Антивирусная защита

Антивирусная защита ислользуется для профилактики и диагностики вирусного заражения, а также для восстановления работоспособности пораженных вирусами информационных систем.

Термин «вирусы» толкуется здесь расширенно — это не только собственно вирусы, но и другие разновидности вредоносных программ, такие как черви, троянские и шпионские программы.

Профилактика заключается в проверке файлов на присутствие вирусов перед их загрузкой на защищаемый компьютер и тем более перед их выполнением на этом компьютере. Диагностический характер носит процедура проверки файлов уже находящихся в памяти компьютера. После констатации вирусного заражения наступает этап восстановления «здоровья» вычислительной системы, который может потребовать как весьма жестких мер, когда из системы удаляются все зараженные файлы, так и не столь жестких, когда файлы исправляют, удаляя из них вредоносный код.
Большинство антивирусных программ в той или иной степени расходуют ресурсы тестируемой системы. Иногда это может вызвать заметное снижение скорости выполнения пользовательских приложений. Однако это не должно быть причиной отключения антивирусных проверок, так как ущерб от «работы» вирусов, как правило, с лихвой превышает затраты вычислительных ресурсов и времени пользователя (администратора) на борьбу с вирусами.

Для защиты от вирусов используют три группы методов:

  • Методы, основанные на анализе содержимого файлов (как файлов данных, так и файлов с кодами команд). К этой группе относятся сканирование сигнатур вирусов, а также проверка целостности и сканирование подозрительных команд.
  • Методы, основанные на отслеживании поведения программ при их выполнении. Эти методы заключаются в протоколировании всех событий, угрожающих безопасности системы и происходящих либо при реальном выполнении проверяемого кода, либо при его программной эмуляции.
  • Методы регламентации порядка работы с файлами и программами. Эти методы относятся к административным мерам обеспечения безопасности. Один из наиболее распространенных методов этой группы состоит в том, что в системе (компьютере или корпоративной сети) выполняются только те программы, запись о которых присутствует в списке программ, разрешенных к выполнению в данной системе. Этот список формируется администратором сети из проверенного программного обеспечения.