Антивирусные программы ревизоры сообщение

Обновлено: 28.06.2024

Ревизо́р (от revisor — пересматривающий; ср. revisio — пересмотр) — компьютерная программа, запоминающая состояние компьютера, следящая за изменениями файловой системы и сообщающая о важных или подозриельных изменениях пользователю.

Содержание

Принцип работы ревизоров [ ]

Программа-ревизор следит за изменениями файлов на компьютере. Для этого не обязательно делать копии всех файлов. Достаточно запомнить названия файлов и папок, размеры файлов и их контрольные суммы (либо специальные хеш-функции). Эта информация занимает немного места на диске, но позволяет заметить изменение любого файла. Периодически (по расписанию) или по приказу пользователя ревизор проверяет текущее состояние файловой системы и сравнивает с прежним. О подозрительных изменениях немедленно сообщается, об остальных пользователь может узнать при желании.

Назначение ревизоров [ ]

Антивирусное средство [ ]

Программы-ревизоры изначально предназначались для использования в качестве Многопользовательские компьютеры [ ]

Если одним компьютером может пользоваться более одного человека, то возникает необходимость в контроле. Некоторые пользователи могут совершать запрещенные действия (устанавливать игры, сборщики паролей, взламывать систему, захламлять диск фильмами, музыкой, изображениями, изменять настройки и т.д.). Ревизоры могут выявлять эти действия, а также возвращать систему в нормальное состояние, не откатывая полезных изменений.

Другие применения [ ]

С помощью ревизора пользователи могут решать и другие проблемы: найти переименованный файл либо файл с забытым названием, выяснить причину сильно уменьшившегося свободного пространства на диске и т.д.

Российские программы [ ]

Из российских программ наиболее известны AdInf (Advanced Diskinfoscope) и ревизор, встроенный в антивирус Касперского.

Антивирусные программы-ревизоры позволяют обнаружить вирус.

Обнаружить вирус на компьютере (или даже подозрение на него) антивирусы-ревизоры могут с большой степенью надежности. Обычно наиболее оптимальным является связка полифаг и ревизор. Ревизор служит для обнаружения факта заражения системы. Если система заражена, то в дело пускается полифаг.

Основу работы ревизоров составляет контроль за изменениями, характерными для работы вирусных программ.

Стадии работы программы-ревизора:

1. Контроль оперативной памяти. Эта стадия проверки включает в себя процедуры обнаружения следов активных загрузочных и stealth-вирусов в памяти компьютера.

2. Контроль системных областей. Контроль системных областей предназначен для обнаружения вирусов, которые используют для своей активации механизм загрузки. Особенность программ-ревизоров заключается в том, что они не могут судить об изначальной “чистоте” оперативной памяти, поэтому чтение Master Boot Record происходит тремя различными способами:

– (bios) – прямым обращением в BIOS;

– (i13h) – чтением через BIOS-прерывание Int13h;

– (i25h) – чтением средствами операционной системы (прерывание Int25h).

3. Контроль неизменяемых файлов. Последняя стадия проверки, направленная на обнаружение деятельности файловых вирусов – контроль изменения файлов. Очень важно определить, какие именно файлы являются неизменяемыми. Рекомендуется внести в разряд “неизменяемых” те исполняемые файлы, путь к которым указан в переменной PATH.

Чтобы не дать stealth-вирусам “обмануть” систему, чтение данных также происходит как средствами операционной системы, так и средствами BIOS.

После того как все файлы проверены, ревизоры часто сохраняют дополнительные области памяти, которые могут быть испорчены вирусами. Это FLASH- и CMOS-память.

Информация должна быть проверяема, иначе она может быть поставлена под сомнение и удалена.
Вы можете отредактировать эту статью, добавив ссылки на авторитетные источники.
Эта отметка установлена 9 июня 2011.

Ревизо́р (от лат. revisor — пересматривающий; ср. лат. revisio — пересмотр) — компьютерная программа, запоминающая состояние компьютера, следящая за изменениями файловой системы и сообщающая о важных или подозрительных изменениях пользователю.

Содержание

Принцип работы ревизоров

Программа-ревизор следит за изменениями файлов на компьютере. Для этого не обязательно делать копии всех файлов. Достаточно запомнить названия файлов и папок, размеры файлов и их контрольные суммы (либо специальные хеш-функции). Эта информация занимает немного места на диске, но позволяет заметить изменение любого файла. Периодически (по расписанию) или по приказу пользователя ревизор проверяет текущее состояние файловой системы и сравнивает с прежним. О подозрительных изменениях немедленно сообщается, об остальных пользователь может узнать при желании.

Назначение ревизоров

Антивирусное средство

Программы-ревизоры изначально предназначались для использования в качестве антивирусов. Любой вирус каким-либо образом изменяет систему данных на диске. Например, могут появиться новые исполняемые файлы, измениться уже существующие, может появиться сектор на диске, не связанный с каким-либо файлом и т. д. При обнаружении подозрительных изменений ревизор бьёт тревогу.

Достоинствами ревизоров как антивирусов являются:

Ревизоры не в состоянии защитить компьютер от всех угроз со стороны вредоносного программного обеспечения, поэтому они обычно используются в комплексе с другими антивирусными средствами. (Например, при получении сигнала тревоги от ревизора запускается сканер.)

Многопользовательские компьютеры

Если одним компьютером может пользоваться более одного человека, то возникает необходимость в контроле. Некоторые пользователи могут совершать запрещенные действия (устанавливать игры, сборщики паролей, взламывать систему, захламлять диск фильмами, музыкой, изображениями, изменять настройки и т. д.). Ревизоры могут выявлять эти действия, а также возвращать систему в нормальное состояние, не откатывая полезных изменений.

Другие применения

С помощью ревизора пользователи могут решать и другие проблемы: найти переименованный файл либо файл с забытым названием, выяснить причину сильно уменьшившегося свободного пространства на диске и т. д.

Российские программы

Из российских программ наиболее известны AdInf (Advanced Diskinfoscope) и ревизор, встроенный в антивирус Касперского.

". В наше время, когда бурно развиваются телекоммуникации (в частности Интернет), вирусы появляются как грибы после дождя и очень легко распространяются. Чего только стоят нашумевшие вирусные эпидемии LoveLetter, Klez. Число вирусов на сегодняшний день о

В наше время, когда бурно развиваются телекоммуникации (в частности Интернет), вирусы появляются как грибы после дождя и очень легко распространяются. Чего только стоят нашумевшие вирусные эпидемии LoveLetter , Klez . Число вирусов на сегодняшний день очень велико. Они могут заразить любой компьютер, уничтожив при этом ценную информацию. Именно поэтому пользователь должен иметь представление о том, как работает антивирусная программа, как она "ищет", "лечит" зараженные вирусом данные, какие методы антивирусной защиты существуют и насколько они эффективны. На сегодняшний день по алгоритмам работы можно выделить 5 основных групп антивирусных программ.

Тернии классификации

Антивирусные сканеры
Пионеры борьбы с компьютерными вирусами. Появились они практически одновременно с первыми вирусами. В основе работы таких программ стоит простой принцип — поиск в файлах, оперативной памяти, загрузочных секторах знакомых участков вирусного кода (так называемых сигнатур ). Под сигнатурой понимают такую запись о вирусе, которая позволяет однозначно идентифицировать сам вирус, его присутствие в файле, памяти. Чаще всего сигнатурой является именно участок вирусного кода, а иногда и его контрольная сумма (или дайджест).
Антивирусный сканер просматривает сначала оперативную память компьютера, ища вирус там. Существуют так называемые stealth-вирусы, которые перехватывают системные функции и в результате могут контролировать поток данных от периферийного устройства к пользователю. А значит, они, перехватив управление, могут заразить любой открываемый файл в системе. Вирус первым узнает об обращении к периферийному устройству.
Представьте, что у вас в памяти присутствует stealh-вирус, а вы начали антивирусное сканирование без проверки оперативной памяти. Тогда зараженными могут оказаться все файлы. Именно поэтому сначала нужно провести поиск вирусов в оперативной памяти и при обнаружении stealth-вируса удалить его из памяти и потом искать тело в файле. Хочется вас успокоить: в наши дни stealth-вирусы надежно обнаруживаются в памяти и не представляют серьезной угрозы (если, конечно, регулярно проводить антивирусные проверки).
Человеческая мысль не стоит на месте. Вирусы также развиваются. Головной болью разработчиков антивирусного ПО стали "копии" известных вирусов. Дело в том, что существует огромное количество вирусных программ, алгоритм работы которых повторяет алгоритм работы других вредоносных программы. Поскольку код изменился, изменилась и сигнатура.
Каждую неделю появляется огромное количество вирусов. И разработчики просто не успевают внести в базу все сигнатуры. К тому же есть еще и малораспространенные вирусы, которые не попадают в базу. Мало того, существуют еще и полиморфные вирусные программы. Такой вирус изменяется от заражения к заражению. Просто, если в теле вирусной программы раскидать случайным образом ничего не делающие команды (для тех, кто знаком с программированием — NOP; MOV AX,AX;), то алгоритм работы не изменится, а вот тело и сигнатура претерпят значительные изменения.
Еще одной проблемой для борцов с вирусами стали программы, создаваемые вирус-генераторами (имея под рукой такой генератор, можно создать очередную "пакость" буквально за 5 минут). Во всех вышеперечисленных случаях помогает оригинальный алгоритм обнаружения неизвестных вирусов — эвристический анализатор . С его помощью антивирус способен находить аналоги известных вирусов, сообщая об этом пользователю. Принцип работы эвристического анализатора примерно такой. Любые данные он представляет в виде машинных кодов: в компьютере одна и та же информация может быть представлена в виде данных и в виде программы. Анализатор просматривает код, и если программа выполняет некоторые подозрительные (странные) действия, то ей добавляется условный балл. При превышении какого-то количества баллов эвристик делает вывод, что программа содержит вирус. Конечно, вероятность как ложного срабатывания, так и пропуска велика. Однако если правильно использовать данные эвристика, то можно прийти к правильному выводу. Если антивирус указывает, что заражен единичный файл, то это, скорее всего, имело место ложное срабатывание. Если же такое повторяется не один раз, то можно говорить о вирусном заражении вашей системы с большой долей уверенности.

Антивирусные мониторы
Антивирусные мониторы по своей сути — это лишь некая разновидность сканеров. Но! Антивирусный монитор постоянно присутствует в оперативной памяти компьютера и в фоновом режиме проверяет все открываемые и загружаемые файлы. Почти каждый современный антивирус имеет в своем составе такой монитор.

Ревизоры изменений
Ревизоры — это антивирусные программы, которые следят за изменениями файлов. Ревизоры сохраняют в своих базах данных контрольные суммы файлов. И потом просто сравнивают сохраненные значения с текущими (ведь вирусы изменяют файлы). Результаты работы сообщаются пользователю, поскольку пользователь также может изменять файлы.
У ревизоров есть свои недостатки. Во-первых, крайне важно, чтобы ревизор первые несколько раз запускался на "чистой" машине. Во-вторых, ревизоры не способны поймать вирус в момент его появления в системе, а находят его уже после распространения. В-третьих, они не могут найти вирус в новых файлах (полученных по e-mail, скачанных с BBS, Internet и прочее), поскольку в базах данных информация по таким файлам отсутствует. Именно этим недостатком пользуются некоторые вирусы, заражая только новые файлы.

Иммунизаторы
Обычно иммунизаторы записываются в файл (совсем как вирус) и при запуске файла проверяют его на изменения. Современные вредоносные программы научились прятаться от такого типа иммунизаторов.
Второй тип иммунизаторов защищает систему от поражения каким-то определенным вирусом. Для этого файлы модифицируются таким образом, чтобы вирус принимал их за уже зараженные. Конечно, нельзя иммунизировать файлы от всех известных вирусов. Из-за этого недостатка данный тип антивирусов не получил широкого распространения и практически не используется.

Поведенческие блокираторы
Такой антивирус постоянно находится в оперативной памяти и перехватывает все происходящие в системе события. В случае обнаружения "подозрительных" действий в системе (то есть тех, которые может производить вирусная программа), блокирует их или спрашивает у пользователя разрешение на их выполнение. Блокиратор не ищет вирус, а просто предотвращает его действия.
В принципе, блокиратор может остановить распространение любого вируса. Но вирусоподобные действия могут производить операционная система и различные программы. Поведенческий блокиратор не в состоянии самостоятельно определить, кто именно выполняет подозрительные действия — вирус, ОС, программа — и вынужден спрашивать у пользователя подтверждение. Именно в этом главный недостаток поведенческого блокиратора — чрезмерная навязчивость.

Сила совмещения
Мы с вами рассмотрели все типы антивирусов, существующих на сегодняшний день. У каждого типа есть свои достоинства и недостатки. В современных антивирусных пакетах сочетаются практически все пять вышеперечисленных типов, так как только их совместное использование позволяет выйти из войны с вирусами победителем.

Читайте также:

  
• Сообщение бумага как материал для творчества
  
• Грамотное сообщение что врач отменил прием из за болезни
  
• Сообщение о почетном гражданине города березовский
  
• Что я знаю о глаголе 6 класс сообщение
  
• Последнее сообщение от вояджер 1