Найбільш поширеним засобом нейтралізації вірусів є програмні антивіруси. Вони існують багатьох типів: детектори, фаги, вакцини, щеплення, ревізори, монітори. Розглянемо їх детальніше.
Детектори забезпечують виявлення вірусів шляхом перегляду файлів, що виконуються і пошуку сигнатур. Антивірус, що забезпечує можливість пошуку різних сигнатур, називають полідетектором. Іноді в їх роботі трапляються помилки. Якщо користувач запускав полідетектор, а після нього - другий, але іншого виробника, то друга програма може помилково знайти вірус. Це відбувається тому, що попередня програма-антивірус для своєї роботи використовувала частини сигнатур відомих вірусів (для порівняння), які залишились в пам'яті комп'ютера. Друга програма, знайшовши їх, помилково ідентифікувала як вірус.
Фаги виконують функції детектора і крім того, "лікують" інфіковані програми шляхом "викушування" (або, як ще кажуть, "поїдання") вірусів з тіла програми. Фаги, що здатні нейтралізувати різні віруси, називаються поліфагами.
Вакцини, на відміну від детекторів та фагів, за принципом дії нагадують віруси. Вакцина імплантується у програму, яку необхідно захистити, і запам'ятовує ряд її структурних і кількісних характеристик. Якщо таку програму інфікує вірус, то при першому ж запуску спочатку керування перейде не до вірусу, а до вакцини, яка перевірить параметри файлу і виявить код вірусу. І, відповідно, такий файл не буде запускатись.
Щеплення враховує той факт, що більшість вірусів заражає один файл лише один раз (максимально це може відбуватись в два етапи, проте рідко зустрічається) для того, щоби одразу не виявити себе різкою зміною обсягів файлів. На інфікований файл вірус ставить певну мітку, і більше не використовує. Отже, програма із штучною міткою зараження - щепленням зберігає всі свої робочі властивості і є захищеною від вірусу.
Ревізори - слідкують за станом файлової системи, використовуючи принцип захисту, що застосовано у вакцинах. Характеристики файлів зберігаються ревізором в окремому файлі. Проте, для перевірки наступного файлу необхідно наново запускати програму-ревізор.
Монітори - резидентні програми, що забезпечують перехоплення потенційно небезпечних переривань, які є характерними для вірусів.
Монітор запитує в користувачів підтвердження на виконання операцій, наступних після переривання. У випадку заборони чи відсутності підтвердження монітор блокує виконання програми.
Зазначимо, що деякі резидентні віруси при спробі трасування зараженої програми здатні самі "викушувати" свої копії з коду програм. І таким чином, антивірусна програма отримує для аналізу повністю здоровий файл. Або бутові віруси зберігають перед зараженням оригінальний сектор завантаження (ховають його у нібито зіпсутих секторах), а при перевірці антивірусною програмою тимчасово встановлюють на місце.
Резюме
За даними ITSEC, інформаційна безпека включає в себе наступні складові: конфіденційність, цілісність, доступність. Відповідно до цих складових, існують специфікації функцій безпеки: ідентифікація та аутентифікація; управління доступом; аудит та ряд інших.
Політика безпеки - це набір законів, правил та норм для окремої комп'ютерної системи, що визначають весь процес обробки, поширення та захисту даних в ній.
Аналіз загроз для інформації в системі показує, де і коли в системі з'являється цінна інформація, і в якому місці системи вона може втратити цінність. Загроза реалізується через атаку в певному місці і в певний час. Часто атака реалізується за допомогою введення в систему комп'ютерного вірусу.
Комп'ютерний вірус - це програма, що володіє здатністю заражати інші програми, шляхом додавання до них своєї, можливо зміненої, копії. Головна умова існування вірусів - універсальна інтерпретація інформації в обчислювальних системах. Для зараження файлів віруси використовують три основних способи: запис з перекриттям (overwriting), запис на початку (prepending) та запис в кінці файлу (appending). Протидіють вірусам програми-антивіруси.
Ключові слова
Безпека, конфіденційність, цілісність, доступність, ідентифікація, аутентифікація, політика безпеки, механізм захисту, загроза, атака, вірус, логічна бомба, хробак, троянська програма, несанкціонований доступ, антивірус.
Запитання і завдання для обговорення та самоперевірки:
► Назвіть складові безпеки інформаційної системи і відповідні специфікації функцій безпеки.
► Дайте означення ідентифікації та аутентифікації.
► Опишіть рівні в схемі ієрархічної декомпозиції аналізу захищеності складних інформаційних систем.
► Дайте означення загрози та наведіть приклад загрози доступності в комп'ютерній системі.
► Чим загрожує перевантаженість системи? Опишіть механізм можливої атаки.
► Охарактеризуйте дію троянських програм.
► Наведіть означення комп'ютерного вірусу за Ф.Коеном. Опишіть фізичну структуру вірусу.
► Схематично проілюструйте способи зараження програми вірусом. Опишіть дію вірусу Jerusalem.
► Назвіть типи програм нейтралізації вірусів. Опишіть механізм вакцинації файлу.
► Яка основна відмінність між вірусом та хробаком? Опишіть властивості вірусу, якщо його кодове позначення EC-1701.
17.1. Етапи створення інформаційних систем
17.2. Моделі життєвого циклу програмного забезпечення ІС
17.3. Особливості проектування інформаційних систем
17.4. CASE-технології та CASE-засоби проектування
18. Технології моделювання бізнес-процесів. Мова UML
18.1. Методи моделювання бізнес-процесів
18.2. Етапи розвитку UML
18.3. Поняття діаграми, нотації та метамоделі
18.4. Задачі аналізу і проектування