Ревизоры

Принцип работы ревизоров изменений основан на вычислении для файлов, системных секторов и системного реестра контрольных сверток (CRC). Они сохраняются в базе данных ревизора, и при следующем запуске ревизор сверяет «отпечатки» с их оригиналами и сообщает пользователю о выявленных отклонениях, обращая особое внимание на вирусоподобные изменения. При использовании ревизоров «лечение» зараженных объектов основывается не на опознании конкретного вируса, а на знании того, как должен выглядеть «чистый» файл или сектор: любые отклонения от эталона регистрируются ревизором, который способен вернуть объект к исходному состоянию.

Однако у ревизоров изменений имеются свои недостатки. Во-первых, они не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус заразит хотя бы один объект. Во-вторых, они не могут определить вирус в новых файлах, поскольку для таких файлов в базе данных ревизора отсутствует эталонное значение CRC.

Иммунизаторы

Иммунизаторы, которые иногда называют также вакцинами, действуют подобно медицинским вакцинам: они помещают в тело информационного объекта специальные метки, препятствующие их настоящему заражению вирусом.

Иммунизаторы бывают двух типов: информирующие и блокирующие.

Первые обычно записываются в конец файлов (по принципу файлового вируса), и каждый раз при запуске файла проверяют его на изменение. Такие иммуниза-торы имеют один существенный недостаток: они не способны обнаружить заражение вирусами-невидимками.

Иммунизаторы второго типа защищают систему от заражения определенным вирусом. Блокирующий иммунизатор помечает файлы таким же образом, как и нейтрализуемый вирус, благодаря чему тот считает их уже зараженными. Например, чтобы предотвратить заражение COM-файла вирусом Jerusalem, достаточно дописать в конец файла строку MSDos. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус обнаруживает ее и считает, что система уже заражена.

Иммунизаторы не получили большого распространения и в настоящее время практически не используются.

Блокираторы

Поведенческие блокираторы, в отличие от других антивирусных программ, не просто «смотрят» и пытаются «узнавать» вирусы, они еще и «думают». Принцип действия таких антивирусов основан на эвристическом анализе поведения активных программ и «подозрительных» событий, происходящих в системе. Другими словами, поведенческие блокираторы опираются в своей работе не на базу данных, а на базу знаний. Знаний о том, что может происходить в системе в случае попадания в нее вредоносного программного обеспечения. Это делает поведенческие блокираторы универсальным оружием, которое может использоваться в борьбе не только с вирусами, но и, например, с программами-шпионами.

Считается, что разработка поведенческих блокираторов, использующих методы искусственного интеллекта – это наиболее перспективное направление в создании антивирусных средств.

Существующие сегодня поведенческие блокираторы не предназначены для удаления вирусов. Их цель – обнаружение и предотвращение распространения вирусов. Поэтому их необходимо использовать совместно с антивирусным сканером, который способен уничтожить выявленный вирус.

Как было сказано выше, наиболее мощные антивирусные пакеты содержат в своем составе утилиты, реализующие все (или почти все) известные технологии. Например, пакет AVP при инсталляции предлагает использовать полный арсенал средств (рис. 2.5).