие изменения. В таком случае результат чьей-то текущей работы может быть утрачен из-за вирусной атаки.
§18. Эвристический анализатор, что это?
АПО в дополнение к возможности тупого сканирования и сравнивания с сигнатурами, данных и исполняемого кода с вирусами известных штаммов, часто дополняется эвристическими анализаторами. Это самое действенное оружие из известных средств для противодействия ещё неизвестным вирусам, но то, как функционируют реальные эвристические анализаторы, подвергается компетентной критике.
§19. Зачем в антивирусы включают эвристические анализаторы?
Эвристические анализаторы были задуманы так, чтобы «парсить» (от англ. parse – разбирать) код, т. е. производить его разборку на элементарные фрагменты, из которых могут генерироваться последовательности потенциально опасных комбинаций. Такие наборы кода могут применяться в новых разработках вирусов, поэтому такие комбинации кода не считаются легитимными, и они обычно не создаются трансляторами исходного кода программ и компиляторами. Т. е. по определению таких комбинаций групп кодов не должны встречаться среди компьютерных данных. Всё очень здорово и кажется что квинтэссенция у добрых людей в руках, почему же новые вирусы появляются вновь и вновь?
§20. Какова эффективность эвристического анализатора?
АПО без эвристического анализатора способно распознавать и возможно обезвредить лишь только те вирусы, которые отловлены и уже известны, на них уже имеются сигнатуры в базах данных, возможно, требуется лишь получить самое свежее обновление. Понятно, что эффективность такого противостояния вредоносному коду весьма ограничена. А как же с эвристическими анализаторами, ведь они вроде бы умеют и знают, если не всё, так практически всё.
§21. Почему всё же не так эффективны эвристические анализаторы?
Причина неэффективности эвристических анализаторов кроется в том, что, как оказывается, случаев определения кода как потенциально опасного, возникает гораздо больше, чем можно было предположить. Происходит это потому, что файлы данных могут не обязательно содержать исключительно только исполняемый код. Но и данные, как картинки, видео и прочую мультимедийную и еще много какой иной сути.
§22. В чём состоят неразрешимые проблемы эвристических анализаторов?
Ложное срабатывание эвристического анализа бывает настолько часто, что его использовать становится затруднительно. И эта первая проблема. А вторая проблема состоит в том, что все варианты комбинаций потенциально опасного кода практически невозможно предположить, сочетаний такового огромное множество. В результате получается, что первую проблему можно только усугубить, наращивая варианты новыми комбинациями потенциально опасных сочетаний, которые могут встречаться в совершенно любых файлах, кроме самого программного кода.
§23. Почему появляются новые вирусы?
И, наконец, еще одна напасть и причина появления новых вирусов. Новые вирусы не всегда являются очередным плодом непосильного труда высокоинтеллектуального компьютерного гуру. Самые простые и банальные модификации вирусов уже известных и изученных чуть ли не вдоль и поперёк всё появляются и появляются.
§24. Почему «новые» вирусы не именуются, а просто нумеруются как подверсии?
Чтобы в этом убедиться, достаточно взглянуть листы обновлений вирусных баз, которыми они сопровождаются, либо перечни наименований вирусов и номера подверсий. Эти номера и есть ничто иное как счётчики модификаций, т. к. новых названий на эти подверсии не находится и их даже не пытаются придумывать при классификации.
§25. В чём сложности борьбы с клонами или это надуманная проблема?
О чём это говорит? Лишь о том, что различия между версиями одного и того же клона в модификациях совершенно незначительны, но этого оказывается вполне достаточным, чтобы антивирусы против этих модификаций оказывались беззубыми «стариками» и упускали их из виду и из подозрения на вредоносный код.
§26. Кому выгодны модификации вирусов и порождаемые ими инфекции?
Тут дело не в сложностях эвристического анализа, а, скорее, в коммерческой стороне вопроса существования самих компаний — производителей АПО, которые практически торгуют воздухом — базами данных, являющимися обновлениями сигнатур вирусов. Если клоны автоматически идентифицировать, то это сравни «спиливанию сучка», на котором сидят и безбедно существуют монополисты производители и распространители АПО и обновлений.
§27. Как создаются новые вирусы?
Большого ума не надо, чтобы создавать новые вирусы на базе уже имеющихся известных вирусов. Модификаторы с автоматической генерацией вирусов находятся в свободном хождении на просторах Интернета, любой школьник может ими воспользоваться. Некоторые вирусы в своём чреве содержат подобного рода модификаторы, они модифицируют свой код при инфицировании и этим создаётся значительно большая угроза вирусных эпидемий. Модифицированный код вирусов может без преград просачиваться через фильтры АПО, а в назначенное время активации всё это вирусное братство может просто взорвать весь Интернет и парализовать его работу.
§28. В чём корень «зла», в ущербности функционала антивирусов или в интересе сбора денег с подписчиков на антивирусы и финансово обоснованном нежелании бороться с вирусами?
Хотя механизмы самоиндификации вирусов достаточно просты и в подавляющем большинстве известны и раскрыта, производители АПО не спешат бороться с этим злом, ибо это «зло» приносит им прибыль, и они заинтересованы в том, что это «зло» существует. Причём заинтересованы финансово и намного больше, чем имеют желания бороться против этого «зла». И это не единственный факт непристойного поведения со стороны производителей АПО, но это уже тема другой статьи.
Н адеюсь, теперь основные принципы работы антивирусов тебе понятны. Рекомендую пользоваться только лицензионными антивирусами с самыми свежими базами. И, конечно, своим главным инструментом — головой.