Antivirus93

515 views

Published on

Статья о российских антивирусах, "Мир ПК", 8'93.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
515
On SlideShare
0
From Embeds
0
Number of Embeds
14
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Antivirus93

  1. 1. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ идут разработчики большинстваСовременные антивирусных пакетов. Причем здесь возможны различные вари­ анты — от создания антивирусов с внешней постоянно пополняе­технологии борьбы мой базой данных (отечественный пакет «Доктор Касперский» и американский Norton Antivirus) дос вирусами постоянно обновляемых антиви­ русных программ (наиболее попу­ лярная в России программа Aidstest, новые версии которой выходят два раза в неделю). Не­Д.Ю. Мостовой достатки этого подхода очевидны. Во-первых, все эти программы не успевают за появлением новыхПоток вирусов захлестнул IBM-совместимые вирусов и, во-вторых, не решаюткомпьютеры. Однако российские программисты проблемы локальных эпидемий, возникающих далеко от центровне дремлют — новые, не имеющие аналогов создания антивирусов. Другой подход основан на со­на Западе эффективные средства обнаружения здании средств, препятствующихи удаления известных и неизвестных вирусов заражению компьютера любым новым или старым вирусом. Про­спасают положение. граммы, реализующие этот под­ ход, получили название «рези­ дентных сторожей». Но грамотно написанные вирусы достаточноН аверняка большинство поль­ зователей ПК в своейпрактике хотя бы раз сталкива­ же, благодаря развитию средств обнаружения и удаления вирусов, а также возросшему уровню зна­ легко обходят чисто программных сторожей, поэтому действительно надежную защиту может датьлись с компьютерными вируса­ ний и понимания проблемы поль­ только сочетание программных ими. Для многих эти встречи за­ зователями, глобальные эпидемии аппаратных средств. Такие систе­кончились благополучно, но не возникают. Последней крупной мы получили название аппаратно-иные понесли ощутимые потери эпидемией, поразившей массу программных антивирусных комп­и теперь с негодованием вспо­ компьютеров, была эпидемия виру­ лексов. Сейчас создано несколькоминают о поразившей их «ин­ са DIR в августе—октябре 1991 г. подобных комплексов, но, на мойфекции». Немалая часть этой Для сегодняшней ситуации харак­ взгляд, наиболее удачна система«заразы» создана в странах быв­ терны локальные эпидемии: но­ Sheriff (автор Ю.Н. Фомин), ужешего СССР стараниями отечест­ вый вирус поражает массу компь­ выпускаемая серийно. Sheriff со­венных программистов. Часто ютеров в рамках одного города, а держит плату, фиксирующую об­ситуация с вирусами в России иногда и предприятия или фирмы, ращения к жесткому диску нахарактеризуется как «российский не выходя за их пределы. уровне портов, и драйвер защиты.вирусный взрыв». Каждая неделя Однако такое изменение ситу­ Эта система была создана болееприносит 3—5, а иногда и боль­ ации еще больше осложнило про­ года назад и успешно эксплуати­ше новых вирусов. Всего, по блему борьбы с вирусами. Если руется на сотнях компьютеров вооценкам разных специалистов, в раньше в случае заражения поль­ многих фирмах и банках. Там, гденастоящее время в мире насчи­ зователям было достаточно найти она установлена, гарантируетсятывается от 2000 до 3000 виру­ одну-две антивирусных програм­ практически полная защищен­сов, поражающих IBM-совмести­ мы, чтобы удалить вирус, то сей­ ность от компьютерных вирусов.мые ПК. час антивирусных программ для Однако и аппаратно-програм­ каждого конкретного нового виру­ мные комплексы не лишены недо­Новые времена са, как правило, не существует. статков. Во-первых, они использу­ Для борьбы с сегодняшним пото­ ют и без того небогатые ресурсы За последние два года ситуа­ ком вирусов и с вызываемыми компьютера (одно из аппаратныхция с вирусами существенно из­ ими локальными эпидемиями прерываний IRQ), а во-вторых,менилась. Раньше по миру гуляли нужны принципиально новые под­ значительно ограничивают дейст­несколько вирусов, вызывающих ходы, которые реализуются совре­ вия пользователя, что, впрочем,то здесь то там эпидемии. Эти менными программами. Перечис­ малосущественно для учрежденче­вирусы были всем известны свои­ лим их. ских вычислений. Иными слова­ми звучными именами: «Черный Экстенсивный подход — нара­ ми, такие системы имеют своймститель», «Черная пятница», щивание знаний о все новых и круг пользователей, для которых«Падающие буквы» и т.д. Теперь новых вирусах. По этому пути они идеальны.82 МИР ПК № 8/93
  2. 2. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ А как же быть остальным Эти проблемы успешно решены в мого обращения к BIOS непользователям IBM-совместимых ревизоре ADinf, входящем в со­ только не оставляет лазеек длякомпьютеров? Для них существует став антивирусного комплекта, маскировки stealth-вирусов, нотретий подход к защите от виру­ выпускаемого АО «ДиалогНаука». и позволяет обеспечить весьмасов — использование универсаль­ Ревизор ADinf обнаруживает высокую скорость проверки ди­ных антивирусных программ. появление любого вируса из су­ ска. Так, логический диск объ­ ществующих, включая stealth-ви­ емом 125 Мбайт на компьютереРевизор ADinf русы и неизвестные на сегодняш­ AT 386/33 проверяется ревизо­ ний день вирусы. ром ADinf за 15 с! Объем таблиц Еще несколько лет назад ана­ Как это делается? Программа с описанием диска составляетлиз тенденции роста числа виру­ ADinf определяет адрес обработ­ около 30 Кбайт. ADinf обладаетсов показал, что путь создания чика прерывания Int 13h в BIOS гибкой системой настройки на со­антивирусных программ, основан­ и анализирует информацию, читая став контролируемой информации.ных на знании характеристик диск по секторам путем прямого Гибкая настройка, высокая ско­конкретных вирусов, приведет в обращения к BIOS. При анализе рость совместно с высокой на­тупик — причем вне зависимости диска не используются средства дежностью обнаружения вирусовот способа построения таких про­ операционной системы, что по­ позволяют рекомендовать ADinf вграмм. Описания вирусов могут зволяет легко обнаруживать мас­ качестве повседневного антиви­быть частью программы или хра­ кирующиеся stealth-вирусы. При русного средства.ниться во внешней базе данных. первом запуске ADinf запоминает В ревизоре ADinf реализованВ любом случае число новых ви­ образы сектора начальной загруз­ еще один интересный алгоритм, нерусов потенциально бесконечно, а ки, загрузочных секторов логиче­ имеющий аналогов в других анти­объем программы ограничен. Мы ских дисков, список номеров вирусных программах. Речь идет остали искать другое решение этой сбойных кластеров, структуру де­ поиске stealth-вирусов, основанномпроблемы, которое вылилось в рева каталогов, информацию о именно на их способности к мас­создание антивирусной программы файлах на диске, включающую кировке! Как это ни странно, спо­Advanced Diskinfoscope (ADinf), длины файлов, дату и время, а собность к маскировке оказаласьпостроенной на иных принципах. также контрольные суммы фай­ слабым местом stealth-вирусов, по­Очевидно, что можно организо­ лов. При последующих запусках зволяющим легко обнаружить ихвать защиту гораздо надежнее, ADinf проверяет сохранность этой присутствие. Достаточно сравнитьесли накапливать данные, не опи­ информации и сообщает обо всех информацию о файлах, выдаваемуюсывающие теоретически неограни­ произошедших изменениях. Особо DOS, с фактически содержащейсяченное число вирусов, а содержа­ отслеживаются вирусоподобные на диске, и несовпадение данныхщие конечный объем информации изменения, о которых немедленно однозначно скажет о наличии ви­о каждом конкретном логическом выдается предупреждение. К подо­ руса. То есть именно способностьдиске. Эта идея частично вопло­ зрительным вирусоподобным из­ к маскировке и демаскирует этищена и в других программных менениям относятся изменение вирусы!!! Умение ревизора ADinfпродуктах, таких, как ревизор длины или контрольной суммы собирать информацию о диске наSentry из пакета McAfee, Norton файла без изменения даты и вре­ уровне BIOS позволило успешноAntivirus, Microsoft Antivirus. Но в мени его создания, появление реализовать такие алгоритмы срав­этих пакетах она далека от того, времени создания файла с числом нения.чтобы ею можно было практиче­ секунд больше 58 или даты со­ски пользоваться. А именно: ни здания файла больше текущей. Лечащий блокодна из этих программ не гаран­ Кроме того, ревизор ADinf позво­тирует надежного обнаружения ляет назначить список неизменяе­ Использование ревизора ADinfвсех типов вирусов и ни одна из мых файлов, любая модификация дает возможность своевременноэтих программ не умеет восста­ которых относится к подозритель­ обнаружить заражение и избе­навливать файлы, зараженные ви­ ным изменениям. ADinf следит за жать эпидемии. Однако, что жерусом, на основе запомненной созданием и удалением подката­ делать, если вирус обнаружен?ранее информации. логов, созданием, удалением, пе­ Если это boot-вирус, то ADinf по­ Программы, обнаруживающие ремещением и переименованием зволяет немедленно восстановитьвирусы на основе запомненной файлов, появлением новых сбой­ прежний загрузочный сектор, ко­информации о состоянии данных ных кластеров, сохранностью за­ торый он хранит в своих табли­на диске, получили название «ре­ грузочных секторов и за многим цах, и тем самым мгновенно ре­визоры диска». При создании та­ другим. Таким образом перекры­ шить проблему. Если это файло­ких программ возникает ряд про­ ваются все возможные места для вый вирус, то вам на помощьблем, основные из которых — су­ незаметного внедрения вируса в придет лечащий блок ревизораществование так называемых систему. ADinf, разработанный B.C. Лады­stealth-вирусов, маскирующих свое Казалось бы, что столь жест­ гиным и Д.Г. Зуевым и получив­присутствие на зараженной ма­ кий контроль диска должен отни­ ший название ADinf Cure Module.шине, и сложность обеспечения мать много времени и создавать Оказалось, что подход, осно­достаточного быстродействия и неудобства в работе. Однако это ванный на знании конечного объ­удобства использования ревизора. не так. Чтение дисков путем пря­ ема информации о каждом конк- МИР ПК № 8/93 83
  3. 3. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕретном диске вместо знания в метить изменения и, получив раз­ Ревизоры диска, конечно, тожелицо теоретически бесконечного решение пользователя, снова вы­ не панацея от компьютерных ви­числа вирусов, позволяет не толь­ звать ADinf Cure Module, который русов. Основным их недостаткомко легко обнаруживать вирусы, но на основе сопоставления текущей является необходимость повсед­и успешно удалять их из зара­ и записанной ранее информации невного использования, чтобы от­женных файлов. При этом удаля­ попытается восстановить исходное слеживать все изменения на дис­ются как старые, так и новые, не­ состояние зараженного файла. Ес­ ке. И хотя такой запуск отнимаетизвестные пока вирусы. Програм­ ли такая попытка, по мнению 30—40 с в сутки, большинствома ADinf Cure Module позволяет ADinf Cure Module, оказалась ус­ пользователей предпочитают житьнемедленно удалить до 97% из пешной, то можете быть спокой­ по принципу «пока гром не гря­них. Это число получено в ре­ ны — файл восстановлен. нет, мужик не перекрестится» изультате тестирования программы Объем таблиц с информа­ начинают искать антивирусныена наборе из 750 файлов, зара­ цией, необходимой для вос­ программы только тогда, когда сженных разными вирусами, реаль­ становления файлов, состав­ компьютером уже творится что-тоно распространенными на терри­ ляет около 200—250 Кбайт на неладное. В этом случае ревизор,тории бывшего СССР. один логический диск объ­ впрочем, как и аппаратно-про­ На чем же основаны уни­ емом 40 Мбайт. В перспективе граммные комплексы, помочь ужеверсальные методы удаления виру­ объем таблиц можно уменьшить не может. Однако, если пользова­сов? Среди огромного разнообра­ приблизительно до 90 Кбайт. тель заранее беспокоится о без­зия вирусов существует очень не­ Блок ADinf Cure Module мо­ опасности своих данных, то реви­много различных способов внед­ жет вылечить программы не от зор диска с лечащим модулемрения в файлы. Этим и пользует­ любого, а только от «почти любо­ обеспечивает надежную защиту отся ADinf Cure Module. Во время го» вируса. Среди нескольких ты­ вирусов.нормальной работы при регуляр­ сяч известных на настоящий мо­ном запуске ревизора ADinf он мент файловых вирусов существу­ ОБ АВТОРЕсообщает лечащему блоку о том, ет, наверное, несколько десятков, Дмитрий Юрьевич Мостовой —какие файлы изменились с мо­ против которых ADinf Cure к. ф.-м. н., ведущий научный со­мента последнего запуска, а тот Module может оказаться бессилен. трудник АО «ДиалогНаука».просматривает эти файлы и запи­ Но тем не менее, если противсывает в свои таблицы информа­ более чем 97% существующих и Контактный тел.: (095) 135-6253,цию, которая может потребовать­ новых вирусов он поможет, то, тел./факс: (095) 938-2970,ся для восстановления при зара­ согласитесь, это не так уж и пло­ (095) 137-0150.жении вирусом. Если заражение хо. Кстати, 100% не дает ни одна E-mail: dmost@dials.msk.suпроизошло, то ADinf должен за­ антивирусная программа... FidoNet: 2:5020/69.4

×