ревізори змін

Матеріал з Вікі ЦДУ
Версія від 13:23, 3 грудня 2008; Александр Spirit (обговореннявнесок)

(різн.) ← Попередня версія • Поточна версія (різн.) • Новіша версія → (різн.)
Перейти до: навігація, пошук

Ревізори змін

Третій різновид антивірусів – ревізори змін (integrity checkers). Ця технологія захисту заснована на тому факті, що віруси є звичайними комп'ютерними програмами, що мають здатність таємно створювати нові або упроваджуватися у вже існуючі об'єкти (файли, завантажувальні сектори). Іншими словами, вони залишають сліди у файловій системі, які потім можна відстежити і виявити факт присутності шкідливої програми.

Принцип роботи ревізорів змін заснований на знятті оригінальних “відбитків” (CRC-сум) з файлів, системних секторів і системного реєстру. Ці “відбитки” зберігаються в базі даних. При наступному запуску ревізор звіряє “відбитки” з їх оригіналами і повідомляє користувача про зміни, що відбулися, окремо виділяючи вірусоподібні та інші, не підозрілі, зміни.

У 1990 році перші віруси-невидимки (stealth) Frodo і Whale трохи не поставили під сумнів ефективність цього типу антивірусів. Технологія роботи вірусів-невидимок грунтується на захованні своєї присутності в системі за допомогою підстановки у разі спроби перевірки заражених файлів і завантажувальних секторів антивірусними програмами їх "чистих" варіантів. Такі віруси перехоплюють переривання звернення до диска і, при виявленні спроби запустити або прочитати заражений об'єкт, підставляють його незаражену копію. Не дивлячись на це, ревізори "навчилися" звертатися до дисків безпосередньо через драйвер дискової підсистеми IOS (супервізор введення-виведення), минувши системні переривання, що дозволило їм успішно виявляти навіть віруси-невидимки.

До переваг найбільш просунутих ревізорів змін варто віднести виключно високу швидкість роботи, низькі вимоги до апаратної частини комп'ютера, високий відсоток відновлення файлів і завантажувальних секторів, пошкоджених вірусами, зокрема невідомими. Їх підхід до лікування заражених об'єктів грунтується не на знанні як виглядає вірус, а на знанні як виглядає "чистий" файл або сектор: все, що "псує чистоту" розглядається як зміна, гідна уваги ревізора, який здатний повернути об'єкт до початкового стану. Саме тому ревізори не вимагають громіздкої антивірусної бази даних, задовольняючись лише описами способів впровадження вірусів, які займають, залежно від продукту, всього від 300 до 500 кілобайт. Знаючи ці способи, програма може швидко і ефективно видалити вірус незалежно від того, де знаходиться його код: початку, середині, кінці або ж взагалі розкиданий у вигляді невеликих шматків по всьому зараженому об'єкту. У ревізорів змін теж є свої недоліки. По-перше, вони не здатні зловити вірус у момент його появи в системі, а роблять це лише через деякий час, вже після того, як вірус розійшовся по комп'ютеру. По-друге, вони не можуть визначити вірус в нових файлах (у електронній пошті, на дискетах, у файлах, відновлюваних з резервної копії або при розпаковуванні файлів з архіву), оскільки в їх базах даних відсутня інформація про ці файли. Цим користуються деякі віруси, які використовують цю “слабкість” ревізорів і заражають тільки новостворювані файли, залишаючись, таким чином, невидимими для цих антивірусних програм. По-третє, ревізори вимагають регулярного запуску – чим частіше це відбуватиметься, тим надійніше буде контроль над вірусною активністю.