Classification des programmes antivirus brièvement. Classification des antivirus

Classification.

Les produits antivirus peuvent être classés selon plusieurs critères, tels que : les technologies de protection antivirus utilisées, les fonctionnalités du produit et les plates-formes cibles.

Selon les technologies de protection antivirus utilisées :

• Produits antivirus classiques (produits qui utilisent uniquement la méthode de détection de signature)
• Produits de protection antivirus proactive (produits qui utilisent uniquement des technologies de protection antivirus proactives) ;
• Produits combinés (produits utilisant à la fois des méthodes de protection classiques basées sur les signatures et des méthodes proactives)

Par fonctionnalité du produit :

• Produits antivirus (produits qui fournissent uniquement une protection antivirus)
• Produits combinés (produits qui offrent plus qu'une simple protection contre malware, mais aussi filtrage anti-spam, cryptage et sauvegarde des données et autres fonctions)

Par plateforme cible:

• Produits antivirus pour les systèmes d'exploitation Windows
• Produits antivirus pour les systèmes d'exploitation *NIX (cette famille comprend BSD, Linux, etc.)
• Produits antivirus pour la famille de systèmes d'exploitation MacOS
• Produits antivirus pour plateformes mobiles(Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7, etc.)

Les produits antivirus destinés aux utilisateurs en entreprise peuvent également être classés par objets de protection :

• Produits antivirus pour protéger les postes de travail
• Produits antivirus pour protéger les serveurs de fichiers et de terminaux
• Produits antivirus pour protéger les passerelles de messagerie et Internet
• Produits antivirus pour protéger les serveurs de virtualisation
• etc.

Caractéristiques programmes antivirus.

Les programmes antivirus sont divisés en : programmes de détection, programmes de médecin, programmes d'auditeur, programmes de filtrage, programmes de vaccination.

Les programmes de détection permettent la recherche et la détection de virus dans la RAM et sur médias externes, et une fois détecté, un message correspondant s'affiche. Il existe des détecteurs universels et spécialisés.

Les détecteurs universels dans leur travail utilisent la vérification de l'immuabilité des fichiers en comptant et en comparant avec une norme de somme de contrôle. L'inconvénient des détecteurs universels est associé à l'incapacité de déterminer les causes de corruption des fichiers.

Des détecteurs spécialisés recherchent les virus connus par leur signature (une section de code répétée). L’inconvénient de ces détecteurs est qu’ils sont incapables de détecter tous les virus connus.

Un détecteur capable de détecter plusieurs virus est appelé polydétecteur.

L'inconvénient de ces programmes antivirus est qu'ils ne peuvent détecter que les virus connus des développeurs de ces programmes.

Les programmes médicaux (phages) détectent non seulement les fichiers infectés par des virus, mais les « traitent » également, c'est-à-dire supprimez le corps du programme antivirus du fichier, renvoyant les fichiers à état initial. Au début de leur travail, les phages recherchent des virus dans la RAM, les détruisent, puis procèdent ensuite au « nettoyage » des fichiers. Parmi les phages, on distingue les polyphages, c'est-à-dire Programmes médicaux conçus pour rechercher et détruire un grand nombre de virus.

Étant donné que de nouveaux virus apparaissent constamment, les programmes de détection et les programmes médicaux deviennent rapidement obsolètes et des mises à jour régulières de leurs versions sont nécessaires.

Les programmes d'audit comptent parmi les moyens de protection les plus fiables contre les virus. Les auditeurs mémorisent l’état initial des programmes, des répertoires et des zones système du disque lorsque l’ordinateur n’est pas infecté par un virus, puis comparent périodiquement ou à la demande de l’utilisateur l’état actuel avec celui d’origine. Les changements détectés sont affichés sur l'écran du moniteur vidéo. En règle générale, les états sont comparés immédiatement après le chargement système opérateur. Lors de la comparaison, la longueur du fichier et le code de contrôle cyclique ( somme de contrôle fichier), date et heure de modification, autres paramètres.

Les programmes d'audit disposent d'algorithmes assez développés, détectent les virus furtifs et peuvent même distinguer les modifications apportées à la version du programme vérifiée des modifications apportées par le virus.

Les programmes de filtrage (watchmen) sont de petits programmes résidents conçus pour détecter les actions suspectes lors du fonctionnement de l'ordinateur, caractéristiques des virus. De telles actions peuvent être :

Tente de corriger les fichiers avec les extensions COM et EXE ;

Modification des attributs du fichier ;

Écriture directe sur le disque à une adresse absolue ;

Lorsqu'un programme tente d'effectuer les actions spécifiées, le « gardien » envoie un message à l'utilisateur et propose d'interdire ou d'autoriser l'action correspondante. Les programmes de filtrage sont très utiles car ils sont capables de détecter un virus dès les premiers stades de son existence, avant sa réplication. Cependant, ils ne « nettoient » pas les fichiers et les disques. Pour détruire les virus, vous devez utiliser d'autres programmes, tels que les phages.

Les inconvénients des programmes de surveillance incluent leur « caractère intrusif » (par exemple, ils émettent constamment un avertissement concernant toute tentative de copie d'un fichier exécutable), ainsi que d'éventuels conflits avec d'autres logiciels.

Les vaccins (immunisateurs) sont des programmes résidents qui empêchent l'infection des fichiers. Les vaccins sont utilisés s’il n’existe aucun programme médical permettant de « traiter » ce virus. La vaccination n'est possible que contre les virus connus. Le vaccin modifie le programme ou le disque de telle manière qu'il n'affecte pas son fonctionnement, et le virus le percevra comme infecté et ne prendra donc pas racine. Actuellement, les programmes de vaccination ont une utilité limitée.

Un inconvénient majeur de ces programmes est leur capacité limitée à prévenir l'infection par un grand nombre de virus différents.

Exemples de programmes antivirus

Lors du choix d'un programme antivirus, il est nécessaire de prendre en compte non seulement le pourcentage de détection de virus, mais également la capacité de détecter de nouveaux virus, le nombre de virus dans la base de données antivirus, la fréquence de ses mises à jour et la présence de virus supplémentaires. fonctions.

Actuellement, un antivirus sérieux devrait être capable de reconnaître au moins 25 000 virus. Cela ne veut pas dire qu’ils sont tous « libres ». En fait, la plupart d’entre eux ont soit cessé d’exister, soit se trouvent dans des laboratoires et ne sont pas distribués. En réalité, il existe entre 200 et 300 virus, et seules quelques dizaines d’entre eux sont dangereux.

Il existe de nombreux programmes antivirus. Regardons les plus célèbres d'entre eux.

Norton AntiVirus 4.0 et 5.0 (fabricant : Symantec).

L'un des antivirus les plus connus et les plus populaires. Le pourcentage de reconnaissance du virus est très élevé (proche de 100 %). Le programme utilise un mécanisme qui vous permet de reconnaître les nouveaux virus inconnus. L'interface de Norton AntiVirus comprend une fonctionnalité LiveUpdate qui vous permet de mettre à jour à la fois le programme et un ensemble de signatures de virus via le Web en cliquant sur un seul bouton. Problèmes liés au maître antivirus sur un virus détecté, et vous donne également le choix de supprimer le virus soit automatiquement, soit plus soigneusement, grâce à une procédure étape par étape qui vous permet de voir chacune des actions effectuées pendant le processus de suppression.

Les bases de données antivirus sont mises à jour très souvent (parfois des mises à jour apparaissent plusieurs fois par semaine). Il y a un moniteur résident.

L'inconvénient de ce programme est qu'il est difficile à configurer (bien qu'il ne soit pratiquement pas nécessaire de modifier les paramètres de base).

Dr Solomon's AntiVirus (fabricant : Dr Solomon's Software).

Considéré comme l'un des plus meilleurs antivirus(Eugene Kaspersky a dit un jour que c'était le seul concurrent de son AVP). Détecte près de 100 % des virus connus et nouveaux. Un grand nombre de fonctions, scanner, moniteur, heuristiques et tout ce dont vous avez besoin pour résister avec succès aux virus.

McAfee VirusScan (fabricant: "Associés McAfee")

C’est l’un des packages antivirus les plus connus. Il supprime très bien les virus, mais VirusScan est pire que les autres packages pour détecter de nouvelles variétés de virus de fichiers. Il s'installe rapidement et facilement en utilisant les paramètres par défaut, mais peut être personnalisé en fonction de vos besoins. Vous pouvez analyser tous les fichiers ou uniquement les fichiers logiciels, distribuer ou non la procédure d'analyse à fichiers compressés. Il possède de nombreuses fonctions pour travailler avec Internet.

.Dr.Web (fabricant : Dialogue Science)

Antivirus domestique populaire. Il reconnaît bien les virus, mais sa base de données en contient beaucoup moins que les autres programmes antivirus.

Antiviral Toolkit Pro (fabricant : Kaspersky Lab).

Cet antivirus est reconnu dans le monde entier comme l’un des plus fiables. Malgré sa simplicité d’utilisation, il dispose de tout l’arsenal nécessaire pour lutter contre les virus. Mécanisme heuristique, analyse redondante, analyse des archives et des fichiers compressés - ce n'est pas une liste complète de ses capacités.

Kaspersky Lab surveille de près l'émergence de nouveaux virus et publie rapidement des mises à jour de ses bases de données antivirus. Il existe un moniteur résident pour surveiller les fichiers exécutables.

Scanners (autres noms : phages, polyphages)

Le principe de fonctionnement des scanners antivirus repose sur la vérification des fichiers, des secteurs et mémoire système et rechercher des virus connus et nouveaux (inconnus du scanner). Pour rechercher des virus connus, des « masques » sont utilisés. Le masque d'un virus est une séquence constante de code spécifique à ce virus particulier. Si le virus ne contient pas de masque permanent ou si la longueur de ce masque n'est pas suffisamment longue, d'autres méthodes sont utilisées. Un exemple d'une telle méthode est un langage algorithmique qui décrit tout options possibles code qui peut survenir en cas d'infection par un virus de ce type. Cette approche est utilisée par certains antivirus pour détecter les virus polymorphes.

De nombreux scanners utilisent également des algorithmes de « numérisation heuristique », c'est-à-dire analyser la séquence de commandes dans l'objet vérifié, collecter des statistiques et prendre une décision pour chaque objet vérifié.

Les scanners peuvent également être divisés en deux catégories : « universels » et « spécialisés ». Les scanners universels sont conçus pour détecter et neutraliser tous les types de virus, quel que soit le système d'exploitation dans lequel le scanner est conçu pour fonctionner. Les scanners spécialisés sont conçus pour neutraliser un nombre limité de virus ou une seule classe de virus, par exemple les virus de macro.

Les scanners sont également divisés en « résidents » (moniteurs), qui effectuent une analyse à la volée, et en « non-résidents », qui analysent le système uniquement sur demande. En règle générale, les scanners « résidents » offrent plus protection fiable systèmes, puisqu’ils réagissent immédiatement à l’apparition d’un virus, tandis qu’un scanner « non-résident » n’est capable d’identifier le virus que lors de son prochain lancement.

Scanners CRC

Le principe de fonctionnement des scanners CRC est basé sur le calcul des sommes CRC (sommes de contrôle) pour les fichiers/secteurs système présents sur le disque. Ces sommes de CRC sont ensuite stockées dans la base de données antivirus, ainsi que quelques autres informations : longueurs des fichiers, dates de leur dernière modification, etc. Lorsqu'ils sont ensuite lancés, les scanners CRC comparent les données contenues dans la base de données avec les valeurs réellement calculées. Si les informations du fichier enregistrées dans la base de données ne correspondent pas aux valeurs réelles, les scanners CRC signalent que le fichier a été modifié ou infecté par un virus.

Les scanners CRC ne sont pas capables de détecter un virus au moment où il apparaît dans le système, mais ne le font que quelque temps plus tard, une fois que le virus s'est propagé dans tout l'ordinateur. Les scanners CRC ne peuvent pas détecter un virus dans les nouveaux fichiers (dans e-mail, sur disquettes, dans des fichiers restaurés à partir d'une sauvegarde ou lors de la décompression de fichiers d'une archive), car leurs bases de données ne contiennent aucune information sur ces fichiers. De plus, des virus apparaissent périodiquement qui profitent de cette « faiblesse » des scanners CRC, infectant uniquement les fichiers nouvellement créés et leur restant ainsi invisibles.

Bloqueurs

Les bloqueurs antivirus sont des programmes résidents qui interceptent les situations « dangereuses pour les virus » et en informent l'utilisateur. Les « virus dangereux » incluent les appels à l'ouverture pour écrire sur des fichiers exécutables, l'écriture sur les secteurs de démarrage des disques ou le MBR d'un disque dur, les tentatives des programmes pour rester résidents, etc., c'est-à-dire les appels typiques des virus au niveau du disque dur. moment de reproduction.

Les avantages des bloqueurs incluent leur capacité à détecter et à arrêter un virus dès le stade le plus précoce de sa reproduction. Les inconvénients incluent l'existence de moyens de contourner la protection des bloqueurs et un grand nombre de faux positifs.

Immunisants

Les vaccinateurs sont divisés en deux types : les vaccinateurs qui signalent l'infection et les vaccinateurs qui bloquent l'infection. Les premiers sont généralement écrits jusqu'à la fin des fichiers (sur la base du principe d'un virus de fichier) et chaque fois que le fichier est lancé, ils vérifient les modifications. De tels vaccinateurs n'ont qu'un seul inconvénient, mais il est mortel : l'incapacité absolue de signaler une infection par un virus furtif. Par conséquent, de tels immunisants, comme les bloqueurs, ne sont pratiquement pas utilisés à l'heure actuelle.

Le deuxième type de vaccination protège le système contre l’infection par un type spécifique de virus. Les fichiers présents sur les disques sont modifiés de telle manière que le virus les perçoit comme déjà infectés. Pour se protéger contre un virus résident, un programme qui simule une copie du virus est entré dans la mémoire de l'ordinateur. Une fois lancé, le virus le rencontre et croit que le système est déjà infecté.

Ce type d'immunisation ne peut pas être universel, puisqu'il est impossible d'immuniser les fichiers contre tous les virus connus.

^ Classification des antivirus basée sur la variabilité dans le temps

D'après Valéry Konyavski , les outils antivirus peuvent être divisés en deux grands groupes : ceux qui analysent les données et ceux qui analysent les processus.

^ Analyse des données

L'analyse des données inclut les « auditeurs » et les « polyphages ». Les « inspecteurs » analysent les conséquences des activités des virus informatiques et autres programmes malveillants. Les conséquences entraînent des modifications des données qui ne devraient pas être modifiées. C'est le fait que les données aient changé qui est un signe d'activité malveillante du point de vue de « l'auditeur ». En d'autres termes, les « auditeurs » surveillent l'intégrité des données et, sur la base du fait d'une violation de l'intégrité, prennent une décision concernant la présence de programmes malveillants dans l'environnement informatique.

Les « polyphages » agissent différemment. Sur la base de l'analyse des données, ils identifient des fragments code malveillant(par exemple, par sa signature) et sur cette base, ils concluent à la présence de logiciels malveillants. La suppression ou la « guérison » des données infectées par un virus vous permet d'éviter les conséquences négatives de l'exécution de programmes malveillants. Ainsi, sur la base de l'analyse « en statique », les conséquences qui surviennent « en dynamique » sont évitées.

Le schéma de travail des « auditeurs » et des « polyphages » est presque le même : comparer les données (ou leur somme de contrôle) avec un ou plusieurs échantillons de référence. Les données sont comparées aux données. Ainsi, pour détecter un virus dans votre ordinateur, il faut qu'il ait déjà « travaillé » pour que les conséquences de son activité apparaissent. Cette méthode ne peut détecter que les virus connus pour lesquels des fragments de code ou des signatures ont été décrits précédemment. Une telle protection peut difficilement être qualifiée de fiable.


^ Analyse des processus

Les outils antivirus basés sur l'analyse des processus fonctionnent quelque peu différemment. Les « analyseurs heuristiques », comme ceux décrits ci-dessus, analysent des données (sur disque, dans un canal, en mémoire, etc.). La différence fondamentale est que l'analyse est effectuée en supposant que le code analysé n'est pas des données, mais des commandes (dans les ordinateurs avec une architecture von Neumann, les données et les commandes sont indiscernables, et donc lors de l'analyse, il faut faire l'une ou l'autre hypothèse .)

L'« analyseur heuristique » identifie une séquence d'opérations, attribue à chacune d'elles une certaine note de « danger » et, sur la base de l'ensemble du « danger », décide si cette séquence d'opérations fait partie d'un code malveillant. Le code lui-même n'est pas exécuté.

Un autre type d’outils antivirus basés sur l’analyse des processus sont les « bloqueurs comportementaux ». Dans ce cas, le code suspect est exécuté étape par étape jusqu'à ce que l'ensemble des actions initiées par le code soit évalué comme un comportement « dangereux » (ou « sûr »). Dans ce cas, le code est partiellement exécuté, car la complétion du code malveillant peut être détectée ultérieurement. méthodes simples analyse des données.

Technologies de détection de virus

Les technologies utilisées dans les antivirus peuvent être divisées en deux groupes :

• 
  Technologies d'analyse de signatures
  
• 
  Technologies d'analyse probabiliste
  

• 
  Analyse heuristique
  
• 
  Analyse comportementale
  
• 
  Analyse de la somme de contrôle
  

• 
  Complexe antivirus pour la protection des postes de travail
  
• 
  Complexe antivirus pour protéger les serveurs de fichiers
  
• 
  Complexe antivirus pour la protection des systèmes de messagerie
  
• 
  Complexe antivirus pour la protection des passerelles.

Bien que la sécurité générale des informations et les mesures préventives soient très importantes pour se protéger contre les virus, il est nécessaire d'utiliser programmes spécialisés. Ces programmes peuvent être divisés en plusieurs types :

• ? Les programmes de détection vérifient si les fichiers sur le disque contiennent une combinaison spécifique d'octets (signature) pour un virus connu et le signalent à l'utilisateur (VirusScan/SCAN/McAfee Associates).
• ? Les programmes Doctor ou phages « traitent » les programmes infectés en « éliminant » le corps du virus des programmes infectés, avec et sans restauration de l'habitat (fichier infecté) - le module de guérison du programme SCAN - le programme CLEAN.
• ? Les programmes de détection médicale (Aidstest de Lozinsky, Doctor Web de Danilov, MSAV, Norton Antivirus, AVP de Kaspersky) sont capables de détecter la présence d'un virus connu sur un disque et de guérir le fichier infecté. Le groupe de programmes antivirus le plus courant aujourd'hui.

Dans le très cas simple La commande pour vérifier le contenu du disque pour les virus ressemble à : aidstest /key1/key 2 /key 3 /---

• ? Les programmes de filtrage (watchmen) résident dans la RAM du PC et interceptent les appels au système d'exploitation utilisés par les virus pour se reproduire et causer des dommages et les signaler à l'utilisateur :
• - une tentative de corruption du fichier principal du système d'exploitation COMMAND.COM ;
• - une tentative d'écriture directement sur le disque (l'enregistrement précédent est supprimé), et un message apparaît indiquant qu'un programme essaie de copier sur le disque ;
• - le formatage du disque,
• - placement résident du programme en mémoire.

Ayant détecté une tentative d'une de ces actions, le programme de filtrage fournit à l'utilisateur une description de la situation et lui demande une confirmation. L'utilisateur peut autoriser ou refuser cette opération. Le contrôle des actions, caractéristiques des virus, s'effectue en remplaçant les gestionnaires d'interruptions correspondants. Les inconvénients de ces programmes incluent le caractère intrusif (le garde, par exemple, émet un avertissement concernant toute tentative de copie d'un fichier exécutable), d'éventuels conflits avec d'autres logiciels et le contournement des gardes par certains virus. Exemples de filtres : Anti4us, Vsafe, Disk Monitor.

Il convient de noter qu'aujourd'hui de nombreux programmes de la classe médecin-détecteur disposent également d'un module résident - un filtre (garde), par exemple DR Web, AVP, Norton Antivirus. Ainsi, ces programmes peuvent être classés comme médecin-détecteur-garde.

• ? Outils antivirus matériels et logiciels (complexe matériel et logiciel Sheriff). Au même titre que les programmes de surveillance, il existe des outils antivirus matériels et logiciels qui offrent une protection plus fiable contre la pénétration des virus dans le système. De tels complexes se composent de deux parties : le matériel, qui est installé sous la forme d'un microcircuit sur Carte mère et les logiciels écrits sur le disque. La partie matérielle (contrôleur) surveille toutes les opérations d'écriture sur le disque, la partie logicielle, étant résidente dans la RAM, surveille toutes les opérations d'entrée/sortie d'informations. Cependant, la possibilité d'utiliser ces outils nécessite une réflexion approfondie en termes de configuration des équipements supplémentaires utilisés sur le PC, par exemple des contrôleurs de disque, des modems ou des cartes réseau.
• ? Programmes d'audit (Adinf/Advanced Disk infoscope/avec bloc de traitement ADinf Cure Module Mostovoy). Les programmes d'audit comportent deux étapes de travail. Premièrement, ils mémorisent des informations sur l'état des programmes et des zones système des disques (secteur de démarrage et secteur avec table de partition). disque dur aux partitions logiques). On suppose qu’à l’heure actuelle, les programmes et les zones du disque système ne sont pas infectés. Ensuite, lors de la comparaison des zones et des disques du système avec ceux d'origine, si une anomalie est détectée, l'utilisateur en est informé. Les programmes d'audit sont capables de détecter les virus invisibles (STEALTH). Vérifier la longueur des fichiers n'est pas suffisant ; certains virus ne modifient pas la longueur des fichiers infectés. Une vérification plus fiable consiste à lire l'intégralité du fichier et à calculer sa somme de contrôle (bit par bit). Il est presque impossible de modifier l'intégralité du fichier pour que sa somme de contrôle reste la même. Les inconvénients mineurs des auditeurs incluent le fait que pour garantir la sécurité, ils doivent être utilisés régulièrement, par exemple en étant appelés quotidiennement à partir du fichier AUTOEXEC.BAT. Mais leurs avantages incontestables sont grande vitesse les chèques et ce dont ils n'ont pas besoin mises à jour fréquentes versions. Les versions de l'auditeur, même vieilles de six mois, détectent et suppriment de manière fiable les virus modernes.
• ? Programmes de vaccination ou d'immunisation (CPAV). Les programmes de vaccination modifient les programmes et les disques de telle sorte que cela n'affecte pas le fonctionnement des programmes, mais le virus contre lequel la vaccination est effectuée considère ces programmes et disques comme étant déjà infectés. Ces programmes ne sont pas assez efficaces.

Classiquement, une stratégie de protection contre un virus peut être définie comme une défense « à plusieurs niveaux ». Structurellement, cela pourrait ressembler à ceci. Les outils de reconnaissance dans la « défense » contre les virus correspondent à des programmes de détection qui permettent de détecter la présence de virus dans les logiciels nouvellement reçus. À l'avant-garde de la défense se trouvent les programmes de filtrage qui résident dans mémoire de l'ordinateur. Ces programmes peuvent être les premiers à signaler l’activité du virus. Le deuxième échelon de la « défense » est constitué des programmes d’audit. Les auditeurs détectent une attaque virale même lorsqu’elle a réussi à « s’infiltrer » à travers la première ligne de défense. Les programmes Doctor sont utilisés pour restaurer les programmes infectés si une copie du programme infecté ne se trouve pas dans l'archive, mais ils ne guérissent pas toujours correctement. Les médecins inspecteurs détectent une attaque virale, traitent les programmes infectés et contrôlent l'exactitude du traitement. L’échelon de défense le plus profond est constitué par les moyens de contrôle d’accès. Ils ne permettent pas aux virus et aux programmes défectueux, même s'ils ont pénétré dans le PC, de gâcher des données importantes. La « réserve stratégique » contient des copies d'archives d'informations et des disquettes « de référence » avec produits logiciels. Ils vous permettent de restaurer des informations si elles sont endommagées.

Les actions néfastes de chaque type de virus peuvent être très diverses. Cela inclut la suppression de fichiers importants ou même du micrologiciel du BIOS, le transfert d'informations personnelles, telles que des mots de passe, vers une adresse spécifique, l'organisation de campagnes par courrier électronique non autorisées et d'attaques sur certains sites Web. Il est également possible de commencer à composer un numéro téléphone portable sur numéros payants. Des utilitaires d'administration cachés (porte dérobée) peuvent même transférer le contrôle total de l'ordinateur à un attaquant. Heureusement, tous ces problèmes peuvent être combattus avec succès, et l’arme principale dans cette lutte sera bien entendu un logiciel antivirus.

Kaspersky Antivirus. « Kaspersky Anti-Virus » est peut-être le produit de ce type le plus célèbre en Russie, et le nom « Kaspersky » est devenu synonyme de lutte contre les codes malveillants. Le laboratoire du même nom publie non seulement en permanence de nouvelles versions de ses logiciels de sécurité, mais mène également un travail pédagogique auprès des utilisateurs d'ordinateurs. La dernière et neuvième version de Kaspersky Anti-Virus, comme les versions précédentes, se distingue par une interface simple et extrêmement transparente qui regroupe tous les utilitaires nécessaires dans une seule fenêtre. Grâce à l'assistant d'installation et aux options de menu intuitives, même un utilisateur novice peut configurer ce produit. La puissance des algorithmes utilisés satisfera même les professionnels. AVEC description détaillée Chacun des virus détectés peut être visualisé en appelant la page correspondante sur Internet directement depuis le programme.

Dr. Internet. Un autre antivirus russe populaire, rivalisant en popularité avec Kaspersky Anti-Virus, est Dr. Internet. Sa version d'essai possède une fonctionnalité intéressante : elle nécessite une inscription obligatoire via Internet. D'une part, c'est très bien - immédiatement après l'enregistrement, la base de données antivirus est mise à jour et l'utilisateur reçoit les dernières données sur les signatures. En revanche, il est impossible d'installer la version d'essai hors ligne et, comme l'expérience l'a montré, des problèmes sont inévitables en cas de connexion instable.

Panda Antivirus + Firewall 2007. Solution complète dans le domaine de sécurité informatique- Package Panda Antivirus+Firewall 2007 - comprend, en plus du programme antivirus, un pare-feu qui surveille l'activité du réseau. L'interface de la fenêtre principale du programme est conçue dans des tons verts « naturels », mais malgré son attrait visuel, le système de navigation dans les menus est construit de manière peu pratique et un utilisateur novice peut très bien se perdre dans les paramètres.

Le package Panda contient plusieurs solutions originales, comme la technologie propriétaire de TruePrevent pour la recherche de menaces inconnues, basée sur les algorithmes heuristiques les plus avancés. Il convient également de prêter attention à l'utilitaire de recherche de vulnérabilités informatiques - il évalue le danger de « trous » dans le système de sécurité et propose de télécharger les mises à jour nécessaires.

Norton Antivirus 2005. La principale impression du produit de la célèbre société Symantec - le complexe antivirus Norton Antivirus 2005 - est l'accent mis sur de puissants systèmes informatiques. La réponse de l'interface Norton Antivirus 2005 aux actions de l'utilisateur est sensiblement retardée. De plus, lors de l'installation, il impose des exigences assez strictes aux versions du système d'exploitation et Internet Explorer. Contrairement à Dr.Web, Norton Antivirus ne nécessite pas de mise à jour des bases virales lors de l'installation, mais vous rappellera qu'elles sont obsolètes tout au long de l'opération.

McAfee VirusScan. Nous avons choisi pour les tests un produit antivirus intéressant qui, selon les développeurs, est le scanner n°1 au monde - McAfee VirusScan - car, parmi des applications similaires, il se distingue par sa grande taille de distribution (plus de 40 Mo ). Pensant que cette valeur était due à ses nombreuses fonctionnalités, nous avons procédé à l'installation et avons découvert qu'en plus de l'analyseur antivirus, il comprenait un pare-feu, ainsi que des utilitaires pour nettoyer le disque dur et garantir la suppression des objets du disque dur. lecteur (destructeur de fichiers).

Questions pour les chapitres 6 et 7

• 1. Étapes de développement des outils et technologies de sécurité de l'information.
• 2. Composants du modèle de sécurité standard.
• 3. Sources des menaces à la sécurité et leur classification.
• 4. Menaces involontaires pour la sécurité des informations.
• 5. Menaces délibérées pour la sécurité de l'information.
• 6. Classification des canaux de fuite d'informations.
• 7. Régulation des problèmes de sécurité de l'information.
• 8. Structure du système de sécurité de l'information de l'État.
• 9. Méthodes et moyens de sécurité de l'information.
• 10. Classification des menaces à la sécurité des données.
• 11. Méthodes de protection des informations contre les virus.
• 12. Méthodes de contrôle d'intégrité.
• 13. Classification des virus informatiques.
• 14. Protection antivirus.
• 15. Mesures antivirus préventives.
• 16. Classification des produits logiciels antivirus.

Méthodes de base pour détecter les virus

programmes antivirus développés parallèlement à l’évolution des virus. Avec l’émergence de nouvelles technologies permettant de créer des virus, l’appareil mathématique utilisé dans le développement des antivirus est devenu plus complexe.

Les premiers algorithmes antivirus étaient basés sur une comparaison avec un standard. Nous parlons de programmes dans lesquels le virus est détecté par le noyau classique à l'aide d'un certain masque. Le but de l'algorithme est d'utiliser des méthodes statistiques. Le masque doit, d'une part, être petit pour que le volume du fichier soit d'une taille acceptable, et d'autre part, suffisamment grand pour éviter les faux positifs (lorsque « le sien » est perçu comme « celui de quelqu'un d'autre », et vice-versa versa).

Les premiers programmes antivirus construits sur ce principe (les scanners dits polyphages) connaissaient un certain nombre de virus et savaient comment les traiter. Ces programmes ont été créés comme suit : le développeur, après avoir reçu le code du virus (le code du virus était initialement statique), a créé un masque unique (une séquence de 10 à 15 octets) basé sur ce code et l'a saisi dans la base de données du programme antivirus. Le programme antivirus a analysé les fichiers et, s'il a trouvé cette séquence d'octets, a conclu que le fichier était infecté. Cette séquence (signature) a été choisie de manière à ce qu'elle soit unique et ne se trouve pas dans un ensemble de données régulier.

Les approches décrites ont été utilisées par la plupart des programmes antivirus jusqu'au milieu des années 90, lorsque sont apparus les premiers virus polymorphes qui modifiaient leur corps selon des algorithmes imprévisibles à l'avance. Ensuite, la méthode de signature a été complétée par ce que l'on appelle l'émulateur de processeur, qui permet de trouver des virus cryptés et polymorphes qui ne possèdent pas explicitement de signature permanente.

Le principe de l'émulation du processeur est démontré dans la Fig. 1. Si généralement une chaîne conditionnelle se compose de trois éléments principaux : CPU®OS®Programme, alors lors de l'émulation d'un processeur, un émulateur est ajouté à une telle chaîne. L'émulateur, pour ainsi dire, reproduit le travail du programme dans un espace virtuel et reconstruit son contenu original. L'émulateur est toujours capable d'interrompre exécution du programme

, contrôle ses actions, l'empêchant de gâcher quoi que ce soit, et appelle le noyau d'analyse antivirus.

Le deuxième mécanisme, apparu au milieu des années 90 et utilisé par tous les antivirus, est l’analyse heuristique. Le fait est que l'appareil d'émulation de processeur, qui permet d'obtenir une synthèse des actions effectuées par le programme analysé, ne permet pas toujours de rechercher ces actions, mais il permet d'effectuer une analyse et d'émettre une hypothèse. comme « virus ou pas virus ? » DANS dans ce cas

la prise de décision repose sur des approches statistiques. Et le programme correspondant s'appelle un analyseur heuristique. Pour se reproduire, le virus doit effectuer certaines actions spécifiques : copier en mémoire, écrire dans des secteurs, etc. L'analyseur heuristique (il fait partie du noyau antivirus) contient une liste de ces actions, examine le code d'exécution du programme, détermine ce qu'il fait et, sur cette base, prend une décision, est ce programme

virus ou pas.

Dans le même temps, le pourcentage de virus manquants, même inconnus du programme antivirus, est très faible. Cette technologie est désormais largement utilisée dans tous les programmes antivirus.

Classification des programmes antivirus

Les antivirus purs se distinguent par la présence d'un noyau antivirus, qui remplit la fonction d'analyse des échantillons. Le principe dans ce cas est qu’un traitement est possible si le virus est connu. Les antivirus purs, quant à eux, sont divisés en deux catégories en fonction du type d'accès aux fichiers : ceux qui exercent un contrôle par accès (à l'accès) ou par demande de l'utilisateur (à la demande). En règle générale, les produits à l'accès sont appelés moniteurs et les produits à la demande sont appelés scanners.

Le produit à la demande fonctionne selon le schéma suivant : l'utilisateur souhaite vérifier quelque chose et émet une demande (demande), après quoi la vérification est effectuée. Le produit On Access est un programme résident qui surveille l'accès et effectue une vérification au moment de l'accès.

De plus, les programmes antivirus, comme les virus, peuvent être divisés en fonction de la plate-forme sur laquelle l'antivirus fonctionne. En ce sens, aux côtés de Windows ou Linux, les plateformes peuvent inclure Microsoft Exchange Serveur Microsoft Office, Lotus-Notes.

Les programmes à double usage sont des programmes utilisés à la fois dans les antivirus et dans les logiciels qui ne sont pas des antivirus. Par exemple, CRC-checker - un auditeur de modifications basé sur des sommes de contrôle - peut être utilisé non seulement pour détecter les virus. Un type de programmes à double usage sont les bloqueurs comportementaux, qui analysent le comportement d'autres programmes et les bloquent lorsque des actions suspectes sont détectées. Les bloqueurs comportementaux diffèrent d'un antivirus classique doté d'un noyau antivirus, qui reconnaît et traite les virus analysés en laboratoire et pour lesquels un algorithme de traitement a été prescrit, en ce sens qu'ils ne peuvent pas traiter les virus car ils n'en connaissent rien. Cette propriété des bloqueurs leur permet de travailler avec n'importe quel virus, y compris les virus inconnus. Ceci est particulièrement pertinent aujourd'hui, car les distributeurs de virus et d'antivirus utilisent les mêmes canaux de transmission de données, à savoir Internet. Dans le même temps, une société antivirus a toujours besoin de temps pour obtenir le virus elle-même, l’analyser et écrire les modules de traitement appropriés.

Les programmes du groupe à double usage vous permettent de bloquer la propagation du virus jusqu'à ce que l'entreprise écrive un module de traitement.

L'examen comprend les antivirus les plus populaires pour un usage personnel de cinq développeurs renommés. Il convient de noter que certaines des sociétés évoquées ci-dessous proposent plusieurs versions de programmes personnels qui diffèrent par leurs fonctionnalités et, par conséquent, par leur prix. Dans notre examen, nous avons examiné un produit de chaque entreprise, en choisissant la version la plus fonctionnelle, généralement appelée Personal Pro. D'autres options d'antivirus personnels peuvent être trouvées sur les sites Web correspondants.

Kaspersky Antivirus

Personnel Pro v. 4.0

Développeur : Kaspersky Lab. Site Web : http://www.kaspersky.ru/.

Prix : 69 $ (licence d'un an). Kaspersky Anti-Virus Personal Pro (Fig. 3), l'une des solutions les plus populaires sur marché russe

et contient un certain nombre de technologies uniques.

Le module de blocage comportemental Office Guard maintient l'exécution des macros sous contrôle, arrêtant toutes les actions suspectes. La présence du module Office Guard offre une protection à 100 % contre les virus de macro. L'Inspecteur surveille toutes les modifications apportées à votre ordinateur et détecte les modifications non autorisées apportées aux fichiers ou registre du système

vous permet de restaurer le contenu du disque et de supprimer les codes malveillants. Inspector ne nécessite pas de mise à jour de la base de données antivirus : le contrôle d'intégrité est effectué sur la base de la prise des empreintes digitales des fichiers originaux (sommes CRC) et de leur comparaison ultérieure avec les fichiers modifiés.

Contrairement aux autres inspecteurs, Inspector prend en charge tous les formats de fichiers exécutables les plus courants. L'analyseur heuristique permet de protéger votre ordinateur même contre les virus inconnus. L'intercepteur de virus en arrière-plan Monitor, constamment présent dans la mémoire de l'ordinateur, effectue une analyse antivirus de tous les fichiers immédiatement au moment de leur lancement, création ou copie, ce qui vous permet de tout contrôler.

opérations sur les fichiers et prévenir l'infection par les virus même les plus avancés technologiquement. en vérifiant toutes les sections des messages entrants et sortants, y compris les fichiers joints (y compris archivés et empaquetés) et autres messages de tout niveau d'imbrication.

Analyseur antivirus Le scanner permet d'effectuer une analyse à grande échelle de l'intégralité du contenu des lecteurs locaux et réseau à la demande.

L'intercepteur de virus de script Script Checker fournit une analyse antivirus de tous les scripts en cours d'exécution avant leur exécution.

La prise en charge des fichiers archivés et compressés offre la possibilité de supprimer le code malveillant d'un fichier compressé infecté.

L'isolation des objets infectés garantit que les objets infectés et suspects sont isolés puis déplacés vers un répertoire spécialement organisé pour une analyse et une récupération plus approfondies.

L'automatisation de la protection antivirus vous permet de créer un calendrier et un ordre de fonctionnement des composants du programme ; télécharger et connecter automatiquement les nouvelles mises à jour de la base de données antivirus via Internet ; envoyer des avertissements sur les attaques de virus détectées par e-mail, etc.

Norton AntiVirus 2003 Édition Professionnelle

Développeur : Symantec. Site Web : http://www.symantec.ru/.

Prix ​​89,95 euros.

Le programme fonctionne sous Contrôle Windows 95/98/Moi/NT4.0/2000 Pro/XP.

Prix ​​: 39,95 $

Le programme fonctionne sous Windows 95/98/Me/NT4.0/2000 Pro/XP.

Un programme antivirus (antivirus) est un programme permettant d'identifier et de supprimer les virus informatiques et autres programmes malveillants, d'empêcher leur propagation et de restaurer les programmes infectés par ceux-ci.

Les principales tâches des programmes antivirus modernes :

• - Analysez les fichiers et les programmes en temps réel.
• -- Scannez votre ordinateur à la demande.
• - Analyse du trafic Internet.
• - Scannez les e-mails.
• -- Protection contre les attaques de sites Web dangereux.
• -- Récupération fichiers endommagés(traitement).

Classification des programmes antivirus :

• · programmes de détection assurer la recherche et la détection des virus dans la RAM et sur les supports externes, et s'ils sont détectés, émettre un message correspondant. On distingue les détecteurs :
  • 1. universel - ils utilisent dans leur travail pour vérifier l'immuabilité des fichiers en comptant et en comparant avec une norme de somme de contrôle
  • 2. spécialisé- rechercher des virus connus par leur signature (une section de code répétée). L’inconvénient de ces détecteurs est qu’ils sont incapables de détecter tous les virus connus.

Un détecteur capable de détecter plusieurs virus est appelé polydétecteur. L'inconvénient de ces programmes antivirus est qu'ils ne peuvent détecter que les virus connus des développeurs de ces programmes.

• · Programmes de docteur (phages) non seulement trouver les fichiers infectés par des virus, mais aussi les « traiter », c'est-à-dire supprimez le corps du programme antivirus du fichier, ramenant les fichiers à leur état d'origine. Au début de leur travail, les phages recherchent des virus dans la RAM, les détruisent, puis procèdent ensuite au « nettoyage » des fichiers. Parmi les phages, on distingue les polyphages, c'est-à-dire Programmes médicaux conçus pour rechercher et détruire grande quantité virus. Étant donné que de nouveaux virus apparaissent constamment, les programmes de détection et les programmes médicaux deviennent rapidement obsolètes et des mises à jour régulières de leurs versions sont nécessaires.
• · Programmes d'audit sont parmi les moyens de protection les plus fiables contre les virus. Les auditeurs mémorisent l’état initial des programmes, des répertoires et des zones système du disque lorsque l’ordinateur n’est pas infecté par un virus, puis comparent périodiquement ou à la demande de l’utilisateur l’état actuel avec celui d’origine. Les modifications détectées sont affichées sur l'écran du moniteur. En règle générale, la comparaison des états est effectuée immédiatement après le chargement du système d'exploitation. Lors de la comparaison, la longueur du fichier, le code de contrôle cyclique (somme de contrôle du fichier), la date et l'heure de modification et d'autres paramètres sont vérifiés.
• · Programmes de filtrage (gardiens) sont de petits programmes résidents conçus pour détecter les actions suspectes lors du fonctionnement de l'ordinateur, caractéristiques des virus. De telles actions peuvent être :
  • 1. tente de corriger les fichiers avec les extensions COM et EXE ;
  • 2. modification des attributs du fichier ;
  • 3. enregistrement direct sur disque à une adresse absolue ;
  • 4. entrée à secteurs de démarrage disque;

Programmes de vaccination (immunisateurs)- Ce sont des programmes résidents qui empêchent l'infection des fichiers. Les vaccins sont utilisés s’il n’existe aucun programme médical permettant de « traiter » ce virus. La vaccination n'est possible que contre les virus connus. Le vaccin modifie le programme ou le disque de telle manière qu'il n'affecte pas son fonctionnement, et le virus le percevra comme infecté et ne prendra donc pas racine. Un inconvénient majeur de ces programmes est leur capacité limitée à prévenir l'infection par un grand nombre de virus différents.

Fonctions des programmes antivirus

Protection antivirus en temps réel

La plupart des programmes antivirus offrent une protection en temps réel. Cela signifie que le programme antivirus protège votre ordinateur de toutes les menaces entrantes chaque seconde. Par conséquent, même si aucun virus n’a infecté votre ordinateur, vous devriez envisager d’installer un programme antivirus avec protection en temps réel pour empêcher la propagation de l’infection.

Détection des menaces

Les programmes antivirus peuvent analyser l’intégralité de votre ordinateur à la recherche de virus. Les zones les plus vulnérables sont scannées en premier, dossiers système, BÉLIER. Vous pouvez également choisir vous-même les secteurs à analyser, ou choisir, par exemple, d'analyser un disque dur spécifique. Cependant, tous les programmes antivirus ne sont pas identiques dans leurs algorithmes et certains programmes antivirus ont un taux de détection plus élevé que d’autres.

Mises à jour automatiques

De nouveaux virus sont créés et apparaissent chaque jour. Il est donc extrêmement important que les programmes antivirus soient capables de mettre à jour les bases de données antivirus (une liste de tous les virus connus, anciens et nouveaux). Mise à jour automatique est nécessaire car un antivirus obsolète ne peut pas détecter les nouveaux virus et menaces. De plus, si votre programme antivirus propose uniquement mise à jour manuelle Vous pourriez oublier de mettre à jour vos définitions antivirus et votre ordinateur pourrait être infecté par un nouveau virus. Essayez de choisir un antivirus avec des mises à jour automatiques.

Alertes

L'antivirus vous avertira lorsqu'un programme tentera d'accéder à votre ordinateur. Un exemple est celui des applications Internet. De nombreux programmes qui tentent d'accéder à votre PC sont inoffensifs ou vous les avez téléchargés volontairement et les programmes antivirus vous donnent donc la possibilité de décider vous-même d'autoriser ou de bloquer leur installation ou leur fonctionnement.