Сканирование
Это самый старый и самый простой метод обнаружения вирусов. Его суть заключается в последовательном просмотре файлов, являющихся потенциальными жертвами в поисках сигнатур известных вирусов. Что такое сигнатура? Это определенная последовательность байтов, уникальная для данного вируса и не встречающаяся в других программах. Сигнатурой могут быть отрывки кода, сообщения, выдаваемые вирусом, и т. п. У подобных сканеров существует множество недостатков. Самый главный из них - это умение определять только уже известные вирусы. И действительно, если сигнатура данной зловредной программы есть в специальной базе данных, сканер сработает, а если нет - то нет. Именно поэтому важно регулярное обновление антивирусных программ. Ну а если компьютер подключен к Интернету, то нужно не просто регулярное, а как минимум ежедневное пополнение базы данных. Иначе пользователь рискует стать жертвой какого-либо червя, эпидемии которых охватывают всю Глобальную сеть буквально в считаные часы.
Второй большой недостаток сканеров - их неспособность противостоять проникновению вирусов на компьютер и препятствовать их разрушительной деятельности. Эти программы работают только тогда, когда их запустит пользователь или какой-нибудь планировщик. Поэтому в качестве самостоятельного антивирусного средства использование сканеров может быть оправдано только в том случае, если компьютер не подключен к Интернету или локальной сети, а любая дискета или компакт-диск перед использованием на данном ПК сначала будут проверяться на вирусы.
Ну и, наконец, третий серьезный недостаток антивирусных сканеров - это их полная неспособность обнаружить полиморфные и стелс-вирусы. И это очень плохо. В общем, получается, что программы-сканеры не могут использоваться в качестве самостоятельной антивирусной защиты.

Эвристический анализ
Эвристический анализ позволяет обнаруживать даже те вирусы, которые еще не были занесены в базу данных. Суть его заключается в следующем. Файлы, являющиеся потенциальными жертвами, проверяются сканером. При этом ищется код, характерный для вирусов. Если он обнаружен, то происходит дополнительный разбор, сканер как бы пытается понять, что именно делает этот отрывок. Если, например, в нем реализованы алгоритм саморазмножения, резидентная работа или запись своих копий в другие исполняемые файлы, то этот код считается вирусом. И сканер пытается вылечить зараженный файл, то есть удалить из него подозрительный отрывок.
На сегодняшний день все антивирусные программы, разработанные крупными компаниями, имеют собственный алгоритм эвристического анализа. В подавляющем большинстве случаев они надежны: корректно определяют вирусы и не трогают остальные программы. Хотя иногда возникают случаи, когда эвристический анализ не может дать однозначный ответ. В этом случае сканеры выдают пользователю сообщение о том, что данный файл находится на подозрении. При этом человеку предоставляется право решать, что же с ним делать: удалить или оставить все как есть. Однако стоит заметить, что, если у вас на ПК есть файлы с подозрением на вирус, лучше всего еще раз обновить базы данных, а потом провести повторную проверку. Вполне возможно, что сканер просто столкнулся с неизвестным вирусом.

Постоянный мониторинг
Программы-мониторы имеют одно коренное отличие от других антивирусов. Дело в том, что они работают резидентно, то есть постоянно загружены в память компьютера. В задачу монитора входит проверка всех уязвимых файлов, к которым обращается любое приложение операционной системы. В принципе, это самый удобный для пользователя вариант. И действительно, не нужно постоянно помнить о необходимости проверки новых файлов. Не нужно терять время в ожидании, пока сканер проверит все файлы на жестком диске. Программы-мониторы работают постоянно и незаметно для пользователя. Хотя, с другой стороны, любое резидентное приложение, тем более такое "активное", требует дополнительных затрат системных ресурсов. Поэтому на старых слабых компьютерах антивирусные мониторы могут стать причиной замедленной работы ПК.
Второй важный плюс постоянного мониторинга помимо удобства для пользователей - это надежность. И действительно, этот метод, в отличие от остальных, позволяет определить и обезвредить вирус еще до того, как он приступил к своей разрушительной деятельности. Монитор "перехватывает" обращения операционной системы к файлам и сначала проверяет их. При этом используются оба описанных выше метода - поиск известных сигнатур и эвристический анализ. Если в результате проверки монитор обнаруживает вирус, то доступ к файлу блокируется, а пользователю выдается специальное сообщение с предложением выбрать необходимое действие (попытаться вылечить файл, удалить его, поместить в специальную папку и т. п.). Ну а если объект "чист", то монитор ничего не делает, а приложение, обращавшееся к нему, продолжает свою работу.

Ревизии
Ни для кого не секрет, что подавляющее большинство вирусов, заражая компьютер, изменяют содержимое жесткого диска. Например, они могут дописывать свой код в различные приложения или документы, добавлять вызовы в системные файлы, переделывать загрузочный сектор и т. д. Именно на этом их свойстве и основан метод ревизий. Давайте разберем, как по этому принципу работают программы.
Антивирусный ревизор при первом запуске создает образы загрузочных секторов и подсчитывает специальные контрольные суммы для других секторов и всех уязвимых файлов. Все эти данные сохраняются в специальной таблице. При последующих запусках ревизор снова проводит те же процедуры и сравнивает результат с суммами, полученными ранее. Если обнаружено изменение какого-либо параметра, то проводятся дополнительные исследования. Ведь системный файл мог изменить как сам пользователь, так и какое-либо приложение, которое он установил. Поэтому деятельность вирусов определяется по косвенным признакам. В частности, подавляющее большинство зловредных программ, дописывая себя в какой-либо файл, делают так, чтобы время модификации этого объекта не менялось. Это нужно для маскировки, поскольку иначе пользователь может заметить изменения. Такой нюанс и используют программы-ревизоры. Если файл был изменен, а время модификации не изменилось, они подозревают деятельность вируса. Хотя надо признаться, что этот критерий далеко не стопроцентный. Некоторые приложения тоже меняют свои файлы без изменения времени модификации. Конечно же, кроме этой есть еще ряд характеристик, по которым программы-ревизоры определяют вирусы.

Вывод
Итак, мы с вами, уважаемые читатели, рассмотрели самые распространенные способы обнаружения вирусов. Некоторые антивирусные программы используют только какой-то один или два из них, другие - все вместе. Нужно ли говорить, что второй вариант гораздо надежней. Каждый тип вирусов лучше всего определяется каким-то определенным методом. Поэтому, если антивирусный комплект будет содержать утилиты, работающие по разным технологиям, вероятность заражения будет минимальной.



Источник: http://www.infobez.ru