Úvodná stránka > Malvér (pojmy, detekovanie, prevencia...) > Detekovanie a prevencia (antivírusové programy)

Detekovanie a prevencia (antivírusové programy)

Softvérová ochrana je realizovaná antivírovými programami. Služby, ktoré antivírové programy poskytujú možno rozdeliť do troch skupín:

Konkrétne antivírové techniky
Všeobecná antivírové techniky
Bezpečnostná ochrana

Konkrétne antivírové techniky vyhľadávajú iba známe vírusy podľa vírusovej databázy, ktorú je nutné aktualizovať. Väčšinu takto nájdených vírusov je možné zo súborov alebo z boot sektorov tiež odstrániť, a to buď s použitím informácií o víruse, ktorý príslušný súbor infikoval, alebo s použitím pôvodných informácií o súbore, ktoré popisujú, ako vyzeral pred infekciou. Najväčšou výhodou tejto metódy je jej rýchlosť, táto metóda sa teda používa pre pravidelné kontrolovanie pevného disku. Známe vírusy je tiež možné vyhľadávať v každom spúšťanom, kopírovanom, otváranom súboru av zavádzacích sektoroch všetkých diskiet, ktoré do počítača vkladáme. K tomu je určený rezidentný ovládač, ktorý možno zavádzať vždy po spustení počítača. Tento ovládač sa zavádza v config.sys a je teda v pamäti ešte skôr, než sa načíta command.com (čo je obvyklá základňa väčšiny vírusov). Samozrejme nechýba možnosť prehľadať pamäť? na prítomnosť rezidentných vírusov.

Všeobecné antivírové techniky sa snažia nájsť a pokiaľ je to možné i odstrániť neznámy vírus. Prvou metódou, ako nájsť neznámy vírus je tzv porovnávací test. Pri prvom spustení tohto testu si program zapíše dôležité informácie o súboroch (veľkosť, dátum, čas, atribúty a kontrolné súčty). Pri ďalších spusteniach porovnáva tieto informácie s aktuálnym stavom. Pokiaľ v týchto údajoch došlo k zmene väčšieho rozsahu, je pravdepodobné, že počítač bol napadnutý vírusom. Antivírusový program AVG obsahuje i heuristickú analýzu. Heuristická analýza je všeobecne fungujúca metóda, nie je teda závislá na vírusovej databáze. Automaticky sa pri tejto metóde robí test i na známe vírusy. Pokiaľ je teda súbor označený za napadnutý, prehľadáva sa v databáze vírusov a meno vírusu je vypísané, v opačnom prípade je vírus označený ako neznámy. Program obsahuje tzv plnú heuristickú analýzu (heuristická analýza s emuláciou kódu), kedy sa antivírový program priamo pokúša emulovať činnosť počítača pri spustení programu. Nevýhoda metódy je v tom, že často dochádza k falošným poplachom, kedy niektoré súbory sú označované ako napadnuté. Avšak vzhľadom k zväčšovaniu počtu stále zložitejších vírusov, bude v budúcnosti táto metóda najčastejšie používaná.

Test prostredia na súborové vírusy (bezpečnostná ochrana) spočíva v tom, že program vygeneruje na disk súbory typu .com a .exe, potom ich kopíruje a prevádza s nimi rôzne operácie, pričom vždy kontroluje ich obsah. Ak sa pri manipulácii s nimi zmení ich obsah, je veľmi pravdepodobné, že sa na návnadu práve chytil vírus. Obdobne je program schopný vygenerovať na disketu prázdny zavádzací sektor a potom kontrolovať, ak bol nejako zmenený. Preventívne antivírové techniky sa odporučí využívať pokiaľ možno ešte predtým, než sa vírus v počítači usídli. Spočívajú v zálohovaní niektorých dôležitých informáciách o počítači, podľa ktorých bude v prípade potreby možné obnoviť pôvodný stav. Pomocou programu si môžeme uložiť obsah pamäti CMOS, tabuľku rozdelenia pevného disku apod Po napadnutí počítača možno tieto informácie spätne obnoviť.