Контроль целостности при защите от вирусов

Share

|

Когда защиты от вирусов, мы имеем дело с существами, что изменить их программы пребывания в их распространения. Таким образом, один из способов обнаружить присутствие вируса заключается в том, чтобы открыть файлы, которые были неожиданно изменены. Целостность процесса контроля направлена на достижение этой цели, выполнив следующие действия:

1. Несмотря на то, что машина находится в первозданном состоянии, вычислить отпечатки пальцев (в виде контрольные или криптографические хэши) файлов, которые необходимо контролировать, и записи их в исходных данных.

2. Когда сканирование файловой системы подозрительные изменения, вычислить отпечатки пальцев мониторинг файлов и сравнить эти значения в исходные.

3. Если необъяснимые различия между нынешнего состояния и исходных обнаруживается, вопрос оповещение.

Есть несколько коммерческих и свободных приложений, которые посвящены реализации таких процедур контроля целостности. Наиболее известные из этих инструментов, вероятно, Tripwire (доступен на www.tripwire.com), которая была способной обнаруживать несанкционированные изменения в файловой системе, поскольку он был впервые опубликован в 1992. Tripwire и другие программы этого типа не вирус шашки себе - такие программы нацелены на оповещения администраторов о подозрительных изменениях в государственной машины, независимо от того, нападение было выполнено вредоносной программы или был казнен через другие каналы. .

Целостность подходов проверки могут также использоваться антивирусное программное обеспечение, хотя продавцы редко предстоящей о степени, в которой они осуществляют такие механизмы. Sophos AntiVirus известен использовать контрольные, чтобы помочь определить, является ли файл, необходимо более тщательно изучить с помощью других методов обнаружения. При сканировании файла, Sophos AntiVirus вычисляет файла контрольную и сравнивает его с значением, рассчитанным ранее. Если контрольные не совпадают, то существует вероятность, что файл был инфицирован ВИЧ, и антивирусной программы, возможно, необходимо изучить его более тщательно.

В антивирусной продукции пытаются максимально использовать методы проверки целостности может быть избирательным о части файла, которые являются для снятия отпечатков пальцев исходных сопоставлений. Например, он может быть ничего за содержание в Microsoft Word документ изменения, когда пользователь редактирует текст; Однако это гораздо менее общим для макросов, встроенный в документ может быть изменен. Поэтому антивирусное программное обеспечение может быть более подозрительных изменений, обнаруженных в макросы раздела документа.

Основные ограничения целостности метод проверки является то, что он определяет лишь после инфицирования она происходит. Однако, он является полезным дополнением к этому набору в составе подходов, которые выглядят для подписей известных образцов вредоносного ПО, и те, которые используют heuristics обнаруживать вредоносные коды. К сожалению, даже антивирусное программное обеспечение, которое реализует каждый из этих обнаружения