Antivirové programy

JAK PRACUJÍ ANTIVIRY

1. SCANOVÁNÍ
Antivirové systémy používají pro detekci virů současně několik metod. Jednou je scanování, při které porovnávají kódy své interní databáze programu s kódy viru. Je-li kód v databázi shodný s nalezeným kódem viru v nějakém souboru či jinde, ohlásí, že je nalezen vir a jeho jméno. Jednodušeji řečeno, antivirový program má jeden soubor (či více), obsahující v sobě kódy virů a obsah tohoto souboru porovnává s obsahem souborů, které určíte, aby prohledával. Kontrolovat se dá jak celý obsah nějakého souboru, tak jen jeho část, nejčastěji začátek a konec souboru.
Nevýhoda této metody: Je to spolehlivá antivirová ochrana, je však závislá na aktuálnosti virové databáze. Máte-li 2 roky starou databázi antiviru, neodhalíte jím a přesně neurčíte novější vir, proto se tyto databáze neustále aktualizují.


2. HEURISTICKÁ ANALÝZA
Mezi další metody antivirů patří tzv. heuristická analýza (rozbor), což je v podstatě rozbor obsahu souborů co se týče jejich naprogramování. Může být např. podezřelé, když se program, tedy spustitelný soubor, bude snažit otvírat a zapisovat do jiných spustitelných souborů. V tom případě může program vypsat na monitor: "Soubor c:\xxx může být zavirován neznámým virem", přičemž c:\ značí disk a umístění a xxx jméno souboru. V tom případě program vydá zvukový signál a čeká na reakci uživatele, záleží na nastavení. Tato metoda hledání virů dokáže odhalit nejnovější a dosud neznámý vir, tedy takový, který není ještě v databázi antivirového programu.
Nevýhoda této metody: Heuristická analýza může chybně označit soubory, které jsou zcela v pořádku díky tomu, že vnitřní kódování některého programu může být podobné kódování virů. Záleží pak na některých okolnostech, na zdroji programu (nedůvěryhodný zdroj programu jsou např. hry na disketách od známého), jeho nezávadnost v delší době používání (zda se v minulosti dotyčný program choval podivně), zda antivir označil jako podezřelé ty soubory, které k sobě patří - tvoří jeden programový celek nebo označil více souborů v různých adresářích na disku atd. Je třeba upozornit, že heuristika není 100% účinná, ale je to velmi vhodný doplněk antiviru.


3. TEST INTEGRITY (KONTROLA ZMĚN)
Za třetí metodu hledání virů lze označit činnost antiviru, kdy porovnává informace o souborech s informacemi databáze, porovnává především velikost souboru s velikostí souboru naposledy zapsané v databázi. Pokud se např. změní velikost spustitelného souboru, lze předpokládat, že může být infikován virem, pokud nebyla například instalována novější verze programu. Jedním ze způsobů jeho využití antivirem je, že kontroluje soubory a všechny změněné soubory následně kontroluje scanováním.
Nevýhoda této metody: Autor viru mohl znát jméno databáze, souboru, kam se informace ukládají a mohl toho zneužít. Při spuštění kontroly změn na disku se přesvěčte, zda nemáte vir v operační paměti, protože při spuštění kontroly by mohlo dojít k další infekci dosud neinfikovaných dat na disku. Tato metoda sama o sobě viry nehledá, ale zkoumá, zda nějaký vir nezačal na disku působit.


4. REZIDENTNÍ SLEDOVÁNÍ
Některé antiviry dále mohou zahrnovat techniku rezidentního sledování činnosti počítače, při startu počítače se automaticky do operační paměti počítače RAM umístí rezidentní antivir a sleduje probíhající činnost. Antivir běží v pozadí a to může přijít uživateli velmi vhod, protože např. při zápisu do systémové oblasti disku, nebo modifikaci souborů s příponou EXE, COM Vás antivirový systém upozorní na toto neobvyklé chování a čeká na Vaši reakci (záleží na druhu antiviru a jeho nastavení). Běh rezidentního programu není uživateli viditelný a pokud máte více operační paměti a rezidentní program není umístěn v základní paměti, téměř vůbec rychlost počítače neovlivní.
Nevýhoda této metody: Při malé operační paměti počítače, např. 6 MB RAM a umístění rezidentního driveru v základní paměti výrazně zpomalí rychlost práce počítače a dále tato technika rezidentního sledování nekontroluje tolik virů jako klasický test scanováním.
Každý dnešní normální antivirový systém obsahuje několik těchto uvedených metod hledání virů. Některé systémy nabízí různé kombinace těchto metod, některé jimi kontrolují disk jednou všemi současně, některé zvláštní nabídkou (menu) programu, kde si můžete vybrat, kterou z nich právě spustit. Jediná metoda není tolik účinná, ale využití těchto metod bude mít za následek to, že budete minimalizovat riziko napadení Vašeho počítače virem.


SOFTWAROVÁ OCHRANA PŘED POČÍTAČOVÝMI VIRY

Softwarová ochrana je realizována antivirovými programy. Služby, které antivirové programy poskytují lze rozdělit do tří skupin:
· konkrétní antivirové techniky
· obecné antivirové techniky
· preventivní ochrana
Konkrétní antivirové techniky vyhledávají pouze známé viry podle virové databáze, kterou je nutné aktualizovat. Většinu takto nalezených virů je možné ze souborů nebo z boot sektorů také odstranit, a to buď s použitím informací o viru, který příslušný soubor infikoval nebo s použitím původních informací o souboru, které popisují, jak vypadal před infekcí. Největší výhodou této metody je její rychlost, tato metoda se tedy používá pro pravidelné kontrolování pevného disku. Známé viry je také možné vyhledávat v každém spouštěném, kopírovaném, otevíraném souboru a v zaváděcích sektorech všech disket, které do počítače vkládáme. K tomu je určen rezidentní ovladač, který lze zavádět vždy po spuštění počítače. Tento ovladač se zavádí v config.sys a je tedy v paměti ještě dříve, než se načte command.com (což je obvyklá základna většiny virů). Samozřejmě nechybí možnost prohledat paměť? na přítomnost rezidentních virů.
Obecné antivirové techniky se snaží najít a pokud je to možné i odstranit neznámý virus. První metodou, jak najít neznámý virus je tzv. srovnávací test. Při prvním spuštění tohoto testu si program zapíše důležité informace o souborech (velikost, datum, čas, atributy a kontrolní součty). Při dalších spuštěních porovnává tyto informace s aktuálním stavem. Pokud v těchto údajích došlo ke změně většího rozsahu, je pravděpodobné, že počítač byl napaden virem. Antivirový program AVG obsahuje i heuristickou analýzu. Heuristická analýza je obecně fungující metoda, není tedy závislá na virové databázi. Automaticky se při této metodě provádí test i na známé viry. Pokud je tedy soubor označen za napadený, prohledává se v databázi virů a jméno viru je vypsáno, v opačném případě je virus označen jako neznámý. Program obsahuje tzv. plnou heuristickou analýzu (heuristická analýza s emulací kódu), kdy se antivirový program přímo pokouší emulovat činnost počítače při spuštění programu. Nevýhoda metody je v tom, že často dochází k falešným poplachům, kdy některé soubory jsou označovány jako napadené. Avšak vzhledem k zvětšování počtu stále složitějších virů, bude v budoucnu tato metoda nejčastěji používaná. Test prostředí na souborové viry spočívá v tom, že program vygeneruje na disk soubory typu .com a .exe, potom je kopíruje a provádí s nimi různé operace, přičemž vždy kontroluje jejich obsah. Pokud se při manipulaci s nimi změní jejich obsah, je velmi pravděpodobné, že se na návnadu právě chytil virus. Obdobně je program schopen vygenerovat na disketu prázdný zaváděcí sektor a poté kontrolovat, byl-li nějak změněn.
Preventivní antivirové techniky se doporučí využívat pokud možno ještě předtím, než se virus v počítači usídlí. Spočívají v zálohování některých důležitých informacích o počítači, podle nichž bude v případě potřeby možné obnovit původní stav. Pomocí programu si můžeme uložit obsah paměti CMOS, tabulku rozdělení pevného disku apod. Po napadení počítače lze tyto informace zpětně obnovit.

POSTUP PŘI NAPADENÍ POČÍTAČE VIREM

1. Vypneme počítač.
2. Zavedeme systém z čisté DOS diskety chráněné proti zápisu.
3. Z diskety spustíme antivirový program. Pokud chceme spouštět antivirový program z napadeného disku, nejprve ho zkopírujeme z diskety na pevný disk. Antivirový program spuštěný z pevného disku poskytuje větší možnosti při léčení, jeho práce je rychlejší.
4. Jestliže se jedná o souborový virus, napadené soubory necháme" vyléčit", pokud máme soubory zálohované, je vhodnější napadené soubory smazat a nainstalovat nové. Po vyléčení i lepším antivirovým programem ne vždy soubory pracují korektně.
5. Jestliže jde o boot virus, necháme provést obnovu boot sektorů antivirovým programem, nebo příkazem SYS si provedeme obnovu sami (SYS spouštíme z diskety).
6. Jestliže se jedná o virus v MBR, zálohujeme si nejprve všechny systémové oblasti a zkontrolujeme funkčnost záložních kopií. Antivirové programy občas poškodí při odstraňování tohoto viru tabulku partition, čímž způsobí ztrátu dat. Jestliže dokáže náš antivirový program virus v MBR odstranit, nebo umí sektor obnovit z diskety, provedeme jeho obnovení.
7. Zkontrolujeme všechny diskety.
8. Informujeme o nákaze uživatele, se kterými si vyměňujeme diskety

 

Maturita.cz - referát (verze pro snadný tisk)
http://www.maturita.cz/referaty/referat.asp?id=2450