next up previous contents index
Next: Vírusok aktivitásának figyelése Up: Védelem ismeretlen vírusok ellen Previous: Védelem ismeretlen vírusok ellen

  
Változásérzékelés: az integritásellenőrzők

Az integritásellenőrzők nemcsak a vírusok ellen használhatók, hanem bármilyen módosítást észlelni tudnak az állományainkban. Működésük előfeltétele, hogy az állományok eredeti állapotában lefuttassuk e programokat, és elkészítsék adatbázisukat. Az adatbázisban minden figyelni kívánt (pl. futtatható) fájlhoz egy bejegyzés tartozik. A bejegyzésben a fájl legfontosabb adatai, és valamilyen ellenőrzőösszeg található. Az ellenőrzőprogram futásakor mindig újraképzi ezt az ellenőrzőösszeget, és ha eltérést tapasztal, akkor azt jelenti a felhasználónak.

Az adatbázis lehet egy központi helyen, de gyakori, hogy minden könyvtárban van egy, amely csak a könyvtárban található programokra vonatkozik. Az utóbbi megoldás előnye, hogy a programokkal együtt az ellenőrző információkat is könnyen átmásolhatjuk egy másik könyvtárba, vagy akár egy másik gépre. Hátránya, hogy egy ilyen kis adatbázis hiánya általában nem tűnik fel az integritásellenőrző programnak, márpedig a vírusok kedvenc szórakozása, hogy ezeket az ellenőrző információkat eltűntetik. Éppen ezért azt ajánlják, hogy mindig állítsuk át az adatfájlok nevét, hogy a vírus ne tudja, hogy mit kell letörölni. Egyes programok azt is megengedik, hogy az algoritmust is mi válasszuk meg, hogy a vírus ne tudja ennek ismeretében újragenerálni a fertőzött fájlra vonatkozó bejegyzést.

A jobb programok képesek az eltárolt információk alapján az esetek bizonyos részében a módosított állományt helyreállítani. Vegyük azt például, hogy a program eltárolja a fájl hosszát, és első három bájtját. Ha ezután egy egyszerű COM vírus megfertőzi azt, akkor csonkolás és az első három bájt helyreállítása után a fájl az eredeti lesz. Egy One Half  vírus véletlenszerűen teleszórja az állományt a dekóderének a részeivel, így ha az előbbi helyreállítási procedúrát végigjátsszuk, a fájl nem lesz az eredeti. Ezt a program onnan veszi észre, hogy nem fog stimmelni az ellenőrzőösszeg.


next up previous contents index
Next: Vírusok aktivitásának figyelése Up: Védelem ismeretlen vírusok ellen Previous: Védelem ismeretlen vírusok ellen
Nagy Ferenc Laszlo
1999-05-21