Basismethoden voor het detecteren van virussen

antivirusprogramma's die parallel zijn ontwikkeld met de evolutie van virussen. Naarmate er nieuwe technologieën voor het maken van virussen opkwamen, werd het wiskundige apparaat dat werd gebruikt bij de ontwikkeling van antivirussen complexer.

De eerste antivirusalgoritmen waren gebaseerd op vergelijking met een standaard. We hebben het over programma's waarin het virus door de klassieke kernel wordt gedetecteerd met behulp van een bepaald masker. Het doel van het algoritme is om statistische methoden te gebruiken. Het masker moet enerzijds klein zijn, zodat het bestandsvolume een acceptabele omvang heeft, en anderzijds groot genoeg om valse positieven te voorkomen (wanneer “de eigen” wordt gezien als “die van iemand anders”, en vice versa omgekeerd).

De eerste antivirusprogramma's die op dit principe waren gebouwd (de zogenaamde polyfaagscanners) kenden een bepaald aantal virussen en wisten hoe ze deze moesten behandelen. Deze programma's zijn als volgt gemaakt: nadat de ontwikkelaar de viruscode had ontvangen (de viruscode was aanvankelijk statisch), creëerde hij op basis van deze code een uniek masker (een reeks van 10-15 bytes) en voerde deze in de database van het antivirusprogramma in. Het antivirusprogramma scande de bestanden en concludeerde dat het bestand geïnfecteerd was als het deze reeks bytes aantrof. Deze reeks (handtekening) werd zo gekozen dat deze uniek was en niet in een reguliere dataset voorkomt.

De beschreven benaderingen werden door de meeste antivirusprogramma's gebruikt tot halverwege de jaren negentig, toen de eerste polymorfe virussen verschenen die hun lichaam veranderden volgens algoritmen die van tevoren onvoorspelbaar waren. Vervolgens werd de handtekeningmethode aangevuld met de zogenaamde processoremulator, die het mogelijk maakt gecodeerde en polymorfe virussen te vinden die niet expliciet een permanente handtekening hebben.

Het principe van processoremulatie wordt gedemonstreerd in Fig. 1.

Het tweede mechanisme, dat halverwege de jaren negentig verscheen en door alle antivirusprogramma’s wordt gebruikt, is heuristische analyse. Feit is dat het processoremulatieapparaat, waarmee u een samenvatting kunt krijgen van de acties die door het geanalyseerde programma zijn uitgevoerd, het niet altijd mogelijk maakt om naar deze acties te zoeken, maar u wel in staat stelt een analyse uit te voeren en een hypothese naar voren te brengen. zoals "virus of geen virus?"

In dit geval is de besluitvorming gebaseerd op statistische benaderingen. En het bijbehorende programma wordt een heuristische analysator genoemd.

Om zich te kunnen voortplanten, moet het virus een aantal specifieke acties uitvoeren: kopiëren naar het geheugen, schrijven naar sectoren, enz. De heuristische analysator (deze maakt deel uit van de antiviruskernel) bevat een lijst met dergelijke acties, kijkt naar de uitvoerbare code van het programma, bepaalt wat het doet en neemt op basis hiervan een beslissing of het programma een virus is of niet .

Tegelijkertijd is het percentage ontbrekende virussen, zelfs als deze onbekend zijn bij het antivirusprogramma, erg klein. Deze technologie wordt nu veel gebruikt in alle antivirusprogramma's.

Classificatie van antivirusprogramma's

antivirusprogramma's worden geclassificeerd in pure antivirussen en antivirussen voor tweeërlei gebruik (Fig. 2).

Pure antivirussen onderscheiden zich door de aanwezigheid van een antiviruskern, die de functie vervult van het scannen van monsters. Uitgangspunt hierbij is dat behandeling mogelijk is als het virus bekend is. Pure antivirussen worden op hun beurt onderverdeeld in twee categorieën op basis van het type toegang tot bestanden: antivirusprogramma's die controle uitoefenen via toegang (on access) of op basis van de vraag van de gebruiker (on demand). Meestal worden on-access-producten monitoren genoemd, en on-demand-producten scanners.

Het on-demand product werkt volgens het volgende schema: de gebruiker wil iets controleren en geeft een verzoek (demand), waarna de verificatie wordt uitgevoerd. Het On Access-product is een intern programma dat de toegang bewaakt en verificatie uitvoert op het moment van toegang.

Bovendien kunnen antivirusprogramma's, net als virussen, worden onderverdeeld afhankelijk van het platform waarbinnen de antivirus werkt. In die zin kunnen platforms, naast Windows of Linux, Microsoft Exchange Server, Microsoft Office en Lotus Notes omvatten.

Programma's voor tweeërlei gebruik zijn programma's die zowel in antivirusprogramma's als in software die geen antivirusprogramma is, worden gebruikt. CRC-checker – een change auditor op basis van checksums – kan bijvoorbeeld niet alleen worden gebruikt om virussen op te vangen. Een soort programma's met een tweeledig doel zijn gedragsblokkers, die het gedrag van andere programma's analyseren en deze blokkeren wanneer verdachte acties worden gedetecteerd. Gedragsblokkers verschillen van een klassieke antivirus met een antiviruskern, die virussen herkent en behandelt die in het laboratorium zijn geanalyseerd en waarvoor een behandelalgoritme is voorgeschreven, doordat ze geen virussen kunnen behandelen omdat ze er niets van weten. Dankzij deze eigenschap van blokkers kunnen ze met alle virussen werken, inclusief onbekende. Dit is tegenwoordig van bijzonder belang, omdat distributeurs van virussen en antivirussen dezelfde kanalen voor gegevensoverdracht gebruiken, namelijk internet. Tegelijkertijd heeft een antivirusbedrijf altijd tijd nodig om het virus zelf te bemachtigen, te analyseren en de juiste behandelingsmodules te schrijven.

Met programma’s uit de dual-use-groep kun je de verspreiding van het virus blokkeren totdat het bedrijf een behandelmodule schrijft.

Overzicht van de populairste persoonlijke antivirussen

De recensie bevat de populairste antivirussen voor persoonlijk gebruik van vijf bekende ontwikkelaars. Opgemerkt moet worden dat sommige van de hieronder besproken bedrijven verschillende versies van persoonlijke programma's aanbieden die qua functionaliteit en dienovereenkomstig qua prijs verschillen. In onze review hebben we van elk bedrijf één product bekeken, waarbij we de meest functionele versie hebben gekozen, die meestal Personal Pro wordt genoemd. Andere opties voor persoonlijke antivirussen zijn te vinden op de betreffende websites.

Kaspersky antivirus

Persoonlijke Pro v. 4.0

Ontwikkelaar: KasperskyLab. Website: http://www.kaspersky.ru/.

Prijs: $ 69 (licentie voor 1 jaar).

Inspector controleert alle wijzigingen op uw computer en als er ongeautoriseerde wijzigingen worden gedetecteerd in bestanden of in het systeemregister, kunt u de inhoud van de schijf herstellen en kwaadaardige codes verwijderen. Inspector heeft geen updates van de antivirusdatabase nodig: de integriteitscontrole wordt uitgevoerd op basis van het nemen van originele bestandsvingerafdrukken (CRC-sommen) en hun daaropvolgende vergelijking met gewijzigde bestanden.

In tegenstelling tot andere inspecteurs ondersteunt Inspector alle populaire uitvoerbare bestandsformaten.

De heuristische analysator maakt het mogelijk om uw computer zelfs tegen onbekende virussen te beschermen.

De Monitor-achtergrondvirusinterceptor, die voortdurend aanwezig is in het geheugen van de computer, voert een antivirusscan uit van alle bestanden onmiddellijk op het moment dat ze worden gestart, gemaakt of gekopieerd, waardoor u alle bestandsbewerkingen kunt controleren en infectie kunt voorkomen, zelfs door de meest technologisch geavanceerde virussen.

Antivirus-e-mailfilters voorkomen dat virussen uw computer binnendringen. De Mail Checker-plug-in verwijdert niet alleen virussen uit de hoofdtekst van een e-mail, maar herstelt ook de originele inhoud van e-mails volledig. Een uitgebreide scan van e-mailcorrespondentie zorgt ervoor dat een virus zich niet in enig element van een e-mail kan verbergen door alle delen van inkomende en uitgaande berichten te scannen, inclusief bijgevoegde bestanden (inclusief gearchiveerde en verpakte bestanden) en andere berichten van elk nestniveau.

De antivirusscanner van Scanner maakt het mogelijk om op verzoek een volledige scan uit te voeren van de volledige inhoud van lokale en netwerkschijven.

De Script Checker-scriptvirusinterceptor biedt antivirusscans van alle actieve scripts voordat ze worden uitgevoerd.

Ondersteuning voor gearchiveerde en gecomprimeerde bestanden biedt de mogelijkheid om kwaadaardige code uit een geïnfecteerd gecomprimeerd bestand te verwijderen.

Isolatie van geïnfecteerde objecten zorgt ervoor dat geïnfecteerde en verdachte objecten worden geïsoleerd en vervolgens naar een speciaal georganiseerde map worden verplaatst voor verdere analyse en herstel.

Met automatisering van antivirusbescherming kunt u een schema en volgorde van werking van programmacomponenten maken; automatisch nieuwe antivirusdatabase-updates downloaden en verbinden via internet; waarschuwingen verzenden over gedetecteerde virusaanvallen per e-mail, enz.

Ontwikkelaar: Symantec. Website: http://www.symantec.ru/.

Prijs 89,95 euro.

Het programma draait onder Windows 95/98/Me/NT4.0/2000 Pro/XP.

Prijs: $ 39,95

Het programma draait onder Windows 95/98/Me/NT4.0/2000 Pro/XP.

INVOERING

We leven rond de jaarwisseling van twee millennia, wanneer de mensheid een tijdperk van een nieuwe wetenschappelijke en technologische revolutie is binnengegaan.

Tegen het einde van de twintigste eeuw hadden mensen veel van de geheimen van de transformatie van materie en energie onder de knie en konden ze deze kennis gebruiken om hun leven te verbeteren. Maar naast materie en energie speelt een andere component een grote rol in het menselijk leven: informatie. Dit is een grote verscheidenheid aan informatie, berichten, nieuws, kennis, vaardigheden.

Halverwege onze eeuw verschenen er speciale apparaten: computers, gericht op het opslaan en converteren van informatie, en de computerrevolutie vond plaats.

Tegenwoordig blijkt het wijdverbreide gebruik van personal computers helaas verband te houden met de opkomst van zichzelf replicerende virusprogramma's die de normale werking van de computer verstoren, de bestandsstructuur van schijven vernietigen en de op de computer opgeslagen informatie beschadigen. .

Ondanks de wetten die in veel landen zijn aangenomen om computercriminaliteit te bestrijden en de ontwikkeling van speciale antivirussoftware, groeit het aantal nieuwe softwarevirussen voortdurend. Dit vereist dat de gebruiker van een personal computer kennis heeft over de aard van virussen, de methoden voor infectie door virussen en de bescherming ertegen. Dit was de aanleiding voor het kiezen van het onderwerp van mijn werk.

Dit is precies waar ik het over heb in mijn essay. Ik laat de belangrijkste soorten virussen zien, houd rekening met de patronen van hun functioneren, de redenen voor hun uiterlijk en manieren om in een computer binnen te dringen, en bied ook beschermings- en preventiemaatregelen.

Het doel van het werk is om de gebruiker vertrouwd te maken met de basisprincipes van computervirologie, te leren hoe virussen kunnen worden gedetecteerd en bestreden. Werkwijze - analyse van gedrukte publicaties over dit onderwerp. Ik stond voor een moeilijke taak: praten over iets dat heel weinig is bestudeerd, en hoe het uitpakte, is aan jou om te beoordelen.

1. COMPUTERVIRUSSEN EN HUN EIGENSCHAPPEN EN CLASSIFICATIE

1.1. Eigenschappen van computervirussen

Tegenwoordig worden personal computers gebruikt waarbij de gebruiker gratis toegang heeft tot alle bronnen van de machine. Dit opende de mogelijkheid van een gevaar dat bekend werd als een computervirus.

Wat is een computervirus? Er is nog geen formele definitie van dit concept bedacht, en er bestaan ​​ernstige twijfels of deze überhaupt kan worden gegeven. Talrijke pogingen om een ​​‘moderne’ definitie van het virus te geven zijn mislukt. Om een ​​idee te krijgen van de complexiteit van het probleem, probeer bijvoorbeeld het concept ‘editor’ te definiëren. Je komt met iets heel algemeens, of je gaat alle bekende typen editors opsommen. Beide kunnen nauwelijks als aanvaardbaar worden beschouwd. Daarom zullen we ons beperken tot het beschouwen van enkele eigenschappen van computervirussen die ons in staat stellen om erover te praten als een bepaalde klasse van programma's.

Allereerst is een virus een programma. Zo'n simpele verklaring op zichzelf kan veel legendes over de buitengewone mogelijkheden van computervirussen verdrijven. Een virus kan het beeld op uw monitor omdraaien, maar het kan de monitor zelf niet omdraaien. Legenden over dodelijke virussen die “operators vernietigen door een dodelijk kleurenschema op het scherm weer te geven in het 25e frame” mogen ook niet serieus worden genomen. Helaas publiceren sommige gerenommeerde publicaties van tijd tot tijd “het laatste nieuws van het computerfront”, wat bij nader onderzoek het resultaat blijkt te zijn van een niet geheel duidelijk begrip van het onderwerp.

Een virus is een programma dat zichzelf kan reproduceren. Dit vermogen is het enige middel dat inherent is aan alle soorten virussen. Maar niet alleen virussen zijn in staat tot zelfreplicatie. Elk besturingssysteem en vele andere programma's kunnen hun eigen kopieën maken. Kopieën van het virus hoeven niet alleen niet volledig samen te vallen met het origineel, maar mogen er helemaal niet mee samenvallen!

Een virus kan niet in “volledige isolatie” bestaan: tegenwoordig is het onmogelijk om een ​​virus voor te stellen dat niet de code van andere programma's, informatie over de bestandsstructuur of zelfs alleen maar de namen van andere programma's gebruikt. De reden is duidelijk: het virus moet er op de een of andere manier voor zorgen dat de controle aan zichzelf wordt overgedragen.

1.2. Classificatie van virussen

Momenteel zijn er meer dan 5.000 softwarevirussen bekend; deze kunnen worden geclassificeerd op basis van de volgende criteria:

¨ leefgebied

¨ wijze van besmetting van de habitat

invloed

¨ kenmerken van het algoritme

Afhankelijk van hun habitat kunnen virussen worden onderverdeeld in netwerk-, bestands-, opstart- en bestandsopstartvirussen. Netwerkvirussen verspreid over verschillende computernetwerken. Bestandsvirussen zijn voornamelijk ingebed in uitvoerbare modules, dat wil zeggen in bestanden met COM- en EXE-extensies. Bestandsvirussen kunnen worden ingesloten in andere soorten bestanden, maar als ze in dergelijke bestanden worden geschreven, krijgen ze in de regel nooit controle en verliezen ze daarom het vermogen om te reproduceren. Opstartvirussen zijn ingebed in de opstartsector van de schijf (Boot sector) of in de sector die het opstartprogramma van de systeemschijf bevat (Master Boot Re-

koord). Bestand opstarten Virussen infecteren zowel bestanden als opstartsectoren van schijven.

Op basis van de infectiemethode worden virussen onderverdeeld in ingezetenen en niet-ingezetenen. Resident-virus wanneer een computer is geïnfecteerd (geïnfecteerd), laat deze het interne deel in het RAM achter, dat vervolgens de toegang van het besturingssysteem tot infectieobjecten (bestanden, schijfopstartsectoren, enz.) onderschept en zichzelf erin injecteert. Residente virussen bevinden zich in het geheugen en blijven actief totdat de computer wordt uitgeschakeld of opnieuw wordt opgestart. Niet-ingezeten virussen infecteren het geheugen van de computer niet en zijn slechts een beperkte tijd actief.

Op basis van de mate van impact kunnen virussen worden onderverdeeld in de volgende typen:

¨ niet-gevaarlijk, die de werking van de computer niet verstoren, maar de hoeveelheid vrij RAM- en schijfgeheugen verminderen, manifesteren de acties van dergelijke virussen zich in sommige grafische of geluidseffecten

¨ gevaarlijk virussen die tot verschillende problemen met uw computer kunnen leiden

¨ erg gevaarlijk, waarvan de impact kan leiden tot verlies van programma's, vernietiging van gegevens en het wissen van informatie in systeemgebieden van de schijf.

2. BELANGRIJKSTE SOORTEN VIRUSSEN EN HUN WERKINGSSCHEMA

Onder de verscheidenheid aan virussen kunnen de volgende hoofdgroepen worden onderscheiden:

laars

bestand

¨ bestand opstarten

Laten we nu elk van deze groepen eens nader bekijken.

2.1. Opstartvirussen

Laten we eens kijken naar de werking van een heel eenvoudig opstartvirus dat diskettes infecteert. We zullen opzettelijk alle talrijke subtiliteiten omzeilen die onvermijdelijk zouden optreden tijdens een strikte analyse van het algoritme van zijn werking.

Wat gebeurt er als u uw computer aanzet? Allereerst wordt de zeggenschap overgedragen bootstrap-programma, dat is opgeslagen in een alleen-lezen geheugen (ROM), d.w.z. PNZ-ROM.

Dit programma test de hardware en probeert, als de tests succesvol zijn, de diskette in station A te vinden:

Elke diskette is gemarkeerd met het zogenaamde. sectoren en sporen. Sectoren worden samengevoegd tot clusters, maar voor ons is dat niet van belang.

Onder de sectoren bevinden zich verschillende servicesectoren, die door het besturingssysteem voor zijn eigen behoeften worden gebruikt (deze sectoren kunnen uw gegevens niet bevatten). Van de dienstensectoren zijn we momenteel geïnteresseerd in één - de zogenaamde. opstartsector(bootsector).

De laarssector slaat op diskette-informatie- aantal oppervlakken, aantal sporen, aantal sectoren, enz. Maar nu zijn we niet geïnteresseerd in deze informatie, maar in kleine bootstrap-programma(PNZ), dat het besturingssysteem zelf moet laden en de controle eraan moet overdragen.

Het normale bootstrapschema is dus als volgt:

Laten we nu eens naar het virus kijken. Bootvirussen bestaan ​​uit twee delen: de zogenaamde. hoofd enz. staart. De staart kan over het algemeen leeg zijn.

Stel dat u een schone diskette heeft en een geïnfecteerde computer, waarmee we een computer bedoelen met een actief aanwezig virus. Zodra dit virus detecteert dat er een geschikt slachtoffer in de drive is verschenen (in ons geval een diskette die niet tegen schrijven is beveiligd en nog niet is geïnfecteerd), begint het te infecteren. Bij het infecteren van een diskette voert het virus de volgende acties uit:

Selecteert een bepaald gebied van de schijf en markeert het als ontoegankelijk voor het besturingssysteem, dit kan op verschillende manieren worden gedaan, in het eenvoudigste en traditionele geval worden sectoren die door het virus worden bezet gemarkeerd als slecht (slecht)

Kopieert zijn staart en de originele (gezonde) opstartsector naar het geselecteerde gebied van de schijf

Vervangt het opstartprogramma in de (echte) opstartsector door zijn kop

Organiseert een keten van controleoverdracht volgens het schema.

De kop van het virus krijgt nu dus als eerste de controle, het virus wordt in het geheugen geïnstalleerd en draagt ​​de controle over aan de oorspronkelijke opstartsector. In een ketting

PNZ (ROM) - PNZ (schijf) - SYSTEEM

er verschijnt een nieuwe link:

PNZ (ROM) - VIRUS - PNZ (schijf) - SYSTEEM

De moraal is duidelijk: Laat nooit diskettes (per ongeluk) in station A achter.

We hebben gekeken naar het werkingsschema van een eenvoudig opstartvirus dat in de opstartsectoren van diskettes leeft. In de regel kunnen virussen niet alleen de opstartsectoren van diskettes infecteren, maar ook de opstartsectoren van harde schijven. Bovendien heeft de harde schijf, in tegenstelling tot diskettes, twee soorten opstartsectoren met daarin opstartprogramma's die controle krijgen. Wanneer de computer opstart vanaf de harde schijf, neemt het opstartprogramma in de MBR (Master Boot Record) als eerste de controle over. Als uw harde schijf in meerdere partities is verdeeld, wordt slechts één ervan gemarkeerd als opstartpartitie. Het opstartprogramma in de MBR vindt de opstartpartitie van de harde schijf en draagt ​​de besturing over aan het opstartprogramma van deze partitie. De code van laatstgenoemde valt samen met de code van het opstartprogramma op gewone diskettes, en de overeenkomstige opstartsectoren verschillen alleen in de parametertabellen. Op de harde schijf bevinden zich dus twee objecten die worden aangevallen door opstartvirussen: opstartprogramma in MBR En primair programma downloads van de opstartsector opstartschijf.

2.2. Bestandsvirussen

Laten we nu eens kijken hoe een eenvoudig bestandsvirus werkt. In tegenstelling tot opstartvirussen, die bijna altijd aanwezig zijn, zijn bestandsvirussen niet noodzakelijkerwijs aanwezig. Laten we eens kijken naar het werkingsschema van een niet-resident bestandsvirus. Laten we zeggen dat we een geïnfecteerd uitvoerbaar bestand hebben. Wanneer een dergelijk bestand wordt gestart, krijgt het virus de controle, voert het enkele acties uit en draagt ​​het de controle over aan de “meester” (hoewel het in een dergelijke situatie nog niet bekend is wie de meester is).

Welke acties voert het virus uit? Het zoekt naar een nieuw object om te infecteren: een bestand van een geschikt type dat nog niet is geïnfecteerd (als het virus “fatsoenlijk” is, anders zijn er enkele die onmiddellijk infecteren zonder iets te controleren). Door een bestand te infecteren, injecteert het virus zichzelf in de code om controle te krijgen over de uitvoering van het bestand. Naast zijn hoofdfunctie - voortplanting, kan het virus heel goed iets ingewikkelds doen (bijvoorbeeld vragen, spelen) - dit hangt al af van de verbeeldingskracht van de auteur van het virus. Als het bestandsvirus aanwezig is, installeert het zichzelf in het geheugen en kan het bestanden infecteren en andere mogelijkheden vertonen, niet alleen terwijl het geïnfecteerde bestand actief is. Bij het infecteren van een uitvoerbaar bestand verandert een virus altijd de code. Daarom kan een infectie van een uitvoerbaar bestand altijd worden gedetecteerd. Maar door de bestandscode te wijzigen, brengt het virus niet noodzakelijkerwijs andere wijzigingen aan:

à hij is niet verplicht de bestandslengte te wijzigen

à ongebruikte codesecties

à is niet nodig om het begin van het bestand te wijzigen

Ten slotte omvatten bestandsvirussen vaak virussen die “een bepaalde relatie hebben met bestanden”, maar die niet in hun code hoeven te zijn ingebed. Laten we als voorbeeld het werkingsschema van virussen van de bekende Dir-II-familie beschouwen. Toegegeven moet worden dat deze virussen, nadat ze in 1991 verschenen, de oorzaak werden van een echte pestepidemie in Rusland. Laten we eens kijken naar een model dat duidelijk het basisidee van het virus laat zien. Informatie over bestanden wordt opgeslagen in mappen. Elk directory-item bevat de bestandsnaam, de datum en tijd waarop het is gemaakt, wat aanvullende informatie, eerste clusternummer bestand, enz. reservebytes. Deze laatste worden “in reserve” gelaten en worden niet door MS-DOS zelf gebruikt.

Bij het uitvoeren van uitvoerbare bestanden leest het systeem de eerste cluster van het bestand en vervolgens alle andere clusters uit de mapvermelding. Virussen uit de Dir-II-familie voeren de volgende “reorganisatie” van het bestandssysteem uit: het virus schrijft zelf naar enkele vrije sectoren van de schijf, die het als slecht markeert. Bovendien slaat het informatie over de eerste clusters van uitvoerbare bestanden op in gereserveerde bits, en in plaats van deze informatie schrijft het verwijzingen naar zichzelf.

Wanneer een bestand wordt gestart, krijgt het virus dus de controle (het besturingssysteem start het zelf), installeert zichzelf in het geheugen en draagt ​​de controle over aan het opgeroepen bestand.

2.3. Opstartbestandsvirussen

We zullen het opstartbestandsvirusmodel niet overwegen, omdat u geen nieuwe informatie zult leren. Maar hier is een goede gelegenheid om kort het recent extreem “populaire” opstartbestandsvirus OneHalf te bespreken, dat de master boot sector (MBR) en uitvoerbare bestanden infecteert. Het belangrijkste destructieve effect is de versleuteling van sectoren op de harde schijf. Elke keer dat het virus wordt gelanceerd, codeert het een ander deel van de sectoren, en nadat het de helft van de harde schijf heeft gecodeerd, meldt het dit graag. Het grootste probleem bij de behandeling van dit virus is dat het niet voldoende is om het virus eenvoudigweg uit de MBR en de bestanden te verwijderen; u moet de informatie die erdoor versleuteld is, decoderen. De dodelijkste actie is het eenvoudigweg overschrijven van een nieuwe, gezonde MBR. Het belangrijkste is dat je niet in paniek raakt. Weeg alles rustig af en overleg met deskundigen.

2.4. Polymorfe virussen

De meeste vragen hebben betrekking op de term “polymorf virus”. Dit type computervirus lijkt tegenwoordig het gevaarlijkst te zijn. Laten we uitleggen wat het is.

Polymorfe virussen zijn virussen die hun code in geïnfecteerde programma's zodanig wijzigen dat twee exemplaren van hetzelfde virus mogelijk niet in één bit overeenkomen.

Dergelijke virussen versleutelen hun code niet alleen met behulp van verschillende versleutelingspaden, maar bevatten ook code voor het genereren van encryptors en decryptors, waardoor ze zich onderscheiden van gewone encryptievirussen, die ook delen van hun code kunnen versleutelen, maar tegelijkertijd een constante encryptor- en decryptorcode hebben. .

Polymorfe virussen zijn virussen met zelfmodificerende decryptors. Het doel van een dergelijke versleuteling: als u een geïnfecteerd en origineel bestand heeft, kunt u de code nog steeds niet analyseren door middel van regelmatige demontage. Deze code is gecodeerd en bestaat uit een betekenisloze reeks opdrachten. De decodering wordt tijdens de uitvoering door het virus zelf uitgevoerd. In dit geval zijn er opties mogelijk: hij kan zichzelf in één keer ontsleutelen, of hij kan een dergelijke ontsleuteling ‘on the fly’ uitvoeren, hij kan secties die al zijn gebruikt opnieuw versleutelen. Dit alles wordt gedaan om het moeilijk te maken om de viruscode te analyseren.

3. GESCHIEDENIS VAN COMPUTERVIROLOGIE EN REDENEN VOOR HET VERSCHIJNEN VAN VIRUSSEN

De geschiedenis van de computervirologie van vandaag lijkt een constante ‘race om de leider’ te zijn, en ondanks alle kracht van moderne antivirusprogramma’s zijn het virussen die de leiders zijn. Van de duizenden virussen zijn er slechts enkele tientallen originele ontwikkelingen die gebruik maken van werkelijk fundamenteel nieuwe ideeën. Al de rest zijn ‘variaties op een thema’. Maar elke originele ontwikkeling dwingt antivirusmakers zich aan te passen aan nieuwe omstandigheden en de virustechnologie in te halen. Dit laatste kan betwist worden. In 1989 slaagde een Amerikaanse student er bijvoorbeeld in een virus te maken dat ongeveer 6.000 computers van het Amerikaanse ministerie van Defensie uitschakelde. Of de epidemie van het beroemde Dir-II-virus dat in 1991 uitbrak. Het virus maakte gebruik van een werkelijk originele, fundamenteel nieuwe technologie en slaagde er aanvankelijk in zich wijd te verspreiden dankzij de imperfectie van traditionele antivirusprogramma's.

Of de toename van computervirussen in Groot-Brittannië: Christopher Pyne slaagde erin de Pathogen- en Queeq-virussen te creëren, evenals het Smeg-virus. Het was de laatste die het gevaarlijkst was; deze kon over de eerste twee virussen heen worden gelegd, en daarom veranderden ze na elke uitvoering van het programma de configuratie. Daarom was het onmogelijk om ze te vernietigen. Om virussen te verspreiden kopieerde Pine computerspellen en -programma's, infecteerde deze en stuurde ze vervolgens terug naar het netwerk. Gebruikers downloadden geïnfecteerde programma's naar hun computers en infecteerden hun schijven. De situatie werd verergerd door het feit dat Pine erin slaagde virussen te introduceren in het programma dat ze bestrijdt. Door het te lanceren, in plaats van virussen te vernietigen, ontvingen gebruikers er nog een. Als gevolg daarvan werden de dossiers van veel bedrijven vernietigd, met verliezen tot miljoenen ponden tot gevolg.

De Amerikaanse programmeur Morris werd algemeen bekend. Hij staat bekend als de maker van het virus, dat in november 1988 ongeveer zevenduizend pc's infecteerde die op internet waren aangesloten.

De redenen voor het verschijnen en verspreiden van computervirussen zijn enerzijds verborgen in de psychologie van de menselijke persoonlijkheid en haar schaduwkanten (afgunst, wraak, ijdelheid van niet-erkende scheppers, het onvermogen om constructief iemands capaciteiten te gebruiken), anderzijds aan de andere kant vanwege het gebrek aan hardwarebescherming en tegenmaatregelen vanuit de operatiekamer.

4. MANIEREN WAARDOOR VIRUSSEN EEN COMPUTER BINNENKOMEN EN HET MECHANISME VAN DE DISTRIBUTIE VAN VIRUSPROGRAMMA’S

De belangrijkste manieren waarop virussen een computer binnendringen zijn verwisselbare schijven (floppy en laser) en computernetwerken. Een harde schijf kan geïnfecteerd raken met virussen wanneer u een programma laadt vanaf een diskette die een virus bevat. Een dergelijke infectie kan ook per ongeluk plaatsvinden, bijvoorbeeld als de diskette niet uit station A is verwijderd en de computer opnieuw is opgestart, en de diskette mogelijk geen systeemdiskette is. Het is veel gemakkelijker om een ​​diskette te infecteren. Er kan een virus op terechtkomen, zelfs als de diskette eenvoudigweg in de diskdrive van een geïnfecteerde computer wordt geplaatst en bijvoorbeeld de inhoudsopgave wordt gelezen.

Een virus wordt in de regel op zodanige wijze in een werkprogramma geïntroduceerd dat wanneer het wordt gestart, de controle er eerst naar wordt overgedragen en pas nadat alle opdrachten zijn uitgevoerd, het terugkeert naar het werkprogramma. Nadat het virus toegang heeft gekregen tot controle, herschrijft het zichzelf eerst in een ander werkprogramma en infecteert het. Na het uitvoeren van een programma dat een virus bevat, wordt het mogelijk om andere bestanden te infecteren. Meestal zijn de opstartsector van de schijf en uitvoerbare bestanden met de extensies EXE, COM, SYS, BAT geïnfecteerd met een virus. Het komt uiterst zelden voor dat tekstbestanden geïnfecteerd raken.

Na het infecteren van een programma kan het virus een soort sabotage uitvoeren, die niet te ernstig is om geen aandacht te trekken. En vergeet ten slotte niet om de controle terug te geven aan het programma van waaruit het is gelanceerd. Elke uitvoering van een geïnfecteerd programma draagt ​​het virus over naar het volgende. Alle software wordt dus geïnfecteerd.

Om het proces van het infecteren van een computerprogramma met een virus te illustreren, is het logisch om schijfopslag te vergelijken met een ouderwets archief met mappen op tape. De mappen bevatten programma's en de volgorde van de handelingen voor het introduceren van een virus ziet er in dit geval als volgt uit (zie bijlage 1).

5. TEKENEN VAN VIRUSSEN

Wanneer uw computer is geïnfecteerd met een virus, is het belangrijk om dit te detecteren. Om dit te doen, moet u de belangrijkste symptomen van virussen kennen. Deze omvatten het volgende:

¨ beëindiging of onjuiste werking van eerder succesvol functionerende programma's

¨ trage computerprestaties

¨ onvermogen om het besturingssysteem te laden

¨ verdwijning van bestanden en mappen of vervorming van hun inhoud

¨ de datum en tijd van bestandswijziging wijzigen

¨ het formaat van bestanden wijzigen

¨ onverwachte aanzienlijke toename van het aantal bestanden op de schijf

¨ aanzienlijke vermindering van de grootte van het vrije RAM-geheugen

¨ weergave van onverwachte berichten of afbeeldingen

¨ het geven van onverwachte geluidssignalen

¨ frequente vastlopen en computercrashes

Opgemerkt moet worden dat bovengenoemde verschijnselen niet noodzakelijkerwijs worden veroorzaakt door de aanwezigheid van een virus, maar het gevolg kunnen zijn van andere redenen. Daarom is het altijd moeilijk om de toestand van een computer correct te diagnosticeren.

6. VIRUSDETECTIE EN BESCHERMING EN PREVENTIEMAATREGELEN

6.1. Hoe een virus te detecteren ? Traditionele aanpak

Een bepaalde virusschrijver creëert dus een virus en lanceert het “tot leven”. Hij kan een tijdje naar hartenlust rondlopen, maar vroeg of laat zal de ‘lafa’ eindigen. Iemand zal vermoeden dat er iets mis is. In de regel worden virussen ontdekt door gewone gebruikers die bepaalde afwijkingen in het gedrag van hun computer opmerken. In de meeste gevallen kunnen ze de infectie niet zelfstandig het hoofd bieden, maar dit is niet van hen vereist.

Het is alleen nodig dat het virus zo snel mogelijk in handen van specialisten komt. Professionals zullen het bestuderen, ontdekken “wat het doet”, “hoe het doet”, “wanneer het doet”, enz. Tijdens dit werk wordt alle noodzakelijke informatie over dit virus verzameld, in het bijzonder de handtekening van het virus is geïsoleerd - een reeks bytes die hem absoluut karakteriseert. Om een ​​handtekening op te bouwen, worden meestal de belangrijkste en meest karakteristieke delen van de viruscode gebruikt. Tegelijkertijd worden de mechanismen van hoe het virus werkt duidelijk. In het geval van een opstartvirus is het bijvoorbeeld belangrijk om te weten waar het zijn staart verbergt, waar de oorspronkelijke opstartsector zich bevindt, en in het geval van een bestandsvirus, de methode om het bestand te infecteren. Met de verkregen informatie kunt u het volgende te weten komen:

· hoe een virus te detecteren, voor dit doel, methoden voor het zoeken naar handtekeningen in potentiële objecten van een virusaanval - bestanden en/of opstartsectoren worden gespecificeerd

· hoe het virus te neutraliseren; indien mogelijk worden er algoritmen ontwikkeld om de viruscode van getroffen objecten te verwijderen

6.2. Virusdetectie- en beschermingsprogramma's

Om computervirussen op te sporen, te verwijderen en ertegen te beschermen, zijn er verschillende soorten speciale programma's ontwikkeld waarmee u virussen kunt detecteren en vernietigen. Dergelijke programma's worden genoemd antivirusprogramma . Er zijn de volgende soorten antivirusprogramma's:

· detectorprogramma's

· doktersprogramma's of fagen

· auditprogramma's

· filterprogramma's

Vaccin- of immunisatieprogramma's

Detectorprogramma's Ze zoeken naar een handtekening die kenmerkend is voor een bepaald virus in het RAM-geheugen en de bestanden en geven, indien gevonden, een bijbehorend bericht af. Het nadeel van dergelijke antivirusprogramma's is dat ze alleen virussen kunnen vinden die bekend zijn bij de ontwikkelaars van dergelijke programma's.

Dokter programma's of fagen, en ook vaccinprogramma's vind niet alleen bestanden die zijn geïnfecteerd met virussen, maar ‘behandel’ ze ook, d.w.z. verwijder de hoofdtekst van het virusprogramma uit het bestand en breng de bestanden terug naar hun oorspronkelijke staat. Aan het begin van hun werk zoeken fagen naar virussen in het RAM-geheugen, vernietigen ze en gaan dan pas verder met het "opschonen" van bestanden. Onder de fagen worden polyfagen onderscheiden, d.w.z. Dokterprogramma's die zijn ontworpen om een ​​groot aantal virussen te zoeken en te vernietigen. De bekendste: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Aangezien er voortdurend nieuwe virussen verschijnen, raken detectorprogramma's en doktersprogramma's snel verouderd en zijn regelmatige versie-updates vereist.

Auditorprogramma's behoren tot de meest betrouwbare beschermingsmiddelen tegen virussen. Auditors onthouden de initiële status van programma's, mappen en systeemgebieden op de schijf wanneer de computer niet is geïnfecteerd met een virus, en vergelijken vervolgens periodiek of op verzoek van de gebruiker de huidige status met de oorspronkelijke. Gedetecteerde wijzigingen worden weergegeven op het monitorscherm. In de regel wordt de statusvergelijking onmiddellijk na het laden van het besturingssysteem uitgevoerd. Bij het vergelijken worden de bestandslengte, de cyclische controlecode (bestandscontrolesom), wijzigingsdatum en -tijd en andere parameters gecontroleerd. Auditorprogramma's hebben redelijk ontwikkelde algoritmen, detecteren stealth-virussen en kunnen zelfs wijzigingen in de versie van het programma die wordt gecontroleerd, opschonen van wijzigingen die door het virus zijn aangebracht. Een van de auditprogramma's is het Adinf-programma, dat veel wordt gebruikt in Rusland.

Programma's filteren of "wachter" zijn kleine residente programma's die zijn ontworpen om verdachte acties tijdens het gebruik van de computer te detecteren, kenmerkend voor virussen. Dergelijke acties kunnen zijn:

· probeert bestanden met COM- en EXE-extensies te corrigeren

· bestandskenmerken wijzigen

direct schrijven naar schijf op absoluut adres

· schrijven naar opstartsectoren van schijven

Wanneer een programma de gespecificeerde acties probeert uit te voeren, stuurt de “bewaker” een bericht naar de gebruiker en biedt aan om de bijbehorende actie te verbieden of toe te staan. Filterprogramma's zijn erg handig omdat ze een virus in de vroegste fase van zijn bestaan ​​kunnen detecteren, vóór replicatie. Ze “repareren” echter geen bestanden en schijven. Om virussen te vernietigen, moet je andere programma's gebruiken, zoals fagen. De nadelen van watchdog-programma's zijn onder meer hun "opdringerigheid" (ze geven bijvoorbeeld voortdurend waarschuwingen over elke poging om een ​​uitvoerbaar bestand te kopiëren), evenals mogelijke conflicten met andere software. Een voorbeeld van een filterprogramma is het programma Vsafe, dat deel uitmaakt van het MS DOS-hulpprogrammapakket.

Vaccins of immunisatoren- Dit zijn residente programma's die bestandsinfectie voorkomen. Vaccins worden gebruikt als er geen doktersprogramma’s zijn die dit virus ‘behandelen’. Vaccinatie is alleen mogelijk tegen bekende virussen. Het vaccin past het programma of de schijf zodanig aan dat dit de werking ervan niet beïnvloedt, en het virus zal het als geïnfecteerd beschouwen en daarom geen wortel schieten. Momenteel hebben vaccinprogramma's een beperkt nut.

Tijdige detectie van met virussen geïnfecteerde bestanden en schijven en volledige vernietiging van gedetecteerde virussen op elke computer helpen de verspreiding van een virusepidemie naar andere computers te voorkomen.

6.3. Basismaatregelen ter bescherming tegen virussen

Om te voorkomen dat uw computer wordt blootgesteld aan virussen en om een ​​betrouwbare opslag van informatie op schijven te garanderen, moet u de volgende regels volgen:

¨ Rust uw computer uit met moderne antivirusprogramma's, zoals Aidstest, Doctor Web, en update hun versies voortdurend

¨ Voordat u informatie van diskettes op andere computers leest, moet u deze diskettes altijd op virussen controleren door antivirusprogramma's op uw computer uit te voeren

¨ Wanneer u bestanden in gearchiveerde vorm naar uw computer overbrengt, scan ze dan onmiddellijk nadat u ze op uw harde schijf hebt uitgepakt, waardoor het scangebied wordt beperkt tot alleen nieuw opgenomen bestanden

¨ controleer periodiek de harde schijven van uw computer op virussen door antivirusprogramma's uit te voeren om bestanden, geheugen en systeemgebieden van schijven vanaf een tegen schrijven beveiligde diskette te testen, na het laden van het besturingssysteem vanaf een tegen schrijven beveiligde systeemdiskette

¨ Bescherm uw diskettes altijd tegen schrijven wanneer u op andere computers werkt, als er geen informatie naar wordt geschreven

¨ Zorg ervoor dat u reservekopieën maakt op diskettes van informatie die waardevol voor u is

¨ laat geen diskettes achter in de zak van station A wanneer u het besturingssysteem aanzet of opnieuw opstart, om te voorkomen dat de computer geïnfecteerd raakt met opstartvirussen

¨ gebruik antivirusprogramma's voor invoercontrole van alle uitvoerbare bestanden die worden ontvangen van computernetwerken

¨ om een ​​grotere veiligheid te garanderen, moeten Aidstest en Doctor Web gecombineerd worden met het dagelijks gebruik van de Adinf disk auditor

CONCLUSIE

We kunnen dus veel feiten aanhalen die erop wijzen dat de bedreiging voor de informatiebron elke dag toeneemt, waardoor besluitvormers bij banken, ondernemingen en bedrijven over de hele wereld in paniek raken. En deze dreiging komt van computervirussen die vitale, waardevolle informatie vervormen of vernietigen, wat niet alleen tot financiële verliezen kan leiden, maar ook tot menselijke slachtoffers.

Computervirus - een speciaal geschreven programma dat in staat is zich spontaan aan andere programma's te hechten, kopieën van zichzelf te maken en deze in bestanden, systeemgebieden van de computer en in computernetwerken te introduceren om de werking van programma's te verstoren, bestanden en mappen te beschadigen en allerlei soorten interferentie in de werking van de computer.

Momenteel zijn er meer dan 5.000 softwarevirussen bekend, waarvan het aantal voortdurend groeit. Er zijn gevallen bekend waarin tutorials zijn gemaakt om te helpen bij het schrijven van virussen.

De belangrijkste soorten virussen: boot, file, file-boot. Het gevaarlijkste type virussen is polymorf.

Uit de geschiedenis van de computervirologie blijkt duidelijk dat elke originele computerontwikkeling makers van antivirusprogramma's dwingt zich aan te passen aan nieuwe technologieën en voortdurend antivirusprogramma's te verbeteren.

De redenen voor het verschijnen en verspreiden van virussen zijn enerzijds verborgen in de menselijke psychologie en anderzijds vanwege het gebrek aan beschermingsmaatregelen in het besturingssysteem.

De belangrijkste routes voor virussen om binnen te dringen zijn verwisselbare schijven en computernetwerken. Om dit te voorkomen, moet u beschermende maatregelen volgen. Er zijn ook verschillende soorten speciale programma's, antivirusprogramma's genaamd, ontwikkeld om computervirussen te detecteren, verwijderen en ertegen te beschermen. Als u toch een virus op uw computer aantreft, kunt u volgens de traditionele aanpak beter een professional bellen om dit verder uit te zoeken.

Maar sommige eigenschappen van virussen brengen zelfs specialisten in verwarring. Onlangs was het moeilijk voor te stellen dat een virus een koude start zou overleven of zich via documentbestanden zou kunnen verspreiden. In dergelijke omstandigheden is het onmogelijk om geen belang te hechten aan ten minste de initiële antiviruseducatie van gebruikers. Ondanks de ernst van het probleem kan geen enkel virus zoveel schade aanrichten als een gebruiker met een wit gezicht en trillende handen!

Dus, de gezondheid van uw computers, de veiligheid van uw gegevens ligt in uw handen!

Bibliografie

1. Computerwetenschappen: leerboek / red. Prof. N.V. Makarova. - M.: Financiën en Statistiek, 1997.

2. Encyclopedie van geheimen en sensaties / Opgesteld door. tekst door Yu.N. Petrova. - Mn.: Literatuur, 1996.

3. Bezrukov N.N. Computervirussen. - M.: Nauka, 1991.

4. Mostovoy D.Yu. Moderne technologieën voor het bestrijden van virussen // PC World. - Nr. 8. - 1993.

Ondanks het feit dat algemene informatiebeveiliging en preventieve maatregelen van groot belang zijn voor de bescherming tegen virussen, is het gebruik van gespecialiseerde programma's noodzakelijk. Deze programma's kunnen in verschillende typen worden onderverdeeld:

• ? Detectorprogramma's controleren of de bestanden op de schijf een specifieke combinatie van bytes (handtekening) bevatten voor een bekend virus en rapporteren dit aan de gebruiker (VirusScan/SCAN/McAfee Associates).
• ? Dokterprogramma's of fagen 'behandelen' geïnfecteerde programma's door het lichaam van het virus uit geïnfecteerde programma's 'uit te bijten', zowel met als zonder herstel van de habitat (geïnfecteerd bestand) - de genezingsmodule van het SCAN-programma - het CLEAN-programma.
• ? Doctor-detectorprogramma's (Lozinsky's Aidstest, Danilov's Doctor Web, MSAV, Norton Antivirus, Kaspersky's AVP) kunnen de aanwezigheid van een bekend virus op een schijf detecteren en het geïnfecteerde bestand genezen. De meest voorkomende groep antivirusprogramma's van vandaag.

In het eenvoudigste geval ziet het commando om de inhoud van de schijf op virussen te controleren er als volgt uit: aidstest / key1 / key 2 / key 3 /---

• ? Filterprogramma's (wachters) bevinden zich in het RAM-geheugen van de pc en onderscheppen de oproepen naar het besturingssysteem die door virussen worden gebruikt om zich te reproduceren en schade aan te richten, en rapporteren deze aan de gebruiker:
• - een poging om het hoofdbestand van het besturingssysteem COMMAND.COM te beschadigen;
• - een poging om rechtstreeks naar de schijf te schrijven (het vorige record is verwijderd) en er verschijnt een bericht dat een programma naar de schijf probeert te kopiëren;
• - schijfformattering,
• - residente plaatsing van het programma in het geheugen.

Nadat het filterprogramma een poging tot een van deze acties heeft gedetecteerd, geeft het de gebruiker een beschrijving van de situatie en vereist het bevestiging van hem. De gebruiker kan deze bewerking toestaan ​​of weigeren. Controle van acties, kenmerkend voor virussen, wordt uitgevoerd door de overeenkomstige interrupthandlers te vervangen. De nadelen van deze programma's zijn onder meer opdringerigheid (de bewaker geeft bijvoorbeeld een waarschuwing bij elke poging om een ​​uitvoerbaar bestand te kopiëren), mogelijke conflicten met andere software en het omzeilen van de bewakers door sommige virussen. Voorbeelden van filters: Anti4us, Vsafe, Schijfmonitor.

Opgemerkt moet worden dat tegenwoordig veel programma's van de arts-detectorklasse ook een residente module hebben - een filter (bewaker), bijvoorbeeld DR Web, AVP, Norton Antivirus. Dergelijke programma's kunnen dus worden geclassificeerd als arts-detector-bewaker.

• ? Hardware- en software-antivirushulpmiddelen (Sheriff-hardware- en softwarecomplex). Op gelijke voet met watchdog-programma's zijn hardware- en software-antivirusprogramma's die een betrouwbaardere bescherming bieden tegen het binnendringen van virussen in het systeem. Dergelijke complexen bestaan ​​uit twee delen: hardware, die is geïnstalleerd in de vorm van een microschakeling op het moederbord, en software, die op schijf is vastgelegd. Het hardwaregedeelte (controller) bewaakt alle schrijfbewerkingen naar de schijf, terwijl het softwaregedeelte, dat zich in het RAM bevindt, alle informatie-invoer/uitvoerbewerkingen bewaakt. De mogelijkheid om deze tools te gebruiken vereist echter een zorgvuldige afweging wat betreft de configuratie van extra apparatuur die op de pc wordt gebruikt, bijvoorbeeld schijfcontrollers, modems of netwerkkaarten.
• ? Auditorprogramma's (Adinf/Advanced Disk infoscope/met behandelingsblok ADinf Cure Module Mostovoy). Auditprogramma's kennen twee werkfasen. Ten eerste onthouden ze informatie over de status van programma's en systeemgebieden van schijven (opstartsector en sector met een tabel voor het verdelen van de harde schijf in logische partities). Er wordt aangenomen dat programma's en systeemschijfgebieden op dit moment niet zijn geïnfecteerd. Wanneer vervolgens systeemgebieden en schijven worden vergeleken met de originele, wordt de gebruiker op de hoogte gesteld als er een discrepantie wordt gevonden. Auditorprogramma's zijn in staat onzichtbare (STEALTH) virussen te detecteren. Het controleren van de bestandslengte is niet voldoende; sommige virussen veranderen de lengte van geïnfecteerde bestanden niet. Een betrouwbaardere controle is om het hele bestand te lezen en de controlesom ervan (stukje voor beetje) te berekenen. Het is bijna onmogelijk om het hele bestand zo te wijzigen dat de controlesom hetzelfde blijft. Kleine nadelen van auditors zijn onder meer het feit dat ze om de veiligheid te garanderen regelmatig moeten worden gebruikt, bijvoorbeeld dagelijks aangeroepen vanuit het AUTOEXEC.BAT-bestand. Maar hun onbetwiste voordelen zijn de hoge snelheid van de controles en het feit dat ze geen frequente versie-updates vereisen. Versies van de auditor, zelfs zes maanden oud, detecteren en verwijderen op betrouwbare wijze moderne virussen.
• ? Vaccin- of immunisatieprogramma's (CPAV). Vaccinprogramma's passen programma's en schijven zodanig aan dat dit de werking van de programma's niet beïnvloedt, maar het virus waartegen wordt gevaccineerd, beschouwt deze programma's en schijven als reeds geïnfecteerd. Deze programma's zijn niet effectief genoeg.

Conventioneel kan een strategie ter bescherming tegen een virus worden gedefinieerd als een ‘gelaagde’ verdediging op meerdere niveaus. Structureel zou het er zo uit kunnen zien. Verkenningshulpmiddelen ter “verdediging” tegen virussen komen overeen met detectieprogramma’s waarmee u nieuw ontvangen software kunt detecteren op de aanwezigheid van virussen. In de voorhoede van de verdediging bevinden zich filterprogramma's die zich in het geheugen van de computer bevinden. Deze programma's kunnen als eerste de werking van het virus melden. Het tweede echelon van ‘verdediging’ bestaat uit auditprogramma’s. Auditors detecteren een virusaanval, zelfs als deze erin is geslaagd via de frontlinie van de verdediging te ‘lekken’. Dokterprogramma's worden gebruikt om geïnfecteerde programma's te herstellen als er geen kopie van het geïnfecteerde programma in het archief aanwezig is, maar deze herstellen niet altijd correct. Dokters-inspecteurs detecteren een virusaanval, behandelen geïnfecteerde programma’s en controleren de juistheid van de behandeling. Het diepste niveau van verdediging zijn middelen voor toegangscontrole. Ze laten niet toe dat virussen en slecht functionerende programma's, zelfs als ze de pc zijn binnengedrongen, belangrijke gegevens bederven. De ‘strategische reserve’ bevat archiefkopieën van informatie en ‘referentie’-diskettes met softwareproducten. Hiermee kunt u informatie herstellen als deze beschadigd is.

De schadelijke acties van elk type virus kunnen zeer divers zijn. Dit omvat het verwijderen van belangrijke bestanden of zelfs BIOS-firmware, het overbrengen van persoonlijke informatie, zoals wachtwoorden, naar een specifiek adres, het organiseren van ongeautoriseerde e-mailcampagnes en aanvallen op bepaalde websites. Het is ook mogelijk om via een mobiele telefoon te gaan bellen naar betaalde nummers. Verborgen beheerhulpprogramma's (achterdeur) kunnen zelfs de volledige controle over de computer aan een aanvaller overdragen. Gelukkig kunnen al deze problemen met succes worden bestreden, en het belangrijkste wapen in deze strijd zal uiteraard antivirussoftware zijn.

Kaspersky antivirus. Misschien is “Kaspersky Anti-Virus” het bekendste product van dit type in Rusland, en is de naam “Kaspersky” synoniem geworden met de strijder tegen kwaadaardige codes. Het gelijknamige laboratorium brengt niet alleen voortdurend nieuwe versies van zijn beveiligingssoftware uit, maar voert ook educatief werk uit onder computergebruikers. De nieuwste, negende versie van Kaspersky Anti-Virus onderscheidt zich, net als eerdere releases, door een eenvoudige en uiterst transparante interface die alle noodzakelijke hulpprogramma's in één venster combineert. Dankzij de installatiewizard en intuïtieve menuopties kan zelfs een beginnende gebruiker dit product configureren. De kracht van de gebruikte algoritmen zal zelfs professionals tevreden stellen. Een gedetailleerde beschrijving van elk van de gedetecteerde virussen kunt u vinden door rechtstreeks vanuit het programma de overeenkomstige pagina op internet te openen.

dr. Web. Een ander populair Russisch antivirusprogramma, dat qua populariteit kan wedijveren met Kaspersky Anti-Virus, is Dr. Web. De proefversie heeft een interessant kenmerk: het vereist verplichte registratie via internet. Aan de ene kant is dit erg goed: onmiddellijk na registratie wordt de antivirusdatabase bijgewerkt en ontvangt de gebruiker de nieuwste gegevens over handtekeningen. Aan de andere kant is het onmogelijk om de proefversie offline te installeren en, zoals de ervaring leert, zijn problemen onvermijdelijk met een onstabiele verbinding.

Panda Antivirus + Firewall 2007. Een uitgebreide oplossing op het gebied van computerbeveiliging - het Panda Antivirus + Firewall 2007-pakket - omvat naast het antivirusprogramma een firewall die de netwerkactiviteit bewaakt. De interface van het hoofdprogrammavenster is ontworpen in "natuurlijke" groene tinten, maar ondanks de visuele aantrekkingskracht is het menunavigatiesysteem onhandig gebouwd, en een beginnende gebruiker kan heel goed in de war raken in de instellingen.

Het Panda-pakket bevat verschillende originele oplossingen, zoals TruePrevent, een eigen technologie voor het zoeken naar onbekende bedreigingen, gebaseerd op de modernste heuristische algoritmen. Het is ook de moeite waard om aandacht te besteden aan het hulpprogramma voor het zoeken naar computerkwetsbaarheden - het beoordeelt het gevaar van "gaten" in het beveiligingssysteem en biedt aan om de nodige updates te downloaden.

Norton Antivirus 2005. De belangrijkste indruk van het product van het beroemde bedrijf Symantec - het antiviruscomplex Norton Antivirus 2005 - is de focus op krachtige computersystemen. De reactie van de Norton Antivirus 2005-interface op gebruikersacties is merkbaar vertraagd. Bovendien stelt het tijdens de installatie vrij strenge eisen aan de versies van het besturingssysteem en Internet Explorer. In tegenstelling tot Dr.Web hoeft Norton Antivirus de virusdatabases niet bij te werken tijdens de installatie, maar zal het u er tijdens de hele operatie aan herinneren dat ze verouderd zijn.

McAfee VirusScan. We kozen voor een interessant antivirusproduct, dat volgens de ontwikkelaars de nummer 1 scanner ter wereld is - McAfee VirusScan - om te testen, omdat het, van vergelijkbare applicaties, opviel door zijn grote distributieomvang (meer dan 40 MB ). In de overtuiging dat deze waarde te danken was aan de brede functionaliteit, gingen we verder met de installatie en ontdekten dat deze naast de antivirusscanner een firewall bevatte, evenals hulpprogramma's voor het opschonen van de harde schijf en het gegarandeerd verwijderen van objecten van de harde schijf schijf (bestandsvernietiger).

Vragen voor de hoofdstukken 6 en 7

• 1. Fasen van de ontwikkeling van instrumenten en technologieën voor informatiebeveiliging.
• 2. Onderdelen van het standaard beveiligingsmodel.
• 3. Bronnen van veiligheidsbedreigingen en hun classificatie.
• 4. Onopzettelijke bedreigingen voor de informatiebeveiliging.
• 5. Opzettelijke bedreigingen voor de informatiebeveiliging.
• 6. Classificatie van informatielekkanalen.
• 7. Regulering van informatiebeveiligingsproblemen.
• 8. Structuur van heteem.
• 9. Methoden en middelen voor informatiebeveiliging.
• 10. Classificatie van bedreigingen voor de gegevensbeveiliging.
• 11. Methoden om informatie tegen virussen te beschermen.
• 12. Methoden voor integriteitscontrole.
• 13. Classificatie van computervirussen.
• 14. Antivirusbescherming.
• 15. Preventieve antivirusmaatregelen.
• 16. Classificatie van antivirussoftwareproducten.

Basismethoden voor het detecteren van virussen

antivirusprogramma's die parallel zijn ontwikkeld met de evolutie van virussen. Naarmate er nieuwe technologieën voor het maken van virussen opkwamen, werd het wiskundige apparaat dat werd gebruikt bij de ontwikkeling van antivirussen complexer.

De eerste antivirusalgoritmen waren gebaseerd op vergelijking met een standaard. We hebben het over programma's waarin het virus door de klassieke kernel wordt gedetecteerd met behulp van een bepaald masker. Het doel van het algoritme is om statistische methoden te gebruiken. Het masker moet enerzijds klein zijn, zodat het bestandsvolume een acceptabele omvang heeft, en anderzijds groot genoeg om valse positieven te voorkomen (wanneer “de eigen” wordt gezien als “die van iemand anders”, en vice versa omgekeerd).

De eerste antivirusprogramma's die op dit principe waren gebouwd (de zogenaamde polyfaagscanners) kenden een bepaald aantal virussen en wisten hoe ze deze moesten behandelen. Deze programma's zijn als volgt gemaakt: nadat de ontwikkelaar de viruscode had ontvangen (de viruscode was aanvankelijk statisch), creëerde hij op basis van deze code een uniek masker (een reeks van 10-15 bytes) en voerde deze in de database van het antivirusprogramma in. Het antivirusprogramma scande de bestanden en concludeerde dat het bestand geïnfecteerd was als het deze reeks bytes aantrof. Deze reeks (handtekening) werd zo gekozen dat deze uniek was en niet in een reguliere dataset voorkomt.

De beschreven benaderingen werden door de meeste antivirusprogramma's gebruikt tot halverwege de jaren negentig, toen de eerste polymorfe virussen verschenen die hun lichaam veranderden volgens algoritmen die van tevoren onvoorspelbaar waren. Vervolgens werd de handtekeningmethode aangevuld met de zogenaamde processoremulator, die het mogelijk maakt gecodeerde en polymorfe virussen te vinden die niet expliciet een permanente handtekening hebben.

Het principe van processoremulatie wordt gedemonstreerd in Fig. 1.

Het tweede mechanisme, dat halverwege de jaren negentig verscheen en door alle antivirusprogramma’s wordt gebruikt, is heuristische analyse. Feit is dat het processoremulatieapparaat, waarmee u een samenvatting kunt krijgen van de acties die door het geanalyseerde programma zijn uitgevoerd, het niet altijd mogelijk maakt om naar deze acties te zoeken, maar u wel in staat stelt een analyse uit te voeren en een hypothese naar voren te brengen. zoals "virus of geen virus?"

In dit geval is de besluitvorming gebaseerd op statistische benaderingen. En het bijbehorende programma wordt een heuristische analysator genoemd.

Om zich te kunnen voortplanten, moet het virus een aantal specifieke acties uitvoeren: kopiëren naar het geheugen, schrijven naar sectoren, enz. De heuristische analysator (deze maakt deel uit van de antiviruskernel) bevat een lijst met dergelijke acties, kijkt naar de uitvoerbare code van het programma, bepaalt wat het doet en neemt op basis hiervan een beslissing of het programma een virus is of niet .

Tegelijkertijd is het percentage ontbrekende virussen, zelfs als deze onbekend zijn bij het antivirusprogramma, erg klein. Deze technologie wordt nu veel gebruikt in alle antivirusprogramma's.

Classificatie van antivirusprogramma's

antivirusprogramma's worden geclassificeerd in pure antivirussen en antivirussen voor tweeërlei gebruik (Fig. 2).

Pure antivirussen onderscheiden zich door de aanwezigheid van een antiviruskern, die de functie vervult van het scannen van monsters. Uitgangspunt hierbij is dat behandeling mogelijk is als het virus bekend is. Pure antivirussen worden op hun beurt onderverdeeld in twee categorieën op basis van het type toegang tot bestanden: antivirusprogramma's die controle uitoefenen via toegang (on access) of op basis van de vraag van de gebruiker (on demand). Meestal worden on-access-producten monitoren genoemd, en on-demand-producten scanners.

Het on-demand product werkt volgens het volgende schema: de gebruiker wil iets controleren en geeft een verzoek (demand), waarna de verificatie wordt uitgevoerd. Het On Access-product is een intern programma dat de toegang bewaakt en verificatie uitvoert op het moment van toegang.

Bovendien kunnen antivirusprogramma's, net als virussen, worden onderverdeeld afhankelijk van het platform waarbinnen de antivirus werkt. In die zin kunnen platforms, naast Windows of Linux, Microsoft Exchange Server, Microsoft Office en Lotus Notes omvatten.

Programma's voor tweeërlei gebruik zijn programma's die zowel in antivirusprogramma's als in software die geen antivirusprogramma is, worden gebruikt. CRC-checker – een change auditor op basis van checksums – kan bijvoorbeeld niet alleen worden gebruikt om virussen op te vangen. Een soort programma's met een tweeledig doel zijn gedragsblokkers, die het gedrag van andere programma's analyseren en deze blokkeren wanneer verdachte acties worden gedetecteerd. Gedragsblokkers verschillen van een klassieke antivirus met een antiviruskern, die virussen herkent en behandelt die in het laboratorium zijn geanalyseerd en waarvoor een behandelalgoritme is voorgeschreven, doordat ze geen virussen kunnen behandelen omdat ze er niets van weten. Dankzij deze eigenschap van blokkers kunnen ze met alle virussen werken, inclusief onbekende. Dit is tegenwoordig van bijzonder belang, omdat distributeurs van virussen en antivirussen dezelfde kanalen voor gegevensoverdracht gebruiken, namelijk internet. Tegelijkertijd heeft een antivirusbedrijf altijd tijd nodig om het virus zelf te bemachtigen, te analyseren en de juiste behandelingsmodules te schrijven.

Met programma’s uit de dual-use-groep kun je de verspreiding van het virus blokkeren totdat het bedrijf een behandelmodule schrijft.

Overzicht van de populairste persoonlijke antivirussen

De recensie bevat de populairste antivirussen voor persoonlijk gebruik van vijf bekende ontwikkelaars. Opgemerkt moet worden dat sommige van de hieronder besproken bedrijven verschillende versies van persoonlijke programma's aanbieden die qua functionaliteit en dienovereenkomstig qua prijs verschillen. In onze review hebben we van elk bedrijf één product bekeken, waarbij we de meest functionele versie hebben gekozen, die meestal Personal Pro wordt genoemd. Andere opties voor persoonlijke antivirussen zijn te vinden op de betreffende websites.

Kaspersky antivirus

Persoonlijke Pro v. 4.0

Ontwikkelaar: KasperskyLab. Website: http://www.kaspersky.ru/.

Prijs: $ 69 (licentie voor 1 jaar).

Inspector controleert alle wijzigingen op uw computer en als er ongeautoriseerde wijzigingen worden gedetecteerd in bestanden of in het systeemregister, kunt u de inhoud van de schijf herstellen en kwaadaardige codes verwijderen. Inspector heeft geen updates van de antivirusdatabase nodig: de integriteitscontrole wordt uitgevoerd op basis van het nemen van originele bestandsvingerafdrukken (CRC-sommen) en hun daaropvolgende vergelijking met gewijzigde bestanden.

In tegenstelling tot andere inspecteurs ondersteunt Inspector alle populaire uitvoerbare bestandsformaten.

De heuristische analysator maakt het mogelijk om uw computer zelfs tegen onbekende virussen te beschermen.

De Monitor-achtergrondvirusinterceptor, die voortdurend aanwezig is in het geheugen van de computer, voert een antivirusscan uit van alle bestanden onmiddellijk op het moment dat ze worden gestart, gemaakt of gekopieerd, waardoor u alle bestandsbewerkingen kunt controleren en infectie kunt voorkomen, zelfs door de meest technologisch geavanceerde virussen.

Antivirus-e-mailfilters voorkomen dat virussen uw computer binnendringen. De Mail Checker-plug-in verwijdert niet alleen virussen uit de hoofdtekst van een e-mail, maar herstelt ook de originele inhoud van e-mails volledig. Een uitgebreide scan van e-mailcorrespondentie zorgt ervoor dat een virus zich niet in enig element van een e-mail kan verbergen door alle delen van inkomende en uitgaande berichten te scannen, inclusief bijgevoegde bestanden (inclusief gearchiveerde en verpakte bestanden) en andere berichten van elk nestniveau.

De antivirusscanner van Scanner maakt het mogelijk om op verzoek een volledige scan uit te voeren van de volledige inhoud van lokale en netwerkschijven.

De Script Checker-scriptvirusinterceptor biedt antivirusscans van alle actieve scripts voordat ze worden uitgevoerd.

Ondersteuning voor gearchiveerde en gecomprimeerde bestanden biedt de mogelijkheid om kwaadaardige code uit een geïnfecteerd gecomprimeerd bestand te verwijderen.

Isolatie van geïnfecteerde objecten zorgt ervoor dat geïnfecteerde en verdachte objecten worden geïsoleerd en vervolgens naar een speciaal georganiseerde map worden verplaatst voor verdere analyse en herstel.

Met automatisering van antivirusbescherming kunt u een schema en volgorde van werking van programmacomponenten maken; automatisch nieuwe antivirusdatabase-updates downloaden en verbinden via internet; waarschuwingen verzenden over gedetecteerde virusaanvallen per e-mail, enz.

Ontwikkelaar: Symantec. Website: http://www.symantec.ru/.

Prijs 89,95 euro.

Het programma draait onder Windows 95/98/Me/NT4.0/2000 Pro/XP.

Prijs: $ 39,95

Het programma draait onder Windows 95/98/Me/NT4.0/2000 Pro/XP.

Er zijn verschillende soorten programma's die computervirussen kunnen detecteren, verwijderen en ertegen kunnen beschermen. Dergelijke programma's worden antivirusprogramma's genoemd. Er zijn de volgende soorten antivirusprogramma's:

1. vaccins;

2. detectoren;

3. accountants;

4. wachter;

5. monitoren;

6. polyfagen;

7. heuristische analysatoren.

Onlangs hebben ontwikkelaars van antivirusprogramma's gebruikers uitgebreide oplossingen aangeboden die de meeste of zelfs alle bovengenoemde programma's omvatten.

Vaccins- Dit zijn programma's die zijn ontworpen om te voorkomen dat bestanden worden geïnfecteerd door een specifiek virus. Vaccins worden gebruikt als er geen programma’s zijn die het virus kunnen neutraliseren. Vaccinatie is alleen mogelijk tegen bekende virussen die kunnen worden gedetecteerd, maar om een ​​of andere reden niet kunnen worden geneutraliseerd. Het vaccinprogramma wijzigt het beschermde programma of de beschermde schijf zodanig dat dit de werking ervan niet beïnvloedt, maar het echte virus beschouwt het beschermde programma als geïnfecteerd en injecteert zichzelf daarom niet in de uitvoerbare code ervan.

De acties van vaccinprogramma's zijn gebaseerd op een van de basiseigenschappen van computervirussen: het niet opnieuw infecteren van een reeds geïnfecteerd programma. Voor deze doeleinden gebruiken virussen bij het infecteren van programma's een zogenaamde "zwarte markering", waardoor ze reeds geïnfecteerde programma's kunnen onderscheiden van niet-geïnfecteerde programma's. Dit kan bijvoorbeeld het instellen van de tijd voor het maken van bestanden zijn op 24 uur, 1 minuut en 62 seconden. Omdat Normale programma's kunnen zo'n aanmaaktijd niet hebben. Nadat het virus heeft gedetecteerd dat het bestand op dat moment is gemaakt, beschouwt het het virus als geïnfecteerd en probeert het niet opnieuw te infecteren.

Het vaccinprogramma creëert dus eenvoudigweg een “zwarte markering” van een specifiek virus op het beschermde programma zonder de uitvoerbare code ervan te wijzigen, en het virus probeert, nadat het een dergelijke markering heeft gedetecteerd, niet langer dit bestand te infecteren.

"Detectoren" of "scanners"- dit zijn programma's die zoeken naar een kenmerkend kenmerk van een bepaald virus in het RAM van de computer of in bestanden op de harde schijf, en wanneer ze worden gevonden, een overeenkomstig bericht weergeven. Het nadeel van deze klasse antivirusprogramma's is dat ze alleen virussen kunnen vinden die bekend zijn bij de ontwikkelaars.

"Inspecteurs"- dit zijn programma's die tot de meest betrouwbare beschermingsmiddelen tegen virussen behoren.

Bij het infecteren van een computer brengt het virus wijzigingen aan op de harde schijf: het voegt zijn code toe aan het geïnfecteerde bestand, wijzigt systeemgebieden van de schijf, enz. Het werk van antivirusprogramma's die 'auditors' worden genoemd, is gebaseerd op de detectie van dergelijke wijzigingen.

Ze zijn gebouwd op het tegenovergestelde principe van het principe van het bouwen van scanners. Auditors kennen specifieke virussen niet op zicht, maar ze onthouden informatie over elke specifieke logische schijfeenheid en door deze informatie te wijzigen kunnen ze op betrouwbare wijze zowel bekende als nieuwe, onbekende virussen detecteren.

Als er een verandering in informatie over de gegevens op de schijf wordt gedetecteerd, wordt alle relevante informatie over het gewijzigde object aan de gebruiker verstrekt. En hij moet zelf een beslissing nemen: is het bijvoorbeeld de moeite waard om dit bestand op een virus te controleren (als het een uitvoerbaar bestand is) of om het bericht te negeren als het bestand door de gebruiker zelf is gewijzigd.

In de regel wordt de statusvergelijking onmiddellijk na het laden van het besturingssysteem uitgevoerd. Bij het vergelijken worden de lengte van het bestand, de controlesom, datum en tijd van wijziging en enkele andere parameters gecontroleerd. Auditorprogramma's hebben redelijk ontwikkelde algoritmen waarmee ze zelfs virussen van klassen als 'stealth'-virussen en 'polymorfe' virussen kunnen detecteren, en sommige kunnen zelfs de originele versie van het programma dat wordt gecontroleerd herstellen door de door het virus aangebrachte wijzigingen te verwijderen.

De voordelen van auditors zijn de hoogste snelheid bij het controleren van schijven (vele tientallen keren hoger dan de snelheid van scanners) en de hoge betrouwbaarheid bij het detecteren van zelfs onbekende virussen.

"Wachters"- dit zijn kleine residente programma's die zijn ontworpen om verdachte acties te detecteren die plaatsvinden wanneer een gebruiker op een computer werkt en die kenmerkend zijn voor virussen. Dergelijke acties kunnen het volgende omvatten:

1. pogingen om bestanden met de extensies COM, EXE, DLL, enz. te corrigeren, meestal onveranderlijk;

2. bestandskenmerken wijzigen;

4. schrijven naar de opstartsectoren van de schijf;

Wanneer een programma de gespecificeerde acties probeert uit te voeren, stuurt de “bewaker” een bericht naar de gebruiker en biedt aan om de bijbehorende actie te verbieden of toe te staan.

Een van de grootste nadelen van programma's uit deze klasse is dat ze, als ze verkeerd (en soms zelfs correct) zijn geconfigureerd, de gebruiker letterlijk 'bombarderen' met waarschuwingen, waardoor ze meestal worden uitgeschakeld.

"Monitoren"(of filterprogramma's) zijn antivirusprogramma's gebaseerd op het polyfaagprincipe en gebruiken een database met hun handtekeningen om virussen te detecteren. De antivirusmonitor bevindt zich in het geheugen van de computer en controleert alleen die programma's op virussen die door de gebruiker of het besturingssysteem worden gemanipuleerd.

Normaal gesproken controleren antivirusmonitors alle bestanden waarop de volgende manipulaties worden uitgevoerd:

1. het lanceren van het programma voor uitvoering;

2. bestandskenmerken wijzigen;

3. een document openen (Microsoft Office);

4. een bestand kopiëren of verplaatsen;

5. bestandsbewerking;

Filterprogramma's zijn nuttig omdat ze de gebruiker helpen een virus in de vroegste fase van zijn bestaan ​​op te sporen, nog voordat de verspreiding van het virus een epidemie wordt.

"Polyfagen"- dit zijn programma's die een virus veilig kunnen verwijderen en de functionaliteit van beschadigde programma's kunnen herstellen.

Voor elk virus, door de code ervan te analyseren, de methoden voor het infecteren van bestanden, enz. een bepaalde reeks bytes, die alleen daarvoor kenmerkend is, wordt gemarkeerd. Deze reeks wordt de signatuur van dit virus genoemd. Zoeken naar virussen komt in het eenvoudigste geval neer op het zoeken naar hun handtekeningen. Na het detecteren van een virus in de hoofdtekst van het programma (of in de opstartsector, die echter ook het opstartprogramma bevat), neutraliseert de polyfaag het. Om dit te doen bestuderen ontwikkelaars van antivirusproducten zorgvuldig het werk van elk specifiek virus: wat het bederft, hoe het het bederft, waar het verbergt wat het bederft, enz.

Scannen is de meest traditionele methode om naar virussen te zoeken. Het bestaat uit het zoeken naar handtekeningen die zijn geïsoleerd uit eerder gedetecteerde virussen. Virusdatabases van moderne scanners bevatten meer dan 40.000 virusmaskers.

Het nadeel van eenvoudige scanners is dat ze niet in staat zijn ‘polymorfe’ virussen te detecteren die hun code volledig veranderen. Moderne polyfagen gebruiken andere methoden om naar virussen te zoeken. Om dit te doen, gebruiken ze complexere zoekalgoritmen, waaronder heuristische analyse van de programma's die worden gecontroleerd. Gezien het feit dat er voortdurend nieuwe virussen verschijnen, raken detectorprogramma's en polyfaagprogramma's snel verouderd, en is het regelmatig bijwerken van databaseversies met handtekeningen van nieuw opduikende virussen vereist. Hierdoor raken scanners verouderd zodra er een nieuwe versie uitkomt.

Heuristische analysatoren– programma's die gescande programma's onder hun controle uitvoeren en acties detecteren die kenmerkend zijn voor virussen. Dankzij dit kunnen heuristische analysatoren net zo gemakkelijk “polymorfe” virussen vinden als gewone virussen die geen camouflagemechanisme gebruiken; bovendien kunnen ze virussen detecteren die voorheen onbekend waren bij de auteurs van het antivirusprogramma.

Om deze maskerende virussen te identificeren, worden speciale methoden gebruikt. Deze omvatten de processoremulatiemethode. De methode omvat het simuleren van de uitvoering van een programma door de processor en het voeden van fictieve controlebronnen aan het virus. Het virus, op deze manier misleid en onder controle van het antivirusprogramma, decodeert zijn code. Hierna vergelijkt de scanner de gedecodeerde code met codes uit de scandatabase.