Īsumā pretvīrusu programmu klasifikācija. Antivīrusu klasifikācija

Klasifikācija.

Pretvīrusu produktus var klasificēt pēc vairākiem kritērijiem, piemēram: izmantotajām pretvīrusu aizsardzības tehnoloģijām, produkta funkcionalitātes un mērķa platformām.

Saskaņā ar izmantotajām pretvīrusu aizsardzības tehnoloģijām:

• Klasiskie pretvīrusu produkti (produkti, kas izmanto tikai paraksta noteikšanas metodi)
• Proaktīvi pretvīrusu aizsardzības produkti (produkti, kas izmanto tikai proaktīvas pretvīrusu aizsardzības tehnoloģijas);
• Kombinētie produkti (produkti, kas izmanto gan klasiskās, uz parakstu balstītas aizsardzības metodes, gan proaktīvas)

Pēc produkta funkcionalitātes:

• Pretvīrusu produkti (produkti, kas nodrošina tikai pretvīrusu aizsardzību)
• Kombinētie produkti (produkti, kas nodrošina vairāk nekā tikai aizsardzību pret ļaunprogrammatūra, bet arī surogātpasta filtrēšana, šifrēšana un datu dublēšana un citas funkcijas)

Pēc mērķa platformas:

• Pretvīrusu produkti Windows operētājsistēmām
• Pretvīrusu produkti *NIX operētājsistēmām (šajā saimē ietilpst BSD, Linux utt.)
• Pretvīrusu produkti MacOS operētājsistēmu saimei
• Pretvīrusu produkti priekš mobilās platformas(Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 utt.)

Pretvīrusu produktus korporatīvajiem lietotājiem var klasificēt arī pēc aizsardzības objektiem:

• Pretvīrusu produkti darbstaciju aizsardzībai
• Pretvīrusu produkti failu un termināļa serveru aizsardzībai
• Pretvīrusu produkti e-pasta un interneta vārtejas aizsardzībai
• Pretvīrusu produkti virtualizācijas serveru aizsardzībai
• utt.

Raksturīgs pretvīrusu programmas.

Pretvīrusu programmas iedala: detektoru programmās, ārstu programmās, auditoru programmās, filtru programmās, vakcīnu programmās.

Detektoru programmas nodrošina vīrusu meklēšanu un noteikšanu operatīvajā atmiņā un tālāk ārējie mediji, un, kad tas tiek noteikts, tiek parādīts atbilstošs ziņojums. Ir universāli un specializēti detektori.

Universālie detektori savā darbā izmanto failu nemainīguma pārbaudi, skaitot un salīdzinot ar kontrolsummas standartu. Universālo detektoru trūkums ir saistīts ar nespēju noteikt failu bojājuma cēloņus.

Specializētie detektori meklē zināmos vīrusus pēc to paraksta (atkārtota koda sadaļa). Šādu detektoru trūkums ir tāds, ka tie nespēj atklāt visus zināmos vīrusus.

Detektoru, kas var atklāt vairākus vīrusus, sauc par polidetektoru.

Šādu pretvīrusu programmu trūkums ir tāds, ka tās var atrast tikai tādus vīrusus, kas ir zināmi šādu programmu izstrādātājiem.

Ārstu programmas (fāgi) ne tikai atrod ar vīrusiem inficētos failus, bet arī tos “ārstē”, t.i. noņemiet vīrusa programmas pamattekstu no faila, atgriežot failus uz sākotnējais stāvoklis. Sava darba sākumā fāgi meklē vīrusus RAM, tos iznīcinot un tikai pēc tam pāriet uz failu “tīrīšanu”. Starp fāgiem izšķir polifāgus, t.i. Ārstu programmas, kas paredzētas liela skaita vīrusu meklēšanai un iznīcināšanai.

Ņemot vērā, ka pastāvīgi parādās jauni vīrusi, detektoru programmas un ārstu programmas ātri noveco, un ir nepieciešama regulāra to versiju atjaunināšana.

Audita programmas ir viens no uzticamākajiem aizsardzības līdzekļiem pret vīrusiem. Auditori atceras sākotnējo programmu, direktoriju un diska sistēmas apgabalu stāvokli, kad dators nav inficēts ar vīrusu, un pēc tam periodiski vai pēc lietotāja pieprasījuma salīdzina pašreizējo stāvokli ar sākotnējo. Konstatētās izmaiņas tiek parādītas video monitora ekrānā. Parasti stāvokļi tiek salīdzināti uzreiz pēc ielādes operētājsistēma. Salīdzinot, faila garums un cikliskais vadības kods ( kontrolsumma fails), modifikācijas datums un laiks, citi parametri.

Auditoru programmām ir diezgan izstrādāti algoritmi, tās atklāj slepenus vīrusus un pat var atšķirt pārbaudāmās programmas versijas izmaiņas no vīrusa veiktajām izmaiņām.

Filtru programmas (watchmen) ir nelielas rezidentu programmas, kas paredzētas, lai atklātu aizdomīgas darbības datora darbības laikā, kas raksturīgas vīrusiem. Šādas darbības var būt:

Mēģinājumi labot failus ar COM un EXE paplašinājumiem;

Mainīt faila atribūtus;

Tieša rakstīšana uz diska absolūtā adresē;

Kad kāda programma mēģina veikt norādītās darbības, “sargs” nosūta lietotājam ziņojumu un piedāvā aizliegt vai atļaut attiecīgo darbību. Filtru programmas ir ļoti noderīgas, jo tās spēj atklāt vīrusu agrīnākajā tā pastāvēšanas stadijā pirms replikācijas. Tomēr tie “netīra” failus un diskus. Lai iznīcinātu vīrusus, jāizmanto citas programmas, piemēram, fāgi.

Uzraudzības programmu trūkumi ietver to "uzbāzību" (piemēram, tās pastāvīgi brīdina par jebkuru mēģinājumu kopēt izpildāmo failu), kā arī iespējamie konflikti ar citu programmatūru.

Vakcīnas (imunizatori) ir pastāvīgas programmas, kas novērš failu inficēšanos. Vakcīnas tiek izmantotas, ja nav ārstu programmu, kas "ārstē" šo vīrusu. Vakcinācija iespējama tikai pret zināmiem vīrusiem. Vakcīna modificē programmu vai disku tā, lai tas neietekmētu tās darbību, un vīruss to uztvers kā inficētu un tāpēc neiesakņosies. Pašlaik vakcīnu programmas ir ierobežotas.

Būtisks šādu programmu trūkums ir to ierobežotā spēja novērst inficēšanos ar lielu skaitu dažādu vīrusu.

Pretvīrusu programmu piemēri

Izvēloties pretvīrusu programmu, jāņem vērā ne tikai vīrusu noteikšanas procentuālais daudzums, bet arī iespēja atklāt jaunus vīrusus, vīrusu skaits antivīrusu datu bāzē, tās atjaunināšanas biežums un papildu klātbūtne. funkcijas.

Pašlaik nopietnam antivīrusam vajadzētu atpazīt vismaz 25 000 vīrusu. Tas nenozīmē, ka viņi visi ir “bezmaksas”. Patiesībā lielākā daļa no tām ir vai nu beigušas pastāvēt, vai atrodas laboratorijās un netiek izplatītas. Patiesībā jūs varat atrast 200–300 vīrusu, un tikai daži desmiti no tiem rada briesmas.

Ir daudz pretvīrusu programmu. Apskatīsim slavenākos no tiem.

Norton AntiVirus 4.0 un 5.0 (ražotājs: Symantec).

Viens no slavenākajiem un populārākajiem antivīrusiem. Vīrusu atpazīšanas procents ir ļoti augsts (tuvu 100%). Programma izmanto mehānismu, kas ļauj atpazīt jaunus nezināmus vīrusus. Norton AntiVirus saskarnē ir iekļauta funkcija LiveUpdate, kas ļauj atjaunināt gan programmu, gan vīrusu parakstu kopu, izmantojot tīmekli, nospiežot vienu pogu. Anti-Virus Master problēmas par atklātu vīrusu, kā arī dod jums iespēju automātiski vai rūpīgāk noņemt vīrusu, veicot pakāpenisku procedūru, kas ļauj skatīt katru noņemšanas procesa laikā veikto darbību.

Pretvīrusu datu bāzes tiek atjauninātas ļoti bieži (dažkārt atjauninājumi parādās vairākas reizes nedēļā). Ir rezidentu monitors.

Šīs programmas trūkums ir tas, ka to ir grūti konfigurēt (lai gan praktiski nav jāmaina pamata iestatījumi).

Dr Solomon's AntiVirus (ražotājs: Dr Solomon's Software).

Uzskata par vienu no visvairāk labākie antivīrusi(Jevgeņijs Kasperskis reiz teica, ka šis ir vienīgais viņa AVP konkurents). Atklāj gandrīz 100% zināmo un jauno vīrusu. Liels skaits funkciju, skeneris, monitors, heiristika un viss nepieciešamais, lai veiksmīgi pretotos vīrusiem.

McAfee VirusScan (ražotājs: "McAfee Associates")

Šī ir viena no slavenākajām pretvīrusu pakotnēm. Tas ļoti labi noņem vīrusus, taču VirusScan ir sliktāks par citām pakotnēm jaunu failu vīrusu šķirņu noteikšanā. Tā tiek instalēta ātri un vienkārši, izmantojot noklusējuma iestatījumus, taču to var pielāgot atbilstoši savām vajadzībām. Varat skenēt visus failus vai tikai programmatūras failus, izplatīt vai neizplatīt skenēšanas procedūru saspiesti faili. Tam ir daudz funkciju darbam ar internetu.

.Dr.Web (ražotājs: Dialogue Science)

Populārs iekšzemes antivīruss. Tas labi atpazīst vīrusus, taču tā datu bāzē to ir daudz mazāk nekā citās pretvīrusu programmās.

Antiviral Toolkit Pro (ražotājs: Kaspersky Lab).

Šis antivīruss visā pasaulē ir atzīts par vienu no uzticamākajiem. Neskatoties uz lietošanas vienkāršību, tai ir viss nepieciešamais arsenāls cīņai pret vīrusiem. Heiristiskais mehānisms, lieka skenēšana, arhīvu un iepakoto failu skenēšana - tas nav pilnīgs tā iespēju saraksts.

Kaspersky Lab rūpīgi uzrauga jaunu vīrusu rašanos un nekavējoties izlaiž atjauninājumus savām pretvīrusu datubāzēm. Ir pastāvīgs monitors, lai uzraudzītu izpildāmos failus.

Skeneri (citi nosaukumi: fāgi, polifāgi)

Pretvīrusu skeneru darbības princips ir balstīts uz failu, sektoru un sistēmas atmiņa un meklēt zināmus un jaunus (skenerim nezināmus) vīrusus. Lai meklētu zināmus vīrusus, tiek izmantotas tā sauktās “maskas”. Vīrusa maska ​​ir kāda pastāvīga koda secība, kas raksturīga šim konkrētajam vīrusam. Ja vīruss nesatur pastāvīgu masku vai šīs maskas garums nav pietiekami garš, tad tiek izmantotas citas metodes. Šādas metodes piemērs ir algoritmiskā valoda, kas apraksta visu iespējamie varianti kodu, kas var rasties, inficējoties ar šāda veida vīrusu. Šo pieeju izmanto daži antivīrusi, lai noteiktu polimorfos vīrusus.

Daudzi skeneri izmanto arī “heiristiskās skenēšanas” algoritmus, t.i. analizējot komandu secību pārbaudāmajā objektā, apkopojot statistiku un pieņemot lēmumu par katru pārbaudāmo objektu.

Skenerus var iedalīt arī divās kategorijās – “universālie” un “specializētie”. Universālie skeneri ir paredzēti visu veidu vīrusu meklēšanai un neitralizācijai neatkarīgi no operētājsistēmas, kurā skeneris ir paredzēts darbam. Specializētie skeneri ir paredzēti, lai neitralizētu ierobežotu skaitu vīrusu vai tikai vienas vīrusu klases, piemēram, makrovīrusus.

Skeneri tiek iedalīti arī “rezidentos” (monitoros), kas veic skenēšanu lidojuma laikā, un “nerezidentos”, kas skenē sistēmu tikai pēc pieprasījuma. Parasti "rezidentu" skeneri nodrošina vairāk uzticama aizsardzība sistēmas, jo tās nekavējoties reaģē uz vīrusa parādīšanos, savukārt “nerezidentu” skeneris vīrusu spēj identificēt tikai nākamās palaišanas laikā.

CRC skeneri

CRC skeneru darbības princips ir balstīts uz CRC summu (kontrolsummu) aprēķināšanu diskā esošajiem failiem/sistēmas sektoriem. Šīs CRC summas pēc tam tiek saglabātas pretvīrusu datu bāzē, kā arī cita informācija: failu garums, to pēdējās modifikācijas datumi utt. Pēc tam palaišanas CRC skeneri salīdzina datubāzē esošos datus ar faktiskajām aprēķinātajām vērtībām. Ja datu bāzē ierakstītā faila informācija nesakrīt ar reālajām vērtībām, tad CRC skeneri signalizē, ka fails ir modificēts vai inficēts ar vīrusu.

CRC skeneri nespēj notvert vīrusu brīdī, kad tas parādās sistēmā, bet to dara tikai pēc kāda laika, pēc vīrusa izplatīšanās visā datorā. CRC skeneri nevar atklāt vīrusu jaunos failos (in e-pasts, disketēs, failos, kas atjaunoti no dublējuma vai izpakojot failus no arhīva), jo to datubāzēs nav informācijas par šiem failiem. Turklāt periodiski parādās vīrusi, kas izmanto šo CRC skeneru “vājumu”, inficē tikai jaunizveidotos failus un tādējādi paliek tiem neredzami.

Bloķētāji

Pretvīrusu bloķētāji ir pastāvīgas programmas, kas pārtver “vīrusiem bīstamas” situācijas un informē lietotāju par to. “Vīrusiem bīstami” ietver izsaukumus atvērt ierakstīšanai izpildāmos failos, ierakstīšanu disku sāknēšanas sektoros vai cietā diska MBR, programmu mēģinājumus palikt rezidentiem utt., tas ir, izsaukumus, kas raksturīgi vīrusiem reproducēšanas brīdis.

Bloķētāju priekšrocības ietver to spēju atklāt un apturēt vīrusu agrīnā tā vairošanās stadijā. Trūkumi ietver veidus, kā apiet bloķētāju aizsardzību, un lielu skaitu viltus pozitīvi.

Imunizatori

Imunizatori ir sadalīti divos veidos: imunizatori, kas ziņo par infekciju, un imunizētāji, kas bloķē infekciju. Pirmie parasti tiek rakstīti līdz failu beigām (pamatojoties uz failu vīrusa principu) un katru reizi, kad fails tiek palaists, tiek pārbaudīts, vai tajā nav notikušas izmaiņas. Šādiem imunizētājiem ir tikai viens trūkums, taču tas ir nāvējošs: absolūta nespēja ziņot par inficēšanos ar slepenu vīrusu. Tāpēc šādus imunizatorus, tāpat kā blokatorus, pašlaik praktiski neizmanto.

Otrs imunizācijas veids aizsargā sistēmu no inficēšanās ar noteikta veida vīrusu. Diskos esošie faili tiek pārveidoti tā, ka vīruss tos uztver kā jau inficētus. Lai aizsargātu pret rezidentu vīrusu, datora atmiņā tiek ievadīta programma, kas simulē vīrusa kopiju. Palaižot, vīruss ar to saskaras un uzskata, ka sistēma jau ir inficēta.

Šis imunizācijas veids nevar būt universāls, jo nav iespējams imunizēt failus pret visiem zināmajiem vīrusiem.

^ Antivīrusu klasifikācija, pamatojoties uz mainīgumu laika gaitā

Pēc Valērija Konjavska teiktā , pretvīrusu rīkus var iedalīt divās lielās grupās – tajos, kas analizē datus, un tajos, kas analizē procesus.

^ Datu analīze

Datu analīze ietver “auditorus” un “polifāgus”. "Inspektori" analizē datorvīrusu un citu kaitīgo programmu darbības sekas. Sekas rada izmaiņas datos, kuras nevajadzētu mainīt. Tieši tas, ka dati ir mainījušies, no “auditora” viedokļa liecina par ļaunprogrammatūras darbību. Citiem vārdiem sakot, “auditori” uzrauga datu integritāti un, pārkāpjot integritāti, pieņem lēmumu par ļaunprātīgu programmu klātbūtni datorvidē.

"Polifāgi" darbojas atšķirīgi. Pamatojoties uz datu analīzi, viņi identificē fragmentus ļaunprātīgs kods(piemēram, ar tā parakstu), un uz tā pamata viņi izdara secinājumu par ļaunprātīgas programmatūras klātbūtni. Ar vīrusu inficētu datu noņemšana vai “ārstēšana” ļauj novērst kaitīgo programmu izpildes negatīvās sekas. Tādējādi, pamatojoties uz analīzi “statikā”, tiek novērstas sekas, kas rodas “dinamikā”.

Gan “auditoru”, gan “polifāgu” darba shēma ir gandrīz vienāda - salīdziniet datus (vai to kontrolsummu) ar vienu vai vairākiem atsauces paraugiem. Dati tiek salīdzināti ar datiem. Tādējādi, lai datorā atrastu vīrusu, tam ir jābūt jau “nostrādātam”, lai parādītos tā darbības sekas. Šī metode var atrast tikai zināmus vīrusus, kuru koda fragmenti vai paraksti ir aprakstīti iepriekš. Šādu aizsardzību diez vai var saukt par uzticamu.


^ Procesu analīze

Pretvīrusu rīki, kuru pamatā ir procesa analīze, darbojas nedaudz savādāk. "Heiristiskie analizatori", tāpat kā iepriekš aprakstītie, analizē datus (diskā, kanālā, atmiņā utt.). Būtiskā atšķirība ir tā, ka analīze tiek veikta, pieņemot, ka analizējamais kods nav dati, bet komandas (datoros ar fon Neimana arhitektūru dati un komandas nav atšķirami, un tāpēc analīzes laikā ir jāizdara viens vai otrs pieņēmums .)

“Heiristiskais analizators” identificē darbību secību, katrai no tām piešķir noteiktu “bīstamības” novērtējumu un, pamatojoties uz “bīstamības” kopumu, izlemj, vai šī darbību secība ir daļa no ļaunprātīga koda. Pats kods netiek izpildīts.

Cita veida pretvīrusu rīki, kuru pamatā ir procesa analīze, ir “uzvedības bloķētāji”. Šajā gadījumā aizdomīgais kods tiek izpildīts soli pa solim, līdz koda uzsāktā darbību kopa tiek novērtēta kā “bīstama” (vai “droša”) uzvedība. Šajā gadījumā kods tiek izpildīts daļēji, jo ļaunprātīgā koda pabeigšanu var noteikt vēlāk vienkāršas metodes datu analīze.

Vīrusu noteikšanas tehnoloģijas

Antivīrusos izmantotās tehnoloģijas var iedalīt divās grupās:

• 
  Parakstu analīzes tehnoloģijas
  
• 
  Varbūtības analīzes tehnoloģijas
  

• 
  Heiristiskā analīze
  
• 
  Uzvedības analīze
  
• 
  Kontrolsummu analīze
  

• 
  Pretvīrusu komplekss darbstaciju aizsardzībai
  
• 
  Pretvīrusu komplekss failu serveru aizsardzībai
  
• 
  Pretvīrusu komplekss pasta sistēmu aizsardzībai
  
• 
  Pretvīrusu komplekss vārtejas aizsardzībai.

Lai gan vispārējie informācijas drošības un preventīvie pasākumi ir ļoti svarīgi, lai aizsargātos pret vīrusiem, tomēr ir jāizmanto specializētās programmas. Šīs programmas var iedalīt vairākos veidos:

• ? Detektoru programmas pārbauda, ​​vai failos diskā ir noteikta zināma vīrusa baitu kombinācija (paraksts), un ziņo par to lietotājam (VirusScan/SCAN/McAfee Associates).
• ? Ārstu programmas jeb fāgi “ārstē” inficētās programmas, “izkožot” vīrusa ķermeni no inficētajām programmām, gan ar, gan bez biotopa (inficētā faila) atjaunošanas - SCAN programmas dziedināšanas modulis - programma CLEAN.
• ? Doctor-detector programmas (Lozinsky's Aidstest, Danilov's Doctor Web, MSAV, Norton Antivirus, Kaspersky's AVP) spēj noteikt zināma vīrusa klātbūtni diskā un izārstēt inficēto failu. Mūsdienās visizplatītākā pretvīrusu programmu grupa.

Pašā vienkāršs gadījums Komanda, lai pārbaudītu, vai diska saturā nav vīrusu, izskatās šādi: aidstest /key1/key 2 /key 3 /---

• ? Filtru programmas (sargi) atrodas datora operatīvajā atmiņā un pārtver tos operētājsistēmas zvanus, kurus vīrusi izmanto, lai pavairotu un radītu kaitējumu, un ziņo par tiem lietotājam:
• - mēģinājums sabojāt galveno OS failu COMMAND.COM;
• - mēģinājums rakstīt tieši diskā (iepriekšējais ieraksts tiek dzēsts), un parādās ziņojums, ka kāda programma mēģina kopēt diskā;
• - diska formatēšana,
• - programmas pastāvīga izvietošana atmiņā.

Konstatējusi mēģinājumu veikt kādu no šīm darbībām, filtra programma sniedz lietotājam situācijas aprakstu un pieprasa no viņa apstiprinājumu. Lietotājs var atļaut vai aizliegt šo darbību. Vīrusiem raksturīgo darbību kontrole tiek veikta, nomainot atbilstošos pārtraukumu apstrādātājus. Šo programmu trūkumi ietver uzmācību (piemēram, aizsargs brīdina par jebkuru izpildāmā faila kopēšanas mēģinājumu), iespējamie konflikti ar citu programmatūru un dažu vīrusu apiešana. Filtru piemēri: Anti4us, Vsafe, Disk Monitor.

Jāpiebilst, ka mūsdienās daudzām ārstu-detektoru klases programmām ir arī rezidentu modulis – filtrs (sargs), piemēram, DR Web, AVP, Norton Antivirus. Tādējādi šādas programmas var klasificēt kā ārsts-detektors-sargs.

• ? Aparatūras un programmatūras pretvīrusu rīki (Sheriff aparatūras un programmatūras komplekss). Līdzvērtīgi sargsuņu programmām ir aparatūras un programmatūras pretvīrusu rīki, kas nodrošina uzticamāku aizsardzību pret vīrusu iekļūšanu sistēmā. Šādi kompleksi sastāv no divām daļām: aparatūras, kas ir uzstādīta mikroshēmas veidā Mātesplate un programmatūra, kas ir ierakstīta diskā. Aparatūras daļa (kontrolieris) uzrauga visas ierakstīšanas operācijas diskā, programmatūras daļa, kas atrodas RAM, uzrauga visas informācijas ievades/izvades darbības. Tomēr šo rīku izmantošanas iespējai ir rūpīgi jāapsver datorā izmantotā papildu aprīkojuma, piemēram, disku kontrolleru, modemu vai tīkla karšu, konfigurācija.
• ? Auditoru programmas (Adinf/Advanced Disk infoscope/ar ārstēšanas bloku ADinf Cure Module Mostovoy). Revīzijas programmām ir divi darba posmi. Pirmkārt, viņi atceras informāciju par programmu stāvokli un disku sistēmas apgabaliem (sāknēšanas sektors un sektors ar nodalījuma tabulu cietais disks uz loģiskajām starpsienām). Tiek pieņemts, ka šobrīd programmas un sistēmas diska apgabali nav inficēti. Pēc tam, salīdzinot sistēmas apgabalus un diskus ar oriģinālajiem, ja tiek konstatēta neatbilstība, lietotājs tiek informēts. Auditora programmas spēj atklāt neredzamos (STEALTH) vīrusus. Ar faila garuma pārbaudi nepietiek; daži vīrusi nemaina inficēto failu garumu. Uzticamāka pārbaude ir nolasīt visu failu un aprēķināt tā kontrolsummu (pa bitam). Ir gandrīz neiespējami mainīt visu failu tā, lai tā kontrolsumma paliktu nemainīga. Nelielos auditoru mīnusos var minēt to, ka drošības nodrošināšanai tie ir regulāri jāizmanto, piemēram, katru dienu izsauc no AUTOEXEC.BAT faila. Bet to neapšaubāmās priekšrocības ir liels ātrumsčekus un to, kas tiem nav vajadzīgs bieži atjauninājumi versijas. Auditora versijas, pat sešus mēnešus vecas, droši atklāj un noņem mūsdienu vīrusus.
• ? Vakcīnu vai imunizatoru programmas (CPAV). Vakcīnas programmas pārveido programmas un diskus tā, lai tas neietekmētu programmu darbību, bet vīruss, pret kuru tiek veikta vakcinācija, šīs programmas un diskus uzskata par jau inficētiem. Šīs programmas nav pietiekami efektīvas.

Parasti stratēģiju aizsardzībai pret vīrusu var definēt kā daudzlīmeņu “slāņainu” aizsardzību. Strukturāli tas varētu izskatīties šādi. Izlūkošanas rīki “aizsardzībā” pret vīrusiem atbilst detektoru programmām, kas ļauj noteikt tikko saņemto programmatūru vīrusu klātbūtnei. Aizsardzības priekšgalā ir filtru programmas, kas atrodas iekšā datora atmiņa. Šīs programmas var būt pirmās, kas ziņo par vīrusa darbību. Otro “aizsardzības” ešelonu veido audita programmas. Auditori atklāj vīrusa uzbrukumu pat tad, ja tam ir izdevies “izplūst” caur frontes aizsardzības līniju. Ārstu programmas tiek izmantotas, lai atjaunotu inficētās programmas, ja arhīvā nav inficētās programmas kopijas, taču tās ne vienmēr tiek pareizi izārstētas. Ārsti-inspektori atklāj vīrusu uzbrukumu un ārstē inficētās programmas, kā arī uzrauga ārstēšanas pareizību. Aizsardzības dziļākais ešelons ir piekļuves kontroles līdzekļi. Tie neļauj vīrusiem un nepareizi funkcionējošām programmām, pat ja tās ir iekļuvušas datorā, sabojāt svarīgus datus. “Stratēģiskā rezerve” satur informācijas arhīva kopijas un “atsauces” disketes ar programmatūras produkti. Tie ļauj atjaunot informāciju, ja tā ir bojāta.

Katra vīrusa veida kaitīgās darbības var būt ļoti dažādas. Tas ietver svarīgu failu vai pat BIOS programmaparatūras dzēšanu, personas informācijas, piemēram, paroļu, pārsūtīšanu uz noteiktu adresi, nesankcionētu e-pasta kampaņu organizēšanu un uzbrukumus noteiktām vietnēm. Ir iespējams arī sākt caurzvanīšanu mobilais telefons ieslēgts apmaksāti numuri. Slēptās administrēšanas utilītas (backdoor) var pat pilnībā nodot datora kontroli uzbrucējam. Par laimi visas šīs nepatikšanas var veiksmīgi cīnīties, un galvenais ierocis šajā cīņā, protams, būs pretvīrusu programmatūra.

Kaspersky Anti-Virus. Iespējams, “Kaspersky Anti-Virus” ir slavenākais šāda veida produkts Krievijā, un nosaukums “Kaspersky” ir kļuvis par sinonīmu cīņai pret ļaunprātīgiem kodiem. Tā paša nosaukuma laboratorija ne tikai pastāvīgi izlaiž jaunas drošības programmatūras versijas, bet arī veic izglītojošu darbu datoru lietotāju vidū. Jaunākā, devītā Kaspersky Anti-Virus versija, tāpat kā iepriekšējās versijas, atšķiras ar vienkāršu un ārkārtīgi caurspīdīgu saskarni, kas apvieno visas nepieciešamās utilītas vienā logā. Pateicoties instalēšanas vednim un intuitīvām izvēlnes opcijām, pat iesācējs lietotājs var konfigurēt šo produktu. Izmantoto algoritmu jauda apmierinās pat profesionāļus. AR detalizēts apraksts Katru no atklātajiem vīrusiem var apskatīt, piezvanot uz atbilstošo lapu internetā tieši no programmas.

Dr. Web. Vēl viens populārs Krievijas antivīruss, kas pēc popularitātes konkurē ar Kaspersky Anti-Virus, ir Dr. Web. Tās izmēģinājuma versijai ir interesanta iezīme: tai ir nepieciešama obligāta reģistrācija, izmantojot internetu. No vienas puses, tas ir ļoti labi – uzreiz pēc reģistrācijas tiek atjaunināta pretvīrusu datubāze un lietotājs saņem jaunākos datus par parakstiem. No otras puses, izmēģinājuma versiju nav iespējams instalēt bezsaistē, un, kā rāda pieredze, problēmas ar nestabilu savienojumu ir neizbēgamas.

Panda Antivirus + Firewall 2007. Visaptverošs risinājums jomā datoru drošība- Panda Antivirus+Firewall 2007 pakotne – papildus pretvīrusu programmai ietver arī ugunsmūri, kas uzrauga tīkla darbību. Programmas galvenā loga saskarne ir veidota “dabīgos” zaļos toņos, taču, neskatoties uz tās vizuālo pievilcību, izvēlņu navigācijas sistēma ir veidota neērti, un iesācējs lietotājs var apjukt iestatījumos.

Panda iepakojumā ir vairāki oriģinālie risinājumi, piemēram, TruePrevent patentētā tehnoloģija nezināmu apdraudējumu meklēšanai, kuras pamatā ir vismodernākie heiristiskie algoritmi. Ir vērts pievērst uzmanību arī datora ievainojamību meklēšanas utilītai - tā novērtē drošības sistēmas “cauruļu” bīstamību un piedāvā lejupielādēt nepieciešamos atjauninājumus.

Norton Antivirus 2005. Galvenais iespaids no slavenā uzņēmuma Symantec produkta - Norton Antivirus 2005 antivīrusu kompleksa - ir tā koncentrēšanās uz jaudīgu. skaitļošanas sistēmas. Norton Antivirus 2005 saskarnes reakcija uz lietotāja darbībām ir ievērojami aizkavēta. Turklāt instalēšanas laikā tas izvirza diezgan stingras prasības operētājsistēmas versijām un Internet Explorer. Atšķirībā no Dr.Web, Norton Antivirus nav nepieciešams atjaunināt vīrusu datu bāzes instalēšanas laikā, bet atgādinās, ka tās ir novecojušas visas darbības laikā.

McAfee VirusScan. Mēs testēšanai izvēlējāmies interesantu pretvīrusu produktu, kas, pēc izstrādātāju domām, ir skeneris Nr.1 ​​pasaulē - McAfee VirusScan -, jo starp līdzīgām lietojumprogrammām tas izcēlās ar lielo izplatīšanas izmēru (vairāk nekā 40 MB). ). Uzskatot, ka šī vērtība ir saistīta ar tā plašo funkcionalitāti, mēs turpinājām instalēšanu un atklājām, ka papildus pretvīrusu skenerim tajā ir iekļauts ugunsmūris, kā arī utilītas cietā diska tīrīšanai un garantētai objektu noņemšanai no cietā diska. disks (failu smalcinātājs).

Jautājumi 6. un 7. nodaļai

• 1. Informācijas drošības rīku un tehnoloģiju attīstības posmi.
• 2. Standarta drošības modeļa sastāvdaļas.
• 3. Drošības apdraudējumu avoti un to klasifikācija.
• 4. Netīši apdraudējumi informācijas drošībai.
• 5. Apzināti apdraudējumi informācijas drošībai.
• 6. Informācijas noplūdes kanālu klasifikācija.
• 7. Informācijas drošības problēmu regulēšana.
• 8. Valsts informācijas drošības sistēmas struktūra.
• 9. Informācijas drošības metodes un līdzekļi.
• 10. Datu drošības apdraudējumu klasifikācija.
• 11. Metodes informācijas aizsardzībai pret vīrusiem.
• 12. Integritātes kontroles metodes.
• 13. Datorvīrusu klasifikācija.
• 14. Pretvīrusu aizsardzība.
• 15. Preventīvie pretvīrusu pasākumi.
• 16. Pretvīrusu programmatūras produktu klasifikācija.

Pamatmetodes vīrusu noteikšanai

pretvīrusu programmas, kas izstrādātas paralēli vīrusu evolūcijai. Tā kā parādījās jaunas vīrusu radīšanas tehnoloģijas, pretvīrusu izstrādē izmantotais matemātiskais aparāts kļuva sarežģītāks.

Pirmie pretvīrusu algoritmi balstījās uz salīdzināšanu ar standartu. Mēs runājam par programmām, kurās vīrusu nosaka klasiskais kodols, izmantojot noteiktu masku. Algoritma mērķis ir izmantot statistikas metodes. Maskai, no vienas puses, jābūt mazai, lai faila apjoms būtu pieņemamā izmērā, un, no otras puses, pietiekami lielai, lai izvairītos no viltus pozitīvajiem rezultātiem (kad “savējais” tiek uztverts kā “kāda cita” un netikums otrādi).

Pirmās antivīrusu programmas, kas tika veidotas pēc šī principa (tā sauktie polifāgu skeneri), zināja noteiktu skaitu vīrusu un zināja, kā ar tiem rīkoties. Šīs programmas tika izveidotas šādi: izstrādātājs, saņēmis vīrusa kodu (sākotnēji vīrusa kods bija statisks), uz šī koda bāzes izveidoja unikālu masku (secība 10-15 baiti) un ievadīja to pretvīrusu programmu datubāzē. Pretvīrusu programma skenēja failus un, ja atrada šo baitu secību, secināja, ka fails ir inficēts. Šī secība (paraksts) tika izvēlēta tā, lai tā būtu unikāla un nebūtu atrodama parastajā datu kopā.

Aprakstītās pieejas izmantoja lielākā daļa pretvīrusu programmu līdz 90. gadu vidum, kad parādījās pirmie polimorfie vīrusi, kas mainīja savu ķermeni saskaņā ar iepriekš neparedzamiem algoritmiem. Pēc tam paraksta metode tika papildināta ar tā saukto procesora emulatoru, kas ļauj atrast šifrētus un polimorfus vīrusus, kuriem nav nepārprotami pastāvīga paraksta.

Procesora emulācijas princips ir parādīts attēlā. 1. Ja parasti nosacītā ķēde sastāv no trim galvenajiem elementiem: CPU®OS®Program, tad emulējot procesoru, šādai ķēdei tiek pievienots emulators. Emulators it kā reproducē programmas darbu kādā virtuālajā telpā un rekonstruē tā sākotnējo saturu. Emulators vienmēr spēj pārtraukt programmas izpilde

, kontrolē tās darbības, neļaujot tai neko sabojāt, un izsauc pretvīrusu skenēšanas kodolu.

Otrs mehānisms, kas parādījās 90. gadu vidū un ko izmanto visi antivīrusi, ir heiristiskā analīze. Fakts ir tāds, ka procesora emulācijas aparāts, kas ļauj iegūt analizētās programmas veikto darbību kopsavilkumu, ne vienmēr ļauj meklēt šīs darbības, taču tas ļauj veikt zināmu analīzi un izvirzīt hipotēzi. piemēram, “vīruss vai nav vīruss?” INšajā gadījumā

lēmumu pieņemšana balstās uz statistiskām pieejām. Un atbilstošo programmu sauc par heiristisko analizatoru. Lai vīruss varētu reproducēt, tam ir jāveic dažas specifiskas darbības: kopēšana atmiņā, ierakstīšana sektoros utt. Heiristiskais analizators (tā ir daļa no pretvīrusu kodola) satur šādu darbību sarakstu, apskata programmas izpildkodu, nosaka, ko tas dara, un, pamatojoties uz to, pieņem lēmumu.šī programma

vīruss vai nē.

Tajā pašā laikā trūkstošo vīrusu procentuālais daudzums, pat tie, kas nav zināmi pretvīrusu programmai, ir ļoti mazs. Tagad šī tehnoloģija tiek plaši izmantota visās pretvīrusu programmās.

Pretvīrusu programmu klasifikācija

Tīri antivīrusi izceļas ar pretvīrusu kodola klātbūtni, kas veic paraugu skenēšanas funkciju. Princips šajā gadījumā ir tāds, ka ārstēšana ir iespējama, ja vīruss ir zināms. Savukārt tīrie antivīrusi tiek iedalīti divās kategorijās, pamatojoties uz piekļuves failiem veidu: tie, kas kontrolē piekļuvi (piekļuve) vai lietotāja pieprasījumu (pēc pieprasījuma). Parasti pieejamos produktus sauc par monitoriem, bet produktus pēc pieprasījuma sauc par skeneriem.

Prece pēc pieprasījuma darbojas pēc šādas shēmas: lietotājs vēlas kaut ko pārbaudīt un izdod pieprasījumu (pieprasījumu), pēc kura tiek veikta pārbaude. Piekļuves produkts ir pastāvīga programma, kas uzrauga piekļuvi un piekļuves laikā veic verifikāciju.

Turklāt pretvīrusu programmas, tāpat kā vīrusus, var sadalīt atkarībā no platformas, kurā darbojas antivīruss. Šajā ziņā kopā ar Windows vai Linux platformas var ietvert Microsoft Exchange Serveris Microsoft Office, Lotus Notes.

Divējāda lietojuma programmas ir programmas, ko izmanto gan pretvīrusos, gan programmatūrā, kas nav antivīruss. Piemēram, CRC-checker – izmaiņu auditors, kura pamatā ir kontrolsummas – var izmantot ne tikai vīrusu ķeršanai. Divējāda lietojuma programmu veids ir uzvedības bloķētāji, kas analizē citu programmu uzvedību un bloķē tās, kad tiek atklātas aizdomīgas darbības. Uzvedības blokatori atšķiras no klasiskā antivīrusa ar antivīrusu kodolu, kas atpazīst un ārstē vīrusus, kas tika analizēti laboratorijā un kuriem tika noteikts ārstēšanas algoritms, jo tie nevar ārstēt vīrusus, jo neko par tiem nezina. Šis bloķētāju īpašums ļauj tiem strādāt ar jebkuriem vīrusiem, ieskaitot nezināmus. Mūsdienās tas ir īpaši svarīgi, jo vīrusu un antivīrusu izplatītāji izmanto vienus un tos pašus datu pārraides kanālus, tas ir, internetu. Tajā pašā laikā antivīrusu uzņēmumam vienmēr ir nepieciešams laiks, lai pats iegūtu vīrusu, analizētu to un uzrakstītu atbilstošus ārstēšanas moduļus.

Programmas no divējāda lietojuma grupas ļauj bloķēt vīrusa izplatību, līdz uzņēmums raksta ārstēšanas moduli.

Pārskatā ir iekļauti populārākie antivīrusi personīgai lietošanai no pieciem pazīstamiem izstrādātājiem. Jāatzīmē, ka daži no tālāk apskatītajiem uzņēmumiem piedāvā vairākas personisko programmu versijas, kas atšķiras pēc funkcionalitātes un attiecīgi cenas. Savā apskatā apskatījām vienu produktu no katra uzņēmuma, izvēloties funkcionālāko versiju, ko parasti sauc par Personal Pro. Citas personīgo pretvīrusu iespējas var atrast attiecīgajās vietnēs.

Kaspersky Anti-Virus

Personal Pro v. 4.0

Izstrādātājs: Kaspersky Lab. Vietne: http://www.kaspersky.ru/.

Cena: 69 USD (1 gada licence). Kaspersky Anti-Virus Personal Pro (3. att.) viens no populārākajiem risinājumiem uz Krievijas tirgus

un satur vairākas unikālas tehnoloģijas.

Office Guard uzvedības bloķētāja modulis kontrolē makro izpildi, apturot visas aizdomīgās darbības. Office Guard moduļa klātbūtne nodrošina 100% aizsardzību pret makrovīrusiem. Inspektors uzrauga visas izmaiņas jūsu datorā un konstatē nesankcionētas izmaiņas failos vai sistēmas reģistrs

ļauj atjaunot diska saturu un noņemt kaitīgos kodus. Inspektoram nav nepieciešami pretvīrusu datu bāzes atjauninājumi: integritātes kontrole tiek veikta, pamatojoties uz oriģinālo failu pirkstu nospiedumu (CRC summas) noņemšanu un to turpmāku salīdzināšanu ar modificētajiem failiem.

Atšķirībā no citiem inspektoriem, Inspector atbalsta visus populārākos izpildāmo failu formātus. Heiristiskais analizators ļauj aizsargāt jūsu datoru pat no nezināmiem vīrusiem. Monitora fona vīrusu pārtvērējs, kas pastāvīgi atrodas datora atmiņā, veic visu failu pretvīrusu skenēšanu uzreiz to palaišanas, izveides vai kopēšanas laikā, kas ļauj kontrolēt visu.

failu operācijas un novērst inficēšanos ar pat tehnoloģiski vismodernākajiem vīrusiem. pārbaudot visas ienākošo un izejošo ziņojumu sadaļas, tostarp pievienotos failus (tostarp arhivētos un iesaiņotos) un citus jebkura ligzdošanas līmeņa ziņojumus.

Pretvīrusu skeneris Skeneris ļauj pēc pieprasījuma veikt pilna mēroga visu vietējo un tīkla disku satura skenēšanu.

Skriptu pārbaudītāja skriptu vīrusu pārtvērējs nodrošina visu darbojošos skriptu pretvīrusu skenēšanu pirms to izpildes.

Arhivēto un saspiesto failu atbalsts nodrošina iespēju noņemt ļaunprātīgu kodu no inficēta saspiesta faila.

Inficēto objektu izolācija nodrošina inficēto un aizdomīgo objektu izolāciju un to turpmāko pārvietošanu uz īpaši organizētu direktoriju turpmākai analīzei un atkopšanai.

Pretvīrusu aizsardzības automatizācija ļauj izveidot programmas komponentu darbības grafiku un secību; automātiski lejupielādēt un savienot jaunus pretvīrusu datu bāzes atjauninājumus, izmantojot internetu; nosūtīt brīdinājumus par atklātajiem vīrusu uzbrukumiem pa e-pastu utt.

Norton AntiVirus 2003 Professional Edition

Izstrādātājs: Symantec. Vietne: http://www.symantec.ru/.

Cena 89,95 eiro.

Programma darbojas zem Windows vadība 95/98/Me/NT4.0/2000 Pro/XP.

Cena: 39,95 USD

Programma darbojas operētājsistēmā Windows 95/98/Me/NT4.0/2000 Pro/XP.

Pretvīrusu programma (antivīruss) ir programma datorvīrusu un citu kaitīgo programmu identificēšanai un noņemšanai, to izplatības novēršanai un ar tiem inficēto programmu atjaunošanai.

Mūsdienu pretvīrusu programmu galvenie uzdevumi:

• - Skenējiet failus un programmas reāllaikā.
• - Pēc pieprasījuma skenējiet datoru.
• - Interneta trafika skenēšana.
• -- Skenēt e-pastu.
• - Aizsardzība pret bīstamu vietņu uzbrukumiem.
• -- Atveseļošanās bojāti faili(ārstēšana).

Pretvīrusu programmu klasifikācija:

• · detektoru programmas nodrošināt vīrusu meklēšanu un noteikšanu RAM un ārējos datu nesējos, un, ja tie tiek atklāti, izsniedziet atbilstošu ziņojumu. Izšķir detektorus:
  • 1. universāls - viņi savā darbā izmanto, lai pārbaudītu failu nemainīgumu, saskaitot un salīdzinot ar kontrolsummas standartu
  • 2. specializēta- meklēt zināmos vīrusus pēc to paraksta (atkārtota koda sadaļa). Šādu detektoru trūkums ir tāds, ka tie nespēj atklāt visus zināmos vīrusus.

Detektoru, kas var atklāt vairākus vīrusus, sauc par polidetektoru. Šādu pretvīrusu programmu trūkums ir tāds, ka tās var atrast tikai tādus vīrusus, kas ir zināmi šādu programmu izstrādātājiem.

• · Ārstu programmas (fāgi) ne tikai atrast ar vīrusiem inficētos failus, bet arī tos “apstrādāt”, t.i. noņemiet vīrusa programmas pamattekstu no faila, atgriežot failus to sākotnējā stāvoklī. Sava darba sākumā fāgi meklē vīrusus RAM, tos iznīcinot un tikai pēc tam pāriet uz failu “tīrīšanu”. Starp fāgiem izšķir polifāgus, t.i. Ārstu programmas, kas paredzētas meklēšanai un iznīcināšanai liels daudzums vīrusi. Ņemot vērā, ka pastāvīgi parādās jauni vīrusi, detektoru programmas un ārstu programmas ātri noveco, un ir nepieciešama regulāra to versiju atjaunināšana.
• · Auditoru programmas ir viens no uzticamākajiem aizsardzības līdzekļiem pret vīrusiem. Auditori atceras sākotnējo programmu, direktoriju un diska sistēmas apgabalu stāvokli, kad dators nav inficēts ar vīrusu, un pēc tam periodiski vai pēc lietotāja pieprasījuma salīdzina pašreizējo stāvokli ar sākotnējo. Konstatētās izmaiņas tiek parādītas monitora ekrānā. Parasti stāvokļu salīdzināšana tiek veikta tūlīt pēc operētājsistēmas ielādes. Salīdzinot, tiek pārbaudīts faila garums, cikliskais kontroles kods (faila kontrolsumma), modifikācijas datums un laiks un citi parametri.
• · Filtrēšanas programmas (sargi) ir nelielas rezidentu programmas, kas paredzētas, lai atklātu aizdomīgas darbības datora darbības laikā, kas raksturīgas vīrusiem. Šādas darbības var būt:
  • 1. mēģinājumi labot failus ar COM un EXE paplašinājumiem;
  • 2. faila atribūtu maiņa;
  • 3. tieša ierakstīšana diskā absolūtā adresē;
  • 4. ieeja uz sāknēšanas sektori disks;

Vakcīnu programmas (imunizatori)- Šīs ir pastāvīgas programmas, kas novērš failu inficēšanos. Vakcīnas tiek izmantotas, ja nav ārstu programmu, kas "ārstē" šo vīrusu. Vakcinācija iespējama tikai pret zināmiem vīrusiem. Vakcīna modificē programmu vai disku tā, lai tas neietekmētu tās darbību, un vīruss to uztvers kā inficētu un tāpēc neiesakņosies. Būtisks šādu programmu trūkums ir to ierobežotā spēja novērst inficēšanos ar lielu skaitu dažādu vīrusu.

Pretvīrusu programmu funkcijas

Reāllaika aizsardzība pret vīrusiem

Lielākā daļa pretvīrusu programmu piedāvā reāllaika aizsardzību. Tas nozīmē, ka pretvīrusu programma katru sekundi aizsargā jūsu datoru no visiem ienākošajiem draudiem. Tāpēc, pat ja vīruss nav inficējis datoru, jāapsver iespēja instalēt pretvīrusu programmu ar reāllaika aizsardzību, lai novērstu infekcijas tālāku izplatīšanos.

Draudu noteikšana

Pretvīrusu programmas var skenēt visu datoru pret vīrusiem. Vispirms tiek skenētas visneaizsargātākās vietas, sistēmas mapes, RAM. Varat arī pats izvēlēties skenēšanas sektorus vai izvēlēties, piemēram, skenēt konkrētu cieto disku. Tomēr ne visas pretvīrusu programmas savos algoritmos ir vienādas, un dažām pretvīrusu programmām ir augstāks noteikšanas līmenis nekā citām.

Automātiski atjauninājumi

Jauni vīrusi tiek radīti un parādās katru dienu. Tāpēc ir ārkārtīgi svarīgi, lai pretvīrusu programmas varētu atjaunināt pretvīrusu datu bāzes (visu zināmo vīrusu sarakstu, gan veco, gan jauno). Automātiska atjaunināšana ir nepieciešams, jo novecojis antivīruss nevar atklāt jaunus vīrusus un draudus. Arī tad, ja jūsu pretvīrusu programma piedāvā tikai manuāla atjaunināšana Jūs varat aizmirst atjaunināt pretvīrusu definīcijas, un jūsu dators var tikt inficēts ar jaunu vīrusu. Mēģiniet izvēlēties pretvīrusu ar automātiskiem atjauninājumiem.

Brīdinājumi

Antivīruss brīdinās jūs, kad kāda programma mēģinās piekļūt jūsu datoram. Piemērs ir interneta lietojumprogrammas. Daudzas programmas, kas mēģina piekļūt jūsu datoram, ir nekaitīgas vai arī jūs tās lejupielādējāt brīvprātīgi, un tādējādi pretvīrusu programmas sniedz jums iespēju pašam izlemt, vai atļaut vai bloķēt to instalēšanu vai darbību.