Действующий
- удаление обнаруженного КВ из зараженных программ или данных и восстановление их первоначального состояния.
4.12 Состав программных средств, используемых при проведении испытаний по просьбе заказчика, должен быть документально оформлен в соответствии с требованиями заказчика.
4.13 Сроки проведения испытаний должны быть установлены в программе и методике испытаний по договоренности между заказчиком и организацией, проводящей испытания.
4.14 Проверяемые ПС должны быть переданы для испытаний на магнитных носителях (дискетах) вместе с документацией.
- оформление протокола проверки ПС и его передача в орган по сертификации в соответствии с 6.2 настоящего стандарта;
- установление по согласованию с заказчиком правил (порядка) гарантийного сопровождения проверенных ПС.
5.1 При испытаниях ПС на наличие КВ используют две основные группы методов обнаружения КВ и защиты программ от них: программные и аппаратно-программные.
Аппаратно-программные методы основаны на реализации любого (любых) из указанных выше программных методов защиты ПС от КВ с помощью специальных технических устройств.
5.2 При выборе методов испытаний и защиты ПС от КВ следует руководствоваться сведениями о сущности каждого из них, приведенными в 5.4-5.9, а также дополнительными пояснениями об их возможностях, достоинствах и недостатках, приведенными в приложении А.
5.3 В конкретных испытаниях могут быть использованы способы и средства обнаружения КВ, реализующие один из методов, указанных в 5.1, или их комбинации.
5.4 Метод сканирования заключается в том, что специальная антивирусная программа, называемая сканером, последовательно просматривает проверяемые файлы в поиске так называемых "сигнатур" известных КВ. При этом под сигнатурой понимают уникальную последовательность байтов, принадлежащую конкретному известному КВ и не встречающуюся в других программах.
5.5 Метод обнаружения изменений заключается в том, что антивирусная программа предварительно запоминает характеристики всех областей диска, которые могут подвергаться нападению КВ, а затем периодически проверяет их. Если изменение этих характеристик будет обнаружено, то такая программа сообщит пользователю, что, возможно, в компьютер попал КВ.
Антивирусные программы, основанные на обнаружении изменений программной среды, называются ревизорами.
5.6 Метод эвристического анализа реализуется с помощью антивирусных программ, которые проверяют остальные программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для КВ. Так, например, эвристический анализатор может обнаружить, что в проверяемой программе присутствует код, устанавливающий резидентный модуль в памяти.
5.7 В методе резидентных сторожей используются антивирусные программы, которые постоянно находятся в оперативной памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. Резидентный сторож сообщит пользователю о том, что какая-либо программа пытается изменить загрузочный сектор жесткого диска или дискеты, а также выполнимый файл.
5.8 Вакцинирование устанавливает способ защиты любой конкретной программы от КВ, при котором к этой программе присоединяется специальный модуль контроля, следящий за ее целостностью.
При этом проверяются контрольная сумма программы или какие-либо другие ее характеристики. Если КВ заражает вакцинированный файл, модуль контроля обнаруживает изменение контрольной суммы файла и сообщает об этом пользователю.
5.9 Аппаратно-программные методы защиты ПС от КВ реализуются с помощью специализированного устройства - контроллера, вставляемого в один из разъемов расширения компьютера, и специального программного обеспечения, управляющего работой этого контроллера и реализующего один или несколько из программных методов, указанных выше.
6.1 Документация, оформляемая при подготовке и проведении испытаний ПС на наличие КВ, должна содержать сведения, отражающие цель, объем, порядок проведения и результаты таких испытаний.
6.2 Выпуск документа вида "Протокол проверки программных средств на отсутствие компьютерных вирусов" является обязательным. Форму документа "Протокол проверки программных средств на отсутствие компьютерных вирусов" определяют в установленном порядке и передают в орган по сертификации.
6.3 Другие виды документов, выпускаемых по результатам испытаний ПС на наличие КВ, и дополнительные требования к их содержанию определяют по согласованию между организацией, выполняющей проверку ПС, и организацией, заказывающей эту проверку.
6.4 Документация, относящаяся к испытаниям ПС на наличие КВ, может быть представлена на магнитных носителях данных.
Антивирусные программы-сканеры могут гарантированно обнаружить только уже известные КВ, которые были предварительно изучены и для которых была определена сигнатура.
Программам-сканерам не обязательно хранить в себе сигнатуры всех известных КВ. Они могут, например, хранить только контрольные суммы сигнатур. Антивирусные программы-сканеры, которые могут удалить обнаруженные КВ, обычно называются полифагами.
Для эффективного использования антивирусных программ, реализующих метод сканирования, необходимо постоянно обновлять их, получая самые последние версии.
А.2 Метод обнаружения изменений основан на использовании антивирусных программ-ревизоров, которые запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, параметры всех контролируемых файлов, а также информацию о структуре каталогов и номера плохих кластеров диска. Могут быть проверены и другие характеристики компьютера: объем установленной оперативной памяти, количество подключенных к компьютеру дисков и их параметры.