집 오디오 비디오 바이러스 백신 프로그램의 분류 및 기능. 안티바이러스 안티바이러스 보호 바이러스 유형 안티바이러스 프로그램 분류

바이러스 백신 프로그램의 분류 및 기능. 안티바이러스 안티바이러스 보호 바이러스 유형 안티바이러스 프로그램 분류

소개

우리는 인류가 새로운 과학 기술 혁명의 시대에 진입한 2000년의 전환기에 살고 있습니다.

20세기 말까지 사람들은 물질과 에너지의 변환에 관한 많은 비밀을 마스터했고 이 지식을 사용하여 삶을 개선할 수 있었습니다. 그러나 물질과 에너지 외에도 또 다른 구성 요소인 정보가 인간의 삶에서 큰 역할을 합니다. 이것은 다양한 정보, 메시지, 뉴스, 지식, 기술입니다.

우리 세기 중반에는 특수 장치- 정보의 저장과 변환에 초점을 맞춘 컴퓨터와 컴퓨터 혁명이 있었습니다.

오늘날 개인용 컴퓨터의 대량 사용은 불행히도 컴퓨터의 정상적인 작동을 방해하고 디스크의 파일 구조를 파괴하며 컴퓨터에 저장된 정보를 손상시키는 자가 복제 바이러스 프로그램의 출현과 관련이 있는 것으로 밝혀졌습니다.

컴퓨터 범죄와 특수 기술 개발을 방지하기 위해 많은 국가에서 채택된 법률에도 불구하고 소프트웨어 도구바이러스에 대한 보호, 새로운 소프트웨어 바이러스지속적으로 성장하고 있습니다. 이를 위해서는 개인용 컴퓨터 사용자가 바이러스의 특성, 바이러스를 감염시키고 바이러스로부터 보호하는 방법에 대해 알고 있어야 합니다. 이것이 내 작품의 주제를 선택하게 된 계기가 되었다.

그것이 제가 제 에세이에서 말하는 것입니다. 나는 바이러스의 주요 유형을 보여주고 기능 체계, 출현 이유 및 컴퓨터 침투 방법을 고려하고 보호 및 예방 조치를 제안합니다.

이 작업의 목적은 사용자에게 컴퓨터 바이러스학의 기초를 익히고 바이러스를 탐지하고 퇴치하는 방법을 가르치는 것입니다. 작업 방법은 이 주제에 대한 인쇄된 출판물을 분석하는 것입니다. 나는 어려운 과제에 직면했습니다. 거의 연구되지 않은 것과 그것이 어떻게 일어났는지에 대해 이야기하는 것입니다. 당신은 판사입니다.

1. 컴퓨터 바이러스와 그 속성 및 분류

1.1. 속성 컴퓨터 바이러스

이제 사용자가 기계의 모든 리소스에 무료로 액세스할 수 있는 개인용 컴퓨터가 사용됩니다. 이것은 컴퓨터 바이러스로 알려진 위험에 대한 가능성을 열었습니다.

컴퓨터 바이러스란? 이 개념에 대한 공식적인 정의는 아직 만들어지지 않았으며, 그것이 주어질 수 있는지에 대한 심각한 의구심이 있습니다. 바이러스에 대한 "현대적" 정의를 내리려는 수많은 시도는 성공적이지 못했습니다. 문제의 복잡성을 느끼려면 예를 들어 "편집기"의 개념을 정의해 보십시오. 매우 일반적인 것을 생각해내거나 알려진 모든 유형의 편집자를 나열하기 시작할 것입니다. 둘 다 거의 수용 가능한 것으로 간주될 수 없습니다. 따라서 우리는 특정 프로그램 클래스로 말할 수 있는 컴퓨터 바이러스의 일부 속성을 고려하는 것으로 제한할 것입니다.

우선 바이러스는 프로그램입니다. 이러한 간단한 설명만으로도 컴퓨터 바이러스의 놀라운 능력에 대한 많은 전설을 불식시킬 수 있습니다. 바이러스는 모니터의 이미지를 뒤집을 수 있지만 모니터 자체를 뒤집을 수는 없습니다. 치명적인 모습을 보여 오퍼레이터를 파괴하는 킬러 바이러스에 대한 전설에 그림 물감 25번째 프레임'도 심각하게 받아들여서는 안 됩니다. 불행히도 일부 권위 있는 출판물은 때때로 "컴퓨터 분야의 최신 뉴스"를 출판하는데, 자세히 살펴보면 주제에 대한 완전히 명확하지 않은 이해의 결과임이 밝혀졌습니다.

바이러스는 스스로 복제할 수 있는 능력을 가진 프로그램입니다. 이 능력은 모든 유형의 바이러스에 고유한 유일한 수단입니다. 그러나 바이러스만이 자가 복제가 가능한 것은 아닙니다. 모든 운영 체제 및 기타 여러 프로그램에서 자체 복사본을 만들 수 있습니다. 동일한 바이러스의 복사본은 원본과 완전히 일치할 필요는 없을 뿐만 아니라 전혀 일치하지 않을 수도 있습니다!

바이러스는 "완전히 격리된" 상태로 존재할 수 없습니다. 오늘날에는 다른 프로그램의 코드, 파일 구조 정보 또는 다른 프로그램의 이름만 사용하지 않는 바이러스를 상상할 수 없습니다. 그 이유는 분명합니다. 바이러스는 어떻게든 자신에게 통제권을 이전해야 합니다.

1.2. 바이러스 분류

현재 5,000개 이상의 소프트웨어 바이러스가 알려져 있으며 다음 기준에 따라 분류할 수 있습니다.

서식지

¨ 환경오염의 방법

타격

¨ 알고리즘의 특징

바이러스는 서식지에 따라 네트워크, 파일, 부트, 파일 부트로 나눌 수 있습니다. 네트워크 바이러스다양한 컴퓨터 네트워크에 배포됩니다. 파일 바이러스는 주로 실행 모듈, 즉 COM 및 EXE 확장자를 가진 파일에 도입됩니다. 파일 바이러스다른 유형의 파일에 포함될 수 있지만 일반적으로 이러한 파일에 작성된 파일은 제어할 수 없으므로 재생산할 수 없습니다. 부트 바이러스디스크의 부트 섹터(부트 섹터) 또는 부트 프로그램이 포함된 섹터에 포함됩니다. 시스템 디스크(마스터 부트 재-

코드). 파일 부팅바이러스는 파일과 부트 섹터디스크.

바이러스는 감염 방법에 따라 상주와 비상주로 나뉩니다. 상주 바이러스컴퓨터를 감염(감염)시킬 때 랜덤 액세스 메모리감염된 개체(파일, 디스크 부트 섹터 등)에 대한 운영 체제의 액세스를 가로채서 해당 개체에 주입합니다. 상주 바이러스는 메모리에 상주하며 컴퓨터를 끄거나 다시 시작할 때까지 활성 상태를 유지합니다. 비 상주 바이러스컴퓨터 메모리를 감염시키지 않으며 제한된 시간 동안 활성화됩니다.

영향의 정도에 따라 바이러스는 다음 유형으로 나눌 수 있습니다.

¨ 위험하지 않은, 컴퓨터 작동을 방해하지 않지만 여유 RAM 및 디스크 공간의 양을 줄이면 이러한 바이러스의 동작은 그래픽 또는 음향 효과로 나타납니다.

¨ 위험한컴퓨터에 다양한 문제를 일으킬 수 있는 바이러스

¨ 매우 위험한, 그 영향은 프로그램 손실, 데이터 파괴, 디스크 시스템 영역의 정보 삭제로 이어질 수 있습니다.

2. 바이러스의 주요 유형 및 기능 체계

다양한 바이러스 중에서 다음과 같은 주요 그룹을 구별할 수 있습니다.

¨ 부팅

¨ 파일

¨ 파일 부팅

이제 이러한 각 그룹에 대해 자세히 설명합니다.

2.1. 부트 바이러스

플로피 디스크를 감염시키는 매우 단순한 부트 바이러스의 작동을 고려하십시오. 우리는 알고리즘의 기능에 대한 엄격한 분석에서 필연적으로 마주하게 될 수많은 미묘함을 의도적으로 우회합니다.

컴퓨터를 켜면 어떻게 되나요? 첫째, 통제가 이전된다. 부트스트랩 프로그램, 읽기 전용 메모리(ROM)에 저장됩니다. PNZ 롬.

이 프로그램은 하드웨어를 테스트하고 테스트에 통과하면 A 드라이브에서 플로피 디스크를 찾습니다.

모든 플로피 디스크에는 소위 표시되어 있습니다. 섹터 및 트랙. 섹터는 클러스터로 결합되지만 이것이 우리에게 필수적인 것은 아닙니다.

섹터 중에는 자체 필요에 따라 운영 체제에서 사용하는 서비스가 여러 개 있습니다(귀하의 데이터는 이러한 섹터에 배치할 수 없음). 서비스 부문 중에서 우리는 여전히 소위 말하는 것에 관심이 있습니다. 부트스트랩 섹터(부트 섹터).

부트스트랩 섹터 매장 디스켓 정보- 표면 수, 트랙 수, 섹터 수 등. 그러나 이제 우리는 이 정보에 관심이 없지만 작은 부트스트랩 프로그램(PNZ), 운영 체제 자체를 로드하고 제어를 전달해야 합니다.

따라서 일반적인 부트스트랩 패턴은 다음과 같습니다.

이제 바이러스를 고려하십시오. 부트 바이러스에서는 소위 두 부분이 구별됩니다. 머리등. 꼬리. 일반적으로 꼬리는 비어 있을 수 있습니다.

빈 플로피 디스크와 감염된 컴퓨터가 있다고 가정합니다. 감염된 컴퓨터는 활성 상주 바이러스가 있는 컴퓨터를 의미합니다. 이 바이러스는 드라이브에 적절한 희생자가 나타났음을 감지하는 즉시(우리의 경우 쓰기 방지되지 않고 아직 감염되지 않은 디스켓) 감염을 진행합니다. 플로피 디스크에 감염되면 바이러스는 다음 작업을 수행합니다.

디스크의 특정 영역을 할당하고 운영 체제에서 액세스할 수 없는 것으로 표시합니다. 이것은 다른 방식으로 수행할 수 있습니다. 가장 간단하고 전통적인 경우에는 바이러스가 차지하는 섹터가 불량(불량)으로 표시됩니다.

꼬리와 원래 (정상) 부트 섹터를 디스크의 선택된 영역에 복사합니다.

(실제) 부트 섹터의 부트스트랩 프로그램을 헤드로 교체합니다.

체계에 따라 제어 전송 체인을 구성합니다.

따라서 이제 바이러스의 머리가 가장 먼저 제어권을 잡고 바이러스가 메모리에 설치되고 제어권이 원래 부트 섹터로 넘어갑니다. 체인에서

PNZ(ROM) - PNZ(디스크) - 시스템

새 링크가 나타납니다.

PNZ(ROM) - 바이러스 - PNZ(디스크) - 시스템

도덕은 분명합니다. (실수로) 플로피 디스크를 A 드라이브에 두지 마십시오.

플로피 디스크의 부트 섹터에 서식하는 단순 부토비 바이러스의 작동을 조사했습니다. 일반적으로 바이러스는 플로피 디스크의 부트 섹터뿐만 아니라 하드 드라이브의 부트 섹터도 감염시킬 수 있습니다. 이 경우 플로피 디스크와 달리 하드 드라이브에는 제어를 받는 부팅 프로그램이 포함된 두 가지 유형의 부팅 섹터가 있습니다. 하드 드라이브에서 컴퓨터를 부팅할 때 MBR(마스터 부트 레코드 - 마스터 부트 레코드)의 부트 프로그램이 먼저 제어합니다. 하드 드라이브가 여러 파티션으로 분할된 경우 그 중 하나만 부팅 가능(부팅)으로 표시됩니다. MBR의 부트스트랩 프로그램은 하드 드라이브의 부트 파티션을 찾고 이 파티션의 부트로더에 제어를 넘깁니다. 후자의 코드는 일반 플로피 디스크에 포함된 부트 프로그램의 코드와 동일하며 해당 부트 섹터는 매개변수 표만 다릅니다. 따라서 하드 드라이브에는 부팅 바이러스의 공격 대상이 두 가지 있습니다. 부트스트랩 프로그램 MBR그리고 초등학교 부트 섹터에서 다운로드부팅 디스크.

2.2. 파일 바이러스

이제 간단한 파일 바이러스가 어떻게 작동하는지 살펴보겠습니다. 거의 항상 상주하는 부트 바이러스와 달리 파일 바이러스는 반드시 상주하는 것은 아닙니다. 비 상주 파일 바이러스의 작동 방식을 생각해 봅시다. 감염된 실행 파일이 있다고 가정합니다. 이러한 파일이 실행되면 바이러스가 제어권을 잡고 일부 작업을 수행하고 제어권을 "마스터"에게 넘깁니다(이러한 상황에서 누가 마스터인지는 아직 알 수 없음).

바이러스는 어떤 작업을 수행합니까? 감염시킬 새로운 개체를 찾습니다. 아직 감염되지 않은 적절한 유형의 파일입니다(바이러스가 "양호한" 경우, 그렇지 않으면 아무 것도 확인하지 않고 즉시 감염되는 파일이 있음). 파일을 감염시킴으로써 바이러스는 파일이 실행될 때 제어권을 얻기 위해 코드에 스스로를 주입합니다. 바이러스는 주요 기능인 재생산 외에도 복잡한 작업(예: 질문, 재생)을 수행할 수 있습니다. 이는 이미 바이러스 작성자의 상상력에 달려 있습니다. 파일 바이러스가 상주하는 경우 메모리에 스스로 설치되어 파일을 감염시키는 능력을 얻고 감염된 파일이 실행되는 동안 뿐만 아니라 다른 기능을 표시합니다. 실행 파일을 감염시키면 바이러스는 항상 코드를 수정하므로 실행 파일의 감염을 항상 감지할 수 있습니다. 그러나 파일 코드를 변경한다고 해서 바이러스가 반드시 다른 변경을 가하는 것은 아닙니다.

à 파일의 길이를 변경할 의무가 없습니다.

à 사용하지 않는 코드 섹션

à 파일의 시작을 변경하는 데 필요하지 않습니다.

마지막으로, 파일 바이러스에는 종종 "파일과 관련이 있지만" 코드에 침입할 필요는 없는 바이러스가 포함됩니다. 알려진 Dir-II 계열의 바이러스 기능 계획을 예로 들어 보겠습니다. 1991년에 나타난 이 바이러스는 러시아에서 진정한 전염병 전염병을 일으켰다는 것을 인정해야 합니다. 바이러스의 기본 아이디어를 명확하게 보여주는 모델을 고려하십시오. 파일에 대한 정보는 디렉토리에 저장됩니다. 각 디렉토리 항목에는 파일 이름, 생성 날짜 및 시간, 일부 추가 정보, 첫 번째 클러스터의 번호파일 등 예비 바이트. 후자는 "예비" 상태로 남아 있으며 MS-DOS 자체는 사용되지 않습니다.

실행 파일을 실행할 때 시스템은 디렉토리 항목에서 파일의 첫 번째 클러스터를 읽은 다음 다른 모든 클러스터를 읽습니다. Dir-II 계열의 바이러스는 파일 시스템의 다음과 같은 "재구성"을 생성합니다. 바이러스 자체는 불량으로 표시되는 일부 여유 디스크 섹터에 기록됩니다. 또한 실행 파일의 첫 번째 클러스터에 대한 정보를 예비 비트에 저장하고 이 정보 대신 자신에 대한 참조를 씁니다.

따라서 파일이 실행되면 바이러스는 제어권을 받고(운영 체제가 자체적으로 실행함) 메모리에 상주하고 호출된 파일에 제어권을 넘깁니다.

2.3. 부트 파일 바이러스

이 경우 새로운 정보를 배울 수 없기 때문에 부팅 파일 바이러스 모델은 고려하지 않습니다. 그러나 여기에 마스터 부트 섹터(MBR)와 실행 파일을 감염시키는 최근에 매우 "인기 있는" OneHalf 부트 파일 바이러스에 대해 간략하게 논의할 기회가 있습니다. 주요 파괴 행위는 하드 드라이브 섹터의 암호화입니다. 시작할 때마다 바이러스는 섹터의 다음 부분을 암호화하고 절반을 암호화한 후에는 하드 드라이브, 기쁘게 이것을 발표합니다. 이 바이러스 치료의 주요 문제점은 MBR과 파일에서 바이러스를 제거하는 것만으로는 충분하지 않으며 암호화된 정보를 해독해야 한다는 것입니다. 가장 "치명적인" 조치는 단순히 새로운 건강한 MBR을 다시 작성하는 것입니다. 가장 중요한 것은 당황하지 마십시오. 침착하게 모든 것을 측정하고 전문가와 상의하십시오.

2.4. 다형성 바이러스

대부분의 질문은 "다형성 바이러스"라는 용어와 관련이 있습니다. 이 유형의 컴퓨터 바이러스는 단연 가장 위험합니다. 그것이 무엇인지 설명합시다.

다형성 바이러스는 동일한 바이러스의 두 인스턴스가 한 비트에서 일치하지 않을 수 있는 방식으로 감염된 프로그램의 코드를 수정하는 바이러스입니다.

이러한 바이러스는 다른 암호화 경로를 사용하여 코드를 암호화할 뿐만 아니라 암호화 및 해독기의 생성 코드를 포함하고 있어 코드의 일부를 암호화할 수 있지만 동시에 일정한 코드를 가지고 있는 일반 암호화 바이러스와 구별됩니다. 암호화기와 해독기의.

다형성 바이러스는 자체 수정 디코더가 있는 바이러스입니다. 이러한 암호화의 목적은 감염되고 원본 파일이 있는 경우 기존 디스어셈블리를 사용하여 해당 코드를 분석할 수 없도록 하는 것입니다. 이 코드는 암호화되어 무의미한 명령 집합입니다. 암호 해독은 런타임에 바이러스 자체에 의해 수행됩니다. 동시에 옵션이 가능합니다. 그는 한 번에 자신을 해독하거나 "이동 중에" 그러한 암호 해독을 수행할 수 있으며 이미 작업한 섹션을 다시 암호화할 수 있습니다. 이는 모두 바이러스 코드 분석을 어렵게 하기 위한 것이다.

3. 컴퓨터 바이러스의 역사와 바이러스의 원인

오늘날 컴퓨터 바이러스학의 역사는 끊임없는 "리더를 위한 경쟁"인 것처럼 보이며, 현대 안티바이러스 프로그램의 완전한 힘에도 불구하고 선두를 달리는 것은 바이러스입니다. 수천 개의 바이러스 중에서 진정으로 근본적으로 새로운 아이디어를 사용한 독창적인 개발은 수십 개에 불과합니다. 다른 모든 것은 "주제의 변형"입니다. 그러나 각각의 독창적인 개발로 인해 안티바이러스 제작자는 바이러스 기술을 따라잡기 위해 새로운 조건에 적응해야 합니다. 후자는 논쟁의 여지가 있습니다. 예를 들어, 1989년에 한 미국 학생이 약 6,000대의 미국 국방부 컴퓨터를 무력화시키는 바이러스를 만들었습니다. 또는 1991년에 발생한 유명한 Dir-II 바이러스의 전염병. 이 바이러스는 진정으로 독창적이고 근본적으로 새로운 기술을 사용했으며 처음에는 전통적인 방식의 불완전성으로 인해 널리 퍼졌습니다. 안티바이러스 도구.

또는 영국의 컴퓨터 바이러스 발생: Christopher Pine은 Smeg 바이러스뿐만 아니라 Pathogen 및 Queq 바이러스를 만들었습니다. 가장 위험한 것은 후자였으며 처음 두 개의 바이러스에 적용될 수 있었고 이로 인해 프로그램을 실행할 때마다 구성을 변경했습니다. 그러므로 그들은 파괴하는 것이 불가능했습니다. 파인은 바이러스를 퍼뜨리기 위해 컴퓨터 게임및 프로그램을 감염시키고 네트워크로 다시 보냈습니다. 사용자는 감염된 프로그램을 자신의 컴퓨터와 감염된 디스크에 다운로드했습니다. Pine이 바이러스와 싸우는 프로그램에 바이러스를 가져왔다는 사실로 인해 상황이 악화되었습니다. 그것을 실행함으로써 사용자는 바이러스를 파괴하는 대신 다른 바이러스를 받았습니다. 결과적으로 많은 회사의 파일이 파괴되었으며 손실은 수백만 파운드에 달했습니다.

미국 프로그래머 Morris는 널리 알려져 있습니다. 그는 1988년 11월 인터넷에 연결된 약 7,000대의 개인용 컴퓨터를 감염시킨 바이러스의 창시자로 알려져 있습니다.

한편으로 컴퓨터 바이러스의 출현과 확산의 이유는 인간 성격의 심리학과 그 그림자 측면(선망, 복수, 무명 창작자의 허영심, 자신의 능력을 건설적으로 적용할 수 없음)에 숨겨져 있습니다. 다른 한편으로는 하드웨어 보호 및 수술실의 대응 부족으로 인해 개인용 컴퓨터 시스템.

4. 컴퓨터로의 바이러스 침투 및 바이러스 프로그램의 배포 메커니즘

바이러스가 컴퓨터에 침입하는 주요 경로는 이동식 디스크(플로피 및 레이저)와 컴퓨터 네트워크입니다. 바이러스에 의한 하드 디스크 감염은 바이러스가 포함된 플로피 디스크에서 프로그램을 로드할 때 발생할 수 있습니다. 이러한 감염은 예를 들어 플로피 디스크가 A 드라이브에서 제거되지 않고 컴퓨터가 다시 시작되었지만 플로피 디스크가 시스템 디스크가 아닐 수 있는 경우와 같이 우발적일 수도 있습니다. 플로피 디스크를 감염시키는 것은 훨씬 쉽습니다. 예를 들어 감염된 컴퓨터의 디스크 드라이브에 플로피 디스크를 삽입하고 목차를 읽는 경우에도 바이러스에 감염될 수 있습니다.

일반적으로 바이러스는 실행될 때 제어가 먼저 전달되고 모든 명령 실행이 작업 프로그램으로 다시 돌아간 후에만 작업 프로그램에 도입됩니다. 제어에 대한 액세스 권한을 얻은 바이러스는 우선 다른 작업 프로그램에 자신을 다시 작성하여 감염시킵니다. 바이러스가 포함된 프로그램을 실행하면 다른 파일을 감염시킬 수 있습니다. 대부분의 경우 디스크의 부트 섹터와 EXE, COM, SYS, BAT 확장자를 가진 실행 파일이 바이러스에 감염됩니다. 텍스트 파일은 매우 드물게 감염됩니다.

프로그램을 감염시킨 후 바이러스는 주의를 끌지 못할 정도로 심각하지 않은 일종의 방해 행위를 수행할 수 있습니다. 그리고 마지막으로 제어가 시작된 프로그램으로 제어를 되돌리는 것을 잊지 마십시오. 감염된 프로그램을 실행할 때마다 바이러스가 다음 프로그램으로 전송됩니다. 그래서 모든 것이 감염됩니다. 소프트웨어.

감염 과정을 설명하기 위해 컴퓨터 프로그램바이러스로서 디스크 스토리지를 테이프에 폴더가 있는 구식 아카이브에 비유하는 것이 합리적입니다. 폴더에는 프로그램이 포함되어 있으며 이 경우 바이러스 유입을 위한 작업 순서는 다음과 같습니다(부록 1 참조).

5. 바이러스의 징후

컴퓨터가 바이러스에 감염되면 이를 감지하는 것이 중요합니다. 이렇게하려면 바이러스 발현의 주요 징후에 대해 알아야합니다. 여기에는 다음이 포함됩니다.

¨ 이전에 성공적으로 작동하던 프로그램의 작업 종료 또는 오작동

¨ 느린 컴퓨터 성능

¨ 운영 체제를 부팅할 수 없음

¨ 파일 및 디렉토리의 소멸 또는 그 내용의 왜곡

¨ 파일 수정 날짜 및 시간 변경

¨ 파일 크기 조정

¨ 디스크의 파일 수가 예기치 않게 크게 증가함

¨ 여유 RAM 크기의 상당한 감소

¨ 화면에 예기치 않은 메시지 또는 이미지 표시

¨ 예상치 못한 제출 소리 신호

¨ 빈번한 정지 및 컴퓨터 충돌

위의 현상은 반드시 바이러스의 존재로 인한 것은 아니며, 다른 원인에 의한 것일 수 있습니다. 따라서 컴퓨터의 상태를 정확하게 진단하는 것은 항상 어렵습니다.

6. 바이러스 탐지 및 보호 및 예방 조치

6.1. 바이러스를 감지하는 방법 ? 전통적인 접근 방식

그래서 어떤 바이러스 작성자가 바이러스를 만들어 "생명"에 띄웁니다. 한동안 그는 자유롭게 걸을 수 있지만 조만간 "라파"가 끝날 것입니다. 누군가는 뭔가 잘못되었다고 의심할 것입니다. 바이러스는 일반적으로 일반 사용자컴퓨터 동작의 특정 이상을 알아차리는 사람. 대부분의 경우 그들은 스스로 감염에 대처할 수 없지만 이것이 필요한 것은 아닙니다.

바이러스가 가능한 한 빨리 전문가의 손에 들어가는 것만 필요합니다. 전문가는 그를 연구하고 "그가하는 일", "그가하는 방법", "할 때"등을 찾습니다. 이러한 작업 과정에서 필요한 모든 정보 이 바이러스, 특히 바이러스의 서명이 강조 표시됩니다. 즉, 바이러스를 확실히 특징짓는 바이트 시퀀스입니다. 서명을 작성하기 위해 일반적으로 바이러스 코드의 가장 중요하고 특징적인 부분이 사용됩니다. 동시에 바이러스가 작동하는 메커니즘이 명확해집니다. 예를 들어 부트 바이러스의 경우 꼬리를 숨긴 위치, 원래 부트 섹터가 있는 위치, 파일 1, 파일이 감염된 방법. 얻은 정보를 통해 다음을 확인할 수 있습니다.

바이러스를 탐지하는 방법, 이를 위해 바이러스 공격의 잠재적 개체에서 서명을 검색하는 방법 - 파일 및/또는 부트 섹터가 지정됩니다.

가능한 경우 바이러스를 무력화하는 방법 영향을 받는 개체에서 바이러스 코드를 제거하는 알고리즘이 개발 중입니다.

6.2. 바이러스 탐지 및 보호 프로그램

컴퓨터 바이러스를 탐지, 제거 및 방지하기 위해 바이러스를 탐지하고 제거할 수 있는 여러 유형의 특수 프로그램이 개발되었습니다. 이러한 프로그램을 항바이러스제 . 바이러스 백신 프로그램에는 다음과 같은 유형이 있습니다.

프로그램 감지기

프로그램 - 의사 또는 파지

프로그램 감사자

필터 프로그램

백신 프로그램 또는 예방 접종

프로그램 감지기 RAM 및 파일에서 특정 바이러스의 서명 특성을 검색하고 탐지된 경우 적절한 메시지를 발행합니다. 이러한 안티바이러스 프로그램의 단점은 해당 프로그램의 개발자에게 알려진 바이러스만 찾을 수 있다는 것입니다.

박사과정또는 파지, 만큼 잘 백신 프로그램바이러스에 감염된 파일을 찾을 뿐만 아니라 "치료"합니다. 파일에서 바이러스 프로그램의 본문을 제거하고 파일을 초기 상태. 작업 시작 시 파지는 RAM에서 바이러스를 찾아 파괴한 다음 파일을 "치료"합니다. 파지 중에서 폴리파지가 구별됩니다. 많은 수의 바이러스를 찾아 파괴하도록 설계된 의사 프로그램. 그 중 가장 유명한 것은 Aidtest, Scan, 노턴 안티바이러스, 닥터웹.

새로운 바이러스가 지속적으로 출현하고 있다는 점을 감안할 때 탐지 프로그램과 의사 프로그램은 빠르게 구식이 되고 정기적인 업데이트가 필요합니다.

감사 프로그램바이러스에 대한 가장 신뢰할 수 있는 보호 수단 중 하나입니다. 감사자는 컴퓨터가 바이러스에 감염되지 않았을 때 디스크의 프로그램, 디렉토리 및 시스템 영역의 초기 상태를 기억하고 주기적으로 또는 사용자의 요청에 따라 현재 상태를 원본과 비교합니다. 감지된 변경 사항이 모니터 화면에 표시됩니다. 일반적으로 운영 체제가 로드된 직후 상태가 비교됩니다. 비교할 때 파일 길이, 순환 제어 코드(파일 체크섬), 수정 날짜 및 시간, 기타 매개변수를 확인합니다. 감사 프로그램은 상당히 발전된 알고리즘을 가지고 있고 은폐 바이러스를 탐지하며 바이러스에 의한 변경 사항에서 검사 중인 프로그램 버전의 변경 사항을 정리할 수도 있습니다. 프로그램 - 감사자 중에는 러시아에서 널리 사용되는 Adinf 프로그램이 있습니다.

필터 프로그램또는 "야경꾼"바이러스의 특징인 의심스러운 컴퓨터 활동을 탐지하도록 설계된 작은 상주 프로그램입니다. 그러한 조치는 다음과 같을 수 있습니다.

COM, EXE 확장자를 가진 파일 수정 시도

파일 속성 변경

절대 주소에서 디스크에 직접 쓰기

디스크 부트 섹터에 쓰기

프로그램이 지정된 작업을 수행하려고 하면 "감시자"가 사용자에게 메시지를 보내고 해당 작업을 금지하거나 허용하도록 제안합니다. 필터 프로그램은 번식 전에 존재하는 가장 초기 단계에서 바이러스를 탐지할 수 있기 때문에 매우 유용합니다. 그러나 파일과 디스크를 "치유"하지는 않습니다. 바이러스를 파괴하려면 파지와 같은 다른 프로그램을 사용해야 합니다. 감시 프로그램의 단점은 "성가심"(예: 실행 파일을 복사하려는 모든 시도에 대해 지속적으로 경고를 표시함)과 다른 소프트웨어와의 충돌 가능성이 있습니다. 필터 프로그램의 예로는 MS DOS 유틸리티 패키지의 일부인 Vsafe 프로그램이 있습니다.

백신또는 면역제파일 감염을 방지하는 상주 프로그램입니다. 이 바이러스를 "치료"하는 의사 프로그램이 없는 경우 백신이 사용됩니다. 백신 접종은 알려진 바이러스에 대해서만 가능합니다. 백신은 작업에 영향을 주지 않는 방식으로 프로그램이나 디스크를 수정하며 바이러스는 감염된 것으로 인식하여 뿌리를 내리지 않습니다. 백신 프로그램은 현재 제한적으로 사용됩니다.

바이러스에 감염된 파일 및 디스크를 적시에 탐지하고 각 컴퓨터에서 탐지된 바이러스를 완전히 파괴하면 바이러스 전염병이 다른 컴퓨터로 확산되는 것을 방지할 수 있습니다.

6.3. 바이러스로부터 보호하기 위한 기본 조치

컴퓨터가 바이러스에 감염되는 것을 방지하고 안전한 보관디스크에 대한 정보는 다음 규칙을 준수해야 합니다.

¨ 컴퓨터에 Aidstest, Doctor Web과 같은 최신 바이러스 백신 프로그램을 설치하고 해당 버전을 지속적으로 업데이트합니다.

¨ 플로피 디스크에서 다른 컴퓨터에 저장된 정보를 읽기 전에 항상 컴퓨터에서 바이러스 백신 프로그램을 실행하여 이 디스켓에 바이러스가 있는지 확인하십시오.

¨ 보관된 파일을 컴퓨터로 옮길 때, 하드디스크에 압축을 풀고 바로 확인하고, 새로 녹음된 파일만 확인이 가능하도록 제한

¨ 주기적으로 바이러스 확인 하드 드라이브쓰기 방지된 시스템 디스켓에서 운영 체제를 로드한 후 쓰기 방지된 플로피 디스크에서 파일, 메모리 및 디스크의 시스템 영역을 테스트하기 위해 바이러스 백신 프로그램을 실행하여 컴퓨터

¨ 다른 컴퓨터에서 작업할 때 플로피 디스크가 정보에 기록되지 않는 경우 항상 쓰기 방지

¨ 중요한 정보는 디스켓에 보관용 사본으로 만드십시오.

¨ 컴퓨터가 부트 바이러스에 감염되는 것을 방지하기 위해 운영 체제를 켜거나 재부팅할 때 드라이브 A 주머니에 플로피 디스크를 두지 마십시오.

¨ 컴퓨터 네트워크에서 수신한 모든 실행 파일의 입력 제어를 위해 바이러스 백신 프로그램 사용

¨ 보안을 강화하기 위해 Aidstest 및 Doctor Web의 사용은 Adinf 디스크 감사기의 일상적인 사용과 결합되어야 합니다.

결론

따라서 정보 자원에 대한 위협이 매일 증가하여 전 세계 은행, 기업 및 기업의 책임자를 공황 상태에 빠뜨리고 있음을 나타내는 많은 사실을 인용할 수 있습니다. 그리고 이 위협은 중요하고 가치 있는 정보를 왜곡하거나 파괴하는 컴퓨터 바이러스에서 비롯되며, 이는 재정적 손실뿐만 아니라 인명 피해까지 초래할 수 있습니다.

컴퓨터 바이러스 - 자발적으로 다른 프로그램에 첨부할 수 있는 특수 작성된 프로그램, 자신의 복사본을 만들어 파일, 컴퓨터 시스템 영역 및 다른 위치에 포함 컴퓨터 네트워크프로그램 작동을 방해하고 파일 및 디렉토리를 손상시키고 컴퓨터 작동에 모든 종류의 간섭을 생성합니다.

현재 5,000개 이상의 소프트웨어 바이러스가 알려져 있으며 그 수는 지속적으로 증가하고 있습니다. 바이러스 작성을 돕기 위해 튜토리얼을 만든 경우가 있습니다.

바이러스의 주요 유형: 부트, 파일, 파일 부트. 가장 위험한 유형의 바이러스는 다형성입니다.

컴퓨터 바이러스학의 역사에서 원래의 컴퓨터 개발은 바이러스 백신 제작자가 새로운 기술에 적응하고 바이러스 백신 프로그램을 지속적으로 개선하도록 강요한다는 것이 분명합니다.

바이러스의 출현과 확산의 이유는 한편으로는 인간 심리학에 숨겨져 있고 다른 한편으로는 운영 체제의 보호가 부족합니다.

바이러스가 침투하는 주요 방법은 이동식 드라이브와 컴퓨터 네트워크입니다. 이를 방지하려면 예방 조치를 취하십시오. 또한 컴퓨터 바이러스를 탐지, 제거 및 보호하기 위해 안티 바이러스 프로그램이라는 여러 유형의 특수 프로그램이 개발되었습니다. 컴퓨터에서 여전히 바이러스가 발견되면 전통적인 접근 방식에 따라 전문가에게 연락하여 더 자세히 알아낼 수 있도록 하는 것이 좋습니다.

그러나 바이러스의 일부 속성은 전문가조차 어리둥절합니다. 아주 최근까지 바이러스가 콜드 재부팅 후에도 살아남거나 문서 파일을 통해 확산될 수 있다는 것을 상상하기 어려웠습니다. 이러한 상황에서 최소한 사용자의 초기 백신 교육을 중요시하지 않을 수 없습니다. 문제의 심각성에도 불구하고 떨리는 손으로 희게 한 사용자만큼 해를 입힐 수 있는 바이러스는 없습니다!

그래서, 컴퓨터의 건강, 데이터의 안전 - 당신의 손에!

서지 목록

1. 정보학: 교과서 / ed. 교수 N.V. 마카로바. - M.: 재무 및 통계, 1997.

2. 비밀과 감각의 백과사전 / 준비. 텍스트 Yu.N. 페트로프. - 민스크: 문학, 1996.

3. 베즈루코프 N.N. 컴퓨터 바이러스. - M.: Nauka, 1991.

4. Mostovoy D.Yu. 현대 기술바이러스와의 싸움 // PC World. - 8번. - 1993년.

안티바이러스 보호는 기업 부문에서 IT 인프라의 정보 보안을 보장하기 위한 가장 일반적인 수단입니다. 그러나 러시아 기업의 74%만이 보호를 위해 안티바이러스 솔루션을 사용한다고 Kaspersky Lab이 분석 회사인 B2B International과 함께 수행한 연구(2013년 가을)가 나타났습니다.

보고서는 또한 기업들이 사이버 위협의 폭발 속에서 간단한 바이러스 백신, 러시아 기업은 점점 더 복잡한 보호 도구를 사용하고 있습니다. 주로 이러한 이유로 데이터 암호화 도구의 사용이 7% 증가했습니다. 이동식 미디어(24%). 또한 기업은 이동식 장치에 대한 보안 정책을 더욱 기꺼이 구분하게 되었습니다. IT 인프라의 다른 부분에 대한 액세스 수준의 차별화도 증가했습니다(49%). 동시에 중소기업은 이동식 장치 제어(35%) 및 애플리케이션 제어(31%)에 더 많은 관심을 기울입니다.

연구원들은 또한 소프트웨어의 새로운 취약점이 지속적으로 발견되었음에도 불구하고, 러시아 기업여전히 정기적인 소프트웨어 업데이트에 주의를 기울이지 않습니다. 게다가 패치 조직의 수도 작년보다 59%로 줄었습니다.

최신 안티 바이러스 프로그램은 프로그램 파일 및 문서 내의 악성 개체를 효과적으로 탐지할 수 있습니다. 경우에 따라 바이러스 백신은 감염된 파일에서 악성 개체의 본문을 제거하여 파일 자체를 복원할 수 있습니다. 대부분의 경우 바이러스 백신은 무결성을 침해하지 않고 프로그램 파일뿐만 아니라 사무실 문서 파일에서도 악성 프로그램 개체를 제거할 수 있습니다. 안티 바이러스 프로그램의 사용은 높은 자격을 요구하지 않으며 거의 모든 컴퓨터 사용자가 사용할 수 있습니다.

대부분의 바이러스 백신 소프트웨어는 실시간 보호(바이러스 백신 모니터)와 주문형 보호(바이러스 백신 스캐너)를 결합합니다.

안티바이러스 등급

2019년: Android용 바이러스 백신의 3분의 2가 쓸모가 없었습니다.

2019년 3월, 안티바이러스 소프트웨어 테스트를 전문으로 하는 오스트리아 연구소인 AV-Comparatives는 대부분의 Android용 프로그램이 무용지물임을 보여주는 연구 결과를 발표했습니다.

Google Play 스토어의 공식 카탈로그에 있는 23개의 바이러스 백신만이 100%의 경우에 맬웨어를 정확하게 인식합니다. 나머지 소프트웨어는 모바일 위협에 대응하지 않거나 절대적으로 안전한 애플리케이션을 사용합니다.

전문가들은 250개의 안티바이러스를 연구했으며 그 중 80%만이 맬웨어의 30% 이상을 탐지할 수 있다고 보고했습니다. 따라서 170개의 응용 프로그램이 테스트에 실패했습니다. 테스트를 통과한 제품은 주로 Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro, Trustwave 등 대형 제조업체의 솔루션이었습니다.

실험의 일환으로 연구원들은 별도의 장치(에뮬레이터 없이)에 각 안티바이러스 응용 프로그램을 설치하고 장치를 자동화하여 브라우저를 실행하고 맬웨어를 다운로드한 다음 설치했습니다. 각 장치는 2018년에 가장 널리 퍼진 Android 바이러스 2,000개에 대해 테스트되었습니다.

AV-Comparatives에 따르면 대부분의 바이러스 백신 솔루션안드로이드는 가짜입니다. 수십 개의 응용 프로그램이 거의 동일한 인터페이스를 가지고 있으며 해당 응용 프로그램의 제작자는 작동하는 바이러스 스캐너를 작성하는 것보다 광고를 표시하는 데 분명히 더 관심이 있습니다.

일부 바이러스 백신은 "허용 목록"에 포함되지 않은 모든 응용 프로그램에서 위협을 "확인"합니다. 이 때문에 개발자들이 "화이트리스트"에서 해당 파일을 언급하는 것을 잊었기 때문에 매우 일화적인 많은 경우에 개발자가 자신의 파일 때문에 경보를 발령했습니다.

2017: Microsoft Security Essentials는 최악의 바이러스 백신 중 하나로 인식됩니다.

2017년 10월, 독일 안티바이러스 연구소 AV-Test는 종합적인 안티바이러스 테스트 결과를 발표했습니다. 연구에 따르면, 악의적인 활동, 거의 모든 최악의 사람들이 그들의 의무에 대처합니다.

2017년 7~8월에 실시한 테스트 결과에 따르면, AV-Test 전문가들은 카스퍼스키 인터넷 시큐리티(Kaspersky Internet Security)를 Windows 7용 최고의 바이러스 백신으로 선정했으며, 보호 수준, 성능 및 사용 편의성 평가에서 18점을 받았습니다.

상위 3개 포함된 Trend Micro 프로그램 인터넷 보안 Bitdefender Internet Security는 각각 17.5점을 받았습니다. 연구에 포함된 다른 바이러스 백신 회사의 제품 위치는 아래 그림에서 확인할 수 있습니다.

많은 스캐너는 또한 발견적 스캐닝 알고리즘을 사용합니다. i. 검사된 개체의 명령 시퀀스 분석, 일부 통계 수집 및 검사된 각 개체에 대한 의사 결정.

스캐너는 범용 및 특수의 두 가지 범주로 나눌 수도 있습니다. 범용 스캐너는 스캐너가 작동하도록 설계된 운영 체제에 관계없이 모든 유형의 바이러스를 검색하고 무력화하도록 설계되었습니다. 특수 스캐너는 제한된 수의 바이러스 또는 매크로 바이러스와 같은 한 종류의 바이러스만 무력화하도록 설계되었습니다.

스캐너는 또한 즉석에서 스캔하는 상주(모니터)와 요청 시에만 시스템을 확인하는 비 상주로 나뉩니다. 일반적으로 상주 스캐너는 바이러스 출현에 즉시 반응하기 때문에 보다 안정적인 시스템 보호를 제공하는 반면, 비 상주 스캐너는 다음 실행 중에만 바이러스를 식별할 수 있습니다.

CRC 스캐너

CRC 스캐너의 작동 원리는 디스크에 있는 파일/시스템 섹터에 대한 CRC 합계(체크섬) 계산을 기반으로 합니다. 이러한 CRC 합계는 파일 길이, 마지막 수정 날짜 등과 같은 기타 정보와 함께 바이러스 백신 데이터베이스에 저장됩니다. 다음에 CRC 스캐너가 실행될 때 실제 계산된 값으로 데이터베이스에 포함된 데이터를 확인합니다. 데이터베이스에 기록된 파일 정보가 실제 값과 일치하지 않으면 CRC 스캐너는 파일이 수정되었거나 바이러스에 감염되었음을 알립니다.

CRC 스캐너는 시스템에 바이러스가 나타나는 순간에는 잡을 수 없지만 바이러스가 컴퓨터 전체에 퍼진 후 일정 시간이 지난 후에야 탐지할 수 있습니다. CRC 스캐너는 데이터베이스에 이러한 파일에 대한 정보가 없기 때문에 새 파일(이메일, 플로피 디스크, 백업에서 복원된 파일 또는 아카이브에서 파일 압축 풀기)에서 바이러스를 감지할 수 없습니다. 또한 CRC 스캐너의 이러한 약점을 이용하여 새로 생성된 파일만 감염시켜 보이지 않는 상태로 유지하는 바이러스가 주기적으로 나타납니다.

차단기

안티바이러스 차단기는 바이러스가 위험한 상황을 차단하고 사용자에게 이를 알리는 상주 프로그램입니다. 바이러스에 위험한 호출에는 실행 파일 쓰기를 위한 열기 호출, 디스크의 부트 섹터 또는 하드 드라이브의 MBR 쓰기, 프로그램이 상주 상태로 유지하려는 시도 등이 포함됩니다. 재생산의 시간.

차단제의 장점은 번식의 가장 초기 단계에서 바이러스를 탐지하고 차단하는 능력을 포함합니다. 단점은 차단기의 보호를 우회하는 방법의 존재와 다수의 오탐(false positive)을 포함합니다.

면역제

예방 접종은 감염 보고 예방 접종과 감염 차단 예방 접종의 두 가지 유형으로 나뉩니다. 첫 번째 파일은 일반적으로 파일 끝에 기록되며(파일 바이러스 원칙에 따라) 파일이 실행될 때마다 변경 사항이 있는지 확인합니다. 이러한 면역기의 단점은 단 하나지만 치명적입니다. 스텔스 바이러스 감염을 보고할 수 없다는 것입니다. 따라서 이러한 면역제와 차단제는 현재 실제로 사용되지 않습니다.

두 번째 유형의 예방 접종은 특정 유형의 바이러스에 의한 공격으로부터 시스템을 보호합니다. 디스크의 파일은 바이러스가 이미 감염된 파일을 가져오는 방식으로 수정됩니다. 상주하는 바이러스로부터 보호하기 위해 바이러스의 복사본을 모방하는 프로그램이 컴퓨터의 메모리에 입력됩니다. 시작될 때 바이러스는 우연히 발견되어 시스템이 이미 감염되었다고 생각합니다.

알려진 모든 바이러스에 대해 파일을 면역화하는 것은 불가능하기 때문에 이러한 유형의 면역화는 보편적일 수 없습니다.

시간 변동성을 기반으로 한 바이러스 백신 분류

Valery Konyavsky에 따르면 항바이러스제는 두 가지로 나눌 수 있습니다. 대규모 그룹- 데이터 분석 및 프로세스 분석.

데이터 분석

데이터 분석에는 감사자와 폴리파지가 포함됩니다. 감사자는 컴퓨터 바이러스 및 기타 악성 프로그램 활동의 결과를 분석합니다. 변경해서는 안 되는 데이터의 변경 결과가 표시됩니다. 감사자 입장에서 악성 프로그램의 활동을 나타내는 것은 데이터 변경 사실입니다. 즉, 감사인은 데이터의 무결성을 제어하고 무결성을 위반하는 경우 컴퓨터 환경에 맬웨어가 있는지 여부를 결정합니다.

폴리파지는 다르게 작용합니다. 데이터 분석을 기반으로 악성 코드 조각(예: 서명으로)을 식별하고 이를 기반으로 악성 프로그램의 존재에 대한 결론을 내립니다. 바이러스에 감염된 데이터를 삭제하거나 치료하면 맬웨어 실행의 부정적인 결과를 방지하는 데 도움이 됩니다. 따라서 정적 분석을 기반으로 역학에서 발생하는 결과가 방지됩니다.

감사자와 폴리파지의 작업 방식은 거의 동일합니다. 데이터(또는 체크섬)를 하나 이상의 참조 샘플과 비교하는 것입니다. 데이터는 데이터와 비교됩니다. 따라서 컴퓨터에서 바이러스를 찾으려면 활동의 결과가 나타나도록 이미 작동해야 합니다. 이 방법은 코드 조각이나 서명이 이전에 설명된 알려진 바이러스만 찾을 수 있습니다. 그러한 보호가 신뢰할 수 있다고 할 수는 없습니다.

공정 분석

프로세스 분석을 기반으로 하는 안티바이러스 도구는 약간 다르게 작동합니다. 위에서 설명한 것과 같은 휴리스틱 분석기는 데이터(디스크, 채널, 메모리 등)를 분석합니다. 근본적인 차이점은 분석 중인 코드가 데이터가 아니라 명령이라는 가정 하에 분석이 수행된다는 점입니다(von Neumann 아키텍처를 사용하는 컴퓨터에서는 데이터와 명령을 구별할 수 없으므로 하나 또는 다른 가정이 제시되어야 합니다. 분석 중.)

휴리스틱 분석기는 일련의 작업을 선택하고 각 작업에 특정 위험 등급을 할당하며 전체 위험에 따라 이 작업 시퀀스가 악성 코드의 일부인지 여부를 결정합니다. 코드 자체는 실행되지 않습니다.

프로세스 분석을 기반으로 하는 다른 유형의 안티바이러스 도구는 행동 차단기입니다. 이 경우 의심스러운 코드는 코드에 의해 시작된 일련의 작업이 위험한(또는 안전한) 동작으로 평가될 때까지 단계별로 실행됩니다. 이 경우 보다 간단한 데이터 분석 방법으로 악성코드의 완성 여부를 탐지할 수 있기 때문에 코드가 부분적으로 실행된다.

바이러스 탐지 기술

바이러스 백신에 사용되는 기술은 두 그룹으로 나눌 수 있습니다.

서명 분석 기술
확률 분석 기술

서명 분석 기술

서명 분석은 파일에 바이러스 서명이 있는지 확인하는 바이러스 탐지 방법입니다. 서명 분석은 바이러스를 탐지하는 가장 잘 알려진 방법이며 거의 모든 최신 바이러스 백신에 사용됩니다. 검사를 수행하려면 바이러스 백신 데이터베이스에 저장된 바이러스 서명 집합이 필요합니다.

시그니처 분석에는 바이러스 시그니처에 대한 파일 검사가 포함되기 때문에 안티바이러스 데이터베이스를 주기적으로 업데이트하여 안티바이러스를 최신 상태로 유지해야 합니다. 서명 분석의 바로 그 원리는 알려진 바이러스만 탐지하는 기능인 서명 스캐너의 기능 한계를 정의합니다. 서명 스캐너는 새로운 바이러스에 대해 무력합니다.

반면에 바이러스 서명의 존재는 치료 가능성을 시사합니다. 감염된 파일시그니처 분석을 사용하여 감지합니다. 그러나 모든 바이러스에 대해 치료가 허용되는 것은 아닙니다. 트로이 목마와 대부분의 웜은 디자인 특징, 손상을 일으키도록 설계된 견고한 모듈이기 때문입니다.

바이러스 서명의 유능한 구현을 통해 알려진 바이러스를 100% 확실하게 탐지할 수 있습니다.

확률 분석 기술

확률 분석 기술은 차례로 세 가지 범주로 나뉩니다.

휴리스틱 분석
행동 분석
체크섬 분석

휴리스틱 분석

휴리스틱 분석은 확률적 알고리즘을 기반으로 하는 기술로, 그 결과 의심스러운 개체를 식별합니다. 진행중 휴리스틱 분석파일의 구조, 바이러스 템플릿 준수 여부를 확인합니다. 가장 인기 있는 휴리스틱 기술은 이미 알려진 바이러스 서명과 그 조합의 수정 사항에 대해 파일 내용을 확인하는 것입니다. 이것은 안티바이러스 데이터베이스를 추가로 업데이트하지 않고도 이전에 알려진 바이러스의 하이브리드 및 새 버전을 탐지하는 데 도움이 됩니다.

휴리스틱 분석은 알려지지 않은 바이러스를 탐지하는 데 사용되며 결과적으로 치료가 필요하지 않습니다. 이 기술은 앞에 있는 바이러스를 100% 판별할 수 없으며 모든 확률 알고리즘과 마찬가지로 오탐으로 죄를 짓습니다.

행동 분석

행동 분석은 검사 대상이 수행하는 작업에 대한 분석을 기반으로 검사 대상의 성격에 대한 결정을 내리는 기술입니다. 행동 분석은 바이러스의 특성을 대부분 일반 응용 프로그램에서 수행할 수 있기 때문에 실제로 적용할 수 있는 범위가 매우 좁습니다. 스크립트 및 매크로의 행동 분석기는 해당 바이러스가 거의 항상 여러 유사한 작업을 수행하기 때문에 가장 유명합니다.

BIOS에 내장된 보안 기능은 행동 분석기로 분류될 수도 있습니다. 컴퓨터의 MBR을 변경하려고 하면 분석기가 작업을 차단하고 해당 알림을 사용자에게 표시합니다.

또한 행동 분석기는 파일에 직접 액세스하려는 시도를 추적하고 파일을 변경할 수 있습니다. 부트 레코드디스켓 포맷 하드 드라이브등.

행동 분석기는 바이러스 데이터베이스와 같은 추가 개체를 작업에 사용하지 않으므로 알려진 바이러스와 알려지지 않은 바이러스를 구별할 수 없습니다. 모든 의심스러운 프로그램은 사전에 알려지지 않은 바이러스로 간주됩니다. 마찬가지로 행동 분석 기술을 구현하는 도구의 작동 기능이 치료를 의미하지 않습니다.

체크섬 분석

체크섬 분석은 컴퓨터 시스템 개체의 변경 사항을 추적하는 방법입니다. 동시성, 대량 특성, 파일 길이의 동일한 변경 등 변경 사항의 특성을 분석한 결과 시스템이 감염되었다고 결론을 내릴 수 있습니다. 행동 분석기와 마찬가지로 체크섬 분석기(변경 감사기라고도 함)는 작업에 추가 개체를 사용하지 않으며 전문가 평가 방법으로만 시스템에 바이러스가 있는지 여부를 판단합니다. 유사한 기술이 액세스 스캐너에 사용됩니다. 첫 번째 검사 중에 파일에서 체크섬을 가져와 캐시에 저장하고, 다음 동일한 파일을 검사하기 전에 체크섬을 다시 가져와서 비교하고, 변경 사항이 없으면 파일은 감염되지 않은 것으로 간주됩니다.

안티바이러스 복합체

안티바이러스 콤플렉스 - 안티바이러스 보안을 보장하기 위한 실질적인 문제를 해결하도록 설계된 동일한 안티바이러스 엔진 또는 엔진을 사용하는 안티바이러스 세트 컴퓨터 시스템. 안티바이러스 컴플렉스에는 안티바이러스 데이터베이스를 업데이트하기 위한 도구도 포함되어 있습니다.

또한, 안티바이러스 컴플렉스에는 안티바이러스 엔진을 사용하지 않는 행동 분석기 및 변경 감사자가 추가로 포함될 수 있습니다.

다음과 같은 유형의 안티바이러스 복합체가 있습니다.

워크스테이션 보호를 위한 안티바이러스 콤플렉스
파일 서버 보호를 위한 안티바이러스 콤플렉스
메일 시스템 보호를 위한 안티바이러스 콤플렉스
게이트웨이 보호를 위한 안티바이러스 콤플렉스.

클라우드 대 기존 데스크톱 바이러스 백신: 무엇을 선택해야 합니까?

(Webroot.com 리소스에 따르면)

안티바이러스 도구의 현대 시장은 주로 데스크탑 시스템을 위한 전통적인 솔루션으로, 시그니처 기반 방법을 기반으로 구축된 보호 메커니즘입니다. 대체 방법안티바이러스 보호 - 휴리스틱 분석 사용.

기존 안티바이러스 소프트웨어의 문제

최근 몇 년 동안 기존의 안티바이러스 기술은 여러 가지 요인으로 인해 점점 덜 효과적이고 빠르게 쓸모 없게 되었습니다. 시그니처로 식별되는 바이러스 위협의 수는 이미 너무 많아 사용자 컴퓨터에서 시그니처 데이터베이스를 적시에 100% 업데이트하는 것이 비현실적인 작업인 경우가 많습니다. 해커와 사이버 범죄자들은 제로데이 바이러스 위협의 확산을 가속화하기 위해 봇넷 및 기타 기술을 점점 더 많이 사용하고 있습니다. 또한 표적 공격 시 해당 바이러스의 시그니처가 생성되지 않습니다. 마지막으로 멀웨어 암호화, 서버 측 다형성 바이러스 생성, 바이러스 공격 품질의 예비 테스트와 같은 새로운 안티바이러스 탐지 기술이 사용됩니다.

기존의 안티바이러스 보호는 대부분 "일반 클라이언트" 아키텍처에서 구축됩니다. 이는 클라이언트의 컴퓨터에 볼륨이 설치되어 있음을 의미합니다. 프로그래밍 코드. 들어오는 데이터를 확인하고 바이러스 위협의 존재를 감지합니다.

이 접근 방식에는 여러 가지 단점이 있습니다. 첫째, 맬웨어를 검색하고 서명을 일치시키려면 상당한 계산 부하가 필요하며 이는 사용자로부터 "제거"됩니다. 결과적으로 컴퓨터의 생산성이 저하되고 바이러스 백신의 작동이 적용된 작업의 병렬 실행을 방해하는 경우가 있습니다. 때때로 사용자 시스템의 부하가 너무 커서 사용자가 안티바이러스 프로그램을 꺼서 잠재적인 바이러스 공격에 대한 장벽을 제거합니다.

둘째, 사용자 컴퓨터에서 업데이트할 때마다 수천 개의 새 서명을 전송해야 합니다. 전송되는 데이터의 양은 일반적으로 시스템당 하루에 5MB 정도입니다. 데이터 전송은 네트워크 속도를 늦추고 추가 시스템 리소스를 전환하며 다음 작업을 수행해야 합니다. 시스템 관리자트래픽을 제어합니다.

셋째, 로밍 또는 고정된 작업 장소를 벗어나 있는 사용자는 제로 데이 공격에 대해 무방비 상태입니다. 업데이트된 서명 부분을 받으려면 원격으로 액세스할 수 없는 VPN 네트워크에 연결해야 합니다.

클라우드에서 안티바이러스 보호

클라우드에서 안티바이러스 보호로 전환하면 솔루션 아키텍처가 크게 변경됩니다. "경량" 클라이언트가 사용자의 컴퓨터에 설치되며, 주요 기능은 새 파일 검색, 해시 값 계산 및 데이터 전송입니다. 클라우드 서버. 클라우드에서는 수집된 서명의 대규모 데이터베이스에서 본격적인 비교가 수행됩니다. 이 데이터베이스는 안티바이러스 회사에서 전송한 데이터로 지속적으로 적시에 업데이트됩니다. 클라이언트는 감사 결과가 포함된 보고서를 받습니다.

따라서 안티바이러스 보호의 클라우드 아키텍처는 전선장점:

사용자 컴퓨터의 계산량은 씩 클라이언트에 비해 무시할 수 있으므로 사용자의 생산성이 떨어지지 않습니다.
안티 바이러스 트래픽의 치명적인 영향이 없습니다. 처리량네트워크: 수십 개의 해시 값만 포함하는 데이터의 압축된 부분이 전송되어야 하며 평균 일일 트래픽은 120KB를 초과하지 않습니다.
클라우드 스토리지에는 사용자 컴퓨터에 저장된 것보다 훨씬 더 큰 서명 배열이 포함되어 있습니다.
클라우드에서 사용되는 서명 비교 알고리즘은 로컬 스테이션 수준에서 사용되는 단순화된 모델보다 훨씬 더 지능적이며, 더 높은 성능으로 인해 데이터 비교에 더 적은 시간이 소요됩니다.
클라우드 기반 바이러스 백신 서비스는 바이러스 백신 연구소, 보안 개발자, 기업 및 개인 사용자로부터 받은 실제 데이터와 함께 작동합니다. 제로 데이 위협은 사용자 컴퓨터에 액세스해야 하므로 지연 없이 인식과 동시에 차단됩니다.
로밍 중이거나 주요 작업장에 액세스할 수 없는 사용자는 인터넷 액세스와 동시에 제로 데이 공격으로부터 보호받습니다.
시스템 관리자의 부담이 줄어듭니다. 사용자 컴퓨터에 안티바이러스 소프트웨어를 설치하고 서명 데이터베이스를 업데이트하는 데 시간을 할애할 필요가 없습니다.

기존 안티바이러스가 실패하는 이유

최신 악성 코드는 다음을 수행할 수 있습니다.

회사를 위한 특수 대상 바이러스를 생성하여 바이러스 백신 트랩 우회
안티바이러스는 서명을 생성하기 전에 다형성을 사용하여 회피하고 동적 DNS 및 URL을 사용하여 트랜스코딩합니다.

회사를 위한 타겟 생성
다형성
누구에게도 알려지지 않은 코드 - 서명 없음

방어하기 어렵다

2011년의 고속 바이러스 백신

러시아 독립 정보 및 분석 센터 Anti-Malware.ru가 2011년 5월에 발표한 또 다른 결과 비교 테스트성능 및 시스템 리소스 소비에 대해 가장 많이 사용되는 20가지 바이러스 백신.

이 테스트의 목적은 컴퓨터에서 사용자의 일반적인 작업에 가장 적은 영향을 미치는 개인용 바이러스 백신을 보여주고 작업 속도를 낮추며 최소량의 시스템 리소스를 소비하는 것입니다.

안티바이러스 모니터(실시간 스캐너) 중 전체 제품군에서 고속 Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro 및 Dr.Web이 그 중 하나입니다. 이러한 안티바이러스가 탑재되어 테스트 컬렉션 복사 속도가 벤치마크에 비해 20% 미만이었습니다. 안티바이러스 모니터 BitDefender, PC Tools, Outpost, F-Secure, Norton 및 Emsisoft도 30-50% 범위 내로 성능 면에서 높은 결과를 보였습니다. 안티바이러스 모니터 BitDefender, PC Tools, Outpost, F-Secure, Norton 및 Emsisoft도 30-50% 범위 내에서 성능 면에서 높은 결과를 보였습니다.

동시에 Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost 및 PC Tools는 사후 검사 최적화로 인해 실제 조건에서 훨씬 더 빠를 수 있습니다.

Avira 바이러스 백신은 최고의 주문형 검색 속도를 보여주었습니다. 그 뒤에는 Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus 및 Outpost가 있었습니다. 첫 번째 스캔의 속도면에서 이러한 바이러스 백신은 리더보다 약간 열등한 동시에 반복되는 스캔을 최적화하기 위한 강력한 기술을 보유하고 있습니다.

바이러스 백신 속도의 또 다른 중요한 특성은 사용자가 자주 사용하는 응용 프로그램 작업에 미치는 영향입니다. 그 중 다섯 가지가 테스트를 위해 선택되었습니다. 인터넷 익스플로러, 마이크로소프트 오피스 워드, 마이크로소프트 아웃룩, 어도비 아크로뱃리더와 어도비 포토샵. 이들의 출시에 있어 가장 작은 둔화는 사무 프로그램안티바이러스 Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost 및 G Data를 보여주었습니다.

1992년 Eugene Kaspersky는 작동 원리(기능 정의)에 따라 다음과 같은 바이러스 백신 분류를 사용했습니다.

Ø 스캐너 (구식 버전 - "폴리파지", "탐지기") - 바이러스의 서명(또는 해당 체크섬)을 저장하는 서명 데이터베이스를 통해 바이러스의 존재를 확인합니다. 효과는 바이러스 데이터베이스의 관련성과 휴리스틱 분석기의 존재 여부에 따라 결정됩니다.

Ø 감사 (IDS에 가까운 클래스) - 파일 시스템의 상태를 기억하여 향후 변경 사항을 분석할 수 있습니다.

Ø 야경꾼 (상주 모니터 또는 필터 ) - 잠재적으로 위험한 작업을 추적하여 사용자에게 작업을 허용/금지하도록 적절한 요청을 발행합니다.

Ø 백신 (면역제 ) - 백신이 만들어지는 바이러스가 이미 감염된 파일로 간주하도록 이식된 파일을 변경합니다. 바이러스의 가능성이 수십만 개에 달하는 현대의 상황에서는 이 접근 방식을 적용할 수 없습니다.

최신 바이러스 백신은 위의 모든 기능을 결합합니다.

바이러스 백신은 다음과 같이 나눌 수도 있습니다.

가정용 제품:

실제로 바이러스 백신;

결합 제품(예: 안티스팸, 방화벽, 안티루트킷 등이 기존 안티바이러스에 추가됨)

기업 제품:

서버 안티바이러스;

워크스테이션의 바이러스 백신("엔드포인트").

나누는바이러스 백신 프로그램은 서로를 잘 보완하므로 좋은 결과를 제공합니다.

외부 소스에서 오는 데이터 확인 탐지기 프로그램. 이 데이터를 확인하는 것을 잊어버리고 감염된 프로그램을 실행했다면 워치독 프로그램에 포착될 수 있다. 사실, 두 경우 모두 이러한 안티바이러스 프로그램에 알려진 바이러스가 안정적으로 탐지됩니다. 이것은 경우의 80-90%를 넘지 않습니다.

- 야경꾼알 수 없는 바이러스도 매우 뻔뻔하게 행동하면 탐지할 수 있습니다(포맷 시도 HDD또는 변경 시스템 파일). 그러나 일부 바이러스는 이러한 제어를 우회할 수 있습니다.

바이러스가 탐지기 또는 파수꾼에 의해 탐지되지 않은 경우 활동 결과는 프로그램 - 감사자.

일반적으로 감시 프로그램은 컴퓨터에서 지속적으로 실행되어야 하며 외부 소스(파일 및 디스켓)에서 오는 데이터를 확인하기 위해 감지기를 사용해야 하며 디스크의 변경 사항을 감지하고 분석하기 위해 하루에 한 번 감사자를 실행해야 합니다. 이 모든 것은 정기적인 데이터 백업과 결합되어야 하며 바이러스 감염 가능성을 줄이기 위한 예방 조치를 사용해야 합니다.

모든 안티바이러스 프로그램은 컴퓨터를 "속도를 늦추지만" 바이러스의 유해한 영향에 대한 신뢰할 수 있는 치료법입니다.

거짓 안티바이러스(거짓 안티바이러스).

2009 년에 다양한 제조사안티바이러스는 새로운 유형의 안티바이러스(가짜 안티바이러스 또는 유사 안티바이러스(로그웨어))의 광범위한 배포에 대해 보고하기 시작했습니다. 사실, 이러한 프로그램은 바이러스 백신이 아니거나(즉, 맬웨어와 싸울 수 없음) 심지어 바이러스(신용 카드 정보 등을 도용)입니다.

악성 안티바이러스는 사용자를 속여 돈을 갈취하는 데 사용됩니다. 가짜 바이러스 백신으로 PC를 감염시키는 한 가지 방법은 다음과 같습니다. 사용자는 "감염된" 사이트로 이동하여 "컴퓨터에서 바이러스가 발견되었습니다."와 같은 경고 메시지가 표시됩니다. 그런 다음 사용자에게 다운로드하라는 메시지가 표시됩니다. 무료 프로그램(가짜 안티바이러스) 바이러스를 제거합니다. 설치 후 거짓 바이러스 백신은 PC를 검사하고 컴퓨터에서 많은 바이러스를 감지한다고 가정합니다. 맬웨어를 제거하기 위해 가짜 바이러스 백신은 유료 버전의 프로그램을 구매할 것을 제안합니다. 충격을 받은 사용자는 비용을 지불하고($50 ~ $80) 가짜 바이러스 백신은 존재하지 않는 바이러스로부터 PC를 치료합니다.

SIM, 플래시 카드 및 USB 장치

오늘날 생산되는 휴대폰은 다양한 인터페이스와 데이터 전송 기능을 갖추고 있습니다. 사용자는 작은 장치를 연결하기 전에 보호 방법을 주의 깊게 연구해야 합니다.

USB 장치 또는 SIM의 바이러스 백신과 같은 하드웨어와 같은 보호 방법은 휴대폰 사용자에게 더 적합합니다. 기술 평가휴대폰에 바이러스 백신 프로그램을 설치하는 방법에 대한 개요는 이 휴대폰의 다른 합법적인 응용 프로그램에 영향을 줄 수 있는 검사 프로세스로 간주해야 합니다.

소용량 메모리 영역에 안티바이러스가 내장된 SIM의 안티바이러스 프로그램은 휴대폰 사용자의 PIN과 정보를 보호하여 안티맬웨어/바이러스 보호 기능을 제공합니다. 플래시 카드의 바이러스 백신을 통해 사용자는 정보를 교환하고 이러한 제품을 다양한 하드웨어 장치와 함께 사용할 수 있을 뿐만 아니라 이 데이터를 다양한 통신 채널을 사용하여 다른 장치로 보낼 수 있습니다.

바이러스 백신, 모바일 장치 및 혁신적인 솔루션

미래에는 휴대폰이 바이러스에 감염될 가능성이 있습니다. 이 분야의 점점 더 많은 개발자가 바이러스와 싸우고 휴대전화를 보호하기 위해 안티바이러스 프로그램을 제공합니다. 에 모바일 기기바이러스 제어에는 다음과 같은 유형이 있습니다.

– 프로세서 제한 사항

– 메모리 제한;

– 이러한 모바일 장치의 서명을 식별하고 업데이트합니다.

결론:안티바이러스 프로그램(안티바이러스) - 원래 악성 개체 또는 감염된 파일을 탐지 및 치료하고 예방 - 파일 또는 운영 체제의 감염을 방지하기 위한 프로그램 악성 코드. 안티 바이러스 프로그램의 작동 원리에 따라 다음과 같은 안티 바이러스 분류가 있습니다. 감사자(IDS에 가까운 클래스); 파수꾼(상주 모니터 또는 필터); 백신(예방접종).

결론

컴퓨터 기술의 발전 지난 몇 년경제, 무역 및 통신의 발전에 기여했을 뿐만 아니라; 효과적인 정보 교환을 제공할 뿐만 아니라 컴퓨터 범죄 가해자에게 고유한 툴킷도 제공했습니다. 전산화 과정이 심화될수록 컴퓨터 범죄의 성장은 더욱 현실화되고 현대 사회는 컴퓨터 범죄의 경제적 피해를 느낄 뿐만 아니라 전산화에 점점 더 의존하게 된다. 이러한 모든 측면은 정보 보호, 추가 개발에 점점 더 많은 관심을 기울여야 합니다. 입법적 틀지역에서 정보 보안. 모든 범위의 조치는 국가 보호로 축소되어야 합니다. 정보 자원; 정보 자원의 형성 및 사용에서 발생하는 관계의 규제; 생성 및 사용 정보 기술; 정보 처리에 참여하는 주체의 정보 및 권리 보호; 또한 법률에서 사용되는 기본 개념을 정의합니다.

교도소 시스템 보안 및 호송 조직학과 부교수

기술 과학 후보자

내부 서비스 V.G. 중령 자루스키

맬웨어 바이러스 백신 감염

성공적인 작업을 위해 바이러스는 파일이 이미 (동일한 바이러스에 의해) 감염되었는지 여부를 확인해야 합니다. 그래서 그들은 자멸을 피합니다. 이를 위해 바이러스는 서명을 사용합니다. 대부분의 일반적인 바이러스(매크로 바이러스 포함)는 문자 서명을 사용합니다. 더 복잡한 바이러스(다형성)는 알고리즘 서명을 사용합니다. 바이러스 서명 유형에 관계없이 안티바이러스 프로그램은 이를 사용하여 "컴퓨터 감염"을 탐지합니다. 그 후 바이러스 백신 프로그램은 탐지된 바이러스를 파괴하려고 시도합니다. 그러나 이 프로세스는 바이러스의 복잡성과 바이러스 백신 프로그램의 품질에 따라 다릅니다. 이미 언급했듯이 트로이 목마와 다형성 바이러스는 탐지하기 가장 어렵습니다. 첫 번째는 프로그램에 본문을 추가하지 않고 프로그램 안에 포함시킵니다. 반면에 안티바이러스 프로그램은 다형성 바이러스의 시그니처를 판별하는 데 상당한 시간을 소비해야 합니다. 사실 서명은 새 사본마다 변경됩니다.

컴퓨터 바이러스를 탐지, 제거 및 보호하기 위해 다음이 있습니다. 특별 프로그램안티바이러스라고 합니다. 최신 안티바이러스 프로그램은 예방 및 바이러스 치료 및 데이터 복구 도구를 결합한 다기능 제품입니다.

바이러스의 수와 종류는 엄청나며 빠르고 효율적으로 탐지하려면 바이러스 백신 프로그램이 특정 매개변수를 충족해야 합니다.

1. 작업의 안정성과 신뢰성.

2. 프로그램의 바이러스 데이터베이스 크기(프로그램이 올바르게 탐지한 바이러스 수): 새로운 바이러스의 지속적인 출현을 고려하여 데이터베이스를 정기적으로 업데이트해야 합니다.

3. 프로그램의 다양한 유형의 바이러스 탐지 기능 및 파일 작업 기능 다양한 방식(아카이브, 문서).

4. "즉시"(즉, 디스크에 기록될 때 자동으로) 모든 새 파일을 확인하는 상주 모니터의 존재.

5. 프로그램의 속도, 가용성 추가 기능프로그램에 알려지지 않은 바이러스를 탐지하는 알고리즘(휴리스틱 스캐닝)과 같은 것입니다.

6. 하드 디스크에서 파일을 지우지 않고 감염된 파일을 복원할 수 있지만 바이러스만 제거할 수 있습니다.

7. 프로그램의 가양성 비율("깨끗한" 파일에서 잘못된 바이러스 탐지).

8. 크로스 플랫폼(다른 운영 체제에 대한 프로그램 버전의 가용성).

바이러스 백신 프로그램 분류:

1. 탐지 프로그램은 RAM 및 외부 미디어에 있는 바이러스에 대한 검색 및 탐지를 제공하고 탐지 시 해당 메시지를 발행합니다. 감지기가 있습니다.

범용 - 체크섬 표준을 계산하고 비교하여 파일의 불변성을 확인하기 위해 작업에 사용합니다.

전문화 - 서명으로 알려진 바이러스를 검색합니다(반복 코드 섹션).

2. 의사 프로그램(파지)은 바이러스에 감염된 파일을 찾을 뿐만 아니라 "치료"합니다. 파일에서 바이러스 프로그램의 본문을 제거하여 파일을 원래 상태로 되돌립니다. 작업 시작 시 파지는 RAM에서 바이러스를 찾아 파괴한 다음 파일을 "치료"합니다. 파지 중에서 폴리파지가 구별됩니다. 많은 수의 바이러스를 찾아 파괴하도록 설계된 의사 프로그램.

3. 프로그램 감사자는 바이러스로부터 가장 신뢰할 수 있는 보호 수단 중 하나입니다. 감사자는 컴퓨터가 바이러스에 감염되지 않았을 때 디스크의 프로그램, 디렉토리 및 시스템 영역의 초기 상태를 기억하고 주기적으로 또는 사용자의 요청에 따라 현재 상태를 원본과 비교합니다. 감지된 변경 사항이 모니터 화면에 표시됩니다.

4. 필터 프로그램(감시자)은 바이러스의 특징인 컴퓨터 작동 중 의심스러운 동작을 탐지하도록 설계된 작은 상주 프로그램입니다. 그러한 조치는 다음과 같을 수 있습니다.

COM 및 EXE 확장자를 가진 파일을 수정하려고 시도합니다.

파일 속성 변경

절대 주소에서 디스크에 직접 쓰기

디스크 부트 섹터에 쓰기

5. 백신 프로그램(immunizers)은 파일 감염을 방지하는 상주 프로그램입니다. 이 바이러스를 "치료"하는 의사 프로그램이 없는 경우 백신이 사용됩니다. 백신은 알려진 바이러스에 대해서만 가능합니다. Bezrukov N. 컴퓨터 바이러스학: 교과서 [전자 자료]: http://vx.netlux.org/lib/anb00.html..

사실, 안티바이러스 프로그램의 아키텍처는 훨씬 더 복잡하고 특정 개발자에 따라 다릅니다. 그러나 한 가지 사실은 부인할 수 없습니다. 제가 이야기한 모든 기술은 서로 밀접하게 얽혀 있어서 하나가 시작되고 다른 하나가 작동하기 시작하는 시점을 이해하는 것이 때때로 불가능합니다. 안티 바이러스 기술의 이러한 상호 작용을 통해 바이러스와의 싸움에서 가장 효과적으로 사용할 수 있습니다. 그러나 완벽한 보호는 없으며 이러한 문제에 대해 자신에게 경고하는 유일한 방법은 지속적인 OS 업데이트, 잘 구성된 방화벽, 자주 업데이트되는 바이러스 백신 및 - 가장 중요한 것은 - 의심스러운 파일을 실행/다운로드하지 않는 것입니다. 인터넷.

1992년 Eugene Kaspersky는 작동 원리(기능 정의)에 따라 다음과 같은 바이러스 백신 분류를 사용했습니다.

1. 스캐너(오래된 버전 - "폴리파지") - 바이러스의 서명(또는 체크섬)을 저장하는 서명 데이터베이스를 통해 바이러스의 존재를 확인합니다. 그 효과는 바이러스 데이터베이스의 관련성과 휴리스틱 분석기의 존재 여부에 따라 결정됩니다(휴리스틱 스캔 참조).

2. 감사자(IDS에 가까운 클래스) - 파일 시스템의 상태를 기억하여 향후 변경 사항을 분석할 수 있습니다.

3. 감시자(감시자) - 잠재적으로 위험한 작업을 추적하고 사용자에게 작업을 허용/금지하도록 적절한 요청을 보냅니다.

4. 백신 - 백신이 만들어진 바이러스가 이미 감염된 파일로 간주하도록 이식된 파일을 변경합니다. 현대(2007) 상황에서는 가능한 바이러스의 수가 수십만으로 측정될 때 이 접근 방식을 적용할 수 없습니다.

최신 바이러스 백신은 위의 모든 기능을 결합합니다.

바이러스 백신은 다음과 같이 나눌 수도 있습니다.

1. 가정용 제품:

2. 실제로 안티바이러스;

3. 결합 제품(예: 안티스팸, 방화벽, 안티루트킷 등이 기존 안티바이러스에 추가됨)

4. 기업 제품:

5. 서버 안티바이러스

6. 워크스테이션의 바이러스 백신("엔드포인트").

SIM, 플래시 카드 및 USB 장치의 바이러스 백신

USB 장치 또는 SIM의 바이러스 백신과 같은 하드웨어와 같은 보호 방법은 휴대폰 사용자에게 더 적합합니다. 휴대폰에 바이러스 백신 프로그램을 설치하는 방법에 대한 기술 평가 및 검토는 해당 휴대폰의 다른 합법적인 응용 프로그램에 영향을 줄 수 있는 검사 프로세스로 간주되어야 합니다.