вільної пам'яті на диску в результаті свого поширення).
Безпечні - вплив обмежується зменшенням вільної пам'яті на диску і графічними, звуковими й ін ефектами. Типовими представниками є віруси сімейства Jokes - після запуску Java-скрипта, який міститься всередині html-документа, у користувача починає довільно пересуватися по екрану вікно Internet Explorer.
Небезпечні віруси , які можуть призвести до серйозних збоїв у роботі комп'ютера. До цього класу можна віднести віруси, іменовані "Інтернет-черв'яками" (всілякі I-Worm.Hybris і I-Worm.Tanatos). p> Дуже небезпечні , в алгоритм роботи яких свідомо закладені процедури, що можуть привести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті, і виведення з ладу мікросхеми BIOS. Типовий ворог - вірус WIN95.CIH ("Чорнобиль"). Зараз надзвичайно активні віруси I-Worm.Klez (по 13-му числах парних місяців черв'як шукає на всіх дисках зараженого комп'ютера всі файли і заповнює їх випадковим вмістом. Такі файли не підлягають відновленню і повинні бути замінені з резервних копій. Окремою групою слід виділити шкідливі програми, які в просторіччі іменуються "троянськими програмами" або просто "троянами".
В
2. Основні методи визначення вірусів
Антивірусні програми розвивалися паралельно з еволюцією вірусів. У міру того як з'являлися нові технології створення вірусів, ускладнювався і математичний апарат, який використовувався в розробці антивірусів. p> Перші антивірусні алгоритми будувалися на основі порівняння з еталоном. Йдеться про програми, в яких вірус визначається класичним ядром по деякій масці. Сенс алгоритму полягає у використанні статистичних методів. Маска повинна бути, з одного боку, маленькою, щоб об'єм файлу був прийнятних розмірів, а з іншого - досить великий, щоб уникнути помилкових спрацьовувань (коли В«свійВ» сприймається як В«чужийВ», і навпаки).
Перші антивірусні програми, побудовані за цим принципом (так звані сканери-полифаги), знали деяку кількість вірусів і уміли їх лікувати. Створювалися ці програми наступним чином: розробник, отримавши код вірусу (код вірусу спочатку був статичний), складав за цим кодом унікальну маску (послідовність 10-15 байт) і вносив її в базу даних антивірусної програми. Антивірусна програма сканувала файли і, якщо знаходила дану послідовність байтів, робила висновок про те, що файл інфікований. Дана послідовність (сигнатура) вибиралася таким чином, щоб вона була унікальною і не зустрічалася в звичайному наборі даних. p> Описані підходи використовувалися більшістю антивірусних програм аж до середини 90-х років, коли з'явилися перші поліморфні віруси, які змінювали своє тіло по непередбачуваним заздалегідь алгоритмам. Тоді сигнатурний метод був доповнений так званим емулятором процесора, що дозволяє знаходити шифруються і поліморфні віруси, що не мають в явному вигляді постійної сигнатури.
Принцип емуляції процесора демонструється малюнку 1 (див. слід. сторінку). Якщо зазвичай умовна ланцюжок складається з трьох основних елементів: ЦПУ, ОС, Програма, то при емуляції процесора в такий ланцюжок додається емулятор. Емулятор як би відтворює роботу програми в деякому віртуальному просторі і реконструює її оригінальне вміст. Емулятор завжди здатний перервати виконання програми, контролює її дії, не даючи нічого зіпсувати, і викликає антивірусне скануючий ядро. br/>В
Рис.1. схема роботи емулятора процесу
В
Другий механізм, що з'явився в середині 90-х років і використовується всіма антивірусами, - це евристичний аналіз. Справа в тому, що апарат емуляції процесора, який дозволяє отримати вичавку дій, скоєних аналізованої програмою, що не завжди дає можливість здійснювати пошук за цим діям, але дозволяє справити деякий аналіз і висунути гіпотезу типу В«вірус або не вірус?В».
У даному випадку прийняття рішення грунтується на статистичних підходах. А відповідна програма називається евристичним аналізатором. p> Для того щоб розмножуватися, вірус повинен здійснювати які-небудь конкретні дії: копіювання в пам'ять, запис в сектори і т.д. Евристичний аналізатор (він є частиною антивірусного ядра) містить список таких дій, переглядає виконуваний код програми, визначає, що вона робить, і на основі цього приймає рішення, є дана програма вірусом чи ні. p> При цьому відсоток пропуску вірусу, навіть невідомого антивірусній програмі, дуже малий. Дана технологія зараз широко використовується у всіх антивірусних програмах.
В
3. Класифікація антивірусних програм
Класифікуються антивірусні програми на чисті антивіруси і антивіруси подвійного призначення.
Чисті антивіруси відрізняються наявністю антивірусного ядра, яке виконує функцію сканування за зразками. Принциповим у цьому випадку є те, що можливе лікування, якщо відомий вірус. Чисті антивіруси, у свою...
