Jak działa program antywirusowy?
#1
Przypomina on „anioła stróża” komputera: troszczy się o jego „stan zdrowia”, chroni przed wirusami i naprawia uszkodzenia wywołane infekcją wirusową. W dzisiejszych czasach nie można się obyć bez takiego opiekuna. W jaki sposób program antywirusowy wykrywa i usuwa wirusy? Dlaczego należy go stale aktualizować? Czy umożliwia on naprawienie wszystkich zainfekowanych plików? Oto dokładniejszy opis tego niezwykle ważnego narzędzia.

[Aby zobaczyć linki, zarejestruj się tutaj]

Kilka metod ochrony
W programie antywirusowym stosowanych jest kilka metod ochrony, niezależnie od tego, czy program działa w trybie dyskretnym czy doraźnym. Jedną z najbardziej znanych metod ochrony jest dokładne skanowanie komputera. Skanowanie (inicjowane przez użytkownika lub przeprowadzane regularnie) pozwala przeanalizować wszystkie pliki po kolei i sprawdzić, czy nie zawierają one wirusów. Metoda ta jest najskuteczniejsza w przypadku podejrzenia o zainfekowanie komputera wirusem. Istnieje możliwość sprawdzenia wszystkich plików lub ich części albo skoncentrowania się tylko na plikach przechowywanych na dyskietkach.
Podczas skanowania program antywirusowy szuka śladów wirusa za pomocą własnej bazy danych sygnatur wirusów. Podobnie jak wszystkie programy wykonywalne, wirusy składają się z kodów. Za każdym razem, gdy zostanie odkryty nowy wirus, producenci oprogramowania antywirusowego rejestrują kody nazywane „sygnaturami” i dodają je do baz danych swojego oprogramowania. Sygnatura składa się z ciągów znaków niezrozumiałych dla użytkowników, ale czytelnych dla komputera.
Przykład: X5O!P%@AP[4\PZX54(P^)7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Po skopiowaniu tych wierszy do pliku tekstowego i zapisaniu ich jako pliku wykonywalnego o rozszerzeniu .com program antywirusowy rozpozna ten plik jako wirusa, ponieważ kody te są przechowywane w jego bazie danych.

Monitorowanie w czasie rzeczywistym
Skaner umożliwia uzyskanie obrazu systemu w dowolnym momencie. W celu zapewnienia stałej ochrony w czasie rzeczywistym oprogramowanie odwołuje się do środków bezpieczeństwa wymagających zastosowania innej procedury: monitorowania w tle. Ta funkcja ochrony antywirusowej, znana też jako „monitor”, jest przez cały czas aktywna, działając w sposób niezauważalny dla użytkownika. Monitoruje ona wszystkie pliki przychodzące i wychodzące, analizuje każdy nowy dokument zapisany na dyskietce, pobrany z sieci czy przesłany za pośrednictwem poczty e?mail. Proces ciągłego monitorowania pozwala wykryć każdy podejrzany plik i chroni system przed wirusami. Podobnie jak skaner, monitor także korzysta z bazy danych sygnatur wirusów. Jeśli baza nie jest aktualizowana, program antywirusowy nie może wykryć najnowszych zagrożeń. Mimo to wielu użytkowników nie aktualizuje baz sygnatur lub nie robi tego wystarczająco często. Tymczasem zbyt późna aktualizacja bazy może okazać się bardzo groźna w skutkach: pod koniec sierpnia w ciągu zaledwie jednego tygodnia pojawiły się aż trzy wirusy poziomu 3 i 4. Istnieje jeszcze inne źródło zagrożenia: wirusy polimorficzne, których sygnatury zmieniają się wraz z każdą kolejną infekcją. Takie wirusy trudno zidentyfikować za pomocą sygnatur.
W celu rozwiązania tego typu problemów producenci oprogramowania antywirusowego opracowali system wyszukiwania heurystycznego. Pracując niezależnie od sygnatur, system ten wykrywa obecność wirusów przy użyciu technologii sztucznej inteligencji. Rozpoznaje on wzorce zachowań nietypowe dla normalnej pracy aplikacji.
Przykład: Po uruchomieniu normalnego programu zaczyna on szukać opcji wiersza poleceń. Natomiast wirusy zachowują się w różny sposób: szukają plików wykonywalnych, aby się powielić, próbują zapisać się bezpośrednio na dysku lub — jeśli są to wirusy polimorficzne — odszyfrować swój początkowo zaszyfrowany kod itd. Jeśli program antywirusowy wykryje kilka anomalii w aplikacji (np. kod formatowania dysku twardego), wygeneruje alarm wirusowy. Program antywirusowy może następnie zablokować wirusy, które są wciąż nieznane i nie ma ich w bazie danych sygnatur. Związane z tą metodą ryzyko wystąpienia fałszywego alarmu (program antywirusowy może np. pomylić narzędzie do formatowania z wirusem) jest zminimalizowane dzięki jednoczesnemu zastosowaniu innych narzędzi, takich jak kontroler spójności. Narzędzie to regularnie sprawdza określone stałe wartości oprogramowania (takie jak rozmiar, datę utworzenia itd.). Jeśli dane te zmieniły się, oznacza to obecność wirusa.

Błyskawiczna naprawa
Po wykryciu zainfekowanych plików program antywirusowy najpierw poddaje je kwarantannie, aby uniemożliwić wirusowi powielanie się. Następnie próbuje je wyczyścić, usuwając kod wirusa i naprawiając uszkodzone fragmenty. Zastosowanie takiej procedury naprawczej jest możliwe, jeśli wirus rozprzestrzeniał się przez dodawanie swojego kodu do kodu aplikacji. Jednak niektóre wirusy infekują całe pliki i wówczas odzyskanie plików nie jest możliwe. W takim wypadku program antywirusowy poddaje kwarantannie cały plik i zaleca jego usunięcie.

Źródło: Symantec (Materiał info. z 2008)
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości