ანტივირუსული პროგრამების მოკლე კლასიფიკაცია. ანტივირუსების კლასიფიკაცია

კლასიფიკაცია.

ანტივირუსული პროდუქტები შეიძლება კლასიფიცირდეს რამდენიმე კრიტერიუმის მიხედვით, როგორიცაა: გამოყენებული ანტივირუსული დაცვის ტექნოლოგიები, პროდუქტის ფუნქციონალობა და სამიზნე პლატფორმები.

გამოყენებული ანტივირუსული დაცვის ტექნოლოგიების მიხედვით:

• კლასიკური ანტივირუსული პროდუქტები (პროდუქტები, რომლებიც იყენებენ მხოლოდ ხელმოწერის გამოვლენის მეთოდს)
• პროაქტიული ანტივირუსული დაცვის საშუალებები (პროდუქტები, რომლებიც იყენებენ მხოლოდ პროაქტიულ ანტივირუსული დაცვის ტექნოლოგიებს);
• კომბინირებული პროდუქტები (პროდუქტები, რომლებიც იყენებენ როგორც კლასიკურ, ხელმოწერებზე დაფუძნებულ დაცვის მეთოდებს, ასევე პროაქტიულს)

პროდუქტის ფუნქციონალურობით:

• ანტივირუსული პროდუქტები (პროდუქტები, რომლებიც უზრუნველყოფენ მხოლოდ ანტივირუსულ დაცვას)
• კომბინირებული პროდუქტები (პროდუქტები, რომლებიც უზრუნველყოფენ არა მხოლოდ დაცვას მავნე პროგრამა, არამედ სპამის ფილტრაცია, დაშიფვრა და მონაცემთა სარეზერვო და სხვა ფუნქციები)

სამიზნე პლატფორმის მიხედვით:

• ანტივირუსული პროდუქტები Windows ოპერაციული სისტემებისთვის
• ანტივირუსული პროდუქტები *NIX ოპერაციული სისტემებისთვის (ამ ოჯახში შედის BSD, Linux და ა.შ.)
• ანტივირუსული პროდუქტები MacOS ოპერაციული სისტემების ოჯახისთვის
• ანტივირუსული პროდუქტებისთვის მობილური პლატფორმები(Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 და ა.შ.)

კორპორატიული მომხმარებლებისთვის ანტივირუსული პროდუქტები ასევე შეიძლება კლასიფიცირდეს დაცვის ობიექტების მიხედვით:

• ანტივირუსული პროდუქტები სამუშაო სადგურების დასაცავად
• ანტივირუსული პროდუქტები ფაილის და ტერმინალის სერვერების დასაცავად
• ანტივირუსული პროდუქტები ელექტრონული ფოსტისა და ინტერნეტ კარიბჭეების დასაცავად
• ანტივირუსული პროდუქტები ვირტუალიზაციის სერვერების დასაცავად
• და ა.შ.

დამახასიათებელი ანტივირუსული პროგრამები.

ანტივირუსული პროგრამები იყოფა: დეტექტორულ პროგრამებად, ექიმის პროგრამებად, აუდიტორულ პროგრამებად, ფილტრის პროგრამებად, ვაქცინის პროგრამებად.

დეტექტორის პროგრამები უზრუნველყოფს ვირუსების ძიებას და გამოვლენას RAM-ში და სხვა გარე მედიადა როდესაც აღმოჩენილია, გამოჩნდება შესაბამისი შეტყობინება. არსებობს უნივერსალური და სპეციალიზებული დეტექტორები.

უნივერსალური დეტექტორები თავიანთ მუშაობაში იყენებენ ფაილების უცვლელობის შემოწმებას საკონტროლო ჯამის სტანდარტთან დათვლით და შედარებით. უნივერსალური დეტექტორების მინუსი დაკავშირებულია ფაილების კორუფციის მიზეზების დადგენის შეუძლებლობასთან.

სპეციალიზებული დეტექტორები ეძებენ ცნობილ ვირუსებს მათი ხელმოწერით (კოდის განმეორებითი განყოფილება). ასეთი დეტექტორების მინუსი არის ის, რომ მათ არ შეუძლიათ ყველა ცნობილი ვირუსის აღმოჩენა.

დეტექტორს, რომელსაც შეუძლია მრავალი ვირუსის აღმოჩენა, ეწოდება პოლიდეტექტორი.

ასეთი ანტივირუსული პროგრამების მინუსი არის ის, რომ მათ შეუძლიათ მხოლოდ ვირუსების პოვნა, რომლებიც ცნობილია ასეთი პროგრამების შემქმნელებისთვის.

ექიმის პროგრამები (ფაგები) არა მხოლოდ პოულობენ ვირუსებით ინფიცირებულ ფაილებს, არამედ „მკურნალობენ“ მათ, ე.ი. ამოიღეთ ვირუსის პროგრამის სხეული ფაილიდან, დააბრუნეთ ფაილები საწყისი მდგომარეობა. მუშაობის დასაწყისში ფაგები ეძებენ ვირუსებს RAM-ში, ანადგურებენ მათ და მხოლოდ ამის შემდეგ აგრძელებენ ფაილების „გაწმენდას“. ფაგებს შორის გამოიყოფა პოლიფაგები, ე.ი. დოქტორის პროგრამები, რომლებიც შექმნილია დიდი რაოდენობით ვირუსების მოსაძებნად და განადგურებისთვის.

იმის გათვალისწინებით, რომ ახალი ვირუსები მუდმივად ჩნდება, დეტექტორის პროგრამები და ექიმის პროგრამები სწრაფად ხდება მოძველებული და საჭიროა მათი ვერსიების რეგულარული განახლება.

აუდიტის პროგრამები ვირუსებისგან დაცვის ყველაზე საიმედო საშუალებაა. აუდიტორებს ახსოვთ დისკის პროგრამების, დირექტორიების და სისტემის არეების საწყისი მდგომარეობა, როდესაც კომპიუტერი არ არის ვირუსით დაინფიცირებული და შემდეგ პერიოდულად ან მომხმარებლის მოთხოვნით ადარებენ მიმდინარე მდგომარეობას თავდაპირველთან. აღმოჩენილი ცვლილებები ნაჩვენებია ვიდეო მონიტორის ეკრანზე. როგორც წესი, მდგომარეობები შედარებულია ჩატვირთვისთანავე ოპერაციული სისტემა. შედარებისას, ფაილის სიგრძე და ციკლური კონტროლის კოდი ( საკონტროლო ჯამიფაილი), მოდიფიკაციის თარიღი და დრო, სხვა პარამეტრები.

აუდიტორულ პროგრამებს აქვთ საკმაოდ განვითარებული ალგორითმები, აღმოაჩენენ სტელს ვირუსებს და შეუძლიათ განასხვავონ შემოწმებული პროგრამის ვერსიაში ცვლილებები ვირუსის მიერ განხორციელებული ცვლილებებისგან.

ფილტრის პროგრამები (watchmen) არის პატარა რეზიდენტური პროგრამები, რომლებიც შექმნილია კომპიუტერის მუშაობის დროს საეჭვო მოქმედებების გამოსავლენად, ვირუსებისთვის დამახასიათებელი. ასეთი ქმედებები შეიძლება იყოს:

ფაილების გამოსწორების მცდელობები COM და EXE გაფართოებებით;

ფაილის ატრიბუტების შეცვლა;

პირდაპირი ჩაწერა დისკზე აბსოლუტურ მისამართზე;

როდესაც რომელიმე პროგრამა ცდილობს შეასრულოს მითითებული მოქმედებები, „გუშაგი“ უგზავნის შეტყობინებას მომხმარებელს და სთავაზობს აკრძალოს ან დაუშვას შესაბამისი მოქმედება. ფილტრის პროგრამები ძალიან სასარგებლოა, რადგან მათ შეუძლიათ ვირუსის აღმოჩენა მისი არსებობის ადრეულ ეტაპზე რეპლიკაციამდე. თუმცა, ისინი არ "ასუფთავებენ" ფაილებს და დისკებს. ვირუსების განადგურების მიზნით, თქვენ უნდა გამოიყენოთ სხვა პროგრამები, როგორიცაა ფაგები.

დამკვირვებელი პროგრამების უარყოფითი მხარეები მოიცავს მათ „ინტრუზიურობას“ (მაგალითად, ისინი მუდმივად აცხადებენ გაფრთხილებას შესრულებადი ფაილის კოპირების ნებისმიერი მცდელობის შესახებ), ასევე შესაძლო კონფლიქტებთან სხვა პროგრამულ უზრუნველყოფასთან.

ვაქცინები (იმუნიზატორები) არის რეზიდენტური პროგრამები, რომლებიც ხელს უშლიან ფაილების დაინფიცირებას. ვაქცინები გამოიყენება იმ შემთხვევაში, თუ არ არსებობს ექიმის პროგრამები, რომლებიც "მკურნალობენ" ამ ვირუსს. ვაქცინაცია შესაძლებელია მხოლოდ ცნობილი ვირუსების წინააღმდეგ. ვაქცინა ცვლის პროგრამას ან დისკს ისე, რომ გავლენას არ მოახდენს მის მუშაობაზე და ვირუსი აღიქვამს მას ინფიცირებულად და შესაბამისად არ გაიღებს ფესვებს. ამჟამად ვაქცინის პროგრამებს შეზღუდული გამოყენება აქვთ.

ასეთი პროგრამების მნიშვნელოვანი მინუსი არის მათი შეზღუდული შესაძლებლობა, თავიდან აიცილონ ინფექცია დიდი რაოდენობით სხვადასხვა ვირუსებისგან.

ანტივირუსული პროგრამების მაგალითები

ანტივირუსული პროგრამის არჩევისას აუცილებელია გავითვალისწინოთ არა მხოლოდ ვირუსის გამოვლენის პროცენტი, არამედ ახალი ვირუსების გამოვლენის შესაძლებლობა, ანტივირუსების მონაცემთა ბაზაში ვირუსების რაოდენობა, მისი განახლების სიხშირე და დამატებითი ინფორმაციის არსებობა. ფუნქციები.

ამჟამად, სერიოზულ ანტივირუსს უნდა შეეძლოს მინიმუმ 25000 ვირუსის ამოცნობა. ეს არ ნიშნავს, რომ ისინი ყველა "თავისუფალია". ფაქტობრივად, მათმა უმრავლესობამ ან შეწყვიტა არსებობა, ან არის ლაბორატორიებში და არ ნაწილდება. სინამდვილეში, თქვენ შეგიძლიათ იპოვოთ 200-300 ვირუსი და მათგან მხოლოდ რამდენიმე ათეულია საშიში.

ბევრი ანტივირუსული პროგრამაა. მოდით შევხედოთ მათგან ყველაზე ცნობილს.

Norton AntiVirus 4.0 და 5.0 (მწარმოებელი: Symantec).

ერთ-ერთი ყველაზე ცნობილი და პოპულარული ანტივირუსი. ვირუსის ამოცნობის პროცენტი ძალიან მაღალია (დაახლოებით 100%). პროგრამა იყენებს მექანიზმს, რომელიც საშუალებას გაძლევთ ამოიცნოთ ახალი უცნობი ვირუსები. Norton AntiVirus-ის ინტერფეისი შეიცავს LiveUpdate ფუნქციას, რომელიც საშუალებას გაძლევთ განაახლოთ როგორც პროგრამა, ასევე ვირუსის ხელმოწერების ნაკრები ინტერნეტის საშუალებით ერთი ღილაკის დაჭერით. ანტივირუსული ოსტატის პრობლემებიაღმოჩენილი ვირუსის შესახებ და ასევე გაძლევთ არჩევანს, ამოიღოთ ვირუსი ავტომატურად ან უფრო ფრთხილად, ნაბიჯ-ნაბიჯ პროცედურის მეშვეობით, რომელიც საშუალებას გაძლევთ ნახოთ ამოღების პროცესში შესრულებული თითოეული მოქმედება.

ანტივირუსული მონაცემთა ბაზები ძალიან ხშირად ახლდება (ზოგჯერ განახლებები ჩნდება კვირაში რამდენჯერმე). არის რეზიდენტი მონიტორი.

ამ პროგრამის მინუსი ის არის, რომ რთულია კონფიგურაცია (თუმცა ძირითადი პარამეტრების შეცვლა პრაქტიკულად არ არის საჭირო).

Dr Solomon's AntiVirus (მწარმოებელი: Dr Solomon's Software).

ითვლება ერთ-ერთ ყველაზე საუკეთესო ანტივირუსები(ევგენი კასპერსკიმ ერთხელ თქვა, რომ ეს არის მისი AVP-ის ერთადერთი კონკურენტი). აღმოაჩენს ცნობილ და ახალ ვირუსებს თითქმის 100%. დიდი რაოდენობით ფუნქციები, სკანერი, მონიტორი, ევრისტიკა და ყველაფერი, რაც გჭირდებათ ვირუსების წარმატებით წინააღმდეგობის გაწევისთვის.

McAfee VirusScan (მწარმოებელი: "McAfee Associates")

ეს არის ერთ-ერთი ყველაზე ცნობილი ანტივირუსული პაკეტი. ის ძალიან კარგად აშორებს ვირუსებს, მაგრამ VirusScan სხვა პაკეტებზე უარესია ფაილური ვირუსების ახალი სახეობების გამოვლენაში. ის სწრაფად და მარტივად ინსტალირებულია ნაგულისხმევი პარამეტრების გამოყენებით, მაგრამ შეიძლება მორგებული იყოს თქვენს საჭიროებებზე. თქვენ შეგიძლიათ დაასკანიროთ ყველა ფაილი ან უბრალოდ პროგრამული ფაილი, გაავრცელოთ ან არ გაავრცელოთ სკანირების პროცედურა შეკუმშული ფაილები. მას აქვს მრავალი ფუნქცია ინტერნეტთან მუშაობისთვის.

.Dr.Web (მწარმოებელი: Dialogue Science)

პოპულარული შიდა ანტივირუსი. ის კარგად ცნობს ვირუსებს, მაგრამ მისი მონაცემთა ბაზა შეიცავს მათ გაცილებით ნაკლებს, ვიდრე სხვა ანტივირუსული პროგრამები.

Antiviral Toolkit Pro (მწარმოებელი: Kaspersky Lab).

ეს ანტივირუსი მთელ მსოფლიოში აღიარებულია, როგორც ერთ-ერთი ყველაზე საიმედო. გამოყენების სიმარტივის მიუხედავად, მას აქვს ყველა საჭირო არსენალი ვირუსებთან საბრძოლველად. ევრისტიკული მექანიზმი, ზედმეტი სკანირება, არქივების და შეფუთული ფაილების სკანირება - ეს არ არის მისი შესაძლებლობების სრული სია.

Kaspersky Lab ყურადღებით აკვირდება ახალი ვირუსების გაჩენას და დროულად აქვეყნებს განახლებებს ანტივირუსული მონაცემთა ბაზებისთვის. არსებობს რეზიდენტი მონიტორი შესრულებადი ფაილების მონიტორინგისთვის.

სკანერები (სხვა სახელები: ფაგები, პოლიფაგები)

ანტივირუსული სკანერების მუშაობის პრინციპი ემყარება ფაილების, სექტორების და სისტემის მეხსიერებადა ეძებს ცნობილ და ახალ (სკანერისთვის უცნობი) ვირუსებს. ცნობილი ვირუსების მოსაძებნად გამოიყენება ე.წ. „ნიღბები“. ვირუსის ნიღაბი არის ამ კონკრეტული ვირუსისთვის სპეციფიკური კოდის მუდმივი თანმიმდევრობა. თუ ვირუსი არ შეიცავს მუდმივ ნიღაბს, ან ამ ნიღბის სიგრძე არ არის საკმარისი, მაშინ გამოიყენება სხვა მეთოდები. ასეთი მეთოდის მაგალითია ალგორითმული ენა, რომელიც აღწერს ყველაფერს შესაძლო ვარიანტებიკოდი, რომელიც შეიძლება მოხდეს ამ ტიპის ვირუსით ინფიცირებისას. ამ მიდგომას ზოგიერთი ანტივირუსი იყენებს პოლიმორფული ვირუსების გამოსავლენად.

ბევრი სკანერი ასევე იყენებს „ევრისტიკული სკანირების“ ალგორითმებს, ე.ი. შემოწმებულ ობიექტში ბრძანებების თანმიმდევრობის ანალიზი, გარკვეული სტატისტიკის შეგროვება და თითოეული შემოწმებული ობიექტის გადაწყვეტილების მიღება.

სკანერები ასევე შეიძლება დაიყოს ორ კატეგორიად - "უნივერსალური" და "სპეციალიზებული". უნივერსალური სკანერები შექმნილია ყველა ტიპის ვირუსის აღმოსაჩენად და გასანეიტრალებლად, მიუხედავად ოპერაციული სისტემისა, რომელშიც სკანერი მუშაობს. სპეციალიზებული სკანერები შექმნილია შეზღუდული რაოდენობის ვირუსების ან ვირუსების მხოლოდ ერთი კლასის გასანეიტრალებლად, მაგალითად, მაკროვირუსები.

სკანერები ასევე იყოფა "რეზიდენტად" (მონიტორებად), რომლებიც ახორციელებენ სკანირებას ფრენის დროს და "არარეზიდენტად", რომლებიც სკანირებენ სისტემას მხოლოდ მოთხოვნის შემთხვევაში. როგორც წესი, „რეზიდენტი“ სკანერები უფრო მეტს იძლევა საიმედო დაცვასისტემები, რადგან ისინი დაუყოვნებლივ რეაგირებენ ვირუსის გამოჩენაზე, ხოლო „არარეზიდენტ“ სკანერს შეუძლია ვირუსის იდენტიფიცირება მხოლოდ მისი შემდეგი გაშვების დროს.

CRC სკანერები

CRC სკანერების მუშაობის პრინციპი ემყარება დისკზე არსებული ფაილების/სისტემის სექტორების CRC ჯამების (შემოწმების ჯამების) გამოთვლას. ეს CRC თანხები შემდეგ ინახება ანტივირუსულ მონაცემთა ბაზაში, ისევე როგორც სხვა ინფორმაცია: ფაილის სიგრძე, მათი ბოლო მოდიფიკაციის თარიღები და ა.შ. როდესაც შემდგომში ამოქმედდება, CRC სკანერები ადარებენ მონაცემთა ბაზაში არსებულ მონაცემებს რეალურ გამოთვლილ მნიშვნელობებთან. თუ მონაცემთა ბაზაში ჩაწერილი ფაილის ინფორმაცია არ ემთხვევა რეალურ მნიშვნელობებს, მაშინ CRC სკანერები მიუთითებენ, რომ ფაილი შეცვლილია ან დაინფიცირებულია ვირუსით.

CRC სკანერებს არ შეუძლიათ ვირუსის დაჭერა სისტემაში გამოჩენის მომენტში, მაგრამ ამის გაკეთება მხოლოდ გარკვეული პერიოდის შემდეგ, მას შემდეგ, რაც ვირუსი გავრცელდება მთელ კომპიუტერში. CRC სკანერებს არ შეუძლიათ ვირუსის აღმოჩენა ახალ ფაილებში (in ელ, ფლოპი დისკებზე, სარეზერვო ასლიდან აღდგენილ ფაილებში ან არქივიდან ფაილების ამოხსნისას), რადგან მათი მონაცემთა ბაზები არ შეიცავს ინფორმაციას ამ ფაილების შესახებ. უფრო მეტიც, პერიოდულად ჩნდება ვირუსები, რომლებიც სარგებლობენ CRC სკანერების ამ „სისუსტით“ და აინფიცირებენ მხოლოდ ახლად შექმნილ ფაილებს და, შესაბამისად, მათთვის უხილავი რჩებიან.

ბლოკატორები

ანტივირუსული ბლოკატორები არის რეზიდენტური პროგრამები, რომლებიც წყვეტენ „ვირუსით საშიშ“ სიტუაციებს და აცნობებენ მომხმარებელს ამის შესახებ. „ვირუსით საშიში“ მოიცავს ზარებს შესრულებად ფაილებზე ჩასაწერად გასახსნელად, დისკების ან მყარი დისკის MBR სექტორების ჩატვირთვისთვის, პროგრამების მცდელობებს, რომ დარჩეს რეზიდენტი და ა.შ., ანუ ზარები, რომლებიც დამახასიათებელია ვირუსებისთვის გამრავლების მომენტი.

ბლოკატორების უპირატესობებში შედის ვირუსის აღმოჩენა და შეჩერება მისი რეპროდუქციის ადრეულ ეტაპზე. ნაკლოვანებები მოიცავს ბლოკატორის დაცვის გვერდის ავლით გზების არსებობას და დიდ რაოდენობას ცრუ დადებითი.

იმუნიზატორები

იმუნიზატორები იყოფა ორ ტიპად: იმუნიზატორები, რომლებიც იუწყებიან ინფექციას და იმუნიზატორები, რომლებიც ბლოკავს ინფექციას. პირველები, როგორც წესი, იწერება ფაილების ბოლომდე (ფაილის ვირუსის პრინციპზე დაყრდნობით) და ყოველ ჯერზე ფაილის გაშვებისას ისინი ამოწმებენ მას ცვლილებებზე. ასეთ იმუნიზატორებს აქვთ მხოლოდ ერთი ნაკლი, მაგრამ ის სასიკვდილოა: აბსოლუტური უუნარობა, რომ შეატყობინოთ ინფექციას სტელსტის ვირუსით. ამიტომ, ასეთი იმუნიზატორები, ისევე როგორც ბლოკატორები, ამჟამად პრაქტიკულად არ გამოიყენება.

მეორე ტიპის იმუნიზაცია იცავს სისტემას კონკრეტული ტიპის ვირუსის ინფექციისგან. დისკებზე არსებული ფაილები ისეა მოდიფიცირებული, რომ ვირუსი მათ უკვე ინფიცირებულად აღიქვამს. რეზიდენტი ვირუსისგან დასაცავად, პროგრამა, რომელიც ახდენს ვირუსის ასლის სიმულაციას, შედის კომპიუტერის მეხსიერებაში. გაშვებისას ვირუსი ხვდება მას და თვლის, რომ სისტემა უკვე ინფიცირებულია.

ამ ტიპის იმუნიზაცია არ შეიძლება იყოს უნივერსალური, რადგან შეუძლებელია ფაილების იმუნიზაცია ყველა ცნობილი ვირუსისგან.

^ ანტივირუსების კლასიფიკაცია დროთა განმავლობაში ცვალებადობის მიხედვით

ვალერი კონიავსკის თქმით ანტივირუსული ხელსაწყოები შეიძლება დაიყოს ორ დიდ ჯგუფად - ისინი, რომლებიც აანალიზებენ მონაცემებს და ისინი, რომლებიც აანალიზებენ პროცესებს.

^ მონაცემთა ანალიზი

მონაცემთა ანალიზი მოიცავს "აუდიტორებს" და "პოლიფაგებს". „ინსპექტორები“ აანალიზებენ კომპიუტერული ვირუსების და სხვა მავნე პროგრამების მოქმედების შედეგებს. შედეგები იწვევს მონაცემების ცვლილებას, რომელიც არ უნდა შეიცვალოს. სწორედ ის ფაქტი, რომ მონაცემები შეიცვალა, არის მავნე პროგრამის აქტივობის ნიშანი „აუდიტორის“ თვალსაზრისით. სხვა სიტყვებით რომ ვთქვათ, „აუდიტორები“ აკონტროლებენ მონაცემთა მთლიანობას და, მთლიანობის დარღვევის ფაქტიდან გამომდინარე, იღებენ გადაწყვეტილებას კომპიუტერულ გარემოში მავნე პროგრამების არსებობის შესახებ.

„პოლიფაგები“ განსხვავებულად მოქმედებენ. მონაცემთა ანალიზის საფუძველზე ისინი იდენტიფიცირებენ ფრაგმენტებს მავნე კოდი(მაგალითად, მისი ხელმოწერით) და ამის საფუძველზე აკეთებენ დასკვნას მავნე პროგრამის არსებობის შესახებ. ვირუსით ინფიცირებული მონაცემების ამოღება ან „განკურნება“ საშუალებას გაძლევთ თავიდან აიცილოთ მავნე პროგრამების შესრულების უარყოფითი შედეგები. ამრიგად, ანალიზის საფუძველზე "სტატიკაში", თავიდან აიცილება შედეგები, რომლებიც წარმოიქმნება "დინამიკაში".

როგორც "აუდიტორების" და "პოლიფაგების" მუშაობის სქემა თითქმის იგივეა - შეადარეთ მონაცემები (ან მათი საკონტროლო ჯამი) ერთ ან რამდენიმე საცნობარო ნიმუშთან. მონაცემები შედარებულია მონაცემებთან. ამრიგად, თქვენს კომპიუტერში ვირუსის მოსაძებნად, საჭიროა ის უკვე „მუშაოდეს“, რათა გამოჩნდეს მისი მოქმედების შედეგები. ამ მეთოდს შეუძლია იპოვოთ მხოლოდ ცნობილი ვირუსები, რომელთა კოდის ფრაგმენტები ან ხელმოწერები ადრე იყო აღწერილი. ასეთ დაცვას ძნელად შეიძლება ეწოდოს საიმედო.


^ პროცესის ანალიზი

პროცესის ანალიზზე დაფუძნებული ანტივირუსული ხელსაწყოები გარკვეულწილად განსხვავებულად მუშაობს. „ევრისტიკული ანალიზატორები“, ისევე როგორც ზემოთ აღწერილი, აანალიზებენ მონაცემებს (დისკზე, არხზე, მეხსიერებაში და ა.შ.). ფუნდამენტური განსხვავება ისაა, რომ ანალიზი ტარდება იმ ვარაუდით, რომ გასაანალიზებელი კოდი არის არა მონაცემები, არამედ ბრძანებები (ფონ ნეუმანის არქიტექტურის მქონე კომპიუტერებში მონაცემები და ბრძანებები არ განსხვავდება ერთმანეთისგან და, შესაბამისად, ანალიზის დროს საჭიროა ამა თუ იმ ვარაუდის გაკეთება. .)

„ევრისტიკული ანალიზატორი“ განსაზღვრავს ოპერაციების თანმიმდევრობას, ანიჭებს თითოეულ მათგანს გარკვეულ „საშიშ“ რეიტინგს და „საფრთხის“ მთლიანობიდან გამომდინარე წყვეტს არის თუ არა ოპერაციების ეს თანმიმდევრობა მავნე კოდის ნაწილი. თავად კოდი არ არის შესრულებული.

პროცესის ანალიზზე დაფუძნებული ანტივირუსული ხელსაწყოების კიდევ ერთი ტიპი არის „ქცევის ბლოკატორები“. ამ შემთხვევაში საეჭვო კოდი ეტაპობრივად სრულდება მანამ, სანამ კოდით დაწყებული მოქმედებების ნაკრები არ შეფასდება, როგორც „საშიში“ (ან „უსაფრთხო“) ქცევა. ამ შემთხვევაში, კოდი ნაწილობრივ შესრულებულია, რადგან მავნე კოდის დასრულება შეიძლება მოგვიანებით გამოვლინდეს მარტივი მეთოდებიმონაცემთა ანალიზი.

ვირუსის გამოვლენის ტექნოლოგიები

ანტივირუსებში გამოყენებული ტექნოლოგიები შეიძლება დაიყოს ორ ჯგუფად:

• 
  ხელმოწერის ანალიზის ტექნოლოგიები
  
• 
  ალბათური ანალიზის ტექნოლოგიები
  

• 
  ევრისტიკული ანალიზი
  
• 
  ქცევის ანალიზი
  
• 
  საკონტროლო ჯამის ანალიზი
  

• 
  ანტივირუსული კომპლექსი სამუშაო სადგურების დასაცავად
  
• 
  ანტივირუსული კომპლექსი ფაილური სერვერების დასაცავად
  
• 
  ანტივირუსული კომპლექსი საფოსტო სისტემების დასაცავად
  
• 
  ანტივირუსული კომპლექსი კარიბჭეების დასაცავად.

მიუხედავად იმისა, რომ ზოგადი ინფორმაციის უსაფრთხოება და პრევენციული ზომები ძალზე მნიშვნელოვანია ვირუსებისგან თავის დასაცავად, მისი გამოყენება აუცილებელია სპეციალიზებული პროგრამები. ეს პროგრამები შეიძლება დაიყოს რამდენიმე ტიპად:

• ? დეტექტორის პროგრამები ამოწმებენ, შეიცავს თუ არა დისკზე არსებული ფაილები ცნობილი ვირუსის ბაიტების (ხელმოწერის) კონკრეტულ კომბინაციას და ამის შესახებ აცნობებს მომხმარებელს (VirusScan/SCAN/McAfee Associates).
• ? ექიმის პროგრამები ან ფაგები „მკურნალობენ“ ინფიცირებულ პროგრამებს ვირუსის ორგანიზმის „დაკბენით“ ინფიცირებული პროგრამებიდან, როგორც ჰაბიტატის (ინფიცირებული ფაილი) აღდგენით, ასევე მის გარეშე - SCAN პროგრამის სამკურნალო მოდული - CLEAN პროგრამა.
• ? ექიმი-დეტექტორის პროგრამებს (Lozinsky's Aidstest, Danilov's Doctor Web, MSAV, Norton Antivirus, Kaspersky's AVP) შეუძლიათ დაადგინონ ცნობილი ვირუსის არსებობა დისკზე და განკურნონ ინფიცირებული ფაილი. ანტივირუსული პროგრამების ყველაზე გავრცელებული ჯგუფი დღეს.

ძალიან მარტივი შემთხვევაბრძანება დისკის შიგთავსის შესამოწმებლად ვირუსებზე ასე გამოიყურება: aidstest /key1/key 2 /key 3 /---

• ? ფილტრის პროგრამები (მცველები) განლაგებულია კომპიუტერის RAM-ში და წყვეტს იმ ზარებს ოპერაციულ სისტემაში, რომლებსაც იყენებენ ვირუსები რეპროდუცირებისთვის და ზიანის მიყენებისთვის და აცნობებენ მათ მომხმარებელს:
• - მთავარი OS ფაილის COMMAND.COM დაზიანების მცდელობა;
• - პირდაპირ დისკზე ჩაწერის მცდელობა (წინა ჩანაწერი წაშლილია) და ჩნდება შეტყობინება, რომ რომელიმე პროგრამა ცდილობს დისკზე კოპირებას;
• - დისკის ფორმატირება,
• - პროგრამის რეზიდენტი მეხსიერებაში განთავსება.

ერთ-ერთი ამ მოქმედების მცდელობის აღმოჩენის შემდეგ, ფილტრის პროგრამა მომხმარებელს აწვდის სიტუაციის აღწერას და მოითხოვს მისგან დადასტურებას. მომხმარებელს შეუძლია დაუშვას ან უარყოს ეს ოპერაცია. ვირუსებისთვის დამახასიათებელი მოქმედებების კონტროლი ხორციელდება შესაბამისი შეფერხების დამმუშავებლების შეცვლით. ამ პროგრამების უარყოფითი მხარეები მოიცავს ინტრუზიურობას (მცველი, მაგალითად, გასცემს გაფრთხილებას შესრულებადი ფაილის კოპირების მცდელობის შესახებ), შესაძლო კონფლიქტებთან სხვა პროგრამულ უზრუნველყოფასთან და ზოგიერთი ვირუსის მიერ მცველების გვერდის ავლით. ფილტრების მაგალითები: Anti4us, Vsafe, დისკის მონიტორი.

აღსანიშნავია, რომ დღეს ექიმ-დეტექტორის კლასის ბევრ პროგრამას აქვს რეზიდენტული მოდულიც - ფილტრი (მცველი), მაგალითად, DR Web, AVP, Norton Antivirus. ამრიგად, ასეთი პროგრამები შეიძლება კლასიფიცირდეს როგორც ექიმი-დეტექტორი-მცველი.

• ? აპარატურა და პროგრამული ანტივირუსული ხელსაწყოები (შერიფის აპარატურა და პროგრამული კომპლექსი). მაკონტროლებელი პროგრამების პარალელურად არის ტექნიკისა და პროგრამული უზრუნველყოფის ანტივირუსული ინსტრუმენტები, რომლებიც უზრუნველყოფენ უფრო საიმედო დაცვას ვირუსის სისტემაში შეღწევისგან. ასეთი კომპლექსები შედგება ორი ნაწილისგან: აპარატურა, რომელიც დამონტაჟებულია მიკროსქემის სახით დედაპლატადა პროგრამა, რომელიც იწერება დისკზე. ტექნიკის ნაწილი (კონტროლერი) აკონტროლებს დისკზე ჩაწერის ყველა ოპერაციას, პროგრამული ნაწილი, რომელიც რეზიდენტია RAM-ში, აკონტროლებს ყველა ინფორმაციის შეყვანა/გამომავალი ოპერაციებს. ამასთან, ამ ხელსაწყოების გამოყენების შესაძლებლობა მოითხოვს ფრთხილად განხილვას კომპიუტერზე გამოყენებული დამატებითი აღჭურვილობის კონფიგურაციის თვალსაზრისით, მაგალითად, დისკის კონტროლერები, მოდემები ან ქსელის ბარათები.
• ? აუდიტორული პროგრამები (Adinf/Advanced Disk infoscope/მკურნალობის ბლოკით ADinf Cure Module Mostovoy). აუდიტის პროგრამებს აქვს მუშაობის ორი ეტაპი. პირველ რიგში, მათ ახსოვთ ინფორმაცია პროგრამების მდგომარეობისა და დისკების სისტემის არეების შესახებ (ჩატვირთვის სექტორი და სექტორი დანაყოფის ცხრილით მყარი დისკილოგიკურ დანაყოფებზე). ვარაუდობენ, რომ ამ მომენტში პროგრამები და სისტემის დისკის არეები არ არის ინფიცირებული. შემდეგ, სისტემის არეებისა და დისკების თავდაპირველთან შედარებისას, შეუსაბამობის აღმოჩენის შემთხვევაში, მომხმარებელს ეცნობება. აუდიტორულ პროგრამებს შეუძლიათ აღმოაჩინონ უხილავი (STEALTH) ვირუსები. ფაილის სიგრძის შემოწმება არ არის საკმარისი; ზოგიერთი ვირუსი არ ცვლის ინფიცირებულ ფაილებს უფრო საიმედო შემოწმებაა მთლიანი ფაილის წაკითხვა და მისი საკონტროლო ჯამის გამოთვლა (ბიტ-ბიტი). თითქმის შეუძლებელია მთელი ფაილის შეცვლა ისე, რომ მისი საკონტროლო ჯამი იგივე დარჩეს. აუდიტორების უმნიშვნელო ნაკლოვანებები მოიცავს იმ ფაქტს, რომ უსაფრთხოების უზრუნველსაყოფად ისინი რეგულარულად უნდა იქნას გამოყენებული, მაგალითად, ყოველდღიურად გამოძახება AUTOEXEC.BAT ფაილიდან. მაგრამ მათი უდავო უპირატესობებია მაღალი სიჩქარეჩეკები და რას არ საჭიროებს ხშირი განახლებებივერსიები. აუდიტორის ვერსიები, თუნდაც ექვსი თვისაა, საიმედოდ აღმოაჩენს და აშორებს თანამედროვე ვირუსებს.
• ? ვაქცინის ან იმუნიზატორის პროგრამები (CPAV). ვაქცინის პროგრამები ცვლის პროგრამებსა და დისკებს ისე, რომ ეს არ იმოქმედებს პროგრამების მუშაობაზე, მაგრამ ვირუსი, რომლის წინააღმდეგაც ვაქცინაცია ხორციელდება, ამ პროგრამებსა და დისკებს უკვე ინფიცირებულად თვლის. ეს პროგრამები არ არის საკმარისად ეფექტური.

პირობითად, ვირუსისგან დაცვის სტრატეგია შეიძლება განისაზღვროს, როგორც მრავალ დონის „ფენიანი“ თავდაცვა. სტრუქტურულად შეიძლება ასე გამოიყურებოდეს. სადაზვერვო ხელსაწყოები ვირუსებისგან „თავდაცვაში“ შეესაბამება დეტექტორ პროგრამებს, რომლებიც საშუალებას გაძლევთ აღმოაჩინოთ ახლად მიღებული პროგრამული უზრუნველყოფა ვირუსების არსებობისთვის. თავდაცვის წინა პლანზე არის ფილტრის პროგრამები, რომლებიც ბინადრობენ კომპიუტერის მეხსიერება. ეს პროგრამები შეიძლება იყოს პირველი, ვინც აცნობებს ვირუსის მოქმედებას. „თავდაცვის“ მეორე ეშელონი შედგება აუდიტის პროგრამებისგან. აუდიტორები აღმოაჩენენ ვირუსის შეტევას მაშინაც კი, როდესაც მან მოახერხა "გაჟონვა" თავდაცვის წინა ხაზზე. დოქტორის პროგრამები გამოიყენება ინფიცირებული პროგრამების აღსადგენად, თუ ინფიცირებული პროგრამის ასლი არ არის არქივში, მაგრამ ისინი ყოველთვის არ განიკურნება სწორად. ექიმი-ინსპექტორები აღმოაჩენენ ვირუსის შეტევას და მკურნალობენ ინფიცირებულ პროგრამებს და აკონტროლებენ მკურნალობის სისწორეს. თავდაცვის ყველაზე ღრმა ეშელონი არის დაშვების კონტროლის საშუალებები. ისინი არ აძლევენ საშუალებას ვირუსებს და გაუმართავ პროგრამებს, თუნდაც ისინი შეაღწიონ კომპიუტერში, გააფუჭონ მნიშვნელოვანი მონაცემები. „სტრატეგიული რეზერვი“ შეიცავს ინფორმაციის საარქივო ასლებს და ფლოპი დისკებს „საცნობარო“ პროგრამული პროდუქტები. ისინი საშუალებას გაძლევთ აღადგინოთ ინფორმაცია, თუ ის დაზიანებულია.

თითოეული ტიპის ვირუსის მავნე მოქმედება შეიძლება იყოს ძალიან მრავალფეროვანი. ეს მოიცავს მნიშვნელოვანი ფაილების ან თუნდაც BIOS-ის პროგრამული უზრუნველყოფის წაშლას, პერსონალური ინფორმაციის, როგორიცაა პაროლების გადაცემას კონკრეტულ მისამართზე, არაავტორიზებული ელ.ფოსტის კამპანიების ორგანიზებას და შეტევებს გარკვეულ ვებსაიტებზე. ასევე შესაძლებელია აკრეფის დაწყება მობილური ტელეფონი on ფასიანი ნომრები. დამალული ადმინისტრაციის უტილიტებს (backdoor) შეუძლია კომპიუტერის სრული კონტროლი გადასცეს თავდამსხმელს. საბედნიეროდ, ყველა ამ უსიამოვნებასთან ბრძოლა წარმატებით შეიძლება და ამ ბრძოლაში მთავარი იარაღი, რა თქმა უნდა, ანტივირუსული პროგრამა იქნება.

კასპერსკის ანტივირუსი. შესაძლოა, "კასპერსკის ანტივირუსი" ამ ტიპის ყველაზე ცნობილი პროდუქტია რუსეთში და სახელი "კასპერსკი" მავნე კოდების წინააღმდეგ მებრძოლის სინონიმი გახდა. ამავე სახელწოდების ლაბორატორია არა მხოლოდ მუდმივად უშვებს თავისი უსაფრთხოების პროგრამული უზრუნველყოფის ახალ ვერსიებს, არამედ ახორციელებს საგანმანათლებლო სამუშაოებს კომპიუტერის მომხმარებლებს შორის. Kaspersky Anti-Virus-ის უახლესი, მეცხრე ვერსია, წინა გამოშვებების მსგავსად, გამოირჩევა მარტივი და უკიდურესად გამჭვირვალე ინტერფეისით, რომელიც აერთიანებს ყველა საჭირო კომუნალურ პროგრამას ერთ ფანჯარაში. ინსტალაციის ოსტატისა და მენიუს ინტუიციური პარამეტრების წყალობით, ახალბედა მომხმარებელსაც კი შეუძლია ამ პროდუქტის კონფიგურაცია. გამოყენებული ალგორითმების ძალა პროფესიონალებსაც კი დააკმაყოფილებს. თან დეტალური აღწერათითოეული აღმოჩენილი ვირუსის ნახვა შესაძლებელია პროგრამიდან პირდაპირ ინტერნეტში შესაბამის გვერდზე დარეკვით.

Dr. ვებ. კიდევ ერთი პოპულარული რუსული ანტივირუსი, რომელიც კონკურენციას უწევს Kaspersky Anti-Virus-ს პოპულარობით, არის Dr. ვებ. მის საცდელ ვერსიას აქვს საინტერესო ფუნქცია: ის მოითხოვს სავალდებულო რეგისტრაციას ინტერნეტის საშუალებით. ერთის მხრივ, ეს ძალიან კარგია - რეგისტრაციის შემდეგ დაუყოვნებლივ ახლდება ანტივირუსული მონაცემთა ბაზა და მომხმარებელი იღებს ხელმოწერების უახლეს მონაცემებს. მეორეს მხრივ, შეუძლებელია საცდელი ვერსიის ოფლაინ ინსტალაცია და, როგორც გამოცდილებამ აჩვენა, პრობლემები გარდაუვალია არასტაბილური კავშირით.

Panda Antivirus + Firewall 2007. ყოვლისმომცველი გადაწყვეტა სფეროში კომპიუტერული უსაფრთხოება- Panda Antivirus+Firewall 2007 პაკეტი - შეიცავს, ანტივირუსული პროგრამის გარდა, Firewall, რომელიც აკონტროლებს ქსელის აქტივობას. ძირითადი პროგრამის ფანჯრის ინტერფეისი შექმნილია "ბუნებრივ" მწვანე ტონებში, მაგრამ მისი ვიზუალური მიმზიდველობის მიუხედავად, მენიუს სანავიგაციო სისტემა არასასიამოვნოდ არის აგებული და ახალბედა მომხმარებელი შეიძლება კარგად დაბნეული იყოს პარამეტრებში.

Panda პაკეტი შეიცავს რამდენიმე ორიგინალური გადაწყვეტილებები, როგორიცაა TruePrevent-ის საკუთრების ტექნოლოგია უცნობი საფრთხეების მოსაძებნად, რომელიც დაფუძნებულია ყველაზე მოწინავე ევრისტიკულ ალგორითმებზე. ასევე ღირს ყურადღების მიქცევა კომპიუტერის დაუცველობის მოსაძებნად - ის აფასებს უსაფრთხოების სისტემაში "ხვრელების" საშიშროებას და გთავაზობთ საჭირო განახლებების ჩამოტვირთვას.

Norton Antivirus 2005. მთავარი შთაბეჭდილება ცნობილი კომპანია Symantec-ის პროდუქტიდან - Norton Antivirus 2005 ანტივირუსული კომპლექსი - არის მისი ფოკუსირება ძლიერზე. გამოთვლითი სისტემები. Norton Antivirus 2005 ინტერფეისის პასუხი მომხმარებლის ქმედებებზე შესამჩნევად დაგვიანებულია. გარდა ამისა, ინსტალაციის დროს იგი საკმაოდ მკაცრ მოთხოვნებს უყენებს ოპერაციული სისტემის ვერსიებს და Internet Explorer. Dr.Web-ისგან განსხვავებით, Norton Antivirus არ საჭიროებს ვირუსების მონაცემთა ბაზის განახლებას ინსტალაციის დროს, მაგრამ შეგახსენებთ, რომ ისინი მოძველებულია მთელი ოპერაციის განმავლობაში.

McAfee VirusScan. ჩვენ ავირჩიეთ საინტერესო ანტივირუსული პროდუქტი, რომელიც, დეველოპერების აზრით, არის ნომერ 1 სკანერი მსოფლიოში - McAfee VirusScan - ტესტირებისთვის, რადგან მსგავს აპლიკაციებს შორის ის გამოირჩეოდა დიდი განაწილების ზომით (40 მბ-ზე მეტი). ). მიგვაჩნია, რომ ეს მნიშვნელობა განპირობებული იყო მისი ფართო ფუნქციონირებით, ჩვენ განვაგრძეთ ინსტალაცია და აღმოვაჩინეთ, რომ ანტივირუსული სკანერის გარდა, მასში შედიოდა firewall, ასევე მყარი დისკის გაწმენდა და ობიექტების გარანტირებული ამოღება. დისკი (ფაილის გამანადგურებელი).

კითხვები მე-6 და მე-7 თავებისთვის

• 1. ინფორმაციული უსაფრთხოების ინსტრუმენტებისა და ტექნოლოგიების განვითარების ეტაპები.
• 2. უსაფრთხოების სტანდარტული მოდელის კომპონენტები.
• 3. უსაფრთხოების საფრთხეების წყაროები და მათი კლასიფიკაცია.
• 4. ინფორმაციული უსაფრთხოების უნებლიე საფრთხე.
• 5. ინფორმაციული უსაფრთხოების განზრახ საფრთხეები.
• 6. ინფორმაციის გაჟონვის არხების კლასიფიკაცია.
• 7. ინფორმაციული უსაფრთხოების პრობლემების რეგულირება.
• 8. სახელმწიფო ინფორმაციული უსაფრთხოების სისტემის სტრუქტურა.
• 9. ინფორმაციული უსაფრთხოების მეთოდები და საშუალებები.
• 10. მონაცემთა უსაფრთხოების საფრთხეების კლასიფიკაცია.
• 11. ვირუსებისგან ინფორმაციის დაცვის მეთოდები.
• 12. მთლიანობის კონტროლის მეთოდები.
• 13. კომპიუტერული ვირუსების კლასიფიკაცია.
• 14. ანტივირუსული დაცვა.
• 15. პრევენციული ანტივირუსული ღონისძიებები.
• 16. ანტივირუსული პროგრამული პროდუქტების კლასიფიკაცია.

ვირუსების გამოვლენის ძირითადი მეთოდები

ვირუსების ევოლუციის პარალელურად შემუშავებული ანტივირუსული პროგრამები. ვირუსების შექმნის ახალი ტექნოლოგიების გაჩენის შემდეგ, ანტივირუსების შემუშავებაში გამოყენებული მათემატიკური აპარატი უფრო რთული გახდა.

პირველი ანტივირუსული ალგორითმები დაფუძნებული იყო სტანდარტთან შედარებაზე. ჩვენ ვსაუბრობთ პროგრამებზე, რომლებშიც ვირუსი აღმოჩენილია კლასიკური ბირთვის მიერ გარკვეული ნიღბის გამოყენებით. ალგორითმის მიზანია სტატისტიკური მეთოდების გამოყენება. ნიღაბი, ერთის მხრივ, უნდა იყოს პატარა ისე, რომ ფაილის მოცულობა იყოს მისაღები ზომის და, მეორე მხრივ, საკმარისად დიდი, რათა თავიდან იქნას აცილებული ცრუ დადებითი (როდესაც „საკუთარი“ აღიქმება როგორც „სხვისი“ და პირიქით. პირიქით).

ამ პრინციპზე აგებულმა პირველმა ანტივირუსულმა პროგრამებმა (ე.წ. პოლიფაგური სკანერები) იცოდნენ ვირუსების გარკვეული რაოდენობა და იცოდნენ მათი მკურნალობა. ეს პროგრამები შეიქმნა შემდეგნაირად: დეველოპერმა, რომელმაც მიიღო ვირუსის კოდი (ვირუსის კოდი თავდაპირველად სტატიკური იყო), შექმნა უნიკალური ნიღაბი (თანმიმდევრობა 10-15 ბაიტი) ამ კოდის საფუძველზე და შეიტანა იგი ანტივირუსული პროგრამის მონაცემთა ბაზაში. ანტივირუსულმა პროგრამამ დაასკანირა ფაილები და თუ აღმოაჩინა ბაიტების ეს თანმიმდევრობა, დაასკვნა, რომ ფაილი ინფიცირებული იყო. ეს თანმიმდევრობა (ხელმოწერა) შეირჩა ისე, რომ იგი უნიკალური იყო და არ მოიძებნა რეგულარულ მონაცემთა ნაკრებში.

აღწერილ მიდგომებს იყენებდნენ ანტივირუსული პროგრამების უმეტესობა 90-იანი წლების შუა პერიოდამდე, როდესაც გამოჩნდა პირველი პოლიმორფული ვირუსები, რომლებმაც შეცვალეს თავიანთი სხეული წინასწარ არაპროგნოზირებადი ალგორითმების მიხედვით. შემდეგ ხელმოწერის მეთოდს დაემატა ეგრეთ წოდებული პროცესორის ემულატორი, რაც შესაძლებელს ხდის დაშიფრული და პოლიმორფული ვირუსების პოვნას, რომლებსაც აშკარად არ აქვთ მუდმივი ხელმოწერა.

პროცესორის ემულაციის პრინციპი ნაჩვენებია ნახ. 1. თუ ჩვეულებრივ პირობითი ჯაჭვი შედგება სამი ძირითადი ელემენტისგან: CPU®OS®Program, მაშინ პროცესორის ემულაციისას ასეთ ჯაჭვს ემატება ემულატორი. ემულატორი, როგორც ეს იყო, ამრავლებს პროგრამის მუშაობას ზოგიერთ ვირტუალურ სივრცეში და აღადგენს მის ორიგინალურ შინაარსს. ემულატორს ყოველთვის შეუძლია შეფერხებაპროგრამის შესრულება

, აკონტროლებს მის მოქმედებებს, ხელს უშლის მას რაიმეს გაფუჭებისგან და უწოდებს ანტივირუსის სკანირების ბირთვს.

მეორე მექანიზმი, რომელიც გაჩნდა 90-იანი წლების შუა ხანებში და გამოიყენება ყველა ანტივირუსით, არის ევრისტული ანალიზი. ფაქტია, რომ პროცესორის ემულაციის აპარატი, რომელიც საშუალებას გაძლევთ მიიღოთ გაანალიზებული პროგრამის მიერ შესრულებული მოქმედებების შეჯამება, ყოველთვის არ იძლევა ამ მოქმედებების მოძიებას, მაგრამ საშუალებას გაძლევთ შეასრულოთ გარკვეული ანალიზი და წამოაყენოთ ჰიპოთეზა. როგორიცაა "ვირუსი თუ არა ვირუსი?" INამ შემთხვევაში

გადაწყვეტილების მიღება ეფუძნება სტატისტიკურ მიდგომებს. და შესაბამის პროგრამას ჰქვია ევრისტიკული ანალიზატორი. რეპროდუცირების მიზნით, ვირუსმა უნდა შეასრულოს გარკვეული კონკრეტული მოქმედებები: გადაწერა მეხსიერებაში, ჩაწერა სექტორებში და ა.შ. ევრისტიკული ანალიზატორი (ის არის ანტივირუსული ბირთვის ნაწილი) შეიცავს ასეთი მოქმედებების ჩამონათვალს, უყურებს პროგრამის შემსრულებელ კოდს, ადგენს რას აკეთებს და ამის საფუძველზე იღებს გადაწყვეტილებას.ამ პროგრამას

ვირუსი თუ არა.

ამავდროულად, დაკარგული ვირუსების პროცენტული მაჩვენებელი, თუნდაც ანტივირუსული პროგრამისთვის უცნობი, ძალიან მცირეა. ეს ტექნოლოგია ახლა ფართოდ გამოიყენება ყველა ანტივირუსულ პროგრამაში.

ანტივირუსული პროგრამების კლასიფიკაცია

სუფთა ანტივირუსები გამოირჩევიან ანტივირუსული ბირთვის არსებობით, რომელიც ასრულებს ნიმუშების სკანირების ფუნქციას. პრინციპი ამ შემთხვევაში არის ის, რომ მკურნალობა შესაძლებელია, თუ ვირუსი ცნობილია. თავის მხრივ, სუფთა ანტივირუსები იყოფა ორ კატეგორიად ფაილებზე წვდომის ტიპის მიხედვით: ისინი, რომლებიც აკონტროლებენ წვდომას (წვდომაზე) ან მომხმარებლის მოთხოვნით (მოთხოვნით). როგორც წესი, წვდომის პროდუქტებს უწოდებენ მონიტორებს, ხოლო მოთხოვნილ პროდუქტებს უწოდებენ სკანერებს.

მოთხოვნით პროდუქტი მუშაობს შემდეგი სქემით: მომხმარებელს სურს რაღაცის შემოწმება და გასცემს მოთხოვნას (მოთხოვნას), რის შემდეგაც ხდება გადამოწმება. On Access პროდუქტი არის რეზიდენტური პროგრამა, რომელიც აკონტროლებს წვდომას და ახორციელებს გადამოწმებას წვდომის დროს.

გარდა ამისა, ანტივირუსული პროგრამები, ისევე როგორც ვირუსები, შეიძლება დაიყოს პლატფორმის მიხედვით, რომლის ფარგლებშიც ანტივირუსი მუშაობს. ამ თვალსაზრისით, Windows ან Linux-თან ერთად, პლატფორმები შეიძლება შეიცავდეს Microsoft Exchangeსერვერი Microsoft Office, ლოტოსის ნოტები.

ორმაგი დანიშნულების პროგრამები არის პროგრამები, რომლებიც გამოიყენება როგორც ანტივირუსებში, ასევე პროგრამებში, რომლებიც არ არის ანტივირუსები. მაგალითად, CRC-checker - ცვლილებების აუდიტორი, რომელიც დაფუძნებულია საკონტროლო ჯამებზე - შეიძლება გამოყენებულ იქნას არა მხოლოდ ვირუსების დასაჭერად. ორმაგი დანიშნულების პროგრამების ტიპია ქცევითი ბლოკატორები, რომლებიც აანალიზებენ სხვა პროგრამების ქცევას და ბლოკავს მათ საეჭვო მოქმედებების გამოვლენისას. ქცევითი ბლოკატორები განსხვავდება კლასიკური ანტივირუსისგან ანტივირუსული ბირთვით, რომელიც ცნობს და მკურნალობს ლაბორატორიაში გაანალიზებულ ვირუსებს და რომელთათვისაც მკურნალობის ალგორითმი იყო დადგენილი, იმით, რომ მათ არ შეუძლიათ ვირუსების მკურნალობა, რადგან მათ შესახებ არაფერი იციან. ბლოკატორების ეს თვისება მათ საშუალებას აძლევს იმუშაონ ნებისმიერ ვირუსთან, მათ შორის უცნობ ვირუსებთან. ეს განსაკუთრებით აქტუალურია დღეს, რადგან ვირუსების და ანტივირუსების დისტრიბუტორები იყენებენ მონაცემთა გადაცემის იგივე არხებს, ანუ ინტერნეტს. ამავდროულად, ანტივირუსულ კომპანიას ყოველთვის სჭირდება დრო, რომ თავად მოიპოვოს ვირუსი, გააანალიზოს და დაწეროს შესაბამისი მკურნალობის მოდულები.

ორმაგი დანიშნულების ჯგუფის პროგრამები საშუალებას გაძლევთ დაბლოკოთ ვირუსის გავრცელება, სანამ კომპანია არ დაწერს მკურნალობის მოდულს.

მიმოხილვა მოიცავს ყველაზე პოპულარულ ანტივირუსებს პირადი გამოყენებისთვის ხუთი ცნობილი დეველოპერისგან. უნდა აღინიშნოს, რომ ქვემოთ განხილული ზოგიერთი კომპანია გვთავაზობს პერსონალური პროგრამების რამდენიმე ვერსიას, რომლებიც განსხვავდება ფუნქციონალურობით და, შესაბამისად, ფასით. ჩვენს მიმოხილვაში ჩვენ გადავხედეთ თითოეული კომპანიის თითო პროდუქტს, ავირჩიეთ ყველაზე ფუნქციონალური ვერსია, რომელსაც ჩვეულებრივ Personal Pro-ს უწოდებენ. პერსონალური ანტივირუსების სხვა ვარიანტები შეგიძლიათ იხილოთ შესაბამის ვებსაიტებზე.

კასპერსკის ანტივირუსი

Personal Pro v. 4.0

შემქმნელი: კასპერსკის ლაბორატორია. საიტი: http://www.kaspersky.ru/.

ფასი: $69 (1 წლიანი ლიცენზია). Kaspersky Anti-Virus Personal Pro (ნახ. 3) ერთ-ერთი ყველაზე პოპულარული გადაწყვეტაარუსული ბაზარი

და შეიცავს უამრავ უნიკალურ ტექნოლოგიას.

ქცევითი ბლოკერის მოდული Office Guard აკონტროლებს მაკრო შესრულებას, აჩერებს ყველა საეჭვო მოქმედებას. Office Guard მოდულის არსებობა უზრუნველყოფს 100% დაცვას მაკროვირუსებისგან. ინსპექტორი აკონტროლებს ყველა ცვლილებას თქვენს კომპიუტერში და აღმოაჩენს არაავტორიზებულ ცვლილებებს ფაილებში ანსისტემის რეესტრი

საშუალებას გაძლევთ აღადგინოთ დისკის შინაარსი და წაშალოთ მავნე კოდები. ინსპექტორი არ საჭიროებს ანტივირუსული მონაცემთა ბაზის განახლებებს: მთლიანობის კონტროლი ხორციელდება ორიგინალური ფაილის თითის ანაბეჭდების (CRC თანხების) აღების და მათი შემდგომი შედარების საფუძველზე შეცვლილ ფაილებთან.

სხვა ინსპექტორებისგან განსხვავებით, ინსპექტორი მხარს უჭერს ყველა ყველაზე პოპულარულ შესრულებადი ფაილის ფორმატს. ევრისტიკული ანალიზატორი საშუალებას გაძლევთ დაიცვათ თქვენი კომპიუტერი უცნობი ვირუსებისგანაც კი.მონიტორის ფონური ვირუსის ჩამჭრელი, რომელიც მუდმივად იმყოფება კომპიუტერის მეხსიერებაში, ატარებს ყველა ფაილის ანტივირუსულ სკანირებას მათი გაშვების, შექმნის ან კოპირებისთანავე, რაც საშუალებას გაძლევთ აკონტროლოთ ყველაფერი.

ფაილის ოპერაციები და თავიდან აიცილოთ ინფექცია თუნდაც ყველაზე ტექნოლოგიურად განვითარებული ვირუსებით.შემომავალი და გამავალი შეტყობინებების ყველა განყოფილების შემოწმებით, თანდართული ფაილების (მათ შორის, დაარქივებული და შეფუთული) და სხვა ნებისმიერი დონის შეტყობინებების შემოწმებით.

ანტივირუსული სკანერისკანერი შესაძლებელს ხდის მოთხოვნისამებრ განახორციელოს ლოკალური და ქსელური დისკების მთლიანი შინაარსის სრულმასშტაბიანი სკანირება.

Script Checker სკრიპტის ვირუსის ჩამჭრელი უზრუნველყოფს ყველა გაშვებული სკრიპტის ანტივირუსულ სკანირებას მათ შესრულებამდე.

დაარქივებული და შეკუმშული ფაილების მხარდაჭერა იძლევა ინფიცირებული შეკუმშული ფაილიდან მავნე კოდის ამოღების შესაძლებლობას.

ინფიცირებული ობიექტების იზოლაცია უზრუნველყოფს ინფიცირებული და საეჭვო ობიექტების იზოლირებას და შემდეგ გადატანას სპეციალურად ორგანიზებულ დირექტორიაში შემდგომი ანალიზისა და აღდგენისთვის.

ანტივირუსული დაცვის ავტომატიზაცია საშუალებას გაძლევთ შექმნათ პროგრამის კომპონენტების მუშაობის განრიგი და რიგი; ავტომატურად ჩამოტვირთეთ და დააკავშირეთ ახალი ანტივირუსული მონაცემთა ბაზის განახლებები ინტერნეტის საშუალებით; გაგზავნეთ გაფრთხილებები გამოვლენილი ვირუსის შეტევების შესახებ ელექტრონული ფოსტით და ა.შ.

Norton AntiVirus 2003 Professional Edition

შემქმნელი: Symantec. საიტი: http://www.symantec.ru/.

ფასი 89,95 ევრო.

პროგრამა მუშაობს ქვეშ Windows კონტროლი 95/98/Me/NT4.0/2000 Pro/XP.

ფასი: $39,95

პროგრამა მუშაობს Windows 95/98/Me/NT4.0/2000 Pro/XP-ზე.

ანტივირუსული პროგრამა (ანტივირუსი) არის პროგრამა კომპიუტერული ვირუსების და სხვა მავნე პროგრამების იდენტიფიცირებისა და მოსაშორებლად, მათი გავრცელების თავიდან ასაცილებლად და მათ მიერ ინფიცირებული პროგრამების აღდგენისთვის.

თანამედროვე ანტივირუსული პროგრამების ძირითადი ამოცანები:

• -- ფაილების და პროგრამების სკანირება რეალურ დროში.
• -- თქვენი კომპიუტერის სკანირება მოთხოვნისამებრ.
• -- ინტერნეტ ტრაფიკის სკანირება.
• -- ელფოსტის სკანირება.
• - დაცვა საშიში ვებსაიტებისგან თავდასხმებისგან.
• -- აღდგენა დაზიანებული ფაილები(მკურნალობა).

ანტივირუსული პროგრამების კლასიფიკაცია:

• · დეტექტორის პროგრამებიუზრუნველყოს ვირუსების ძებნა და გამოვლენა RAM-ში და გარე მედიაში და აღმოჩენის შემთხვევაში, გასცეს შესაბამისი შეტყობინება. დეტექტორები გამოირჩევა:
  • 1. უნივერსალური - ისინი თავიანთ მუშაობაში იყენებენ ფაილების უცვლელობის შესამოწმებლად საკონტროლო ჯამის სტანდარტის დათვლით და შედარებით
  • 2. სპეციალიზებული- მოძებნეთ ცნობილი ვირუსები მათი ხელმოწერით (კოდის განმეორებითი განყოფილება). ასეთი დეტექტორების მინუსი არის ის, რომ მათ არ შეუძლიათ ყველა ცნობილი ვირუსის აღმოჩენა.

დეტექტორს, რომელსაც შეუძლია მრავალი ვირუსის აღმოჩენა, ეწოდება პოლიდეტექტორი. ასეთი ანტივირუსული პროგრამების მინუსი არის ის, რომ მათ შეუძლიათ მხოლოდ ვირუსების პოვნა, რომლებიც ცნობილია ასეთი პროგრამების შემქმნელებისთვის.

• · ექიმის პროგრამები (ფაგები)არა მხოლოდ ვირუსებით ინფიცირებული ფაილების პოვნა, არამედ მათი „მკურნალობა“, ე.ი. ამოიღეთ ვირუსის პროგრამის სხეული ფაილიდან, დააბრუნეთ ფაილები თავდაპირველ მდგომარეობაში. მუშაობის დასაწყისში ფაგები ეძებენ ვირუსებს RAM-ში, ანადგურებენ მათ და მხოლოდ ამის შემდეგ აგრძელებენ ფაილების „გაწმენდას“. ფაგებს შორის გამოიყოფა პოლიფაგები, ე.ი. ექიმის პროგრამები, რომლებიც შექმნილია ძებნისა და განადგურებისთვის დიდი რაოდენობითვირუსები. იმის გათვალისწინებით, რომ ახალი ვირუსები მუდმივად ჩნდება, დეტექტორის პროგრამები და ექიმის პროგრამები სწრაფად ხდება მოძველებული და საჭიროა მათი ვერსიების რეგულარული განახლება.
• · აუდიტორული პროგრამებივირუსებისგან დაცვის ყველაზე საიმედო საშუალებებს შორისაა. აუდიტორებს ახსოვთ დისკის პროგრამების, დირექტორიების და სისტემის არეების საწყისი მდგომარეობა, როდესაც კომპიუტერი არ არის ვირუსით დაინფიცირებული და შემდეგ პერიოდულად ან მომხმარებლის მოთხოვნით ადარებენ მიმდინარე მდგომარეობას თავდაპირველთან. აღმოჩენილი ცვლილებები ნაჩვენებია მონიტორის ეკრანზე. როგორც წესი, შტატების შედარება ხდება ოპერაციული სისტემის ჩატვირთვისთანავე. შედარებისას მოწმდება ფაილის სიგრძე, ციკლური კონტროლის კოდი (ფაილის გამშვები ჯამი), მოდიფიკაციის თარიღი და დრო და სხვა პარამეტრები.
• · ფილტრის პროგრამები (მცველები)არის მცირე რეზიდენტური პროგრამები, რომლებიც შექმნილია კომპიუტერის მუშაობის დროს საეჭვო ქმედებების გამოსავლენად, ვირუსებისთვის დამახასიათებელი. ასეთი ქმედებები შეიძლება იყოს:
  • 1. ცდილობს ფაილების გამოსწორებას COM და EXE გაფართოებებით;
  • 2. ფაილის ატრიბუტების შეცვლა;
  • 3. პირდაპირი ჩაწერა დისკზე აბსოლუტურ მისამართზე;
  • 4. შესვლის ჩატვირთვის სექტორებიდისკი;

ვაქცინის პროგრამები (იმუნიზატორები)- ეს არის რეზიდენტური პროგრამები, რომლებიც ხელს უშლიან ფაილების დაინფიცირებას. ვაქცინები გამოიყენება იმ შემთხვევაში, თუ არ არსებობს ექიმის პროგრამები, რომლებიც "მკურნალობენ" ამ ვირუსს. ვაქცინაცია შესაძლებელია მხოლოდ ცნობილი ვირუსების წინააღმდეგ. ვაქცინა ცვლის პროგრამას ან დისკს ისე, რომ გავლენას არ მოახდენს მის მუშაობაზე და ვირუსი აღიქვამს მას ინფიცირებულად და შესაბამისად არ გაიღებს ფესვებს. ასეთი პროგრამების მნიშვნელოვანი მინუსი არის მათი შეზღუდული შესაძლებლობა, თავიდან აიცილონ ინფექცია დიდი რაოდენობით სხვადასხვა ვირუსებისგან.

ანტივირუსული პროგრამების ფუნქციები

რეალურ დროში ვირუსებისგან დაცვა

ანტივირუსული პროგრამების უმეტესობა გთავაზობთ რეალურ დროში დაცვას. ეს ნიშნავს, რომ ანტივირუსული პროგრამა ყოველ წამს იცავს თქვენს კომპიუტერს ყველა შემომავალი საფრთხისგან. ამიტომ, მაშინაც კი, თუ ვირუსი არ არის დაინფიცირებული თქვენს კომპიუტერში, თქვენ უნდა განიხილოთ ანტივირუსული პროგრამის დაყენება რეალურ დროში დაცვით, რათა თავიდან აიცილოთ ინფექციის შემდგომი გავრცელება.

საფრთხის გამოვლენა

ანტივირუსულ პროგრამებს შეუძლიათ მთელი თქვენი კომპიუტერის ვირუსების სკანირება. ყველაზე დაუცველი ადგილები ჯერ სკანირებულია, სისტემის საქაღალდეები, ოპერატიული მეხსიერება. თქვენ ასევე შეგიძლიათ თავად აირჩიოთ სკანირების სექტორები, ან აირჩიოთ, მაგალითად, კონკრეტული მყარი დისკის სკანირება. თუმცა, ყველა ანტივირუსული პროგრამა არ არის ერთნაირი ალგორითმებით და ზოგიერთ ანტივირუსულ პროგრამას აქვს უფრო მაღალი გამოვლენის მაჩვენებელი, ვიდრე სხვები.

ავტომატური განახლებები

ახალი ვირუსები იქმნება და ჩნდება ყოველდღე. აქედან გამომდინარე, ძალზე მნიშვნელოვანია ანტივირუსული პროგრამებისთვის ანტივირუსული მონაცემთა ბაზების განახლება (ყველა ცნობილი ვირუსის სია, როგორც ძველი, ასევე ახალი). ავტომატური განახლებააუცილებელია, რადგან მოძველებული ანტივირუსი ვერ აღმოაჩენს ახალ ვირუსებს და საფრთხეებს. ასევე, თუ თქვენი ანტივირუსული პროგრამა მხოლოდ გთავაზობთ ხელით განახლებაშეიძლება დაგავიწყდეთ ანტივირუსული დეფინიციების განახლება და თქვენი კომპიუტერი შეიძლება დაინფიცირდეს ახალი ვირუსით. შეეცადეთ აირჩიოთ ანტივირუსი ავტომატური განახლებით.

გაფრთხილებები

ანტივირუსი გაფრთხილებთ, როდესაც რომელიმე პროგრამა თქვენს კომპიუტერზე წვდომას შეეცდება. ამის მაგალითია ინტერნეტ აპლიკაციები. ბევრი პროგრამა, რომელიც ცდილობს თქვენს კომპიუტერზე წვდომას, უვნებელია ან თქვენ ნებაყოფლობით გადმოწერეთ და, შესაბამისად, ანტივირუსული პროგრამები გაძლევთ შესაძლებლობას თავად გადაწყვიტოთ, დაუშვათ თუ დაბლოკოთ მათი ინსტალაცია ან მუშაობა.