Особливості захисту інформації та боротьби з комп’ютерними вірусами

 

Форма № Н-6.01

Полтавський національний педагогічний університет імені  В.Г. Короленка

Кафедра математичного аналізу та інформатики

 

 

 

 

 

Курсова робота

з інформатики 
на тему: ” Особливості захисту інформації та боротьби з комп’ютерними вірусами” 

 

Студента(ки)   IV   курсу групи ____________

напряму підготовки ______________________

спеціальності ___________________________                             

_______________________________________

Керівник   кандидат педагогічних наук

 Кривцова Олена Павлівна                                                                             

Національна шкала _______________________

Кількість балів: ________ Оцінка: ECTS _____

 

 

 

 

 

 

Члени комісії ___________   ______________________

_{(підпис)   (прізвище та ініціали)}

___________   ______________________

_{(підпис)   (прізвище та ініціали)}

___________   ______________________

_{(підпис)   (прізвище та ініціали)}

 

 

 

м. Полтава – 2013 рік

 

 

 

Зміст

 

 

 

 

 

ВСТУП

Ми живемо на межі двох тисячоліть, коли людство  вступило в епоху нової науково-технічної  революції. До кінця двадцятого століття люди оволоділи багатьма таємницями перетворення речовини та енергії і  зуміли використати ці знання для покращення свого життя. Але крім речовини і енергії в житті людини величезну роль грає ще одна складова - інформація. Це найрізноманітніші відомості, повідомлення, звістки, знання, вміння. У середині нашого століття з'явилися спеціальні пристрої - комп'ютери, орієнтовані на збереження і перетворення інформації і сталася комп'ютерна революція. У зв'язку зі стрімким розвитком інформаційних технологій та їх проникненням у всі сфери людської діяльності зросла кількість злочинів, спрямованих проти інформаційної безпеки. Сьогодні масове застосування персональних комп'ютерів, на жаль, виявилося пов'язаним з появою самовідтворюються програм-вірусів, що перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і завдають шкоди зберiгається в комп'ютері інформації. Незважаючи на прийняті в багатьох країнах закони про боротьбу з комп'ютерними злочинами і розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно росте. Це вимагає від користувача персонального комп'ютера знань про природу вірусів, способи зараження вірусами і захисту від них. З кожним днем віруси стають все більш витонченими, що призводить до суттєвої зміни профілю загроз. Але і ринок антивірусного програмного забезпечення не стоїть на місці, пропонуючи безліч, здавалося б, ідентичних продуктів. Їх користувачі, представляючи проблему лише в загальних рисах, нерідко втрачають важливі нюанси і в результаті отримують ілюзію захисту замість самого захисту.

 

 

 

 

РОЗДІЛ І. ВІРУСИ ТА ЇХ ХАРАКТЕРИСТИКИ

1. Загальні поняття про комп'ютерні віруси

Із загальної  точки зору комп'ютерні віруси являють  собою програми, які мають здатність  до прихованого розмноження у  середовищі операційної системи  за допомогою включення у код, що виконується, (програми, компоненти операційної системи, пакетні файли, текст, що компілюється, тощо) своєї, можливо модифікованої копії, яка зберігає здатність до подальшого розмноження. Крім функції розмноження (зараження інших файлів) комп'ютерні віруси виконують, як правило, ті чи інші деструктивні дії, про які мова бути йти далі.

За способом зараження  більшість комп'ютерних вірусів  можна підрозділити на два класи: файлові та бутові віруси. Розглянемо коротко механізми їх дії.

Найпоширенішим засобом  зараження файлу вірусом є дописування його тіла у кінець файлу (див. рис. 1). При цьому, щоб при запуску зараженого файлу одразу одержати управління, вірус замість початку файлу, який приховує у своєму тілі, ставить команду переходу на себе. Після того, як вірус відпрацював, він передає управління файлу. В деяких випадках, якщо в силу тих чи інших причин початок файлу, що інфікується, не зберігається, або є ще якісь "помилки" у вірусі, файл буде зіпсований і його подальше лікування буде неможливим.

Останнім часом поширились віруси, що перезаписують початок файлу-жертви (File Overwriters), не змінюючи його довжину. Зрозуміло, що інфікована таким чином програма замість свого дійсного початку містить вірус і буде безповоротно зіпсована, залишаючись в змозі лише заражати інші програми. Як правило, вказані віруси під час своєї дії інфікують якомога більше файлів і, в залежності від різних умов, виконують ті чи інші додаткові руйнівні дії. Прикладами цих вірусів є: Abraxas-3, Banana, Burger, Bloodlust, Bk Monday, Cossiga, Clint, Druid та багато інших.

Зауважимо, що віруси можуть записувати своє тіло також у кінець або середину файлу. Останнім часом з'явились віруси, які впроваджують себе до файлу, що заражається окремими "плямами". При запису у середину файлу вірус інколи знаходить "порожні" місця і приміщує туди своє тіло, не змінюючи довжину жертви. У більшості випадків довжина інфікованого файлу збільшується на деяку величину, що, як правило, є постійною для вірусу, який заразив його. Ця величина зветься довжиною вірусу і вимірюється звичайно у байтах. У більшості випадків віруси пишуться на мові Асемблера, інколи на мовах високого рівня (Pascal, C тощо). У першому випадку довжина вірусів порівняно невелика (SillyCR.76 — мабуть, світовий рекордсмен малих резидентних вірусів, що зберігає працездатність інфікованої програми, має довжину у 76 байт), у другому — може бути у декілька десятків Кбайт (MiniMax — 31125 байт). Цікаво, що існують віруси (DICHOTOMY), які при зараженні записують частини свого тіла у два різних файли.

Рис. 1. Схема дії файлового  вірусу

Важливою характеристикою  вірусів є здатність багатьох з них залишатись у пам'яті  комп'ютера після запуску інфікованого файлу. Такі віруси називають резидентними. Зрозуміло, що резидентні віруси уражають файли набагато частіше ніж нерезидентні.

Бутові віруси заражають Boot-сектор вінчестера або дискет. Механізм зараження цими вірусами представлений  на рис. 2. Вірус записує початок свого тіла до Boot-сектора, а решту у вільні (інколи зайняті) кластери, помічаючи їх як погані. Туди ж вірус приміщує також і справжній запис Boot-сектора, щоб потім передати йому управління. За своєю природою бутові віруси завжди резидентні.

Рис. 2. Схема  дії бутового вірусу

Останнім часом  з'явились окремі віруси, які заражають  і Boot-сектори (або Master Boot записи) і файли. Такі віруси звуться файлово-бутовими (Multi-Partite Viruses). Прикладом таких, поки що дуже рідких вірусів, є вірус One_Half, що розглядається далі.

Крім того є  віруси, механізм зараження яких суттєво  відрізняється від розглянутих  вище механізмів. Першим таким вірусом  був вірус DIR. Цей вірус не заражував  виконувані файли, а лише змінював у  каталогах посилання на початок файлу-жертви, так щоб воно тепер вказувало на тіло вірусу, який містився в єдиному екземплярі на всьому диску. Таким чином при запусканні будь-якої зараженої програми вірус одержував управління першим, а після відпрацювання передавав управління запущеній програмі. Схема дії вірусу DIR приводиться на рис. 3.

Рис. 3. Схема  дії вірусу DIR

Сучасні віруси застосовують найрізноманітніші засоби, з метою утруднити роботу по їх виявленню, розшифруванню та знешкодженню.

В поліморфні віруси (Self-Encrypting Polymorphic Viruses) встроюються так  звані поліморфні генератори вірусних шифрувальників та розшифрувальників (MtE — MuTation Engine — механізми утворення поліморфних копій), які змінюють їх коди з часом.

Значна частина  сучасних вірусів використовує так  звану Stelh-технологію (за аналогією  із назвою відомого літака). Ці віруси-невидимки самоліквідуються при спробі дослідження їх за допомогою відповідних засобів (відлагоджувачі та трасувальники), видають інформацію, начебто уражений комп'ютер не має інфекції і т.п. Так, вже один із перших вірусів BRAIN при спробі проглядання зараженого Boot-сектора виводив не своє тіло, що знаходилось там, а справжній не інфікований запіис. Вірус DARK AVENGER "підправляв" дію команди DIR операційної системи так, щоб довжина зараженого ним файлу виводилась без урахування довжини вірусу, тобто справлялось враження, що файл не інфікований.

Віруси-супутники (Companion Viruses) замість зараження існуючого EXE-файлу, утворюють новий файл, який має теж саме ім'я, але інше розширення (COM). Сам вірус буде знаходитись у знов утвореному файлі. Напpиклад, для файлу EDIT.EXE буде утворений файл EDIT.COM і сам вірус буде знаходитись в останньому файлі. Пpи спробі запуску EXE-пpогpами з командного рядка, замість потрібної програми буде запущена знов утворена, з вірусом. Після її відпрацювання буде запущена потрібна програма (EXE).

На ранніх етапах розвитку віруси заражали лише виконувані файли типу COM та EXE. Зараз спектр файлів, що можуть зазнавати атаки з боку вірусів значно розширився. Відмітимо, що існують віруси, які можуть заражати файли в архівах (типу ARJ, ZIP тощо), файли-документи (типу DOC), що утворені відомим текстовим процесором WinWord (6 версія та вище) фірми MicroSoft.

Деякі віруси залишаються  у пам'яті ПК після теплого  перезавантаження (Ctrl+Alt+Del). Більше того, при спробі завантажити чисту  операційну систему з пристрою A: після холодного запуску, тобто після натискання кнопки Reset або вимкнення/увімкнення комп'ютера, ви можете несподівано виявити, що у його пам'яті вже знаходиться вірус. Саме такі можливості мають віруси EXEBUG та MAMMOTH, які відключають у CMOS'і наявність дисководу A:, що призводить до завантаження зараженої системи з диску C:. При цьому вірус імітує, начебто завантаження відбувається саме з гнучкого диска. Якщо ж на зараженій машині ви звернетесь до дисководу A:то він буде тимчасово включений. У порівнянні з такими монстрами змінювання системного часу в CMOS'і деякими вірусами виглядає як безневинна забава!

І останній приклад "швидкого реагування" вірусів  на нові досягнення комп'ютерної техніки. З'явився так званий Flash-BIOS, як вірус VLAD став записувати свій код до нього.

2. Ознаки появи вірусів

Для маскування вірусу його дії з зараженню інших програм, тож шкодять можуть виконуватися який завжди, а і під час будь-яких умов. Коли вірус виконає потрібні їй дії, він передає управління тієї програмі, де він перебуває, і його робота кілька днів не відрізняється з посадинезараженной. Усі дії вірусу можуть виконуватися досить швидко і видачі будь-яких повідомлень, тому користувач часто не помічає, що працює зі "химерностями". До ознаками появи вірусу можна віднести:

• уповільнення роботи комп'ютера;

• неможливість завантаження ОС;

• часті «зависання»  і збої у роботі комп'ютера;

• припинення роботи, чи неправильна робота раніше успішнофункционировавших програм;

• збільшення кількості  файлів на диску;

• зміна розмірів файлів;

• періодичне поява  на екрані монітора недоречних системних повідомлень;

• зменшення  обсягів вільної оперативної  пам'яті;

• помітне зростання  часу доступу жорсткого диску;

• зміна дати й створення файлів;

• руйнація файлової структури (зникнення файлів, спотворення каталогів та інших.);

• загоряння  сигнальній лампочки дисководу, коли щодо нього

немає звернення.

Слід зазначити, що ці симптоми необов'язково викликаються комп'ютерними вірусами, є підстави наслідком інших причин, тому комп'ютер слід періодично діагностувати [2;3].

3. Класифікація комп'ютерних вірусів

Як ми вже  казали, комп'ютерні віруси підрозділяються  на два основних класи: файлові та бутові. Розглянемо деякі з них  більш докладно.

Файлові віруси:

Вірус VIENNA (Відень) Інші назви вірусу: 648, Restart (перезавантаження), Time Bomb (часова бомба) та ін.

Один із перших найбільш примітивних вірусів. Знайдений  спочатку у Відні, потім заполонив  увесь світ. При завантаженні у  пам'ять комп'ютера проглядає  всі COM-програми у поточному каталозі та у доступних через PATH (шляхи  пошуку, що звичайно встановлені в AUTOEXEC.BAT). Первісний варіант цього вірусу збільшував довжину жертви на 648 байт. Першу знайдену ще не заражену програму або заражає, або, з ймовірністю 1/8 (в залежності від системного часу), псує таким чином, що вона при запуску призводить до перезавантаження системи. В останньому випадку в початок жертви записується код EAF0FF00F0, який на машинній мові означає теплий рестарт (еквівалентне до дії клавіш Ctrl+Alt+Del). Якщо зіпсована таким чином програма викликається з AUTOEXEC.BAT, процедура початкового завантаження операційної системи зациклюється. Як ознаку зараження, вірус ставить у часі створення жертви неіснуюче число секунд (62). Надалі з'явилось багато різновидів вірусу VIENNA (більше 20), що відрізняються від нього довжинами та шкідливими діями.

Вірус CASCADE (Каскад, водоспад)

Інші назви  вірусу: LetterFall (буквопад), Letter та ін.

Існує два варіанти вірусу за довжиною (1701 або 1704 байт). Заражає  тільки COM-програми, резидентний. Спричиняє  обсипання символів на екрані, що супроводжується характерним шелестінням. При цьому блокується можливість роботи з клавіатурою. Зберігає працездатність тільки на машинах типу PC XT/AT.

Вірус BLACK FRIDAY (Чорна п'ятниця)

Інші назви вірусу: Israeli Virus (ізраїльський вірус), Ierusalem (Єрусалим), Black Hole (чорна дірка) та ін.

Вірус одержав вказані  назви, оскільки вперше був виявлений  в ізраїльському університеті та із-за своїх характерних дій. Він  заражає EXE- та COM-файли, збільшуючи їх розміри  на 1813 байт, і залишається резидентним  у пам'яті ПК. При цьому зараження може відбуватися неодноразово, що приводить до неймовірного розростання заражених файлів. Інфікований даним вірусом ПК сповільнює свою роботу в декілька тисяч разів. При виведенні інформації на дисплей у нижньому лівому куті екрана з'являється чорний прямокутник. Нарешті, якщо час роботи приходиться на п'ятницю 13-го числа, то заражені файли знищуються.

Вірус DARK AVENGER (Чорний месник)

Інші назви вірусу: Eddie, Sofia.

Вірус одержав свої назви  по текстовому рядку "Eddie lives ... somewhere in time. This program was written in the sity of Sofia (C) Dark avenger", що міститься у його тілі. Вірус заражає EXE- та COM-файли, є резидентним, його довжина в байтах — 1800. Вірус дуже небезпечний, оскільки на інфікованому комп'ютері файли заражаються не тільки при виконанні, але і під час їх проглядання та копіювання. Він також знищує COM-файли. Періодично знищує інформацію в одному із секторів вінчестера.

Бутові віруси:

Вірус PING PONG (назва не потребує перекладу)

Інші назви вірусу: Italian Bouncing (італійський стрибунець), Ball (м'ячик).

Вірус заражає Boot-сектор дискет і записує своє тіло у вільні (інколи і у зайняті) кластери, помічаючи їх як погані (Bad). Як і всі бутові віруси є резидентним. На ПК, зараженому даним вірусом, час від часу з'являється ромбик (ASCII-код—4), який, переміщуючись по екрану, відбивається від його границь та рамок, утворених символами псевдографіки.

Вірус STONED (Закам'янілий)

Інша назва  вірусу: Marijuana (Маріхуана).

Зовнішнє проявлення — з ймовірністю 1/8 під час завантаження системи на екран видається текст "Your PC is now Stoned", після чого робота нормально продовжується. Цей вірус записується в абсолютний початковий сектор диска, який на вінчестерах містить PARTITIONTABLE. Інколи (наприклад, коли жорсткий диск розбитий на розділи за допомогою відомої системи ADM) це приводить до сумних наслідків, а саме, до втрати доступу до інформації, розташованої на диску. Для візуального розпізнання вірусу на диску може служити палкий заклик: "LEGALISE MARIJUANA!".

Зауважимо, що зараз  існує близько 90 штамів (різновидів) вірусу Stoned, і він досі залишається дуже поширеним.

Нарешті, для  любителів футболу наведемо останній приклад продукту, судячи по всьому, вітчизняного виробництва.

Вірус DINAMO (назва  не потребує перекладу)

Це бутовий  вірус, який при деяких обставинах видає  на екран вічну мрію київських  уболівальників: "Dinamo (Kiev) – champion!!!".

4. Найбільш поширені сучасні комп'ютерні віруси

Вже згадуваний антивірусний дослідний центр SARC фірми Symantec Corporation опублікував наприкінці список 10 найбільш поширених у всьому світі комп'ютерних вірусів. Деякі з них, розповсюджені, зокрема, і в нашій країні, розглянемо більш докладно.

Макро-віруси Word (Word Macro Viruses)

Макро-віруси, що діють у середовищі відомого та широко поширеного у всьому світі текстового процесора Word for Windows версії 6 та вище фірми MicroSoft, використовують макроси мови WordBasic для зараження утворюваних у цьому процесорі документів та шаблонів документів (MS Word documents and templates) — файлів з роширеннями DOC та DOT.

Ці віруси використовують декілька властивостей "оточення" MS Word, для автоматичного виконання інфікованого макро-коду. Зразу, коли інфікований документ відкривається і починає працювати вірус, то, як правило, вірус заражає шаблон документа користувача NORMAL.DOT. Цей шаблон є основою більшості інших документів та шаблонів і саме через нього макро-вірус заражає останні. У своїй роботі віруси використовують стандартні макроси мови WordBasic, такі як AutoOpen, FileSaveAs, AutoExec, System та інші.

На перший погляд здається, що макро-віруси не підкоряються старому правилу: "Віруси заражають  тільки виконувані програми" (зауважимо, що у Boot-секторі також знаходиться деякий код, що виконується під час завантаження системи). Але це не так. Документи, які готуються за допомогою текстового процесора MS Word, мають досить складну структуру, куди крім суто текстових фрагментів включаються малюнки, графіки тощо, а також макроси мови WordBasic. Саме останні компоненти під управлінням системи MS Word можуть використовуватися як компоненти вірусного коду.

Серед макро-вірусів  найбільш поширеними є: Anti-DMV (або MDMADMV), Atom, Boom, Colors (або RainBow), Concept, Concept.FR.B, DMV, FormatC (при деяких умовах форматує диск C:), Friendly, Hot (вперше з'явився в Росії), Imposter, Infezione, Irish, NOP, Nuclear (при друкуванні зараженого файлу-документа виводить повідомлення: "And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!"), Parasite, Polite, Wazzu, Xenixos.

AntiEXE

Інші назви вірусу: CMOS4, D3, NewBug, New Bug.

Це бутовий вірус, який заражає Boot-сектор гнучкого та Master Boot запис жорсткого дисків. Використовує Stealth-технологію. Як і всі бутові віруси, AntiEXE є резидентним. Шукає деякі EXE-файли та пошкоджує їх.

AntiCMOS

Інші назви вірусу: Lenart.

Це бутовий вірус, який заражає Boot-сектор гнучкого та Master Boot запис жорсткого дисків. Псує інформацію про конфігурацію комп'ютера, що записана в енергонезалежній пам'яті CMOS.

Штамами (різновидами) вказаного  вірусу є віруси AntiCMOS.A та AntiCMOS.B.

One_Half

Інші назви вірусу: Free Love, One_half, One Half.3544

One_Half — це файлово-бутовий, резидентний, поліморфний вірус, який використовує Stealth-технологію. Заражає COM- та EXE-файли, збільшуючи їх довжину на 3544 байт та Master Boot запис жорсткого диска.

Під час холодного перезавантаження системи з інфікованого жорсткого диска One_Half зашифровує два циліндра у кінці жорсткого диска. При кожному наступному перезавантаженні системи кількість зашифрованих циліндрів зростає. Поки вірус знаходиться у пам'яті, інформація, що міститься у цих циліндрах, доступна. Коли вірус зашифрує приблизно половину жорсткого диска, він виводить на екран повідомлення "Dis is one half. Press any key to continue...". Шифрування інформації, що проводить One_Half, значно ускладнює роботу антивірусних програм, яким треба не тільки вилікувати комп'ютер, але і відновити зашифровану інформацію.

One_Half не заражає деякі  антивірусні програми (SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV).

Tchechen

Ці віруси не входять до десятки найбільш поширених у  світі, але на території СНД, мабуть, стоять чи не найпершому місці.

Дуже небезпечні резидентні поліморфні віруси. При старті віруси зчитують 2-й сектор жорсткого диска  і записують у нього слово "МИР" та число 4, яке надалі буде лічильником  стартів інфікованих програм. Потім  намагаються знайти в ROM BIOS текстові рядки Megatrends, AWARD. Якщо цей пошук успішний, то віруси вимикають у CMOS-пам'яті опцію Virus Warning on Boot (контроль запису до Boot-сектору). При досягненні лічильника у 2-у секторі значення 0 віруси замінюють слово "МИР" на непотрібне слово із 3 літер та записують в MBR жорсткого диска "троянський" код. Цей код при завантаженні системи самостійно віддає управління активному Boot-сектору жорсткого диска, але приблизно через місяць після запису даного коду в MBR знищує вміст всього першого жорсткого диска. Після чого планувалося виведення на екран такого тексту (Tchechen.1914 містить помилку в даному виведенні): "POLITICAL PRO$TITUTE$ OF THE WORLD, (UN)ITE! IN REWARD FOR THE SCORCHED EARTH OF TCHECHNYA. ENJOYIN' WAR BY TV YOU'RE GLAD -YOUR ASS IS SO FAR FROM. WAIT, YOU'LL SEE THE REAL BLOOD SOON..RIGHT AT YOUR WINDOW AND YOU WORTH IT!!! The Tchechen, (C) RUSSIAN BEAR."

Tchechen.1914 непрацездатний на процесорі Pentium. [1],[3].

5. Засоби боротьби з комп'ютерними вірусами

Загальні рекомендації

Не можна  дати 100% гарантії від зараження вірусами комп'ютера, на якому ви працюєте. В  той же час виконання наступних  правил принаймні суттєво зменшить ймовірність тяжких наслідків.

Щоб не піддати  комп'ютер зараженню вірусами й забезпечити надійне зберігання інформації на дисках, необхідно дотримуватися таких правила:

- обладнати свій комп'ютер сучасними антивірусними програмами, наприклад NOD32, Doctor Web, Kaspersky Antivirus і постійно оновлювати їх версії;

- перед зчитуванням із дискових накопичувачів чи флеш-накопичувачів інформації, записаній на інших комп'ютерах, завжди перевіряти ці дискети на наявність вірусів, запускаючи антивірусні програми;

- при перенесення  на комп'ютер файлів в архівованому вигляді перевіряти їх відразу після розархівациії на жорсткому диску, обмежуючи область перевірки тільки наново записаними файлами;

- періодично  перевіряти на наявність вірусів  жорсткі диски комп'ютера, запускаючи антивірусні програми для тестування файлів, пам'яті й системних областей дисків із захищеної від записи дискети, попередньо завантаживши операційну систему із захищеної від запису системної дискети;

- завжди захищати дискети від запису під час роботи на інших комп'ютерах, якщо на них буде здійснювати запис інформації;

- обов'язково робити архівні копії на дискетах цінної інформації;

- не залишати  у кишені дисководу диски при вмиканні чи перезавантаженні ОС, щоб запобігти зараженню комп'ютера завантажувальними вірусами;

- використовувати антивірусні програми для вхідного контролю всіх виконуваних файлів, одержуваних із комп'ютерних мереж.

 

РОЗДІЛ ІI. АНТИВІРУСИ ТА ЇХНІ ВЛАСТИВОСТІ

Для виявлення та видалення комп'ютерних вірусів розроблено спеціальні програми, що дозволяють виявляти і знищувати віруси. Такі програми називаються антивірусними. Сучасні антивірусні програми є багатофункціональні продукти, поєднують у собі як превентивні, профілактичні так і засоби лікування вірусів і відновлення даних

2.1. Класифікація антивірусних програм

За своїм  призначенням вони поділяються на детектори, фаги, ревізори, фільтри та вакцини. Розглянемо їх характеристики більш докладно.

Програми-детектори здійснюють пошук характерної для конкретного вірусу сигнатури в оперативній пам'яті і зовнішніх носіях, і при виявленні видають відповідне повідомлення. Розрізняють детектори універсальні й спеціалізовані.

Універсальні  детектори у роботі використовують перевірку незмінності файлів шляхом підрахунку і перевірки еталоном контрольної суми. Недолік універсальних детекторів пов'язані з неможливістю визначення причин спотворення файлів.

Спеціалізовані  детектори виконують пошук відомих вірусів з їхньої сигнатури (повторюванні ділянки коду). Недолік таких детекторів у тому, що вони нездатні виявляти всі відомі віруси.

Детектор, який дозволяє виявити кілька вірусів, називають - полідетектором.

Недоліком таких  антивірусних програм є те, що можуть знаходити тільки ті віруси, які відомі розробникам таких програм.

Програми-доктори (фаги), як знаходять заражені вірусами файли, а й "лікують" їх, тобто. видаляють з файла тіло програми вірусу, повертаючи файли у початковий стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і лише після того переходять до "лікуванню" файлів. Серед фагів виділяють поліфаги, тобто програми-доктори, призначені для пошуку і знищення великої кількості вірусів. Найвідоміші з них: Kaspersky Antuvirus, Dr.Web.

З огляду на те, що постійно з'являються нові віруси, програми-детектори і програми-лікарі швидко застарівають, і їм потрібне регулярне оновлення їхніх версій.

Програми-ревізори належать до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують вихідний стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично чи за бажанням користувача порівнюють поточний стан із вихідним. Виявлені зміни виводяться на екран відеомонітора. Зазвичай, порівняння станів здійснюють відразу після завантаження ОС. При порівнянні перевіряються довжина файла, код циклічного контролю (контрольна сума файла), дата та час модифікації, інші параметри.

Програми-ревізори мають досить розвинені алгоритми, виявляють стелс-віруси і можуть навіть очистити версії перевірених програм від змін та змін, внесених вірусом. До програм-ревізорів належить програма Kaspersky Monitor

Програми-фільтри(сторожа) являють собою невеличкі резидентні програми, призначені для виявлення  підозрілих дій під час роботи комп'ютера, притаманним вірусам. Такими діями можуть бути:

· спроби корекції файлів з розширеннями СОМ і ЕХЕ;

· зміна атрибутів  файлів;

· прямий запис на диск з абсолютно. адресою;

· запис у завантажувальні сектора диска.

· завантаження резидентної програми.

При спробі будь-якої програми зробити зазначені дії "сторож" посилає користувачеві  повідомлення пропонує заборонити чи дозволити відповідну дію. Програми-фільтри дуже потрібні, оскільки здатні знайти вірус в самій ранній стадії його існування, до розмноження. Але вони не "лікують" файли і диски. Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До вад програм-"сторожей" можна віднести їх "настирливість" (наприклад, вони постійно видають попередження при будь-якій спробі копіювання виконуваного файла), і навіть можливі конфлікти з іншим програмним забезпеченням.

Вакцини (імунізатори) – це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-доктора. Вакцинація можлива тільки для відомих вірусів. Вакцина модифікує програму чи диск в такий спосіб, щоб це не відбивалося на їхній роботі, а вірус сприйматиме їх зараженими і тому не вселиться. Нині програми-вакцини мають обмеження в застосуванні.

Суттєвим недоліком таких програм є часте обмеженння їхнього спроби із запобіганню зараження від значної частини різноманітних вірусів.

2.2. Методики антивірусних програм

Є кілька основних методів пошуку вірусів, що застосовуються антивірусними програмами:

· Сканування

· Эвристичний аналіз

· Виявлення  змін

· Резидентні монітори

Антивірусні програми можуть реалізовувати усі ці вище зазначені вимоги методики, або тільки окремі.

Сканування

Сканування  є найбільш традиційним методом  пошуку вірусів. Воно залежить від пошуку сигнатур, виділених раніше виявлених вірусів. Антивірусні програми-сканери, здатні видалити виявлені віруси, зазвичай їх називаються поліфагами.

Недоліком простих сканерів є часткова їхня нездатність знайти поліморфні віруси, що повністю змінюють свій код. І тому необхідно використовувати складніші алгоритми пошуку, які включають евристичний аналіз перевірених програм.

З іншого боку, сканери можуть побачити вже відомі й попередньо вивчені віруси, котрим було визначено сигнатура. Тому программи-сканери не захистять ваш комп'ютер від проникнення нових вірусів, яких, до речі, з'являється кілька штук щодня. Як наслідок, сканери застарівають вже у час виходу нової версії.