Антивирусы... Взгляд со стороны.
                                    by Admin

                                Предусмотрительность и осторожность
                                одинаково важны: предусмотрительность -
                                чтобы вовремя заметить трудности,
                                осторожность - чтобы самым тщательным
                                образом подготовиться к их встрече.
                                                           Р.Амундсен
                                                   (из Н.Н.Безрукова)
---[0. Введение]-------------------------------------------------------

    Почему 'взгляд  со стороны'?  Потому что Recoder надеялся увидеть в
ответ на статью "Вирусы...  Взгляд со стороны" аналогичную  статьи  про
антивирусы,  желательно  также  'со  стороны',  то  есть  без ссылок на
российский уголовный кодекс. Заранее, сорри за некоторый плагиат стиля.

---[1. Общие слова]----------------------------------------------------

    Многое из  нижеизложенного  является  исключительно  точкой  зрения
автора и может кардинальным образом расходится с целями и коммерческими
интересами крупнейших антивирусных компаний мира.

---[2. Что же нас имело в прошлом]-------------------------------------

    За последние лет 15 мы  все  были  свидетелями  ужасно  интересного
процесса  -  эволюции  антивирусных  средств  aka антивирусов.  Кстати,
правильнее  бы  наверное  назвать  это  революцией,  ибо  все  основные
признаки налицо. Как известно революция пожирает своих героев. Так вот,
один из археологических антивирусов  Antitime,  в  свое  время  изрядно
поборовшегося  с "Черной Пятницей" - Jerusalem.1808,  ныне обьявлен вне
закона и безжалостно стирается AVP,  именуясь при этом Trojan.Antitime.
Подобной  участи  не  избежал  и один из родоначальников отечественного
антивирусостроения - Anti-Kot.

    В последние годы был пройдет путь от простейших  фагов,  работавших
зачастую  по  текстовой сигнатуре,  до мощнейщих антивирусных пакетов с
десятками тысяч вирусов в базах,  эвристикой и автолечением.  На  смену
таким  динозаврам,  как Anti-Kot и -V,  пришли 32-х битные версии AVP и
DrWEB.

    Иногда я  думаю,  что  было  бы,  появись  в   конце   80-х   годов
эвристический   анализ   и   автолечение.   Но   и  история  не  терпит
сослагательного наклонения, а поэтому мы имеем ....

---[3. Что нас имеет в настоящем]---------------------------------------

    Сейчас мы наблюдаем примерно тот же процесс, что происходил на заре
антивирусоcтроения  десять  лет  назад.  Тогда,  перед  лицом вирусного
взрыва,  специалисты всего мира изобретали  методы  и  способы  борьбы.
Появилось  великое множество ревизоров,  фагов и мониторов.  Постепенно
некоторые ветви  стали  тупиковыми  и  зачахли.  Практически  полностью
исчезли  мониторы,  из  ревизоров  единственный уцелевший ADinf кое-как
защищал  свои  позиции.  Вся  власть  перешла   к   фагам,   оснащенным
эвристикой.  По  большому  счету  альтернативы  не  было.  Перед  валом
вирусной угрозы (300 новых вирусов каждый месяц) только  фаги  могли  с
большой  долей вероятности отразить атаку.  Ревизоры легко обходились и
впридачу не могли  вылечить  зараженный  компьютер.  Мониторы  ...  ох,
мониторы... Реагируя на любые действия операционной системы или файлов,
они без конца пугали пользователей своими подозрениями, что естественно
привело  к  падению интереса к ним.  Тем более,  что оперативная память
была маленькая,  что не давало возможности держать в  ней  антивирусные
базы.  Да и от новых вирусов они не спасали.  В итоге оставались только
фаги и чем больше вирусов было в их базах, тем лучше.

    Однако вскоре выяснилось,  что и фаги оказались тупиковым путем.  С
развитием   средств   коммуникации,  и  в  частности  Интернета,  стало
необходимым  в  большей  мере   предупреждать   появление   вирусов   в
компьютере,  чем  лечить  их в дальнейшем.  Это было вызвано появлением
таких вирусов,  как PM.Wanderer  и  первых  полиморфиков  в  Windows95.
Бороться  с  такими  вирусами,  уже  после  заражения,  было  бы весьма
проблематично.  Антивирусникам пришлось срочно менять идеологию  войны.
Вновь  были  обьявлены актуальными мониторы и ревизоры.  Только теперь,
усиленные   эвристикой   и   возможностями   современных   компьютеров,
антивирусы пошли на новый виток спирали своей эволюции.

    В настоящий  момент наиболее активно применяется следующая спарка -
антивирусфаг и антивирус-монитор.  Второй контролирует все входящие  на
компьютер  файлы  и  при  обнаружении вируса в действие вступает первый
компонент системы.  Такая схема обеспечивает довольной большой  уровень
защиты,  особенно в случаях с макровирусами в MS Office. Также контролю
подвергаются сообщения электронной  почты,  что  блокирует  размножение
вирусов по сети.

    С прогрессом   в  производстве  микрочипов  памяти  и  процессоров,
скорость  работы  сканеров-мониторов   увеличивается,   а   возможности
эвристического  анализа  растут  в  геометрической  прогрессии.  Именно
эвристика  сейчас  является  тем  фактором,  который  может  в  будущем
полностью свести на нет все новые вирусные атаки.

    Также наблюдается  рост  интереса к дисковым ревизорам,  оснащенным
функциями  автолечения.  Пока  разработки  в  этом  направлении  только
ведутся (для платформ Windows95/NT),  для MSDOS это уже освоенный этап.
Однако наибольшего прогресса  достигли  возможности  автолечения  новых
вирусов.  Если  недавно  такие функции были возможны только про простых
BOOT-вирусов и чуть позднее COM/EXE,  то  сейчас  намечается  прорыв  в
области автолечения макровирусов и полиморфиков.

    Стоит отметить  большую роль сетевых антивирусов.  Установленные на
серверах сканеры позволяют проверять все файлы и блокировать зараженные
терминалы.  Это  весьма  актуально  для  больших вычислительных систем,
например,  в университетах,  где вирусная угроза постоянна,  а контроль
ослаблен.

---[4. Что нас будет иметь в будущем]----------------------------------

    Наметившийся в  последние  месяцы путь обьединения сканеров-фагов с
мониторами и  новый  этап  в  жизни  ревизоров,  неминуемо  приведет  к
созданию   антивирусов   -   монстров.   Обьединяющие  в  одном  пакете
монитор,фаг и ревизор,  оснащенные новыми  технологиями  эвристического
анализа  и  громадными  базами  известных  вирусов,  такие антивирусные
продукты будут полностью доминировать на рынке.  Сильной и одновременно
самой  уязвимой  стороной  их,  будет  единое  ядро.  Монитор и ревизор
контролируют,  фаг лечит и все используют единый интерфейс, эвристику и
базы.  Возможно  появление самообучающихся антивирусов.  Используя базы
для  поиска  схожих  вирусов+эвристика+автолечение  антивирусы   станут
мощными  и  мало  уязвимыми программами.  Также вероятен обмен знаниями
между антивирусами, при помощи Интернета.

  Основными целями антивирусов будут:
1. Предупреждение попадания вируса в компьютер.
    2. Блокировка опасных функций системы при обнаружении  вируса,  для
предупреждения потери информации.
3. Тотальный контроль всех файлов на компьютере.
4. Постоянный обмен информацией с другими системами.

    Грядущая опасность  появления  вирусов-червей  приведет к появлению
нового  класса  антивирусов  -  сетевых  охотников.  Такие  антивирусы,
запущенные в Сеть,  будут обходить сервер за сервером в поисках вирусов
и  при  нахождении  подозрительных  файлов  уведомлять   администратора
сервера.  Разумеется,  сам  антивирус не будет путешествовать по сетям,
программа будет находиться на сервере антивирусной  компании  и  только
будет  сканировать  Сеть,  а  потом  проверять  переписанные  файлы.  В
настоящий момент нечто подобное работает на сервере ДиалогНауки, только
сейчас  пользователь  сам пересылает туда файлы для проверки.  Осталось
реализовать функцию ftpget и все ...

    Также постоянно  увеличивается   консолидация   между   крупнейшими
антивирусными  компаниями мира в области создания совместных продуктов.
Первый шаг в этом направлении сделали Лаборатория  Касперского  и  Data
Fellows,  выпустив единый антивирус F-Secure. Дальнейшие шаги неизбежно
приведут к унификации антивирусов и выработке единого стандарта  в этой
области.

    Дальнейшее развитие  линейки  продуктов  фирмы Microsoft приведет к
скорой смерти макровирусов.  Увеличении популярности формата NTFS лишит
возможности  существование  почти  всех вирусов для MS DOS.  Останутся,
пожалуй,только  полиморфики  в  Windows95/NT,  первые  шаги  в  истории
которых только сделаны.

---[5. Заключение]-----------------------------------------------------

    Именно сейчас наступил тот переходный момент,  после которого можно
будет сказать - останутся ли в нашей жизни компьютерные вирусы или нет.
Завершается  переход  от MS-DOS-вирусов к полностью Windows-совместимым
вирусам. Самое время нанести решающий удар и полностью закрыть все дыры
в существующих операционных системам или создать настолько совершенные,
упреждающие угрозу антивирусы, что все попытки создать и распространить
новый вирус, будут малочисленны и как следствие малопродуктивны.

=======================================================================
    ю 1998 (c) Admin * virus@komitex.ru * virus.komi.ru * ICQ# 6159800
-----------------------------------------------------------------------