Qum qutisini aniqlash
- Agar dastur shubhali bo'lsa, ba'zi antivirus dasturlari,
shuningdek, dasturning ishlashi va ishlashini tahlil qilish uchun taqlid muhitini
yaratadigan qum qutisini aniqlashdan foydalanishi mumkin. Emulyatsiya qilingan
muhitda ijro etilganda, agar dastur buzg'unchi yoki g'ayritabiiy xatti-harakatlar qilsa,
antivirus uni ishlatishdan oldin foydalanuvchini ogohlantiradi.
Bulutli antivirusni aniqlash
- Bulutli antivirusni aniqlashda ma'lumot
to'playdigan komp’yuter dasturi ishlatiladi, so'ngra server bulutda yuklaydi va qayta
ishlaydi. Serverda barcha aniqlashlarni ishga tushirish orqali komp’yuteringiz
qo'shimcha ishlov berishdan saqlanib qoladi. Bulutli antivirus Internetga ulanishni
talab qiladi.
Tizimni to'liq skanerlash
Va nihoyat, tizimni to'liq skanerlash yoki alohida fayllarni skanerlash - bu
barcha komp’yuter fayllarini skanerlash uchun foydalanuvchi tomonidan amalga
oshiriladigan qo'l harakati. Ushbu turdagi skanerlashni boshlash uchun antivirus
dasturi ochilinadi va tizimni to'liq ko'rish parametrini tanlaniladi yoki faylni o'ng
tugmasini bosib va uni skanerlash variantini tanlaniladi.
Agar komp’yuterda antivirus dasturi ishlayotgan bo'lsa va o'zgarishlarni faol
ravishda kuzatib boradigan bo'lsa, to'liq skanerlash kerak emas. Ammo, agar
komp’yuter shubhali ishlayotgan bo'lsa yoki yangi antivirus brauzeri o'rnatilgan
bo'lsa, to'liq skanerdan o'tkazish yomon emas. Shuni yodda tutish kerakki, deyarli
barcha fayllar tizimni to'liq skanerlash paytida ko'rib chiqiladi, shuning uchun uni
bajarish ancha vaqt talab qilishi mumkin.
Antivirus dasturi (antivirus, antivirusdan himoya qilish vositasi , zararli
dasturiy ta'minotni aniqlash vositasi ) - bu komp’yuter viruslarini, shuningdek,
kiruvchi (zararli deb hisoblangan) dasturlarni aniqlash va shu kabi dasturlar
tomonidan zararlangan (o'zgartirilgan) fayllarni tiklash va oldini olish bo'yicha
ixtisoslashgan dastur - zararli kod bilan fayllar yoki operatsion tizimning yuqishini
(modifikatsiyasini) oldini olish.
Dasturlarning bajarilish vaqtidagi xatti-harakatlarini kuzatishga asoslangan
usullar. Ushbu usullar tizim xavfsizligiga tahdid soladigan va sinovdan o'tgan
43
kodning haqiqiy bajarilishi paytida yoki uning dasturiy ta'minotini emulyatsiyasi
paytida yuzaga keladigan barcha voqealarni ro'yxatdan o'tkazishdan iborat.
Fayllar va dasturlar bilan ishlash tartibini tartibga solish usullari. Ushbu
usullar ma'muriy xavfsizlik choralari sifatida tasniflanadi.
Imzolarni skanerlash usuli (imzolarni tahlil qilish, imzo usuli ) fayllarni noyob
baytlar ketma-ketligini izlashga asoslangan ma'lum bir virusga xos imzo. Har bir
yangi aniqlangan virus uchun antivirus laboratoriyasi mutaxassislari kod tahlilini
o'tkazadilar, shu asosda uning imzosi aniqlanadi. Olingan kod fragmenti virusga
qarshi dastur ishlaydigan maxsus virus imzosi ma'lumotlar bazasiga joylashtirilgan.
Ushbu usulning afzalligi bu noto'g'ri foizlarning nisbatan past foizidir va asosiy
kamchilik bu tizimda yangi virusni aniqlashning imkonsizligi, buning uchun
antivirus dasturining ma'lumotlar bazasida imzo yo'q, shuning uchun o'z vaqtida
yangilanish imzolar bazasi talab qilinadi .
Butunlikni boshqarish usuli diskdagi ma'lumotlarning har qanday kutilmagan
va asossiz o'zgarishi shubhali hodisa bo'lib, antivirus tizimining alohida e'tiborini
talab qiladi. Virus har doim o'z mavjudligini tasdiqlaydigan dalillarni qoldiradi
(mavjud (ayniqsa tizim yoki bajariladigan) ma'lumotlarning o'zgarishi, yangi
bajariladigan fayllarning paydo bo'lishi va boshqalar). Ma'lumotlarni o'zgartirish
haqiqati - yaxlitlikni buzish - sinovdan o'tgan kodning dastlabki holati uchun
oldindan hisoblab chiqilgan chegara summasi (hazm qilish) va tekshirilayotgan
kodning joriy holatining chegara summasi (hazm) solishtirish orqali osongina
o'rnatiladi. Agar ular mos kelmasa, unda yaxlitlik buziladi va ushbu kod uchun
qo'shimcha tekshiruvlarni o'tkazish uchun barcha sabablar mavjud, masalan, virus
imzolarini skanerlash orqali. Ushbu usul imzolarni skanerlash usulidan tezroq
ishlaydi, chunki summani hisoblash kodlar fragmentlarini baytlar bilan taqqoslash
ishiga qaraganda kamroq hisoblashni talab qiladi, shuningdek, imzolar mavjud
bo'lmagan har qanday, shu jumladan noma'lum viruslar faoliyatining izlarini
aniqlashga imkon beradi.
Shubhali buyruqlarni skanerlash usuli (evristik skanerlash, evristik usul [1])
skaner qilingan faylda bir qator shubhali buyruqlar va (yoki) shubhali kodlar ketma-
44
ketlik belgilarini aniqlashga asoslangan (masalan, qattiq diskni formatlash buyrug'i
yoki ishlaydigan jarayonga yoki bajariladigan kodga kiritish funktsiyasi). Shundan
so'ng, faylning zararli xususiyati to'g'risida taxmin qilinadi va uni tekshirish uchun
qo'shimcha harakatlar amalga oshiriladi. Ushbu usul yaxshi ishlashga ega, ammo
ko'pincha yangi viruslarni aniqlay olmaydi .
Dastur xatti-harakatlarini kuzatish usuli avval aytib o'tilgan fayl tarkibini
skanerlash usullaridan tubdan farq qiladi. Ushbu usul ishlayotgan dasturlarning
xatti-harakatlarini tahlil qilishga asoslangan bo'lib, jinoyat sodir etilgan joyda
jinoyatchini "qo'lidan" ushlash bilan taqqoslanadi. Ushbu turdagi antivirus vositalari
ko'pincha tizimning ko'plab ogohlantirishlariga javoban qaror qabul qilish uchun
foydalanuvchining faol ishtirokini talab qiladi, ularning muhim qismi keyinchalik
yolg'on signallarga aylanishi mumkin. Soxta signallarning chastotasi (zararsiz fayl
uchun virusga shubha qilish yoki zararli faylni yo'qotib qo'yish) ma'lum bir
chegaradan oshib ketganda, bu usul samarasiz bo'lib qoladi va foydalanuvchi
ogohlantirishlarga javob berishni to'xtatishi yoki optimistik strategiyani tanlashi
mumkin (barcha harakatlarga imkon bering barcha ishlaydigan dasturlar tomonidan
amalga oshiriladi yoki antivirus vositasining ushbu funktsiyasini o'chirib qo'ying).
Dasturlarning
xatti-harakatlarini
tahlil
qiladigan
antivirus
tizimlaridan
foydalanganda har doim virus kodining himoyalangan komp’yuter yoki tarmoqqa
zarar etkazadigan buyruqlarini bajarish xavfi mavjud. Ushbu kamchilikni bartaraf
etish uchun keyinchalik emulyatsiya (taqlid) usuli ishlab chiqildi, bu sinov
jarayonida dasturni axborot muhitiga zarar etkazish xavfi bo'lmagan holda,
ko'pincha "qum qutisi" deb nomlanadigan sun'iy ravishda yaratilgan (virtual)
muhitda ishlashga imkon beradi. Dasturlarning xatti-harakatlarini tahlil qilish
usullaridan foydalanish ularning ma'lum va noma'lum zararli dasturlarni aniqlashda
yuqori samaradorligini ko'rsatdi
Antivirus tasnifi:
Antivirus dasturlari bajarilish (blokirovka qilish vositalari) bo'yicha
quyidagilarga bo'linadi;
45
dasturiy ta'minot;
dasturiy ta'minot va apparat vositalari;
RAMga joylashtirish asosida quyidagilar ajratiladi;
rezident (ular o'z ishlarini operatsion tizim ishga tushganda
boshlashadi, ular doimo komp’yuter xotirasida va fayllarni avtomatik ravishda
skanerlashda)
norezident (foydalanuvchining iltimosiga binoan yoki ular uchun
belgilangan jadvalga muvofiq ishga tushiriladi).
Viruslardan himoya qilish turi (usuli) bo'yicha quyidagilar ajratiladi:
Detektsiya dasturlari yoki brauzerlar operativ xotirada, ichki va (yoki)
tashqi muhitda viruslarni topib, virus aniqlanganda xabarni aks ettiradi;
Doktor dasturlari (fajlar , polifaglar ) virusli fayllarni topadi va ularni
"davolaydi". Ushbu turdagi dasturlar orasida har xil turdagi viruslarni yo'q qilishga
qodir bo'lgan polifaglar mavjud bo'lib, ularning eng mashxurlari polifag antiviruslari
Norton AntiVirus, Doctor Web, Kaspersky Antivirus;
Emlash dasturlari (immunizatorlar ) viruslar ta'sirini blokirovka qilish
orqali tizimni (fayllar, kataloglar) immunizatsiya qiladi;
Auditor dasturlari viruslardan himoya qilish bo'yicha eng ishonchli
hisoblanadi. Tekshiruvchilar komp’yuterga virus yuqguncha dasturlarning,
kataloglarning va diskning tizim maydonlarining boshlang'ich holatini eslaydilar
(odatda nazorat summasini hisoblash asosida ), so'ngra topilgan o'zgarishlarni aks
ettirib, hozirgi holatni boshlang'ich bilan solishtiriladi;
Monitor dasturlari operatsion tizim ishga tushganda, komp’yuter
xotirasida joylashganida va avtomatik ravishda "bu erda va hozirda" printsipi
bo'yicha fayllarni tekshirganda o'z ishini boshlaydi.
| 