16.6.4 Защита от вирусов Кроме того, вирусы могут обнаруживать и уничтожать системы. Таким образом, защита от вирусов является важной проблемой безопасности. Антивирусные программы часто используются для обеспечения этой защиты. Некоторые из этих программ эффективны только против определенных известных вирусов. Они работают, просматривая все программы в системе на предмет определенного набора инструкций, которые, как известно, составляют вирус.
Когда они находят известный шаблон, они удаляют инструкции, дезинфицируя программу. Антивирусные программы могут иметь каталоги тысяч вирусов, которые они ищут. И вирусы, и антивирусное программное обеспечение продолжают становиться все более изощренными. Некоторые вирусы модифицируют себя, заражая другое программное обеспечение, чтобы избежать базового подхода антивирусных программ к сопоставлению с образцом. Антивирусные программы, в свою очередь, теперь ищут семейства шаблонов, а не один шаблон для идентификации вируса. Фактически, некоторые антивирусные программы реализуют различные алгоритмы обнаружения. Они могут распаковывать сжатые вирусы перед проверкой сигнатуры. Некоторые из них выглядят для обработки аномалий. Процесс открытия файла, например, позволяет создавать подозрительный код, если не задан компилятор. Другой популярный метод - запуск программы в изолированной программной среде («в песочнице»). Антивирусное программное обеспечение анализирует поведение кодовой вставки и коробки перед отправкой, которая не контролируется. Некоторые антивирусные программы запускаются с помощью полного сканирования файлов сканирования с помощью файловой системы. Они включают в себя загрузочные секторы, память, входящую и исходящую электронную почту, файлы, которые были загружены, загружены или восстановлены. Лучшая защита от компьютерных вирусов - это профилактика или практика безопасных вычислений. Покупка нераспечатанного программного обеспечения у поставщиков и отказ от бесплатных или пиратских копий из открытых источников или обмена дисками предлагают самый безопасный путь предотвращения заражения. Однако даже новые копии законных программных приложений не застрахованы от вирусной инфекции: в некоторых случаях недовольные сотрудники компании-разработчика программного обеспечения заражали основные копии программ, чтобы нанести экономический ущерб компании. Аналогичным образом, аппаратные устройства могут быть получены из-за зараженной фабрики для вашего удобства. Для макровирусов одной из мер защиты является обмен документами - Microsoft Word в альтернативном формате, называемом расширенным текстовым форматом (RTF). В отличие от собственного формата Word, RTF не включает возможность прикреплять макросы. Еще одна защита - избегать открытия вложений электронной почты от неизвестных пользователей. К сожалению, история показала, что уязвимости электронной почты появляются так же быстро, как и исправляются. Например, в 2000 году вирус любовного червя стал очень распространенным, путешествуя по электронной почте, выдавая себя за любовные заметки, отправленные друзьями получателей. Когда получатель открыл прикрепленный скрипт Visual Basic, вирус распространялся, отправив себя по первым адресам в списке контактов получателя. К счастью, за исключением засорения систем электронной почты и почтовых ящиков пользователей, это было относительно безопасно. Это, однако, фактически отрицало защитную стратегию открытия вложений только от людей, известных получателю. Более эффективный способ защиты состоит в том, чтобы избежать открытия любого вложения электронной почты, которое содержит исполняемый код. Некоторые компании теперь применяют это как политику, удаляя все входящие вложения в сообщения электронной почты. Другая мера предосторожности, хотя и не предотвращает заражение, позволяет раннее обнаружение. Пользователь должен начать с полного переформатирования жесткого диска, особенно загрузочного сектора, который часто предназначен для вирусной атаки. Загружается только защищенное программное обеспечение, и подпись каждой программы берется с помощью безопасного вычисления дайджеста сообщения. Полученное имя файла и соответствующий список дайджестов сообщений должны быть защищены от несанкционированного доступа. Периодически или каждый раз, когда программа запускается, операционная система пересчитывает сигнатуру и сравнивает ее с сигнатурой своего первоначального списка; любые отличия сохраняются как предупреждение о возможном заражении. Этот метод может комбинироваться с другими, например, может использоваться антивирусное сканирование с высокими накладными расходами, такое как «песочница»; и, если программа проходит тест, для него может быть создана подпись. Если подписи совпадают при следующем запуске программы, ее не нужно повторно проверять на вирусы.
Достарыңызбен бөлісу: |