Вирусологические методы исследования основаны также на иммунологических процессах (взаимодействие антигена с антителами), биологических свойствах вируса (способность к гемагглютинации, гемолизу, ферментативная активность), особенностях взаимодействия вируса с клеткой-хозяином (характер цитопатического эффекта, образование внутриклеточных включений и т.д.).
В диагностике вирусных инфекций, при культивировании, выделении и идентификации вирусов, а также при получении вакцинных препаратов широко применяют метод культуры клеток. Для выделения вирусов применяют заражение восприимчивых лабораторных животных, куриных эмбрионов, но чаще всего используют культуру ткани. Наличие вируса обычно определяют по специфической дегенерации клеток (цитопатический эффект), образованию симпластов и синцитиев, обнаружению внутриклеточных включений, а также специфического антигена, выявляемого с помощью методов иммунофлюоресценции, гемадсорбции, гемагглютинации (у гемагглютинирующих вирусов) и т.д. Эти признаки могут обнаруживаться лишь после 2-3 пассажей вируса.
Для выделения ряда вирусов, например вирусов гриппа, используют куриные эмбрионы, для выделения некоторых вирусов Коксаки и ряда арбовирусов - новорожденных мышей. Идентификацию выделенных вирусов проводят с помощью серологических реакций и других методов.
При работе с вирусами определяют их титр. Титрование вирусов проводят обычно в культуре клеток, определяя наибольшее разведение вируссодержащей жидкости, при котором происходит дегенерация ткани, образуются включения и вирусоспецифические антигены. Для титрования ряда вирусов можно использовать метод бляшек. Бляшки, или негативные колонии вирусов, представляют собой очаги разрушенных под действием вируса клеток однослойной культуры ткани под агаровым покрытием. Подсчет колоний позволяет провести количественный анализ инфекционной активности вирусов из расчета, что одна инфекционная частица вируса образует одну бляшку. Бляшки выявляют путем окрашивания культуры прижизненными красителями, обычно нейтральным красным; бляшки не адсорбируют краситель и поэтому видны как светлые пятна на фоне окрашенных живых клеток. Титр вируса выражают числом бляшкообразующих единиц в 1 мл.
Очистку и концентрацию вирусов обычно осуществляют путем дифференциального ультрацентрифугирования с последующим центрифугированием в градиентах концентраций или плотности. Для очистки вирусов применяют иммунологические методы, ионно-обменную хроматографию, иммуносорбенты и т.д.
Лабораторная диагностика вирусных инфекций включает обнаружение возбудителя или его компонентов в клиническом материале; выделение вируса из этого материала; серодиагностику. Выбор метода лабораторной диагностики в каждом отдельном случае зависит от характера заболевания, периода болезни и возможностей лаборатории. Современная диагностика вирусных инфекций основана на экспресс-методах, позволяющих получать ответ через несколько часов после взятия клинического материала в ранние сроки после заболевания, К ним относятся электронная и иммунная электронная микроскопия, а также иммунофлюоресценция, метод молекулярной гибридизации, выявление антител класса lgM и др.
Электронная микроскопия вирусов, окрашенных методом негативного контрастирования, позволяет дифференцировать вирусы и определять их концентрацию. Применение электронной микроскопии в диагностике вирусных инфекций ограничивается теми случаями, когда концентрация вирусных частиц в клиническом материале достаточно высокая (105 в 1 мл и выше). Недостатком метода является невозможность отличать вирусы, принадлежащие к одной таксономической группе. Этот недостаток устраняется путем использования иммунной электронной микроскопии. Метод основан на образовании иммунных комплексов при добавлении специфической сыворотки к вирусным частицам, при этом происходит одновременная концентрация вирусных частиц, позволяющая идентифицировать их. Метод применяют также для выявления антител. В целях экспресс-диагностики проводят электронно-микроскопическое исследование экстрактов тканей, фекалий, жидкости из везикул, секретов из носоглотки. Электронную микроскопию широко используют для изучения морфогенеза вируса, ее возможности расширяются при применении меченых антител.
Метод молекулярной гибридизации, основанный на выявлении вирусоспецифических нуклеиновых кислот, позволяет обнаружить единичные копии генов и по степени чувствительности не имеет себе равных. Реакция основана на гибридизации комплементарных нитей ДНК или РНК (зондов) и формировании двунитчатых структур. Наиболее дешевым зондом является клонированная рекомбинантная ДНК. Зонд метят радиоактивными предшественниками (обычно радиоактивным фосфором). Перспективно использование колориметрических реакций. Существует несколько вариантов молекулярной гибридизации: точечная, блот-гибридизация, сэндвич-гибридизация, гибридизация in situ и др.
Серологические методы в вирусологии основаны на классических иммунологических реакциях: реакции связывания комплемента, торможения гемагглютинации, биологической нейтрализации, иммунодиффузии, непрямой гемагглютинации, радиального гемолиза, иммунофлюоресценции, иммуноферментного, радиоиммунного анализа. Разработаны микрометоды многих реакций, техника их непрерывно совершенствуются. Эти методы используют для идентификации вирусов с помощью набора известных сывороток и для серодиагностики с целью определения нарастания антител во второй сыворотке по сравнению с первой (первую сыворотку берут в первые дни после заболевания, вторую - через 2-3 нед.). Диагностическое значение имеет не менее чем четырехкратное нарастание антител во второй сыворотке. Если выявление антител класса lgM свидетельствует о недавно перенесенной инфекции, то антитела класса lgC сохраняются в течение нескольких лет, а иногда и пожизненно. Антитела класса lgM появляются раньше, чем антитела класса G (на 3-5-й день болезни) и исчезают через несколько недель, поэтому их обнаружение свидетельствует о только что перенесенной инфекции. Антитела класса lgM выявляют методом иммунофлюоресценции или с помощью иммуноферментного анализа, используя анти- m-антисыворотки (сыворотки против тяжелых цепей lgM).
Строение и жизнедеятельность вирусов
В природе вирусы существуют в двух формах: внеклеточной и внутриклеточной.
Внеклеточная форма вируса называется Вирион - это инертная инфекционная частица, которая состоит из нуклеиновой кислоты и белковой оболочки – Капсида . Нуклеиновая кислота в составе вириона – генетический аппарат или геном - может быть только одного типа – либо ДНК, либо РНК. Геном может быть представлен одной цепочкой (однокомпонентный или целостный геном) или их имеется несколько (фрагментированный геном). Большинство вирусов растений являются РНК-содержащими.
Капсид состоит из белковых субъединиц – Капсомеров. Капсиды бывают различной формы:
1). Изометрические : сферические (рис.17А ) или полиэдрические («полиэдр» значит многогранник) с кубическим типом симметрии (рис.17Б ).
2). Анизометрические со спиральным типом симметрии – палочковидные, нитевидные (рис.17Г ). Встречаются вирусы с комбинированным типом симметрии, например, в форме головастика или Бацилловидные (рис.17Д ).
Размеры различных вирусов колеблются чаще всего в пределах от 20 до 300 нм, однако встречаются нитевидные вирусы большей длины – до 2000 нм.
В связи с наличием у вирусов растений белковой оболочки, в которую заключена нуклеиновая кислота, вирусы обладают антигенной активностью, или иммуногенностью то есть способны вызывать образование антител при введении их в организм животных.
Проявления жизнедеятельности вирусов.
Вирусы размножаются только в живых клетках. Многие вирусы способны к заражению какого-либо одного хозяина. Так респираторные вирусы размножаются только в клетках слизистых оболочек дыхательных путей. Другие, например, вирус табачной мозаики (ВТМ), имеют широкий спектр хозяев. Некоторые вирусы растений способны размножаться в телах насекомых-переносчиков.
Внутриклеточная жизнедеятельность вирусов , вероятно, складывается из ряда следующих этапов:
1. Вирус проникает в клетку целиком – полностью вся НК в капсидной оболочке – через повреждения в мембране.
2. Сбрасывание капсида . При инфицировании ВТМ первые симптомы появляются на несколько часов позже, чем при инфицировании свободной РНК этого вируса. Это факт в пользу утверждения о том, что проникший в клетку вирус «раздевается» - сбрасывает капсид.
3. Размножение вирусов . Вирусная РНК чаще внедряется в ядро растительной клетки, где синтезируется комплементарная РНК-(¾)-цепь и образуется Двуцепочечная РНК – репликативная форма (РФ) . Затем, вероятно, в ядрышках происходит многократная репликация вирусной РНК.
4. Биосинтез структурного белка вируса . После усиления репликации вирусной РНК в клетке возрастает количество капсидного белка. Синтез этих белков проходит на рибосомах клетки-хозяина.
5. Агрегация вирусной РНК и капсида . Появление зрелых вирусных частиц.
6. Выход вирусов из клетки у растений происходит по плазмодесмам, у животных – через повреждения в мембране.
Вирусологический метод
Вирусологический метод включает культивирование вирусов, их индикацию и идентификацию. Материалами для вирусологического исследования могут быть кровь, различные секреты и экскреты, биоптаты органов и тканей человека. Исследование крови часто проводят в целях диагностики арбовирусных заболеваний. В слюне могут быть обнаружены вирусы бешенства, эпидемического паротита, простого герпеса. Носоглоточные смывы служат для выделения возбудителя гриппа, кори, риновирусов, респираторно-синцитиального вируса, аденовирусов. В смывах с конъюнктивы обнаруживают аденовирусы. Из фекалий выделяют различные энтеровирусы, адено-, рео- и ротавирусы.
Для выделения вирусов используют культуры клеток, куриные эмбрионы, иногда лабораторных животных.
Источник получения клеток - ткани, извлечённые у человека при операции, органы эмбрионов, животных и птиц. Используют нормальные или злокачественно перерождённые ткани: эпителиальные, фибробластического типа и смешанные. Вирусы человека лучше размножаются в культурах клеток человека или почечных клеток обезьян.
Большинство патогенных вирусов отличает наличие тканевой и типовой специфичности. Например, полиовирус репродуцируется только в клетках приматов, что определяет необходимость подбора соответствующей культуры. Для выделения неизвестного возбудителя целесообразно одномоментное заражение 3-4 культур клеток, так как одна из них может оказаться чувствительной.
Методы обнаружения вирусов
Лабораторные методы при диагностике вирусных инфекций включают:
Выделение и идентификацию возбудителя;
Обнаружение и определение титров противовирусных AT;
Обнаружение Аг вирусов в образцах исследуемого материала;
Микроскопическое исследование препаратов исследуемого материала.
Забор материала. При заборе материала для исследований необходимо выполнять следующие условия:
Образцы следует отбирать как можно раньше либо с учётом ритма циркуляции возбудителя;
Материал следует отбирать в объёме, достаточном для всего комплекса исследований;
Образцы следует доставлять в лабораторию незамедлительно, при относительно кратковременной транспортировке (не более 5 сут) образцы сохраняют на льду, при более длительной - при температуре -50 °С.
Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:
· Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах
· Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.
Метод соответствия определению вирусов в словаре
Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа антивирус может по запросу выполнить одно из следующих действий:
· Удалить инфицированный файл.
· Заблокировать доступ к инфицированному файлу.
· Отправить файл в карантин (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса).
· Попытаться восстановить файл, удалив сам вирус из тела файла.
· В случае невозможности лечения/удаления, выполнить эту процедуру при перезагрузке.
Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.
Метод обнаружения странного поведения программ
Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (exe-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать. В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.
Другие названия: Проактивная защита , Поведенческий блокиратор , Host Intrusion Prevention System (HIPS) . В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше невредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше. Так, в 2006 году вышло несколько продуктов, впервые реализовавших этот метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe"n"Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многие программы класса файрволл издавна имели в своем составе модуль обнаружения странного поведения программ.
Метод обнаружения при помощи эмуляции
Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть немедленно начинает искать другие exe-файлы например), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.
Распространение вирусов по электронной почте (возможно наиболее многочисленных и вредоносных) можно было бы предотвратить недорогими и эффективными средствами без установки антивирусных программ, если бы были устранены дефекты программ электронной почты, которые сводятся к выполнению без ведома и разрешения пользователя исполняемого кода, содержащегося в письмах.
Обучение пользователей может стать эффективным дополнением к антивирусному программному обеспечению. Простое обучение пользователей правилам безопасного использования компьютера (например, не загружать и не запускать на выполнение неизвестные программы из Интернета) снизило бы вероятность распространения вирусов и избавило бы от надобности пользоваться многими антивирусными программами.
Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление.
Метод обнаружения вирусов по поиску соответствия в словаре не всегда достаточен из-за продолжающегося создания всё новых вирусов, метод подозрительного поведения не работает достаточно хорошо из-за большого числа ошибочных решений о принадлежности к вирусам незаражённых программ. Следовательно, антивирусное программное обеспечение в его современном виде никогда не победит компьютерные вирусы.
Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы необнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. К несчастью, во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.
Постоянное появление новых вирусов даёт разработчикам антивирусного программного обеспечения хорошую финансовую перспективу.
Некоторые антивирусные программы могут значительно понизить быстродействие. Пользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая риск заражения вирусами. Для максимальной защищённости антивирусное программное обеспечение должно быть подключено всегда, несмотря на потерю быстродействия. Некоторые антивирусные программы (как AVG for Windows) не очень сильно влияют на быстродействие.
Иногда приходится отключать антивирусную защиту при установке обновлений программ, таких, например, как Windows Service Packs. Антивирусная программа, работающая во время установки обновлений, может стать причиной неправильной установки модификаций или полной отмене установки модификаций. Перед обновлением Windows 98, Windows 98 Second Edition или Windows ME на Windows XP (Home или Professional), лучше отключить защиту от вирусов, в противном случае процесс обновления может завершиться неудачей.
Методы и технологии борьбы с компьютерными вирусами
Массовое распространение вирусов, серьезность последствий их воздействия на ресурсы КС вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения. Антивирусные средства применяются для решения следующих задач :
* обнаружение вирусов в КС;
* блокирование работы программ-вирусов;
* устранение последствий воздействия вирусов.
Обнаружение вирусов желательно осуществлять на стадии их внедрения или, по крайней мере, до начала осуществления деструктивных функций вирусов. Не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов.
При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему.
Устранение последствий воздействия вирусов ведется в двух направлениях:
* удаление вирусов;
* восстановление (при необходимости) файлов, областей памяти.
Технология восстановления системы зависит от типа вируса, а также от момента времени обнаружения вируса по отношению к началу вредительских действий. Восстановление информации без использования дублирующей информации может быть невыполнимым, если вирусы при внедрении не сохраняют информацию, на место которой они помещаются в память, а также, если деструктивные действия уже начались, и они предусматривают изменения информации.
Для борьбы с вирусами используются программные и аппаратно-программные средства, которые применяются в определенной последовательности и комбинации, образуя методы борьбы с вирусами : методы обнаружения вирусов и методы удаления вирусов.
Известны следующие методы обнаружения вирусов:
1. Сканирование - один из самых простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером , которая просматривает файлы в поисках опознавательной части вируса - сигнатуры . Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Программы-сканеры часто могут удалять обнаруженные вирусы. Такие программы называются полифагами .
Метод сканирования применим для обнаружения вирусов, сигнатуры которых уже выделены и являются постоянными. Для эффективного использования метода необходимо регулярное обновление сведений о новых вирусах.
Метод обнаружения изменений базируется на использовании программ-ревизоров . Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков. По результатам ревизии программа выдает сведения о предположительном наличии вирусов.
Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров. Могут контролироваться также объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.
Главным достоинством метода является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов. Совершенные программы-ревизоры обнаруживают даже «стелс»-вирусы.
Имеются у этого метода и недостатки . С помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы будут обнаружены только после размножения в системе. Программы-ревизоры непригодны для обнаружения заражения макровирусами, так как документы и таблицы очень часто изменяются.
2. Эвристический анализ сравнительно недавно начал использоваться для обнаружения вирусов. Как и метод обнаружения изменений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе.
Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя ОС. Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами. Эвристический анализатор имеется, например, в антивирусной программе Doctor Web.
3. Метод использования резидентных сторожей основан на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ.
Технологический процесс их применения осуществляется в следующей последовательности: в случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т. п.) резидентный сторож выдает сообщение пользователю. Программа-сторож может загружать на выполнение другие антивирусные программы для проверки «подозрительных» программ, а также для контроля всех поступающих извне файлов (со сменных дисков, по сети).
Существенным недостатком данного метода является значительный процент ложных тревог, что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей.
4. Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением «стеле»- вирусов.
5. Самым надежным методом защиты от вирусов является использование аппаратно-программных антивирусных средств . В настоящее время для защиты ПЭВМ используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе.
В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Таким образом, можно установить защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.
При выполнении запретных действий любой программой контроллер выдает соответствующее сообщение пользователю и блокирует работу ПЭВМ.
Аппаратно-программные антивирусные средства обладают рядом достоинств перед программными:
* работают постоянно;
* обнаруживают все вирусы, независимо от механизма их действия;
* блокируют неразрешенные действия, являющиеся результатом работы вируса или неквалифицированного пользователя.
Недостаток у этих средств один - зависимость от аппаратных средств ПЭВМ. Изменение последних ведет к необходимости замены контроллера.
Известны следующие методы обнаружения вирусов:
- сканирование;
- обнаружение изменений;
- эвристический анализ;
- использование резидентных сторожей;
- вакцинирование программ;
- аппаратно-программная защита от вирусов.
1 Сканирование – это один из самых старых и простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса - сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру.
Недостатки:
- Умение определять только уже известные вирусы
- Не способность противостоять проникновению вирусов и прпятствооать их вредительским действиям
- Неспособность обнаружить полиморфные и стелс-вирусы.
Самой известной программой-сканером в России является Aidstest Дмитрия Лозинского.
2 Метод обнаружения изменений - базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков. По результатам ревизии программа выдает сведения о предположительном наличии вирусов.
Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров. Могут контролироваться также объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.
Достоинство - является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов (обнаруживают даже «стелс»-вирусы). Например, программа-ревизор Adinf , разработанная Д. Ю Мостовым
Недостаток - программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными (например, обнаружения заражения макровирусами).
3 Эвристический анализ - как и метод обнаружения изменений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе.
Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов. Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.
Эвристический анализатор имеется, например, в антивирусной программе Doctor Web.
4 В методе резидентных сторожей используются антивирусные программы, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. Резидентный сторож сообщит пользователю о том, что какая-либо программа пытается изменить загрузочный сектор жесткого диска или дискеты, а также выполнимый файл.
Существенным недостатком данного метода является значительный процент ложных тревог , что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей.
5 Вакцинация программ. Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением «стеле»- вирусов.
Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее.
Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе.
В последней, в свою очередь, сначала управление получит вакцина, которая выполнит проверку соответствия заполненных ею характеристик аналогичным характеристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакцинированной программы вирусом.
6 Постоянный мониторинг. Программы-мониторы имеют одно коренное отличие от других антивирусов. Дело в том, что они работают резидентно, то есть постоянно загружены в память компьютера. В задачу монитора входит проверка всех уязвимых файлов, к которым обращается любое приложение операционной системы.
В принципе, это самый удобный для пользователя вариант. И действительно, не нужно постоянно помнить о необходимости проверки новых файлов. Не нужно терять время в ожидании, пока сканер проверит все файлы на жестком диске. Программы-мониторы работают постоянно и незаметно для пользователя. Хотя, с другой стороны, любое резидентное приложение, тем более такое "активное", требует дополнительных затрат системных ресурсов. Поэтому на старых слабых компьютерах антивирусные мониторы могут стать причиной замедленной работы ПК. Второй важный плюс постоянного мониторинга помимо удобства для пользователей - это надежность. И действительно, этот метод, в отличие от остальных, позволяет определить и обезвредить вирус еще до того, как он приступил к своей разрушительной деятельности.
Монитор "перехватывает" обращения операционной системы к файлам и сначала проверяет их. При этом используются оба описанных выше метода - поиск известных сигнатур и эвристический анализ. Если в результате проверки монитор обнаруживает вирус, то доступ к файлу блокируется, а пользователю выдается специальное сообщение с предложением выбрать необходимое действие (попытаться вылечить файл, удалить его, поместить в специальную папку и т. п.). Ну а если объект "чист", то монитор ничего не делает, а приложение, обращавшееся к нему, продолжает свою работу.