Difference: VirustenTorjunta (r2 vs. r1)

Virusten torjunta

Virustorjuntaakin voidaan tarkastella turvaamisen yleisen prosessin mukaisesti vaiheittain: Välttäminen -- estäminen -- havaitseminen -- toipuminen -- korjaaminen. Kaksi ensimmäistä vaihetta ovat vastaavia kuin biologisten virustenkin tapauksessa: "pysyttele vain kotona" ja "pidä huolta hygieniasta". Yhtenä yleisenä vaiheena esiintyvä 'pelottaminen' ei tietenkään päde kumpaankaan virusmaailmaan sen jälkeen kun virus on lähtenyt leviämään, mutta voisi auttaa tietokoneviruksiin, jos rangaistukset olisivat riittävän kovat (ja kansainväliset).

Jos (tietokone)virus on päässyt tekemään tihutyönsä, toipumista on enää lisätuhojen ja leviämisen estäminen, käytännössä siis uuden käynnistymisen tai ainakin aktivoitumisvaiheen ehkäisy. Se tapahtuu yleensä samalla kun jäljet korjataan eli viruksen saastuttamat tai tuhoamat tiedostot palautetaan varmuuskopioista ja kun itse virus alkajaisiksi siivotaan tiedostoista, joihin se on tarttunut. Tämän voivat torjuntaohjelmat usein tehdä ilman että tiedostoa, siis esim. ohjelmaa täytyy asentaa uudelleen. Viruksen mahdollisesti ylikirjoittama koodi luonnollisesti menetetään, esim. makrovirus on voinut ottaa jonkin dokumenttiin alunperin kuuluneen makron paikan.

Haastavin torjuntavaihe on virusten havaitseminen: Viruksen etsintäkeinoja voidaan jaotella seuraaviin sukupolviin:

  1. perinteinen skannaus etsii tunnettuja viruksia hakemalla niiden (pääpiirteissään vakiomuotoista) koodia tiedostoista;
  2. kehittyneempi skannaus käyttää heuristiikkoja, joilla tunnistetaan viruksille yleisemminkin tyypillisiä koodin osia. On myös mahdollista löytää (piiloviruksen) salausavain ja paljastaa virus purkamalla sen salaus.
  3. muistinvarainen ohjelma voi seurata muiden ohjelmien toimia ja havaita viruksen sille ominaisen käytöksen perusteella.
  4. neljännen polven menetelmät ovat monipuolisia yhdistelmiä, joissa on myös torjuntaominaisuuksia.

Virusten havaitsemiseen voidaan myös käyttää yleistä ohjelmistojen eheystarkastusta, joka tarkistaa aika ajoin, ovatko ohjelmatiedostoista (ja käynnistyssektorista) lasketut tarkistussummat samat kuin alkuperäiset, jotka on laskettu (toivottavasti) ennen mahdollista tartuntaa ja jotka ovat tallessa (toivottavasti kirjoitussuojatusti).

Yksi uudentyyppinen menetelmä on ajaa tarkistettavaa ohjelmaa emuloimalla CPU:ta ohjelmallisesti. Varsinainen prosessori ei joudu alttiiksi. Jos ohjelma sisältää itsensä salanneen viruksen, salauksen purku tapahtuu viruksen omaa rutiinia käyttäen. Tämän jälkeen emulointia kontrolloiva ohjelma löytää viruksen skannatessaan emuloitavaa koodia.

Mikäli koneen muistissa on virus silloin, kun viruksentorjuntaohjelmia aletaan ajaa, se voi tarttua torjuntaohjelmiin ja muuttaa niiden toimintaa siten, ettei virusta havaitakaan. Tämän ehkäisemiseksi jos epäilee (muuta kuin makro)virusta PC:ssä, pitäisi -- jos mahdollista -- käynnistää kone uudelleen kirjoitussuojatulta tallenteelta, joka on varmuudella puhdas. Useat virustorjuntaohjelmat tarkastavat kuitenkin ensin itsensä mm. tarkistussumman avulla ja varoittavat käyttäjää, jos ne eivät "koe olevansa kunnossa" tai jos ne ovat havainneet poikkeamia järjestelmän kriittisillä alueilla.

Käytännön ohjeita virustorjuntaan saa TKK:n virusoppaasta . LUE siitä luvun 7 lisäksi myös 8 ja 9 (yhteensä noin 6 sivua).

Virustietoutta on verkossa erittäin runsaasti. Paikallisesti kannattaa vielä mainita Tampereen yliopistossa aikoinaan toiminut virustutkimusyksikkö , jonka sivulta löytyy jaoteltu linkkilista. TaY?:ssä on myös ollut erityinen kurssi "Haitalliset ohjelmat ja niiden torjunta" .

Vaikka virustorjuntaa voidaan pitää verkossa olevan tietokoneen turvaamisen yhtenä perustoimena, se voidaan toisaalta nähdä vain hätäapuna ongelmaan, joka kannattaisi kokonaan estää (vrt. alun terminologia). Tästäkin on verkossa runsaasti keskustelua, katso esim. Kai Puolamäen Vaihtoehtoista tietoturvaopasta .

-- JukkaKoskinen?

SivuTiedotLaajennettu edit
Vaativuus Perus
ValmiusValmisteilla Valmis
Tyyppi Ydin
Luokitus Uhkat
MitäLuottamuksellisuus Useita
MiltäIhmisetön Tahallinen uhka
MissäOrganisaatio Järjestelmä
KukaTite-ammattilainen Tite-maallikko
MilloinEnnakolta Päivittäin
Miksi Hyvä tapa

View topic | View difference side by side | History: r2 < r1 | More topic actions
 
Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback