Шифрленген вирустар. Бұл вирустар өз кодтарын өздері шифрлеп, файлдарда, жадында және бөлімде анықталуын қиындатады. Осы вирустардың әр нұсқасы тек қысқа және жалпы фрагменттерден тұрады – шифрді шешу тәртібін сигнатура ретінде тандауға болады. Әр жұқтыру кезінде ол автоматты түрде өзін әр дайым әр түрлі шифрлайды. Осы амалдармен вирус, антивирустық бағдарламаларының анықталуынан жасырынады.
Полиморфты вирустар. Бұл вирустардың қаупі олардың арнайы техника қолдана отырып кодтарын ауыстыру және түрін өзгерту арқылы антивирустық бағдарламаларынан жасырынады. Ең бірінші полиморфты вирусты 1990-шы жылы Марк Вашбёрн жазып осындай қуатты және қаупті вирустардың тууына негіз қалады. Бұл түрлі вирустар жоғарыда сипатталғандай өз кодын толығымен өзгерте алады. Бұндай кодтардың өзгерістері кезекті компьютерді жұқтырғаннан кейін басталады. Вирус кодтарының өзгеру салдарынан көптеген түрлі пішінде зиянкес көбейіп, антивирустың вирустарды анықтауын қиындатады. Көп жағдайда кодтардың өзгеруі операторлардың қосылуымен жүзеге асырылады және бұл жай вирустың қағидатын өзгертпейді.
Компьютерлік вирус өмірінің кезеңдері
Әдетте өмір сүру барысында вирус келесі кезеңдерден өтеді:
1. Беймәлім/жасырын фаза. Бұл фаза кезінде вирус еш әрекеттерді орындамайды.
2. Таралу фазасы. Бұл кезең барысында вирус өзін-өзі көбейтеді.
3. Жұқтыру немесе ерекше мақсатталған функцияларды орындау кезеңі
4. Көріну фазасы. Вирус әрекеті іс жүзінде осы фаза барысында орындалады.
Компьютерлік вирустарды айқындау
Вирустарды айқындаудың келесі әдістері белгілі:
1. Сигнатуралық талдау технологиялары – файлдарда вирус сигнатураларының болуына тексеруден, яғни бағдарламалық кодта вирустардың белгілі түріне тән жолдарды іздеуден тұратын вирустарды анықтау әдісі. Сигнатуралық талдау вирустарды айқындаудың ең танымал әдісі болып табылады және қазіргі кездегі антивирустардың негізінен барлығында қолданылады. Әдістің бұл түрінде келесі кемшіліктер бар: антивирус қорында сақталатын вирустық сигнатуралар жиыны антивирусқа тексеріс жасау үшін қажет, сондықтан да антивирус қоры жиі жаңартылып тұруы қажет; бұл әдіс танымал вирустарды айқындау барысында тиімді болып келеді.
2. Эмуляция. Жұқтырылған файлдың іске қосылуын имитациялайды, солайша қандай болмасын зиянды кодты (БҚ) тексереді. Басында файл құмсалғыш деп аталатын виртуалды ортаға орналастырылады. Қарапайым сөзбен айтқанда, файл шынайы ортамен, яғни операциялық жүйемен өзара әрекеттесетіндігіне нанады, ал бұл шын мәнінде олай емес. Бұл әдіс үлкен уақыт шығындарын қажет етуі мүмкін – бұл жүйенің баяу жұмысына әкеліп соқтыруы мүмкін.
3. Эвристикалық талдау – жұмыс нәтижесі күдікті объектілерді айқындау болып табылатын ықтималды алгоритмдерге негізделген технология. Эвристикалық талдау барысында файл құрылымы, оның вирус үлгілеріне сәйкестігі тексеріледі. Ең әйгілі эвристикалық технология болып файл қамтылымын танымал вирустар сигнатуралары мен олардың комбинацияларының модификацияларының болуына тексеру табылады. Мұның барлығы бұрыннан танымал вирустардың жаңа нұсқалары мен гибридтерін антивирус қорын қосымша жаңартусыз айқындауға көмектеседі. Эвристикалық талдау белгісіз вирустарды айқындауда қолданылады, сәйкесінше, емдеуді қажет етпейді. Бұл технология оның алдында вирус не вирус емес екендігін 100 пайызды айқындай алмайды, және кез-келген ықтималды алгоритм сияқты жалған ҚОСЫЛУЛАРМЕН (срабатывание) қателеседі.
4. Мінез-құлық бойынша талдау – тексеріліп жатқан объектінің сипаты туралы шешім оның жасаған операциялар талдауына негізделіп қабылданатын технология. Мінез-құлық бойынша талдау тәжірибе жүзінде тар шеңберлі түрде қолданылады, себебі вирустарға тән әрекеттердің көбісі кәдімгі бағдарламалық қосымшалар арқылы да орындала алады. Ең көп атақты макростар мен скрипттердің мінез-құлық талдағыштары алды, себебі сәйкес вирустар бір типті әрекеттерді іс жүзінде әрдайым орындайды. Мысалы, жүйеге ендіру үшін әр макровирус дерлік ылғи да бір алгоритмді қолданады: стандартты командаларды орындау барысында (мысалы, « Save », « Save As», «Open», және т.б.) Microsoft Office ортасымен іске қосылатын кез-келген стандартты макросқа normal.dot шаблондарының негізгі файлын және қайта ашылатын құжатты жұқтыратын код жазылады. BIOS-қа ендірілетін қорғаныс құралдарын мінез-құлық талдағыштарының қатарына апаруға болады. Компьютер MBR-іне өзгерістерді енгізу талпыныс жасалғанда талдағыш әрекетті блоктап, қолданушыға сәйкес ескертуді көрсетеді. Одан басқа, мінез-құлық талдағыштары файлдарға тікелей қол жеткізу талпыныстарын, жүктелетін жазбаға өзгерістерді енгізуді, қатқыл дисктерді форматтауды және т.б. әрекеттерді қадағалай алады. Мінез-құлық талдағыштары жұмыс үшін вирус қорлары секілді қосымша объектілерді қолданбайды, соның салдарынан танымал және белгісіз вирустарды ажырата алмайды – барлық күдікті бағдарламалар белгісіз вирус болып саналады. Осыған ұқсас, мінез-құлық талдау технологияларын жүзеге асыратын құралдар жұмысының ерекшеліктері емдеуді қажет етпейді.
5. Бақылау сомасын талдау – бұл компьютерлік жүйедегі объектілердегі өзгерістерді қадағалау әдісі. Өзгерістер сипатының – бір уақытта орындалуы, көпшілікке ортақтығы, файл ұзындықтарының бірдей өзгеруі – талдауына негізделе отырып, жүйе жұқтырылуы туралы қорытынды жасауға болады. Бақылау сомасының талдағыштары (сонымен қатар «өзгерістер ревизоры» атауы қолданылады), мінез-құлық талдағыштары секілді, жұмыс барысында қосымша объектілерді қолданбай, жүйеде вирустың болуы туралы үкімді тек сарапшылық бағалау әдісімен шығарады. Бақылау сомасын талдаудың үлкен атағы бір есепті операциялық жүйеге қатысты еске түсірулермен байланысты, ол кезде вирустар саны бұған қарағанда шамалы аздау болатын, файлдар саны азырақ келіп, сирек ауысатын. Бүгінгі күні өзгеріс ревизорлары өзінің күшін жойып, антивирустарда өте сирек қолданылады. Жиі осындай технологиялар қол жетімдік бар болған жағдайда сканерлерде қолданылады – алғаш тексеріс кезінде файлдан бақылау сомасы алынып, кэште орналастырылады, бұл файлдың келесі тексерісі алдында сома тағы бір рет алынып салыстырылады, өзгерістер табылмаған жағдайда файл жұқтырылмаған болып саналады.
Достарыңызбен бөлісу: |