Дайте понятие эвристического анализа. Поясните методы устранения вредоносного кода. Фаерволы

Эвристический анализ (эвристическое сканирование) — это совокупность функций антивируса, нацеленных на обнаружение неизвестных вирусным базам вредоносных программ, но в то же время этот же термин обозначает один из конкретных способов.

Практически все современные антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко используется совместно с сигнатурным сканированием для поиска сложных шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет обнаруживать ранее неизвестные инфекции, однако, лечение в таких случаях практически всегда оказывается невозможным. В таком случае, как правило, требуется дополнительное обновление антивирусных баз для получения последних сигнатур и алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ.

Методы эвристического сканирования не обеспечивают какой-либо гарантированной защиты от новых, отсутствующих в сигнатурном наборе компьютерных вирусов, что обусловлено использованием в качестве объекта анализа сигнатур ранее известных вирусов, а в качестве правил эвристической верификации — знаний о механизме полиморфизма сигнатур. В то же время, поскольку этот метод поиска базируется на эмпирических предположениях, полностью исключить ложные срабатывания нельзя.

В процессе эвристического анализа производится проверка эмулируемой программы анализатором кода. К примеру, программа инфицирована полиморфным вирусом, состоящим из зашифрованного тела и расшифровщика. Эмулятор кода считывает инструкции в буфер антивируса, разбирает их на инструкции и производит их исполнение по одной инструкции, после этого анализатор кода подсчитывает контрольную сумму и сверяет её с той, которая хранится в базе. Эмуляция будет продолжаться до тех пор, пока необходимая для подсчета контрольной суммы часть вируса не будет расшифрована. Если сигнатура совпала — программа определена.

Недостатки эвристического сканирования:

· Чрезмерная подозрительность эвристического анализатора может вызывать ложные срабатывания при наличии в программе фрагментов кода, выполняющего действия и/или последовательности, в том числе и свойственные некоторым вирусам.

· Наличие простых методик обмана эвристического анализатора.

· Даже при успешном определении, лечение неизвестного вируса практически всегда является невозможным.

Фаервол – разновидность межсетевого экрана.

Принцип работы

В переводе с английского слово означает горящую стену. Однако пользователи называют ее просто стеной или брандмауэром. Firewall нужен для того, чтобы обеспечивать некоторую преграду между сетью и компьютером. То есть он служит фильтром. Принцип работы заключается в том, что программа отслеживает соединения персонального компьютера, после чего анализирует их и принимает решение относительно того, разрешить данное соединение или нет.

Говоря простым языком, данная программа пропускает то, что разрешил сам пользователь, при этом, не пропуская больше ничего. Однако полную безопасность программа обеспечить не может, ведь никто не может дать 100% гарантии. Тем не менее, для тех, кто хочет взломать компьютер, стена служит немалой преградой.

Настройка firewall

Для того чтобы компьютер пользователя максимально был защищен, необходимо провести настройку. Основные рекомендации по настройкам заключаются в том, чтобы разрешить подключение только тех программам, которые действительно нуждаются в подключении.

При этом нужно сделать так, чтобы программа имела доступ только к тем портам, по которым она работает, не более. Это кажется сложным, но в современных брандмауэрах есть помощники настройки, которые максимально упрощают процесс, подсказывая пользователю.

Кроме того, нужно внимательно относиться к программе и всегда читать сервисные сообщения, которые появляются во время работы. В них часто содержатся различного рода предупреждения по работе компьютера и его соединениям.

Виды файерволов

Рассматривая дальше, что же такое firewall следует упомянуть, что существует два основных вида стен. Это персональные стены и корпоративные стены. Персональная стена является программой, установленной на обычном пользовательском компьютере. Что касается корпоративного файервола, то он устанавливается на шлюз между локальной сетью и сетью Интернет.

Персональный файервол

Если у человека имеется персональный файервол, то в нем имеется встроенный режим обучения. С его помощью проще разобраться в том, как работает программа и что допустить к соединению, а что запретить.

Если одна из программ, которая установлена на компьютере, не имеет правил подходящих для файервола, то появится сообщение, чтобы пользователь самостоятельно смог решить: давать разрешение на соединение или запретить. Персональных файерволлов на сегодняшний день очень много и среди них легко подобрать подходящий. Вне зависимости от вида, по функциям они практически не отличаются друг от друга.

Поиск по сайту: