Антивирусы... Взгляд со стороны. by Admin Предусмотрительность и осторожность одинаково важны: предусмотрительность - чтобы вовремя заметить трудности, осторожность - чтобы самым тщательным образом подготовиться к их встрече. Р.Амундсен (из Н.Н.Безрукова) ---[0. Введение]------------------------------------------------------- Почему 'взгляд со стороны'? Потому что Recoder надеялся увидеть в ответ на статью "Вирусы... Взгляд со стороны" аналогичную статьи про антивирусы, желательно также 'со стороны', то есть без ссылок на российский уголовный кодекс. Заранее, сорри за некоторый плагиат стиля. ---[1. Общие слова]---------------------------------------------------- Многое из нижеизложенного является исключительно точкой зрения автора и может кардинальным образом расходится с целями и коммерческими интересами крупнейших антивирусных компаний мира. ---[2. Что же нас имело в прошлом]------------------------------------- За последние лет 15 мы все были свидетелями ужасно интересного процесса - эволюции антивирусных средств aka антивирусов. Кстати, правильнее бы наверное назвать это революцией, ибо все основные признаки налицо. Как известно революция пожирает своих героев. Так вот, один из археологических антивирусов Antitime, в свое время изрядно поборовшегося с "Черной Пятницей" - Jerusalem.1808, ныне обьявлен вне закона и безжалостно стирается AVP, именуясь при этом Trojan.Antitime. Подобной участи не избежал и один из родоначальников отечественного антивирусостроения - Anti-Kot. В последние годы был пройдет путь от простейших фагов, работавших зачастую по текстовой сигнатуре, до мощнейщих антивирусных пакетов с десятками тысяч вирусов в базах, эвристикой и автолечением. На смену таким динозаврам, как Anti-Kot и -V, пришли 32-х битные версии AVP и DrWEB. Иногда я думаю, что было бы, появись в конце 80-х годов эвристический анализ и автолечение. Но и история не терпит сослагательного наклонения, а поэтому мы имеем .... ---[3. Что нас имеет в настоящем]--------------------------------------- Сейчас мы наблюдаем примерно тот же процесс, что происходил на заре антивирусоcтроения десять лет назад. Тогда, перед лицом вирусного взрыва, специалисты всего мира изобретали методы и способы борьбы. Появилось великое множество ревизоров, фагов и мониторов. Постепенно некоторые ветви стали тупиковыми и зачахли. Практически полностью исчезли мониторы, из ревизоров единственный уцелевший ADinf кое-как защищал свои позиции. Вся власть перешла к фагам, оснащенным эвристикой. По большому счету альтернативы не было. Перед валом вирусной угрозы (300 новых вирусов каждый месяц) только фаги могли с большой долей вероятности отразить атаку. Ревизоры легко обходились и впридачу не могли вылечить зараженный компьютер. Мониторы ... ох, мониторы... Реагируя на любые действия операционной системы или файлов, они без конца пугали пользователей своими подозрениями, что естественно привело к падению интереса к ним. Тем более, что оперативная память была маленькая, что не давало возможности держать в ней антивирусные базы. Да и от новых вирусов они не спасали. В итоге оставались только фаги и чем больше вирусов было в их базах, тем лучше. Однако вскоре выяснилось, что и фаги оказались тупиковым путем. С развитием средств коммуникации, и в частности Интернета, стало необходимым в большей мере предупреждать появление вирусов в компьютере, чем лечить их в дальнейшем. Это было вызвано появлением таких вирусов, как PM.Wanderer и первых полиморфиков в Windows95. Бороться с такими вирусами, уже после заражения, было бы весьма проблематично. Антивирусникам пришлось срочно менять идеологию войны. Вновь были обьявлены актуальными мониторы и ревизоры. Только теперь, усиленные эвристикой и возможностями современных компьютеров, антивирусы пошли на новый виток спирали своей эволюции. В настоящий момент наиболее активно применяется следующая спарка - антивирусфаг и антивирус-монитор. Второй контролирует все входящие на компьютер файлы и при обнаружении вируса в действие вступает первый компонент системы. Такая схема обеспечивает довольной большой уровень защиты, особенно в случаях с макровирусами в MS Office. Также контролю подвергаются сообщения электронной почты, что блокирует размножение вирусов по сети. С прогрессом в производстве микрочипов памяти и процессоров, скорость работы сканеров-мониторов увеличивается, а возможности эвристического анализа растут в геометрической прогрессии. Именно эвристика сейчас является тем фактором, который может в будущем полностью свести на нет все новые вирусные атаки. Также наблюдается рост интереса к дисковым ревизорам, оснащенным функциями автолечения. Пока разработки в этом направлении только ведутся (для платформ Windows95/NT), для MSDOS это уже освоенный этап. Однако наибольшего прогресса достигли возможности автолечения новых вирусов. Если недавно такие функции были возможны только про простых BOOT-вирусов и чуть позднее COM/EXE, то сейчас намечается прорыв в области автолечения макровирусов и полиморфиков. Стоит отметить большую роль сетевых антивирусов. Установленные на серверах сканеры позволяют проверять все файлы и блокировать зараженные терминалы. Это весьма актуально для больших вычислительных систем, например, в университетах, где вирусная угроза постоянна, а контроль ослаблен. ---[4. Что нас будет иметь в будущем]---------------------------------- Наметившийся в последние месяцы путь обьединения сканеров-фагов с мониторами и новый этап в жизни ревизоров, неминуемо приведет к созданию антивирусов - монстров. Обьединяющие в одном пакете монитор,фаг и ревизор, оснащенные новыми технологиями эвристического анализа и громадными базами известных вирусов, такие антивирусные продукты будут полностью доминировать на рынке. Сильной и одновременно самой уязвимой стороной их, будет единое ядро. Монитор и ревизор контролируют, фаг лечит и все используют единый интерфейс, эвристику и базы. Возможно появление самообучающихся антивирусов. Используя базы для поиска схожих вирусов+эвристика+автолечение антивирусы станут мощными и мало уязвимыми программами. Также вероятен обмен знаниями между антивирусами, при помощи Интернета. Основными целями антивирусов будут: 1. Предупреждение попадания вируса в компьютер. 2. Блокировка опасных функций системы при обнаружении вируса, для предупреждения потери информации. 3. Тотальный контроль всех файлов на компьютере. 4. Постоянный обмен информацией с другими системами. Грядущая опасность появления вирусов-червей приведет к появлению нового класса антивирусов - сетевых охотников. Такие антивирусы, запущенные в Сеть, будут обходить сервер за сервером в поисках вирусов и при нахождении подозрительных файлов уведомлять администратора сервера. Разумеется, сам антивирус не будет путешествовать по сетям, программа будет находиться на сервере антивирусной компании и только будет сканировать Сеть, а потом проверять переписанные файлы. В настоящий момент нечто подобное работает на сервере ДиалогНауки, только сейчас пользователь сам пересылает туда файлы для проверки. Осталось реализовать функцию ftpget и все ... Также постоянно увеличивается консолидация между крупнейшими антивирусными компаниями мира в области создания совместных продуктов. Первый шаг в этом направлении сделали Лаборатория Касперского и Data Fellows, выпустив единый антивирус F-Secure. Дальнейшие шаги неизбежно приведут к унификации антивирусов и выработке единого стандарта в этой области. Дальнейшее развитие линейки продуктов фирмы Microsoft приведет к скорой смерти макровирусов. Увеличении популярности формата NTFS лишит возможности существование почти всех вирусов для MS DOS. Останутся, пожалуй,только полиморфики в Windows95/NT, первые шаги в истории которых только сделаны. ---[5. Заключение]----------------------------------------------------- Именно сейчас наступил тот переходный момент, после которого можно будет сказать - останутся ли в нашей жизни компьютерные вирусы или нет. Завершается переход от MS-DOS-вирусов к полностью Windows-совместимым вирусам. Самое время нанести решающий удар и полностью закрыть все дыры в существующих операционных системам или создать настолько совершенные, упреждающие угрозу антивирусы, что все попытки создать и распространить новый вирус, будут малочисленны и как следствие малопродуктивны. ======================================================================= ю 1998 (c) Admin * virus@komitex.ru * virus.komi.ru * ICQ# 6159800 ----------------------------------------------------------------------- |