Реферат: Компьютерные вирусы

При автоматическом определении новых вирусов AVSP  может  допустить множество ошибок. Как раз в те дни, когда я занимался написанием работы, со мной произошел  именно  такой  случай.  При проверке жесткого диска AVSP выдал сообщение "Найден  неизвестный вирус! " и выдал запрос о занесении шаблона вируса в  библиотеку. Взглянув на имя файла, я сразу понял, что наличие в нем вируса маловероятно, так как это был самораспаковывающийся  архив  RAR-а, который я создал за несколько минут до запуска антивируса,  перепаковав два файла, один из которых был также SFX-архивом с тем же именем, что и получившийся. Решив посмотреть, что будет дальше, я установил опцию создания отчета и повторно  запустил  комплексную проверку. Вот фрагмент этого отчета:

Директория

 C:\TOOLS\UTILIT

 C:\TOOLS\UTILIT

 SPEED200.EXE:

 SPEED200.EXE: Новый

       TB.EXE:

       TB.EXE: Новый

Директория

 C:\USER\MUSIC\ROCK

 C:\USER\MUSIC\ROCK

   ROCK.EXE:

   ROCK.EXE: Новый

   PTTM.COM:

   PTTM.COM: Новый

   PSYCHO.EXE:

   PSYCHO.EXE: Новый

Директория

 C:\DISK_ARH

 C:\DISK_ARH

   DERIVE.EXE:

   DERIVE.EXE: Изменен

- Изменение размера: 22053 (был 170496,стал 192549)

- Возможный вирус: TP-940128

После ответа на запрос AVSP-а о занесении вируса в библиотеку, программа вывела составленный ею шаблон на  экран. Дизассемблировав клавишей TAB код шаблона, я увидел  следующую  последовательность команд:

         push es

         push cs

         pop ds

         mov cx,[000ch]

         mov si, cx

         dec si

  Такая последовательность команд, а особенно две первые  (сохранение соответствующих регистров) встречаются в начале многих  исполнимых программ. При  повторном  запуске  комплексной  проверки AVSP "находил" вирус в каждой второй EXE-программе:

Директория

 C:\ANTIVIR

 C:\ANTIVIR

 AIDSTEST.EXE:

 AIDSTEST.EXE: Заражен

- Вирус ERU-37

Директория

 C:\ANTIVIR\ADINF

 C:\ANTIVIR\ADINF

    REVIS.EXE:

    REVIS.EXE: Заражен

- Вирус ERU-37

Директория

 C:\DOS

 C:\DOS

 MEMMAKER.EXE:

 MEMMAKER.EXE: Заражен

- Вирус ERU-37

     MSAV.EXE:

     MSAV.EXE: Заражен

- Вирус ERU-37

 <<<< Работа прервана (диск C:) >>>>

Так что при автоматическом определении шаблона следует не  полениться проверить, действительно ли это вирус и не будет ли этот шаблон встречаться в здоровых программах.

Если в процессе AVSP обнаружит известный  вирус,  то  следует предпринять те же действия, как и при работе с Aidstest и Dr.Web: скопировать файл на диск, перезагрузиться с резервной дискеты и запустить AVSP. Желательно также, чтобы при этом в память был загружен драйвер AVSP.SYS, так как он помогает основной  программе лечить Stealth-вирусы. После этого нужно  выбрать  пункт  меню "Удаление вирусов". Если в библиотеке программы VIRUSES.INF  есть информация о том, как лечить данный вирус, то файл будет вылечен, и AVSP выдаст соответствующее сообщение. При отсутствии в библиотеке информации о способе лечения данного вируса программа  попытается автоматически восстановить  файл  при  помощи  информации, сохраненной в файлах данных DISKDATA.DTL. Если файл  вылечить  не удастся, то, возможно, это "вирус-невидимка". Узнать поподробнее о том, что же за вирус "залез" в систему можно в  режиме  просмотра сообщений. Для этого нужно подвести курсор на название  вируса  и нажать ENTER.

Если автоматически файл восстановить не удалось то  можно  либо, как всегда, удалить его, либо попытаться  самостоятельно  обучить AVSP уничтожать вирус. Правда, для написания "лекарства"  даже на макроязыке AVSP-а нужно иметь опыт в системном программировании и знать хотя бы азы ассемблера. Ведь и в медицине  таблетки в неумелых руках  приносят  больше  вреда, чем пользы. Если у пользователя есть модем, то он может послать в сеть  "электронное объявление" с вопросом о способе лечения вируса. При этом следует выбирать достаточно известные  станции,  а  не  любительские BBS, в которые лазают только любители GIF-ов и анекдотов про  поручика Ржевского.

Для внесения и редактирования  информации  о  вирусах  в  меню "Данные о файлах и о вирусах" есть подменю "Изменение  информации о вирусах". При выборе этого пункта программа  выводит  на  экран список всех известных ей вирусов. По списку можно передвигаться с помощью стрелок. Чтобы получить более полную информацию о вирусе, нужно, подведя курсор к его имени, нажать ENTER. Вся эта информация находится в файле VIRUSES.INF, который можно редактировать не только с помощью AVSP в пункте "Изменение информации о  вирусах", но и как обычный текстовый файл. Чтобы внести информацию о  новом вирусе с помощью AVSP нужно нажать F2 , программа спросит об имени вируса, а когда пользователь введет это имя, программа  выдаст таблицу, аналогичную той, что выводится при автоматическом задании шаблона. В эту таблицу нужно занести все известные об этом вирусе данные. В AVSP существует возможность задавать  шаблон  не только обычных, но и самомодифицирующихся вирусов. Это осуществляется посредством заменителей символов в мнемонических командах, также составляющих макроязык антивируса. Опытные программисты могут внести также последовательность макрокоманд, задающую  способ лечения файла. В любой момент можно отказаться от редактирования, нажав ESC или записать информацию в библиотеку, нажав ENTER.

Но, конечно, полностью все возможности программы реализуются в руках человека, знакомого с ассемблером и системным  программированием. В AVSP имеется возможность просматривать файлы  в  разных форматах. При входе в режим просмотра на экран выводятся две  колонки: слева содержимое просматриваемого файла в виде  шестнадцатеричных кодов, а справа - в виде ASCII-кодов. Кроме  того,  выводится полезная системная информация, которая поможет при  написании процедуры удаления вируса. Передвигая курсор,  можно  перейти на любой адрес, есть также  функции  поиска  шаблонов,  сравнения файлов. Можно установить, в каком формате будет  просматриваться, например, заголовок: как у EXE-файла,  SYS-файла  или  в  формате загрузочного сектора. При этом хорошо реализован сам просмотр заголовка: его системные ячейки представлены в виде таблицы:  слева значение ячейки, справа - пояснение.

Ещё одной полезной функцией является встроенный  дизассемблер. С его помощью можно разобраться есть ли в файле вирус или при проверке диска произошло ложное  срабатывание  AVSP.  Кроме  того, можно попытаться выяснить способ заражения, принцип действия  вируса, а также место, куда он  "спрятал"  замещённые  байты  файла (если мы имеем дело с таким типом вируса). Все это позволит написать процедуру удаления вируса и восстановить запорченные  файлы. Для полного счастья не хватает только трассировщика, хотя в неумелых руках такая функция может привести к заражению  ещё  большего количества данных. В режиме дизассемблера  между  мнемоническими командами можно перемещаться, используя стрелки. Чтобы перейти по смещению, указанному в команде перехода, нужно нажать клавишу F7.

Ещё одна полезная функция - выдача наглядной карты  изменений. Особенно ясно я это понял, когда у меня возникло подозрение в отношении одного из файлов (который не должен был,  вроде  бы,  меняться) в ревизоре ADinf, в котором нет такой функции. Карта  изменений позволяет оценить, соответствуют ли эти изменения  вирусу или нет, а также сузить область поиска тела вируса при  дизассемблировании. При её построении красный прямоугольник  используется для изображения изменённого блока, синий - неизменённого, а прозрачный - нового.

Если есть подозрение, что в  систему  забрался  Stealth-вирус, можно запустить AVSP с параметром /D с жесткого  диска,  а  затем загрузиться с чистой системной дискеты и запустить AVSP без параметров. Если результаты проверки контрольных  сумм  отличаются  в обоих случаях, то подозрения оправданы. В программе AVSP есть два алгоритма нейтрализации "невидимок" и оба они работают только при наличии активного вируса в памяти. То, что происходит при  реализации этих алгоритмов похоже на фильм ужасов или конец Света: все файлы копируются в файлы данных, а потом стираются. Спасаются только файлы с атрибутом  SYSTEM.  В  Adinf  процесс  удаления Stealth-ов  реализован  гораздо  проще.  Может,  конечно,  способ борьбы с "невидимками" в AVSP и надёжней, но как-то это не особо приятное развлечение - перепахивать весь "винт", да к тому же и небезопасное.

Программа AVSP контролирует также и состояние загрузочных секторов. Если заражен BOOT-сектор на дискете и антивирус  не  может его вылечить, то следует стереть  загрузочный  код. Дискета при этом станет несистемной, но данные при этом не потеряются. С "винчестером" так лихо поступать нельзя. При обнаружении  изменений в одном из BOOT-секторов жесткого диска  AVSP  предложит  его сохранить в некотором файле, а затем  попытается  удалить  вирус. Если это программе сделать не удастся, то она предложит восстановить прежнее состояние загрузочного сектора. Вообще, "винчестер" - вещь капризная, поэтому  перед  подобной  операцией  желательно "скинуть" нужные данные на дискеты. Что уж говорить про  операции с BOOT-секторами, если были случаи, когда  "винт"  "самоочищался" при участии Speed Disk-а и Disk Fix-а. Правда, тому, кто  лечил  с помощью AVSP Стелз-вирусы уже ничего не страшно.

Microsoft Antivirus

В состав современных версий MS-DOS (например 7.10) входит  антивирусная программа Microsoft Antivirus (MSAV).  Этот  антивирус может работать в режимах детектора-доктора и ревизора.

MSAV имеет дружественный интерфейс в стиле MS-Windows, естественно, поддерживается мышь. Хорошо реализована  контекстная  помощь: подсказка есть практически к любому пункту меню, к любой ситуации. Универсально реализован доступ к пунктам меню: для  этого можно использовать клавиши управления курсором, ключевые  клавиши (F1-F9), клавиши, соответствующие одной из букв названия  пункта, а также мышь. Флажки установок в пункте меню Options можно  устанавливать как клавишей ПРОБЕЛ, так и  клавишей  ENTER.  Серьёзным неудобством при использовании программы является то, что она сохраняет таблицы с данными о файлах не в одном файле,  а  разбрасывает их по всем директориям. Вот и кочуют файлики CHKLIST.MS  при обмене программами от пользователя к пользователю, захламляя  каталог и место на диске.

При запуске программа загружает собственный  знакогенератор  и читает дерево каталогов текущего  диска,  после  чего  выходит  в главное меню. Не понятно, зачем читать дерево каталогов сразу при запуске: ведь пользователь может и не захотеть  проверять  текущий диск. В главном меню можно сменить диск (Select  new  drive), выбрать между проверкой без удаления вирусов (Detect) и с их удалением (Detect&Clean). При запуске проверки диска (как  в  режиме удаления, так и без него) программа сначала сканирует  память  на наличие известных ей вирусов. При этом выводится индикация проделанной работы в виде цветной полоски и процента выполненной работы. После сканирования памяти MSAV принимается за проверку непосредственно диска.

При первой проверке MSAV создает в каждой директории, содержащей исполнимые файлы, файлы CHKLIST.MS, в которые записывает  информацию о  размере,  дате,  времени,  атрибутах,  а  также  контрольную сумму контролируемых файлов. При  последующих  проверках программа будет сравнивать файлы с информацией в  CHKLIST.MS-файлах. Если изменились размер и дата, то программа сообщит об  этом пользователю и запросит о дальнейших действиях: обновить информацию (Update), установить дату и время в соответствие с данными  в CHKLIST.MS (Repair), продолжить, не обращая внимания  на  изменения в данном файле (Continue), прервать проверку (Stop). Если изменилась контрольная сумма, то MSAV выведет такое же окно, только вместо пункта Repair будет пункт Delete (удалить), так как  программа не может восстановить содержимое файла. При обнаружении вируса в режиме Detect&Clean программа удалит этот вирус.  Проверку диска в обоих режимах можно приостановить, либо  полностью  прервать, нажав ESC (или F3)  и  ответив  на  соответствующий  вопрос программы. Во время сканирования  диска  выводится  информация о проделанной работе: процент обработанных каталогов и процент  обработанных файлов в текущем  каталоге.  Эта  информация  выдается также наглядно, в виде цветной полоски, как и при проверке  памяти. В конце проверки MSAV выдает отчет в виде таблицы, в  которой сообщается о количестве проверенных жестких дисков и гибких дисков, о количестве проверенных, инфицированных и вылеченных  файлов. Кроме того, выводится время сканирования.

В меню Options можно сконфигурировать программу по собственному желанию. Здесь можно установить режим  поиска  вирусов-невидимок (Anti-Stealth), проверки всех (а не только  исполнимых)  файлов (Check All Files), а также разрешить или запретить  создавать таблицы CHKLIST.MS (Create New Checksums). К тому  же  можно  задать режим сохранения отчета о проделанной работе в  файле.  Если установить опцию Create Backup, то перед удалением вируса из  зараженного файла его копия будет сохранена с расширением *.VIR

Находясь в основном меню, можно  просмотреть  список  вирусов, известных программе MSAV, нажав клавишу F9.  При  этом  выведется окно с названиями вирусов. Чтобы посмотреть более  подробную  информацию о вирусе, нужно подвести курсор к  его  имени  и  нажать ENTER. Можно быстро перейти к интересующему вирусу,  набрав  первые буквы его имени. Информацию о вирусе можно вывести  на  принтер, выбрав соответствующий пункт меню.

ADINF

(Advanced Diskinfoscope)

ADinf относится к классу программ-ревизоров.  Антивирус  имеет высокую скорость работы, способен с успехом  противостоять  вирусам, находящимся в памяти. Он позволяет контролировать диск,  читая его по секторам через BIOS и не используя системные  прерывания DOS, которые может перехватить вирус. Программа ADinf получила первый приз на Втором Всесоюзном конкурсе  антивирусных  программ в 1990  году,  а  также  второй  приз  на  конкурсе  Borland Contest'93.

В отличие от AVSP, в котором  пользователю  приходится  самому анализировать, заражена  ли  машина  Stealth-вирусом,  загружаясь сначала с винчестера, а потом с эталонной дискеты, в ADinf эта операция происходит автоматически. Это происходит благодаря  оригинальному алгоритму противодействия этим "вирусам-невидимкам", суть которого заключается в том, что сначала диск читается непосредственно через BIOS, а потом - с помощью DOS.  Если  информация будет отличаться, то в системе Стелз-вирус. ADinf был  единственным антивирусом, который летом 1991  года  обнаружил  вирус  DIR, построенный на принципиально новом способе заражения и маскировки.

Для лечения заражённых файлов применяется  модуль  ADinf  Cure Module, не входящий в  пакет  ADinf  и  поставляющийся  отдельно. Принцип работы модуля - сохранение небольшой базы данных,  описывающей контролируемые файлы.  Работая  совместно,  эти  программы позволяют обнаружить и удалить около 97% файловых вирусов и  100% вирусов  в  загрузочном  секторе.  К  примеру,  нашумевший  вирус SatanBug был легко обнаружен, и заражённые им файлы  автоматически восстановлены. Причем, даже те пользователи, которые  приобрели ADinf и ADinf Cure Module за несколько  месяцев  до  появления этого вируса, смогли без труда от него  избавиться. Подробнее  о лечащем модуле я ничего рассказать не могу, так как  у  меня  его нет.

В отличие от других антивирусов Advansed Diskinfoscope не требует загрузки с эталонной, защищённой от записи дискеты. При загрузке с винчестера надежность защиты не уменьшается.

ADinf имеет хорошо выполненный дружественный интерфейс,  который в отличие от AVSP реализован не в текстовом, а в  графическом режиме. Программа работает непосредственно с  видеопамятью,  минуя BIOS, при этом поддерживаются все графические адаптеры. Наличие большого количества ключей  позволяет  пользователю  создать максимально удобную для него конфигурацию системы. Можно  установить, что именно нужно контролировать: файлы с заданными расширениями, загрузочные сектора, наличие сбойных кластеров, новые файлы на наличие Stealth-вирусов, файлы из списка неизменяемых и т.д. По своему желанию пользователь может запретить проверять некоторые каталоги (это нужно, если каталоги являются рабочими и  в них всё время происходят изменения).  Имеется  возможность  изменять способ доступа к диску (BIOS, Int13h или Int25h/26h), редактировать список расширений проверяемых файлов, а также  назначить каждому расширению собственный вьюер, с  помощью  которого  будут просматриваться файлы с этим расширением. Также  имеются  различные  прибомбасы  типа  обновления  вместе  с  таблицами  и  файла TREEINFO.NCD (этот файл реализовывает возможность быстрого  перехода по дереву каталогов в программе Norton Commander). В  традициях современного программного обеспечения реализована  работа  с мышью. Как и вся продукция фирмы "ДиалогНаука",  ADinf  поддерживает программно-аппаратный комплекс Sheriff.

При инсталляции ADinf в систему  имеется  возможность  изменить имя основного файла ADINF.EXE и имя таблиц,  при  этом  пользователь может задать любое имя. Это очень полезная функция, так  как в последнее время появилось множество  вирусов,  "охотящихся"  за антивирусами (например, есть вирус, который изменяет программу Aidstest так, что она вместо заставки фирмы "ДиалогНаука" пишет: "Лозинский - пень"), в том числе и за ADinf.

Полезной функцией является возможность работы с DOS, не выходя из программы. Это бывает полезно, когда нужно  запустить  внешний антивирус для лечения файла, если  у  пользователя  нет  лечащего блока ADinf Cure Module.

Ещё одна интересная функция - запрещение работы с системой при обнаружении изменений на диске. Эта  функция  полезна,  когда  за терминалами работают пользователи, не имеющие ещё большого  опыта в общении с компьютером. Такие пользователи, по незнанию или по халатности, могут проигнорировать сообщение ADinf и продолжить работу как ни в чём не бывало, что может привести к  тяжёлым  последствиям. Если же установлен  ключ  -Stop  в  строке  вызова  Adinf AUTOEXEC.BAT, то при обнаружении  изменений  на  диске  программа потребует позвать системного программиста, обслуживающего данный терминал, а если пользователь нажмет ESC или  ENTER,  то  система перезагрузится и все повторится снова. И всё же эта функция  продумана не до конца, так как продолжение работы возможно при нажатии клавиши F10. Ведь большинство пользователей,  даже  если  они впервые сели за компьютер, даже при  минимальном  на  то  желании смогут продолжить работу, воспользовавшись "правилом научного тыка", то есть, нажав на все клавиши подряд. Для повышения надёжности защиты от таких пользователей следовало бы ввести хотя бы  какой-нибудь простенький пароль.

Принцип работы ADinf основан на  сохранении  в  таблице  копии MASTER-BOOT и BOOT секторов, список  номеров  сбойных  кластеров, схему дерева каталогов и информацию обо всех контролируемых файлах. Кроме того, программа запоминает и при каждом запуске  проверяет, не изменился ли доступный DOS объем оперативной памяти  (что  бывает при заражении большинством загрузочных вирусов), количество установленных винчестеров, таблицы параметров винчестера в области переменных BIOS.

При первом запуске программа запоминает объем оперативной памяти, находит и запоминает адрес обработчика прерывания Int 13h в BIOS, который будет использоваться при всех  последующих  проверках, и строит таблицы для проверяемых дисков. При этом проверяется, показывал ли вектор прерывания 13h в BIOS перед загрузкой DOS.

При последующих запусках ADinf проверяет объем оперативной памяти, доступной DOS, переменные BIOS, загрузочные  сектора,  список номеров сбойных кластеров (так как некоторые вирусы,  записавшись в кластер, помечают его, как сбойный, чтобы  их  не  затёрли другие данные, а также не обнаружили примитивные  антивирусы).  К тому же антивирус ищет вновь созданные и уничтоженные  подкаталоги, новые, удаленные, переименованные, перемещённые и  изменившиеся файлы (проверяется изменение длины и контрольной суммы).  Если ADinf обнаружит, что, изменился файл из списка неизменяемых,  либо в файле произошли изменения без изменения даты и времени, а также наличие у файла  странной  даты  (число  больше  31,  месяц больше 12 или год больше текущего) или времени (минут больше  59, часов больше 23 или секунд больше 59), то он выдаст  предупреждение о том, что возможно заражение вирусом.

Если обнаружены изменения BOOT-секторов,  то  можно  в  режиме диалога сравнить системные таблицы, которые были до и после изменения, и по желанию восстановить прежний сектор. После восстановления измененный сектор сохраняется в файле на диске  для  последующего анализа. Новые сбойные кластеры (вернее информация о  них в FAT) могут появиться после запуска какой-либо утилиты,  лечащей диск (например NDD) или благодаря действиям  вируса.  Если  Adinf выдал сообщение, а пользователь не запускал никаких подобных утилит, то, скорее всего в компьютер забрался  вирус.  При  получении такого сообщения следует продолжить проверку,  внимательно  следя за всеми сообщениями об изменениях файлов и загрузочных секторов. Если в системе действительно вирус, то такие сообщения не  заставят себя долго ждать (ведь если все тело вируса будет находиться в "сбойном" кластере, ему никогда не передастся управление).

После проверки ADinf выдаёт сводную  таблицу,  сообщающую  об изменениях на диске. По таблице можно  перемещаться стрелками и просматривать подробную информацию, нажав ENTER  на  интересующем пункте. Существует возможность перехода к  любому  пункту  с  помощью "быстрых" клавиш. Изменившиеся файлы  можно  просмотреть  в классическом режиме (шестнадцатиричный дамп / ASCII-коды)  с  помощью встроенного вьюера, который читает диск через  BIOS.  Можно также воспользоваться внешним вьюером, предварительно указав к нему путь. Подключив внешний редактор, можно отредактировать  изменившийся файл.

Не совсем привычно выглядит форма, в которой  ADinf  сообщает об обнаруженных подозрительных изменениях: вместо выдачи  сообщения о конкретных изменениях он выводит красное  окно  со  списком всех возможных и помечает галочкой пункты, соответствующие  изменениям, произошедшим в настоящий момент. Если после получения такого сообщения нажать ESC, то  программа  запросит  о  дальнейших действиях: обновить информацию о диске, не обновлять  её,  лечить (при наличии лечащего модуля ADinf Cure Module) или записать протокол. Для лечения  можно  воспользоваться  внешним  антивирусом, загрузив его из окна работы с DOS,  которое  вызывается  комбинацией клавиш ALT+V.

Если изменения не относятся к разряду подозрительных, то после выдачи таблицы изменений можно нажать ESC. При этом  программа спросит, нужно ли обновлять данные о диске в таблицах или не нужно, а также нужно ли создавать файл в отчетом о проделанной работе. После выбора одного из пунктов программа  выполняет  затребованное действие и завершает свою работу.

Сводная таблица описанных антивирусных программ

ИМЯ		AIDSTEST	DR.WEB	AVSP	ADINF	MSAV
Версия		1723	4.0	2.95	12.00	DOS 7.10
Т  И  П	Фильтр	-	-	+	-	-
	Доктор	+	+	+	-	+
	Ревизор	-	-	+	+	+
	Детектор	+	+	+	-	+
Колличество вирусов		9000	7100	276  *	-	2546
Поддержка мыши		-	+	+	+	+
Оконный интерфейс		-	+	+	+	+
Обнаружение Stealth-вирусов		-	-	+	+	+
Обнаружение неиз-вестных вирусов		-	+	+	+	+
Время работы при задании соответст-вующих режимов  **		/g  /s	/a  /s2  /v  /o  /u	Качество, ***/все файлы	По умолчанию	По умолча-нию с кон-трольными суммами
		2,5 мин	23 мин	4 мин/ 11 мин	1 мин	1 мин 20 сек

Сноски таблицы:

* -- Имеется возможность самостоятельного пополнения данных о вирусах.

** -- Данные о быстродействии приведены для машины 486DX2-66 с жестким диском 270 MB,                     заполненным на 97%.

*** -- Файлы с расширениями *.com, *.exe, *.ov?, *.bin, *.sys.

Заключение

На мой взгляд, из всех отечественных программ, рассмотренных здесь, ADinf является самой полной, логически завершенной антивирусной системой. Остальные программы находятся, как бы  в  стадии развития. Программы-фаги, в принципе, не могут  достигнуть  логического завершения, так как должны развиваться,  чтобы  противостоять новым вирусам, хотя Dr.Web уже пошел по пути усовершенствования интерфейса. Высок потенциал у программы AVSP,  которая  при соответствующей   доработке    (упрощении    алгоритмов    поиска Stealth-вирусов, введении низкоуровневой защиты, улучшении интерфейса) может занять высокие позиции в среде антивирусов.

Ни один тип антивирусных программ по отдельности  не дает  полной  защиты от вирусов. Лучшей стратегией защиты от вирусов является  многоуровневая, "эшелонированная" оборона. Средствам разведки в "обороне" от вирусов соответствуют  программы-детекторы, позволяющие  проверять  вновь  полученное  программное  обеспечение  на  наличие вирусов.    На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков. Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.  Самый глубокий  эшелон обороны - это средства  разграничения  доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

В "стратегическом резерве" находятся архивные копии информации. Это позволяет  восстановить информацию при её повреждении.  Это неформальное описание позволяет лучше понять методику применения антивирусных средств.