Научный подход основан на
анализе не только статики,
но и динамики (не только объектов,
но и процессов). Естественно,
научный подход оказывается продуктивным
и в анализе состояния антивирусной
защиты. Как правило, с научной точки зрения
ни одну из них классификацией назвать
нельзя, так как выполняются они по разным
основаниям. Во внимание не принимается
динамический этап существования информационных
технологий. В результате классификации
пересматриваются каждый раз с появлением
новых антивирусных программ, а отнесение
антивирусной программы к тому или иному
виду носит волюнтаристский характер,
не говоря уже о том, что неверные классификации
неприменимы для прогноза развития и планирования
работ.
В то же время построить
правильную классификацию несложно,
если исходить из того факта,
что деятельность по выявлению
компьютерных вирусов связана
с обработкой информации, и если
рассматривать две формы бытования
информации - статическую (данные) и
динамическую (процессы), то есть
классифицировать по признаку изменяемости
во времени.
Анализ
данных
В полном соответствии с этим
антивирусные средства можно
разделить на две большие группы
- анализирующие данные и анализирующие
процессы.
К анализу данных относятся "ревизоры"
и "полифаги".
"Ревизоры" анализируют последствия
от деятельности компьютерных
вирусов и других вредоносных
программ. Последствия проявляются
в изменении данных, которые изменяться
не должны. Именно факт изменения
данных является признаком деятельности
вредоносных программ с точки
зрения "ревизора". Другими словами,
"ревизоры" контролируют целостность
данных и по факту нарушения
целостности принимают решение
о наличии в компьютерной среде
вредоносных программ.
"Полифаги"
действуют по-другому. Они на
основе анализа данных выделяют
фрагменты вредоносного кода (например,
по его сигнатуре) и на этой
основе делают вывод о наличии
вредоносных программ. Удаление
или "лечение" пораженных
вирусом данных позволяет предупредить
негативные последствия исполнения
вредоносных программ. Таким образом,
на основе анализа "в статике"
предупреждаются последствия, возникающие
"в динамике".
Схема
работы и "ревизоров", и "полифагов"
практически одинакова - сравнить данные
(или их контрольную сумму) с одним
или несколькими эталонными образцами.
Данные сравниваются с данными.
Таким
образом, для того чтобы найти
вирус в своем компьютере, нужно,
чтобы он уже "сработал", чтобы
появились последствия его деятельности.
Этим способом можно найти только
известные вирусы, для которых
заранее описаны фрагменты кода
и/или сигнатуры. Вряд ли такую защиту
можно назвать надежной.
Анализ
процессов
Несколько по-иному работают антивирусные
средства, основанные на анализе процессов.
"Эвристические
анализаторы", так же как и
вышеописанные, анализируют данные
(на диске, в канале, в памяти
и т.п.). Принципиальное отличие
состоит в том, что анализ
проводится в предположении, что
анализируемый код - это не
данные, а команды. Еще раз напомним,
что в компьютерах с фон-неймановской
архитектурой данные и команды
неразличимы, в связи с этим
при анализе и приходится выдвигать
то или иное предположение.
"Эвристический
анализатор" выделяет последовательность
операций, каждой из них присваивает
некоторую оценку "опасности"
и по совокупности "опасности"
принимает решение о том, является
ли данная последовательность
операций частью вредоносного
кода. Сам код при этом не выполняется.
Другим видом антивирусных средств,
основанных на анализе процессов,
являются "поведенческие блокираторы".
В этом случае подозрительный
код выполняется поэтапно до
тех пор, пока совокупность
инициируемых кодом действий
не будет оценена как "опасное"
(либо "безопасное") поведение.
Код при этом выполняется частично,
так как завершение вредоносного
кода можно будет обнаружить
более простыми методами анализа данных.
Анализу можно подвергать данные
и процессы. Данные в нашем
случае можно характеризовать
с помощью понятия "целостность".
Факт нарушения целостности устанавливают
"ревизоры". Конкретный внедренный
код, содержание модификации выявляют
"полифаги". Других вариантов
нет, и, следовательно, развитие
данного направления будет идти
по пути совершенствования уже используемых
механизмов.
Процессы, развивающиеся во времени,
следует и анализировать "во
времени", то есть в процессе
исполнения. В типичных случаях
можно анализировать без исполнения
("эвристические анализаторы"),
на основе поведения, выявляемого
при частичном исполнении кода
("поведенческие блокираторы").
Этим и исчерпываются применяемые
сегодня методы. Теперь очевидно,
что не реализован еще один
(и самый достоверный) метод
- на основе полного исполнения
кода.
Конечно,
исполнившись, вирус разрушит защищаемый
объект, но это говорит всего лишь
о том, что исполнять вирус
надо в изолированной среде, обеспечивающей
безопасность срабатывания вредоносной
программы. Техническая основа для
таких разработок уже создана, а
значит, ждать осталось недолго.
Список
литературы
- Информатика:
Учебник / под ред. Проф. Н.В. Макаровой.
- М.: Финансы и статистика, 1997.
- Энциклопедия
тайн и сенсаций / Подгот. текста Ю.Н. Петрова.
- Мн.: Литература, 1996.
- Безруков
Н.Н. Компьютерные вирусы. - М.: Наука, 1991.
- Мостовой
Д.Ю. Современные технологии борьбы с вирусами
// Мир ПК. - №8. - 1993.
- Домарев Л.А.
Безопасность информационных технологий.
– М.: Диасофт, 2002. – 688 с.
- Электронная
подпись и шифрование // МО ПНИЭИ (www.security.ru/el.wright.html)
- Совpеменные
кpиптогpафические методы защиты инфоpмации
- системы с откpытым ключом ( http://ppt.newmail.ru/crypto04.htm#Heading20
)