Но они могут лечить не от всех вирусов, а только от тех, которые используют "стандартные", известные на момент написания программы, механизмы заражения файлов.

Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

• попытки коррекции файлов с расширениями СОМ и ЕХЕ;
• изменение атрибутов файлов;
• прямая запись на диск по абсолютному адресу;
• запись в загрузочные сектора диска;
• загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Тем самым можно свести убытки от вируса к минимуму. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другими ПО. Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.

Вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

Ни один из вышеперечисленных типов антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов. На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков. Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

Методы обнаружения вирусов На сегодняшний день одной из самых больших опасностей в области информационной безопасности являются вирусы. И действительно, они наносят огромный ущерб как домашним пользователям, так и корпорациям по всему миру. К счастью, современные антивирусные утилиты в подавляющем большинстве случаев успешно противостоят зловредным программам. Правда, в последнее время вирусы учатся все лучше и лучше прятаться, так что их обнаружение постепенно превращается в более сложную задачу. Давайте же рассмотрим, какие технологии используются современными антивирусами для поиска зловредных программ. Сканирование Это самый старый и самый простой метод обнаружения вирусов. Его суть заключается в последовательном просмотре файлов, являющихся потенциальными жертвами в поисках сигнатур известных вирусов. Что такое сигнатура? Это определенная последовательность байтов, уникальная для данного вируса и не встречающаяся в других программах. Сигнатурой могут быть отрывки кода, сообщения, выдаваемые вирусом, и т. п. У подобных сканеров существует множество недостатков. Самый главный из них - это умение определять только уже известные вирусы. И действительно, если сигнатура данной зловредной программы есть в специальной базе данных, сканер сработает, а если нет - то нет. Именно поэтому важно регулярное обновление антивирусных программ. Ну а если компьютер подключен к Интернету, то нужно не просто регулярное, а как минимум ежедневное пополнение базы данных. Иначе пользователь рискует стать жертвой какого-либо червя, эпидемии которых охватывают всю Глобальную сеть буквально в считаные часы. Второй большой недостаток сканеров - их неспособность противостоять проникновению вирусов на компьютер и препятствовать их разрушительной деятельности. Эти программы работают только тогда, когда их запустит пользователь или какой-нибудь планировщик. Поэтому в качестве самостоятельного антивирусного средства использование сканеров может быть оправдано только в том случае, если компьютер не подключен к Интернету или локальной сети, а любая дискета или компакт-диск перед использованием на данном ПК сначала будут проверяться на вирусы. Ну и, наконец, третий серьезный недостаток антивирусных сканеров - это их полная неспособность обнаружить полиморфные и стелс-вирусы. И это очень плохо. В общем, получается, что программы-сканеры не могут использоваться в качестве самостоятельной антивирусной защиты. Эвристический анализ Эвристический анализ позволяет обнаруживать даже те вирусы, которые еще не были занесены в базу данных. Суть его заключается в следующем. Файлы, являющиеся потенциальными жертвами, проверяются сканером. При этом ищется код, характерный для вирусов. Если он обнаружен, то происходит дополнительный разбор, сканер как бы пытается понять, что именно делает этот отрывок. Если, например, в нем реализованы алгоритм саморазмножения, резидентная работа или запись своих копий в другие исполняемые файлы, то этот код считается вирусом. И сканер пытается вылечить зараженный файл, то есть удалить из него подозрительный отрывок. На сегодняшний день все антивирусные программы, разработанные крупными компаниями, имеют собственный алгоритм эвристического анализа. В подавляющем большинстве случаев они надежны: корректно определяют вирусы и не трогают остальные программы. Хотя иногда возникают случаи, когда эвристический анализ не может дать однозначный ответ. В этом случае сканеры выдают пользователю сообщение о том, что данный файл находится на подозрении. При этом человеку предоставляется право решать, что же с ним делать: удалить или оставить все как есть. Однако стоит заметить, что, если у вас на ПК есть файлы с подозрением на вирус, лучше всего еще раз обновить базы данных, а потом провести повторную проверку. Вполне возможно, что сканер просто столкнулся с неизвестным вирусом. Постоянный мониторинг Программы-мониторы имеют одно коренное отличие от других антивирусов. Дело в том, что они работают резидентно, то есть постоянно загружены в память компьютера. В задачу монитора входит проверка всех уязвимых файлов, к которым обращается любое приложение операционной системы. В принципе, это самый удобный для пользователя вариант. И действительно, не нужно постоянно помнить о необходимости проверки новых файлов. Не нужно терять время в ожидании, пока сканер проверит все файлы на жестком диске. Программы-мониторы работают постоянно и незаметно для пользователя. Хотя, с другой стороны, любое резидентное приложение, тем более такое "активное", требует дополнительных затрат системных ресурсов. Поэтому на старых слабых компьютерах антивирусные мониторы могут стать причиной замедленной работы ПК. Второй важный плюс постоянного мониторинга помимо удобства для пользователей - это надежность. И действительно, этот метод, в отличие от остальных, позволяет определить и обезвредить вирус еще до того, как он приступил к своей разрушительной деятельности. Монитор "перехватывает" обращения операционной системы к файлам и сначала проверяет их. При этом используются оба описанных выше метода - поиск известных сигнатур и эвристический анализ. Если в результате проверки монитор обнаруживает вирус, то доступ к файлу блокируется, а пользователю выдается специальное сообщение с предложением выбрать необходимое действие (попытаться вылечить файл, удалить его, поместить в специальную папку и т. п.). Ну а если объект "чист", то монитор ничего не делает, а приложение, обращавшееся к нему, продолжает свою работу. Ревизии Ни для кого не секрет, что подавляющее большинство вирусов, заражая компьютер, изменяют содержимое жесткого диска. Например, они могут дописывать свой код в различные приложения или документы, добавлять вызовы в системные файлы, переделывать загрузочный сектор и т. д. Именно на этом их свойстве и основан метод ревизий. Давайте разберем, как по этому принципу работают программы. Антивирусный ревизор при первом запуске создает образы загрузочных секторов и подсчитывает специальные контрольные суммы для других секторов и всех уязвимых файлов. Все эти данные сохраняются в специальной таблице. При последующих запусках ревизор снова проводит те же процедуры и сравнивает результат с суммами, полученными ранее. Если обнаружено изменение какого-либо параметра, то проводятся дополнительные исследования. Ведь системный файл мог изменить как сам пользователь, так и какое-либо приложение, которое он установил. Поэтому деятельность вирусов определяется по косвенным признакам. В частности, подавляющее большинство зловредных программ, дописывая себя в какой-либо файл, делают так, чтобы время модификации этого объекта не менялось. Это нужно для маскировки, поскольку иначе пользователь может заметить изменения. Такой нюанс и используют программы-ревизоры. Если файл был изменен, а время модификации не изменилось, они подозревают деятельность вируса. Хотя надо признаться, что этот критерий далеко не стопроцентный. Некоторые приложения тоже меняют свои файлы без изменения времени модификации. Конечно же, кроме этой есть еще ряд характеристик, по которым программы-ревизоры определяют вирусы. Вывод Итак, мы с вами, уважаемые читатели, рассмотрели самые распространенные способы обнаружения вирусов. Некоторые антивирусные программы используют только какой-то один или два из них, другие - все вместе. Нужно ли говорить, что второй вариант гораздо надежней. Каждый тип вирусов лучше всего определяется каким-то определенным методом. Поэтому, если антивирусный комплект будет содержать утилиты, работающие по разным технологиям, вероятность заражения будет минимальной. Современные отечественные антивирусы