logo
Методичка

11.4 Технология антивирусной защиты

Многие современные процессоры Intel и AMD имеют встроенное средство аппаратной антивирусной защиты. В терминологии Intel данная технология получила название Execute Disable Bit, а в терминологии AMD – Enhanced Virus Protection (EVP). Несмотря на разные названия, суть данных технологий одинакова.

Появление аппаратной антивирусной защиты на уровне процессора обусловлено возросшим объемом вирусных атак и большим количеством пользователей, подключенных к Интернету дома и на работе. Высокую опасность представляют черви, внедряющиеся на ПК без участия пользователя. Вирусные инфекции, которые зависят от человеческого фактора, можно остановить с помощью антивирусных средств. Но черви распространяются самостоятельно, используя «дыры» в коде не только прикладных, но и системных программ, например драйверов сетевых карт. Проникший таким образом червь не может быть блокирован антивирусными средствами, поскольку он выполняется в том же кольце защиты, что и ядро системы.

Технология аппаратной антивирусной защиты на уровне процессора – это комплексное программно-аппаратное средство защиты, блокирующее код, внедренный через механизм переполнения буфера в системной программе. Такие «дыры» имеются во многих программах, так как они возникают часто по вине компиляторов исходного кода. Сегмент памяти, помеченный специальным битом, не может содержать исполнимого кода. При попытке перехода к выполнению кода из этого сегмента (а черви часто работают именно так) процессор генерирует специальное прерывание-исключение, которое будет обработано операционной системой, и пользователь будет оповещен о вирусной атаке. Конечно, существует ряд программ, которые используют такие переходы в своем коде, но они будут внесены в «белый» список и не будут блокироваться операционной системой.

Поддержка технологии антивирусной защиты имеется в операционных системах Windows ХР SP2, Windows 2003 Server SP1, Windows Vista, Windows 7 а также во всех текущих версиях ОС Linux.