5
5
mumkin. Virusdan zaharlanish xavfini yo‘qotish uchun korporativ tarmoqning
tizim ma’muri, nafaqat virusga qarshi usullardan foydalanishi, balki kompyuter
viruslari dunyosini doimo kuzatib borishi shart.
Zararli dasturiy vositalarni aniqlash
. Zararli dasturiy vositalarni aniqlashda
asosan uchta yondashuvdan foydalaniladi. Birinchisi va eng keng tarqalgani
signaturaga asoslangan aniqlash bo‘lib, zararli dasturdagi shablon yoki signaturani
topishga asoslanadi. Ikkinchi yondashuv o‘zgarishlarni aniqlashga asoslangan
bo‘lib, o‘zgarishga uchragan fayllarni aniqlaydi. O‘zgarishi kutilmagan fayl
o‘zgarganida zararlangan deb topiladi. Uchinchi yondashuv anomaliyaga
asoslangan, noodatiy yoki virusga o‘xshash fayllarni va holatlarni aniqlashga
asoslanadi.
Signaturaga asoslangan aniqlash
.
Signatura bu
– faylda topilgan bitlar
qatori bo‘lib, maxsus belgilarni o‘z ichiga oladi. Bu o‘rinda ularning xesh
qiymatlari ham signatura sifatida xizmat qilishi mumkin.
Signaturaga asoslangan aniqlash usuli virus aniq bo‘lganida va umumiy
bo‘lgan signaturalar ajratilgan holatda juda yuqori samaradorlikka ega. Bundan
tashqari, ushbu usulga binoan foydalanuvchi va ma’murga minimal yuklama
yuklanadi va ularga faqat signaturalarni saqlash va uzluksiz yangilash vazifasi
qo‘yiladi.
Hozirgi kunda signaturaga asoslangan tanib olish usuli zamonaviy antivirus
yoki zararli dasturlarga qarshi himoya vositalarida keng qo‘llaniladi.
O‘zgarishlarni aniqlovchi usul
. Zararli dasturlar ma’lum manzilda
joylashganligi sababli, tizimdagi biror joyda o‘zgarish aniqlansa, zararlangan
joyini ko‘rsatish mumkin. Ya’ni, agar o‘zgarishga uchragan fayl aniqlansa, u virus
orqali zararlangan bo‘lishi mumkin.
O‘zgarishlarni qanday aniqlash mumkin? Ushbu muammoni yechishda xesh-
funksiyalar mos keladi. Faraz qilaylik, tizimdagi barcha fayllar xeshlanib, xesh
qiymatlari xavfsiz manzilda saqlangan bo‘lsin. U holda vaqti-vaqti bilan ushbu
faylning xesh qiymatlari qaytadan hisoblanadi va dastlabkilari bilan taqqoslanadi.
Agar faylning bir yoki bir nechta bitlari o‘zgarishga uchragan bo‘lsa, xesh
5
qiymatlar bir biriga mos kelmaydi va fayl virus tomonidan zararlangan
hisoblanadi.
Ushbu usulning afzalliklaridan biri shuki, agar fayl zararlangan bo‘lsa, uni
to‘liq aniqlash mumkin. Bundan tashqari, oldin noma’lum bo‘lgan zararli dasturni
ham aniqlash mumkin.
Biroq, ushbu usul kamchiliklarga ham ega. Tizimdagi fayllar odatda tez-tez
o‘zgarib turadi va natijada yolg‘ondan zararlangan deb topilgan holatlar soni
ortadi. Agar virus tizimdagi tez-tez o‘zgaruvchi fayl ichiga joylashtirilgan bo‘lsa,
ushbu usulni osonlik bilan aylanib o‘tish mumkin. Bu holda ushbu fayldagi
o‘zgarishni log fayl orqali aniqlash ko‘p vaqt talab qiladi va bu signaturaga
asoslangan usuldagi kabi muammolarga olib keladi.
Anomaliyaga asoslangan aniqlash. Anomaliyaga asoslangan usul noodatiy
yoki virusga o‘xshash yoki bo‘lishi mumkin bo‘lgan zararli harakatlarni yoki
xususiyatlarni topishni maqsad qiladi.
Ushbu g‘oya IDS tizimlarida ham foydalaniladi. Ushbu usulning
fundamental muammosi - qaysi holatni normal va qaysi holatni normal bo‘lmagan
deb topish hamda ushbu ikki holat orasidagi farqni aniqlash hisoblanadi. Bundan
tashqari, normal holatning o‘zgarishi va tizimning bu holatga moslashish
muammosi ham mavjud. Bu esa ko‘plab noto‘g‘ri signallarni paydo bo‘lishiga
sabab bo‘ladi. Ushbu usulning afzalligi sifatida oldin noma’lum bo‘lgan zararli
dasturlarni aniqlash imkonini ko‘rsatish mumkin.
Antivirus dasturiy vositalarining kamchiligi. Antivirus dasturiy vositasiga
kompyuterni himoyalashda amalga oshirilish lozim bo‘lgan zaruriy shart sifatida
qaraladi. Umuman olganda, antivirus kompyuter uchun zararli dasturlarni
skanerlashni, himoyalashni, karantin holatiga tushirishni va boshqa amallarni
bajaradi. Antivirus dasturiy vositalarini CD-disklardan va Internet tarmog‘idan
foydalangan holda o‘rnatish mumkin. Antivirus dasturiy vositalari bir biridan
ko‘plab o‘ziga xos xususiyatlari bilan ajralib turadi. Masalan, Internet tarmog‘idan
foydalanilganda reklamalarni blokirovkalash, Internet tarmog‘idan kirib keluvchi
5
zararli dasturlarni blokirovkalash va h. Biroq, foydalanuvchilar to‘liq antivirus
dasturiy vositalarining imkoniyatilariga ishonib qolmasliklari lozim.
Viruslarni doimiy aniqlash uchun antivirus dasturiy vositalari eng yangi va
yangilangan ma’lumotlarni o‘z ichiga olgan namunaviy fayllarga muxtoj. Biroq,
antivirus
ishlab
chiqaruvchilari
yangi
virus
uchun
namunaviy
fayllar
yaratgunlaricha virus ishlab chiqaruvchilari tomonidan katta hajmdagi yangi
viruslar yaratiladi. Bu esa, yangi virus uchun vaksinani tayyorlash yyetarlicha ko‘p
vaqtni talab qiladi.
Bundan tashqari, antivirus dasturi Rootkit tipidagi zararli dasturlarni
aniqlashda foydasi tegmasligi mumkin. Rootkit tipidagi zararli dasturlar
kompyuter operatsion tizimining markaziga hujum qilishni maqsad qiladi.
Antivirus dasturiy komplekslari
. Har bir antivirus dasturiy vositalar o‘ziga
xos afzallik va kamchiliklarga ega. Faqat bir necha antivirus dasturiy vositalaridan
kompleks foydalanish to‘liq himoyani taminlashi mumkin. Amalda ko‘plab
antivirus dasturiy vositalar mavjud, ularga quyidagilarni misol sifatida keltirish
mumkin (7.3-jadval).
Profilaktik choralar
. Viruslar va virus yuqtirilgan fayllarni o‘z vaqtida
aniqlash, aniqlangan viruslarni har bir kompyuterda to‘liq yo‘q qilish orqali virus
epidemiyasining boshqa kompyuterlarga tarqalishini oldini olish mumkin. Har
qanday virusni aniqlaydigan va yo‘q qilinishini kafolatlaydigan mutlaqo ishonchli
dasturlar mavjud emas.
|
