Механизм обнаружения прост: программа поиска вируса по его сигнатуре перебирает все образцы сигнатур в банке вирусов. Для каждого вируса осуществляется сканирование всех программных файлов (операция поиск подстроки по заданному контексту – сигнатуре). Если при этом операция поиска окажется успешной и заданный контекст будет обнаружен в каком-нибудь программном файле, то можно с уверенностью сказать, что тестируемая программа заражена вирусом, сигнатура которого обнаружена. Задача обнаружения вируса решается в настоящее время загрузкой в оперативную память ПЭВМ резидентных программ, контролирующих обращение к системным функциям операционной системы:

– обращение к магнитным дискам (как с помощью диспетчера операционной системы, реализующего и поддерживающего файловую систему, так и на уровне базовой системы ввода-вывода);

– попытки оставить в оперативной памяти ПЭВМ программу, имеющую статус резидентной.

В процессе функционирования ПЭВМ резидентная программа "надсмотрщик" будет отслеживать указанные выше критические ситуации и перед их возникновением информировать пользователя о предстоящей попытке какой бы то ни было программы совершить указанные действия. Кроме того, программа "надсмотрщик" сделает запрос пользователю о разрешении выполнения действия или о блокировке системы. Резидентная программа протоколирует свои действия с той целью, чтобы при анализе деятельности вычислительной среды системным программистом на предмет обнаружения в ней наличия вируса была под рукой вся необходимая информация ("трассировка") о поведении и событиях в вычислительной среде.

В общем случае, существуют следующие основные способы автоматического поиска вирусов: детекторы, вакцины, фаги.

Программы-детекторы – это специальные программы, предназначенные для просмотра всех возможных мест нахождения вирусов (файлы ОС, основная память, возможно даже пустое в данный момент пространство диска) и сигнализировать об их наличии или отсутствии.

Программы-вакцины – это программы, "вшиваемые" в тело защищаемой программы (дописывающиеся к ее коду), либо резидентно оставляемые в оперативной памяти с целью обнаружения присутствия вируса по признакам аномального поведения (попытки записи в определенные области памяти и т. п.) и, возможно, обезвреживания его.

Программы-фаги – детекторы, дополненные специальными функциями по обезвреживанию данного вируса (удаление его из файлов ОС, оперативной памяти и т. п.).

Следует отметить, что, пользуясь вакцинами, необходимо быть осторожными. Вакцина тем качественнее, чем более точно она имитирует вирус. Но из этого следует, что многие антивирусные программы будут принимать эта вакцины за настоящие вирусы. Возможно, что некоторые фаги попытаются даже обезвредить эти вакцины (в представлении фагов эти вакцины – настоящие вирусы), что, скорее всего, приведет к порче ОС.

Вопрос 3. Защита программ и ценных баз данных от несанкционированного копирования и распространения

По оценкам экспертов в первом десятилетии XXI века только в США общая стоимость нелегально тиражируемых программных средств ежегодно составляла около 3 миллиардов долларов, а общее число нелегально изготовленных копий ПО составляло 45–52 % всех используемых программных средств. При этом особенно широкое распространение получило незаконное копирование программ для персональных ЭВМ. В частности, ущерб от экспортных недопоставок ПО для ПЭВМ в другие страны и от недополучения лицензионных платежей из-за рубежа за использование ПО только в 2007 г. оценивался в США соответственно в 705 и 235 миллионов долларов.

Выполнить простейшую операцию, достаточную для несанкционированного копирования программного средства на персональной ЭВМ, способен сегодня каждый пользователь.

Процесс нелегального распространения ПО получил развитие и в нашей стране. Это объясняется не только массовым применением вычислительной техники и умением большинства пользователей работать с командой СОРУ, но и более фундаментальными обстоятельствами и факторами:

– новизной законодательства по авторскому праву на программные средства и фактическим отсутствием юридической практики по вопросам защиты прав авторов программной продукции;

– наличием в прошлом многолетней практики нелегального заимствования иностранного программного обеспечения, во многом опиравшейся на определенную государственную поддержку;

– неразвитостью и низкой культурой рыночных отношений в нашей стране.

Можно выделить юридические, экономические и технические меры защиты программного обеспечения от несанкционированного копирования (НСК).