"Андрей Ефимов. Зараза особого рода (О вирусах)" - читать интересную книгу автора
достаточно сравнить сведения о файле, возвращаемые функциями DOS и BIOS:
если они не совпадают, будьте уверены: в файле что-то прячется, (Кстати,
борьба с вирусами-невидимками проста: как правило, для исцеления файла
достаточно переписать его под другим именем.) При атаке бутового вируса
ревизор восстанавливает содержимое оригинальных загрузочных секторов из
своих таблиц.
Лишь немногие вирусы (около 3%) являются "новым словом" в сложной
"вирусной науке". Среди остальных 97% встречаются как явные заимствования,
так и типовые произведения начинающих. Способы, которыми они заражают
файлы, известны всему миру, и у любой антивирусной программы есть
соответствующие противоядия. Гораздо более опасны вирусы-незнакомцы, но
Adinf умеет бороться и с ними. При наличии некоторой информации о файле,
которую он сохраняет в своих таблицах, его лечащий модуль способен
"выкусить" вирус из кода программы и вернуть ей первоначальный вид.
Разумеется, 100%-ной гарантии Adinf не дает. Действительно, при малейших
изменениях на диске, характерных для проявлений вирусов (изменение длины
исполняемых файлов, загрузочного сектора винчестера, нарушение контрольной
суммы файла и т.д.) Adinf тут же сообщает об этом пользователю и
предотвращает распространение вируса. Но этот ревизор, как и любая другая
программа, имеет свои недостатки, которыми пользуются вирмейкеры.
Резидентные вирусы могут обманывать его, изменяя информацию, которую он
хотел бы получить. Нерезиденту - сложнее. Только что-то заразишь, как тут
же Adinf сообщает: "На диске обнаружены изменения файлов, характерные для
проявления вирусов!" Будет гораздо лучше, рассудили их авторы, если ревизор
С каждой версией Adinf в программу добавляется дополнительная их защита.
Но вирмейкеры нашли признаки, по которым их можно найти. А найдя, записать
поверх оригинальной таблицы какой-нибудь мусор. При следующем запуске
ревизор сообщит, что "таблицы созданы более поздней версией Adinfa" (или
констатирует "устаревший формат таблиц") и предложит пересоздать их. Причем
в испорченной таблице останется рамочка, заверяющая пользователя, что
таблица существует.
Эвристические анализаторы. Возвращаясь к фагам, обратим внимание на еще
один принципиально важный их недостаток. Существуют вирусы, перед которыми
фаги бессильны. Это так называемые полиморфные вирусы. Они обладают
способностью раз от разу изменять свой код таким образом, что в нем не
удается выделить фиксированные сигнатуры (неизменяемые участки, с помощью
которых программы-фаги идентифицируют вирусы). Для борьбы с такой инфекцией
применяются эвристические анализаторы, пытающиеся найти участки кода
программ, которые могут являться элементами шифровщиков или характерны для
полиморфных вирусов. В антивирусном комплекте АО "ДиалогНаука"
распространяется эвристический анализатор Dr.Web. Известный его недостаток
- долгое время работы и полное пренебрежение "презумпцией невиновности":
Dr.Web способен заподозрить во всех смертных грехах вполне мирные программы
и даже обычные текстовые файлы. Кстати, именно с программой Dr. Web связана
прямо-таки детективная история. Одно из дополнений к этому анализатору,
распространенное по каналам Интернет и других электронных сетей, оказалось
замаскированным вирусом (так называемый "троянский конь"). При попытке
произвести проверку на наличие инфекции зараженная программа уничтожала
| © 2024 Библиотека RealLib.org (support [a t] reallib.org) |