Clasificarea programelor antivirus pe scurt. Clasificarea antivirusurilor

Clasificare.

Produsele antivirus pot fi clasificate în funcție de mai multe criterii, cum ar fi: tehnologiile de protecție antivirus utilizate, funcționalitatea produsului și platformele țintă.

Conform tehnologiilor de protecție antivirus utilizate:

• Produse antivirus clasice (produse care folosesc numai metoda de detectare a semnăturii)
• Produse de protecție antivirus proactivă (produse care utilizează numai tehnologii de protecție antivirus proactivă);
• Produse combinate (produse care utilizează atât metode clasice de protecție bazate pe semnătură, cât și cele proactive)

După funcționalitatea produsului:

• Produse antivirus (produse care oferă doar protecție antivirus)
• Produse combinate (produse care oferă mai mult decât doar protecție împotriva malware, dar și filtrarea spam-ului, criptarea și backupul datelor și alte funcții)

După platforma țintă:

• Produse antivirus pentru sistemele de operare Windows
• Produse antivirus pentru sistemele de operare *NIX (aceasta familie include BSD, Linux etc.)
• Produse antivirus pentru familia de sisteme de operare MacOS
• Produse antivirus pentru platforme mobile(Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 etc.)

Produsele antivirus pentru utilizatorii corporativi pot fi, de asemenea, clasificate după obiecte de protecție:

• Produse antivirus pentru a proteja stațiile de lucru
• Produse antivirus pentru protejarea serverelor de fișiere și terminale
• Produse antivirus pentru a proteja e-mailul și gateway-urile de internet
• Produse antivirus pentru a proteja serverele de virtualizare
• etc.

Caracteristică programe antivirus.

Programele antivirus se împart în: programe detectoare, programe medicale, programe de auditor, programe de filtrare, programe de vaccinare.

Programele de detectare oferă căutarea și detectarea virușilor în RAM și mai departe medii externe, iar atunci când este detectat, este afișat un mesaj corespunzător. Există detectoare universale și specializate.

Detectoarele universale în activitatea lor utilizează verificarea imuabilității fișierelor prin numărarea și compararea cu un standard de sumă de control. Dezavantajul detectorilor universali este asociat cu incapacitatea de a determina cauzele coruperii fișierelor.

Detectoarele specializate caută viruși cunoscuți după semnătură (o secțiune repetată a codului). Dezavantajul unor astfel de detectoare este că nu pot detecta toți virușii cunoscuți.

Un detector care poate detecta mai mulți viruși se numește polidetector.

Dezavantajul unor astfel de programe antivirus este că pot găsi doar viruși care sunt cunoscuți de dezvoltatorii unor astfel de programe.

Programele medicale (fagii) nu numai că găsesc fișiere infectate cu viruși, ci și le „tratează”, adică. eliminați corpul programului virus din fișier, returnând fișierele la starea initiala. La începutul activității lor, fagii caută viruși în RAM, distrugându-i și abia apoi procedează la „curățarea” fișierelor. Dintre fagi se disting polifagii, adică. Programe medicale concepute pentru a căuta și distruge un număr mare de viruși.

Având în vedere că apar în mod constant noi viruși, programele de detectare și programele medicale devin rapid depășite și sunt necesare actualizări regulate ale versiunilor lor.

Programele de audit sunt printre cele mai fiabile mijloace de protecție împotriva virușilor. Auditorii își amintesc starea inițială a programelor, directoarelor și zonelor de sistem ale discului atunci când computerul nu este infectat cu un virus și apoi, periodic sau la cererea utilizatorului, compară starea actuală cu cea originală. Modificările detectate sunt afișate pe ecranul monitorului video. De regulă, stările sunt comparate imediat după încărcare sistem de operare. La comparare, lungimea fișierului și codul de control ciclic ( suma de control fișier), data și ora modificării, alți parametri.

Programele de auditor au algoritmi destul de dezvoltați, detectează virușii ascunși și chiar pot distinge modificările versiunii programului verificat de modificările făcute de virus.

Programele de filtrare (watchmen) sunt mici programe rezidente concepute pentru a detecta acțiunile suspecte în timpul funcționării computerului, caracteristice virușilor. Astfel de acțiuni pot fi:

Încercarea de a corecta fișierele cu extensii COM și EXE;

Modificarea atributelor fișierului;

Scriere directă pe disc la adresa absolută;

Când orice program încearcă să efectueze acțiunile specificate, „paznicul” trimite un mesaj utilizatorului și oferă să interzică sau să permită acțiunea corespunzătoare. Programele de filtrare sunt foarte utile deoarece sunt capabile să detecteze un virus în cel mai timpuriu stadiu al existenței sale înainte de replicare. Cu toate acestea, nu „curăță” fișierele și discurile. Pentru a distruge virușii, trebuie să utilizați alte programe, cum ar fi fagii.

Dezavantajele programelor de supraveghere includ „intruzivitatea” lor (de exemplu, emit în mod constant un avertisment cu privire la orice încercare de a copia un fișier executabil), precum și posibilele conflicte cu alt software.

Vaccinurile (imunizatoarele) sunt programe rezidente care împiedică infectarea fișierelor. Vaccinurile sunt folosite dacă nu există programe medicale care să „trateze” acest virus. Vaccinarea este posibilă numai împotriva virusurilor cunoscute. Vaccinul modifică programul sau discul în așa fel încât să nu afecteze funcționarea acestuia, iar virusul îl va percepe ca fiind infectat și, prin urmare, nu va prinde rădăcini. În prezent, programele de vaccinare au o utilizare limitată.

Un dezavantaj semnificativ al acestor programe este capacitatea lor limitată de a preveni infectarea cu un număr mare de viruși diferiți.

Exemple de programe antivirus

Atunci când alegeți un program antivirus, este necesar să luați în considerare nu numai procentul de detectare a virușilor, ci și capacitatea de a detecta noi viruși, numărul de viruși din baza de date antivirus, frecvența actualizărilor acestuia și prezența unor viruși suplimentari. funcții.

În prezent, un antivirus serios ar trebui să poată recunoaște cel puțin 25.000 de viruși. Asta nu înseamnă că toți sunt „liberi”. De fapt, cele mai multe dintre ele fie au încetat să mai existe, fie sunt în laboratoare și nu sunt distribuite. În realitate, puteți găsi 200-300 de viruși și doar câteva zeci dintre ei sunt periculoși.

Există multe programe antivirus. Să ne uităm la cele mai faimoase dintre ele.

Norton AntiVirus 4.0 și 5.0 (producător: Symantec).

Unul dintre cele mai cunoscute și populare antivirusuri. Procentul de recunoaștere a virusului este foarte mare (aproape de 100%). Programul folosește un mecanism care vă permite să recunoașteți noi viruși necunoscuți. Interfața Norton AntiVirus include o caracteristică LiveUpdate care vă permite să actualizați atât programul, cât și un set de semnături de viruși prin Web, cu un singur clic. Probleme cu Anti-Virus Master despre un virus detectat și, de asemenea, vă oferă posibilitatea de a elimina virusul fie automat, fie mai atent, printr-o procedură pas cu pas care vă permite să vedeți fiecare dintre acțiunile efectuate în timpul procesului de eliminare.

Bazele de date antivirus sunt actualizate foarte des (uneori, actualizările apar de câteva ori pe săptămână). Există un monitor rezident.

Dezavantajul acestui program este că este dificil de configurat (deși practic nu este nevoie să schimbați setările de bază).

Dr Solomon's AntiVirus (producător: Dr Solomon's Software).

Considerat unul dintre cele mai multe cele mai bune antivirusuri(Eugene Kaspersky a spus odată că acesta este singurul concurent al AVP-ului său). Detectează aproape 100% dintre virușii cunoscuți și noi. Un număr mare de funcții, scaner, monitor, euristică și tot ce aveți nevoie pentru a rezista cu succes virușilor.

McAfee VirusScan (producător: „Asociații McAfee”)

Acesta este unul dintre cele mai cunoscute pachete antivirus. Îndepărtează virușii foarte bine, dar VirusScan este mai rău decât alte pachete în detectarea noilor varietăți de viruși de fișiere. Se instalează rapid și ușor folosind setările implicite, dar poate fi personalizat pentru a se potrivi nevoilor dvs. Puteți scana toate fișierele sau doar fișierele software, să distribuiți sau să nu distribuiți procedura de scanare fișiere comprimate. Are multe funcții pentru a lucra cu Internetul.

.Dr.Web (producător: Dialogue Science)

Antivirus domestic popular. Recunoaște bine virușii, dar baza de date conține mult mai puțini dintre ei decât alte programe antivirus.

Antiviral Toolkit Pro (producător: Kaspersky Lab).

Acest antivirus este recunoscut în întreaga lume drept unul dintre cele mai de încredere. În ciuda ușurinței sale de utilizare, are tot arsenalul necesar pentru a lupta împotriva virușilor. Mecanism euristic, scanare redundantă, scanarea arhivelor și a fișierelor împachetate - aceasta nu este o listă completă a capabilităților sale.

Kaspersky Lab monitorizează îndeaproape apariția de noi viruși și lansează prompt actualizări ale bazelor sale de date antivirus. Există un monitor rezident pentru a monitoriza fișierele executabile.

Scanere (alte denumiri: fagi, polifagi)

Principiul de funcționare al scanerelor antivirus se bazează pe verificarea fișierelor, sectoarelor și memorie de sistemși căutarea de viruși cunoscuți și noi (necunoscuți de scaner). Pentru a căuta viruși cunoscuți, sunt folosite așa-numitele „măști”. Masca unui virus este o secvență constantă de cod specifică acestui virus anume. Dacă virusul nu conține o mască permanentă sau lungimea acestei măști nu este suficient de lungă, atunci se folosesc alte metode. Un exemplu de astfel de metodă este un limbaj algoritmic care descrie totul opțiuni posibile cod care poate apărea atunci când este infectat cu un virus de acest tip. Această abordare este folosită de unii antivirusuri pentru a detecta viruși polimorfi.

Multe scanere folosesc, de asemenea, algoritmi de „scanare euristică”, de exemplu. analizarea secvenței comenzilor din obiectul verificat, colectarea unor statistici și luarea unei decizii pentru fiecare obiect verificat.

Scanerele pot fi, de asemenea, împărțite în două categorii - „universale” și „specializate”. Scanerele universale sunt concepute pentru a detecta și neutraliza toate tipurile de viruși, indiferent de sistemul de operare în care este proiectat să funcționeze scanerul. Scanerele specializate sunt concepute pentru a neutraliza un număr limitat de viruși sau o singură clasă de viruși, de exemplu macrovirusuri.

Scanerele sunt, de asemenea, împărțite în „rezident” (monitoare), care efectuează scanare din mers și „nerezident”, care scanează sistemul doar la cerere. De regulă, scanerele „rezidente” oferă mai mult protecţie fiabilă sisteme, deoarece acestea răspund imediat la apariția unui virus, în timp ce un scaner „nerezident” este capabil să identifice virusul doar în timpul următoarei lansări.

Scanere CRC

Principiul de funcționare al scanerelor CRC se bazează pe calcularea sumelor CRC (sume de control) pentru fișierele/sectoarele de sistem prezente pe disc. Aceste sume CRC sunt apoi stocate în baza de date antivirus, precum și alte informații: lungimea fișierelor, datele ultimei modificări etc. Atunci când sunt lansate ulterior, scanerele CRC compară datele conținute în baza de date cu valorile reale calculate. Dacă informațiile despre fișiere înregistrate în baza de date nu se potrivesc cu valorile reale, atunci scanerele CRC semnalează că fișierul a fost modificat sau infectat cu un virus.

Scanerele CRC nu sunt capabile să prindă un virus în momentul în care apare în sistem, dar fac acest lucru doar ceva timp mai târziu, după ce virusul s-a răspândit în computer. Scanerele CRC nu pot detecta un virus în fișiere noi (în e-mail, pe dischete, în fișierele restaurate dintr-o copie de rezervă sau la despachetarea fișierelor dintr-o arhivă), deoarece bazele lor de date nu conțin informații despre aceste fișiere. Mai mult, apar periodic viruși care profită de această „slăbiciune” a scanerelor CRC, infectând doar fișierele nou create și rămânând astfel invizibile pentru acestea.

Blocante

Blocanții antivirus sunt programe rezidente care interceptează situații „periculoase pentru virus” și informează utilizatorul despre acestea. „Periculoase pentru viruși” includ apeluri de deschidere pentru scrierea în fișiere executabile, scrierea în sectoarele de pornire ale discurilor sau MBR-ul unui hard disk, încercările programelor de a rămâne rezidente etc., adică apelurile tipice pentru viruși la nivelul momentul reproducerii.

Avantajele blocantelor includ capacitatea lor de a detecta și opri un virus în cel mai timpuriu stadiu al reproducerii acestuia. Dezavantajele includ existența unor modalități de a ocoli protecția blocantului și un număr mare de false pozitive.

Imunizatoare

Imunizatoarele sunt împărțite în două tipuri: imunizatorii care raportează infecția și imunizatorii care blochează infecția. Primele sunt de obicei scrise la sfârșitul fișierelor (pe baza principiului unui virus de fișiere) și de fiecare dată când fișierul este lansat, îl verifică pentru modificări. Astfel de imunizatoare au un singur dezavantaj, dar este letal: incapacitatea absolută de a raporta infecția cu un virus stealth. Prin urmare, astfel de imunizatori, cum ar fi blocanții, practic nu sunt utilizați în prezent.

Al doilea tip de imunizare protejează sistemul de infecția cu un anumit tip de virus. Fișierele de pe discuri sunt modificate în așa fel încât virusul să le perceapă ca deja infectate. Pentru a proteja împotriva unui virus rezident, un program care simulează o copie a virusului este introdus în memoria computerului. Când este lansat, virusul îl întâlnește și crede că sistemul este deja infectat.

Acest tip de imunizare nu poate fi universal, deoarece este imposibil să se imunizeze fișierele împotriva tuturor virușilor cunoscuți.

^ Clasificarea antivirusurilor pe baza variabilității în timp

Potrivit lui Valery Konyavsky , instrumentele antivirus pot fi împărțite în două grupuri mari - cele care analizează datele și cele care analizează procesele.

^ Analiza datelor

Analiza datelor include „auditori” și „polifagi”. „Inspectorii” analizează consecințele activităților virușilor informatici și ale altor programe rău intenționate. Consecințele au ca rezultat modificări ale datelor care nu ar trebui modificate. Faptul că datele s-au schimbat este un semn al activității malware din punctul de vedere al „auditorului”. Cu alte cuvinte, „auditorii” monitorizează integritatea datelor și, pe baza faptului unei încălcări a integrității, iau o decizie cu privire la prezența programelor rău intenționate în mediul computerului.

„Polifagele” acționează diferit. Pe baza analizei datelor, ei identifică fragmente cod rău intenționat(de exemplu, prin semnătura sa) și pe această bază fac o concluzie despre prezența malware-ului. Eliminarea sau „vindecarea” datelor infectate cu viruși vă permite să preveniți consecințele negative ale executării programelor rău intenționate. Astfel, pe baza analizei „în statică”, sunt prevenite consecințele care apar „în dinamică”.

Schema de lucru atât a „auditorilor” cât și a „polifagelor” este aproape aceeași - comparați datele (sau suma lor de verificare) cu una sau mai multe mostre de referință. Datele sunt comparate cu datele. Astfel, pentru a găsi un virus în computerul tău, trebuie să fi „funcționat” deja pentru ca consecințele activității sale să apară. Această metodă poate găsi doar viruși cunoscuți pentru care fragmente de cod sau semnături au fost descrise în prealabil. O astfel de protecție cu greu poate fi numită fiabilă.


^ Analiza procesului

Instrumentele antivirus bazate pe analiza proceselor funcționează oarecum diferit. „Analizoarele euristice”, ca cele descrise mai sus, analizează datele (pe disc, pe un canal, în memorie etc.). Diferența fundamentală constă în faptul că analiza este efectuată în ipoteza că codul analizat nu este date, ci comenzi (în calculatoarele cu arhitectură von Neumann, datele și comenzile nu se pot distinge și, prin urmare, în timpul analizei, trebuie să facem una sau alta presupunere). .)

„Analizorul euristic” identifică o secvență de operațiuni, atribuie fiecăruia dintre ele o anumită evaluare de „pericol” și, pe baza totalității „pericolului”, ia o decizie dacă această secvență de operațiuni face parte din codul rău intenționat. Codul în sine nu este executat.

Un alt tip de instrumente antivirus bazate pe analiza procesului sunt „blocantele comportamentale”. În acest caz, codul suspect este executat pas cu pas până când setul de acțiuni inițiate de cod este evaluat drept comportament „periculos” (sau „sigur”). În acest caz, codul este parțial executat, deoarece completarea codului rău intenționat poate fi detectată ulterior metode simple analiza datelor.

Tehnologii de detectare a virusurilor

Tehnologiile utilizate în antivirusuri pot fi împărțite în două grupe:

• 
  Tehnologii de analiză a semnăturilor
  
• 
  Tehnologii de analiză probabilistică
  

• 
  Analiza euristica
  
• 
  Analiza comportamentală
  
• 
  Analiza sumei de control
  

• 
  Complex antivirus pentru protejarea stațiilor de lucru
  
• 
  Complex antivirus pentru protejarea serverelor de fișiere
  
• 
  Complex antivirus pentru protejarea sistemelor de mail
  
• 
  Complex antivirus pentru protejarea gateway-urilor.

Deși securitatea informațiilor generale și măsurile preventive sunt foarte importante pentru a proteja împotriva virușilor, este necesar să se utilizeze programe specializate. Aceste programe pot fi împărțite în mai multe tipuri:

• ? Programele detector verifică dacă fișierele de pe disc conțin o combinație specifică de octeți (semnătură) pentru un virus cunoscut și raportează acest lucru utilizatorului (VirusScan/SCAN/McAfee Associates).
• ? Programele medicale sau fagii „tratează” programele infectate „mușcând” corpul virusului din programele infectate, atât cu cât și fără restaurarea habitatului (fișier infectat) - modulul de vindecare al programului SCAN - programul CLEAN.
• ? Programele doctor-detector (Lozinsky's Aidstest, Danilov's Doctor Web, MSAV, Norton Antivirus, Kaspersky's AVP) sunt capabile să detecteze prezenţa unui virus cunoscut pe un disc şi să vindece fişierul infectat. Cel mai comun grup de programe antivirus astăzi.

În chiar caz simplu Comanda de verificare a conținutului discului pentru viruși arată astfel: aidstest /key1/key 2 /key 3 /---

• ? Programele de filtrare (watchmen) sunt localizate rezidente în memoria RAM a PC-ului și interceptează acele apeluri către sistemul de operare care sunt utilizate de viruși pentru a se reproduce și a provoca daune și le raportează utilizatorului:
• - o încercare de a corupe fișierul principal al sistemului de operare COMMAND.COM;
• - o încercare de a scrie direct pe disc (înregistrarea anterioară este ștearsă) și apare un mesaj că un program încearcă să copieze pe disc;
• - formatarea discului,
• - plasarea rezidentă a programului în memorie.

După ce a detectat o încercare la una dintre aceste acțiuni, programul de filtrare oferă utilizatorului o descriere a situației și necesită confirmare din partea acestuia. Utilizatorul poate permite sau refuza această operațiune. Controlul acțiunilor, caracteristice virușilor, se realizează prin înlocuirea gestionatorilor de întreruperi corespunzători. Dezavantajele acestor programe includ intruzivitatea (garda, de exemplu, emite un avertisment cu privire la orice încercare de a copia un fișier executabil), posibile conflicte cu alt software și ocolirea gardienilor de către unii viruși. Exemple de filtre: Anti4us, Vsafe, Disk Monitor.

Trebuie remarcat faptul că astăzi multe programe din clasa doctor-detector au și un modul rezident - un filtru (garda), de exemplu, DR Web, AVP, Norton Antivirus. Astfel, astfel de programe pot fi clasificate ca medic-detector-gard.

• ? Instrumente antivirus hardware și software (complex hardware și software Sheriff). La egalitate cu programele de supraveghere sunt instrumentele antivirus hardware și software care oferă o protecție mai fiabilă împotriva pătrunderii virușilor în sistem. Astfel de complexe constau din două părți: hardware, care este instalat sub forma unui microcircuit Placa de bazași software care este scris pe disc. Partea hardware (controller) monitorizează toate operațiunile de scriere pe disc, partea software, fiind rezidentă în RAM, monitorizează toate operațiunile de intrare/ieșire a informațiilor. Cu toate acestea, posibilitatea de a utiliza aceste instrumente necesită o analiză atentă în ceea ce privește configurarea echipamentelor suplimentare utilizate pe PC, de exemplu, controlere de disc, modemuri sau plăci de rețea.
• ? Programe de auditor (infoscop Adinf/Advanced Disk/cu bloc de tratament ADinf Cure Module Mostovoy). Programele de audit au două etape de lucru. În primul rând, își amintesc informații despre starea programelor și a zonelor de sistem ale discurilor (sector de pornire și sector cu tabel de partiții hard disk la partiții logice). Se presupune că în acest moment programele și zonele discului de sistem nu sunt infectate. Apoi, la compararea zonelor de sistem și a discurilor cu cele originale, dacă se constată o discrepanță, utilizatorul este anunțat. Programele de auditor sunt capabile să detecteze viruși invizibili (STEALTH). Verificarea lungimii fișierelor nu este suficientă; unii viruși nu modifică lungimea fișierelor infectate. O verificare mai fiabilă este citirea întregului fișier și calcularea sumei de control (bit cu bit). Este aproape imposibil să schimbați întregul fișier, astfel încât suma de control să rămână aceeași. Dezavantajele minore ale auditorilor includ faptul că pentru a asigura securitatea trebuie să fie utilizați în mod regulat, de exemplu, apelați zilnic din fișierul AUTOEXEC.BAT. Dar avantajele lor neîndoielnice sunt de mare viteză controale și ceea ce nu necesită actualizări frecvente versiuni. Versiunile auditorului, chiar și vechi de șase luni, detectează și elimină în mod fiabil virușii moderni.
• ? Programe de vaccinare sau de imunizare (CPAV). Programele de vaccinare modifica programele si discurile in asa fel incat acest lucru sa nu afecteze functionarea programelor, insa virusul impotriva caruia se efectueaza vaccinarea considera aceste programe si discuri ca fiind deja infectate. Aceste programe nu sunt suficient de eficiente.

În mod convențional, o strategie de protecție împotriva unui virus poate fi definită ca o apărare „stratificată” pe mai multe niveluri. Din punct de vedere structural, ar putea arăta așa. Instrumentele de recunoaștere în „apărarea” împotriva virușilor corespund unor programe de detectare care vă permit să detectați software-ul recent primit pentru prezența virușilor. În fruntea apărării sunt programele de filtrare care se află în memoria calculatorului. Aceste programe pot fi primele care raportează funcționarea virusului. Al doilea eșalon al „apărării” este format din programe de audit. Auditorii detectează un atac de virus chiar și atunci când acesta a reușit să „scurgă” prin prima linie de apărare. Programele Doctor sunt folosite pentru a restaura programele infectate dacă o copie a programului infectat nu se află în arhivă, dar nu se vindecă întotdeauna corect. Medicii-inspectori detectează un atac de virus și tratează programele infectate și monitorizează corectitudinea tratamentului. Cel mai profund eșalon de apărare este mijloacele de control al accesului. Ele nu permit virușilor și programelor care funcționează defectuos, chiar dacă au pătruns în computer, să strice date importante. „Rezerva strategică” conține copii de arhivă ale informațiilor și dischete de „referință” cu produse software. Acestea vă permit să restaurați informațiile dacă sunt deteriorate.

Acțiunile dăunătoare ale fiecărui tip de virus pot fi foarte diverse. Aceasta include ștergerea fișierelor importante sau chiar a firmware-ului BIOS, transferul de informații personale, cum ar fi parolele, la o anumită adresă, organizarea de campanii de e-mail neautorizate și atacuri asupra anumitor site-uri web. De asemenea, este posibil să începeți să apelați telefon mobil pe numere plătite. Utilitare de administrare ascunse (backdoor) pot chiar transfera controlul total asupra computerului unui atacator. Din fericire, toate aceste necazuri pot fi luptate cu succes, iar principala armă în această luptă va fi, desigur, software-ul antivirus.

Kaspersky Anti-Virus. Poate că „Kaspersky Anti-Virus” este cel mai faimos produs de acest tip din Rusia, iar numele „Kaspersky” a devenit sinonim cu luptătorul împotriva codurilor rău intenționate. Laboratorul cu același nume nu numai că lansează în mod constant noi versiuni ale software-ului său de securitate, dar efectuează și activități educaționale în rândul utilizatorilor de computere. Cea mai recentă, a noua versiune de Kaspersky Anti-Virus, la fel ca versiunile anterioare, se distinge printr-o interfață simplă și extrem de transparentă, care combină toate utilitățile necesare într-o singură fereastră. Datorită asistentului de instalare și opțiunilor intuitive de meniu, chiar și un utilizator începător poate configura acest produs. Puterea algoritmilor utilizați va satisface chiar și profesioniștii. CU descriere detaliată Fiecare dintre virușii detectați poate fi vizualizat apelând pagina corespunzătoare de pe Internet direct din program.

Dr. Web. Un alt antivirus rusesc popular, rivalizând cu Kaspersky Anti-Virus ca popularitate, este Dr. Web. Versiunea sa de probă are o caracteristică interesantă: necesită înregistrarea obligatorie prin Internet. Pe de o parte, acest lucru este foarte bun - imediat după înregistrare, baza de date antivirus este actualizată și utilizatorul primește cele mai recente date despre semnături. Pe de altă parte, este imposibil să instalați versiunea de încercare offline și, după cum a arătat experiența, problemele sunt inevitabile cu o conexiune instabilă.

Panda Antivirus + Firewall 2007. Soluție cuprinzătoare în domeniul securitatea calculatorului- Pachetul Panda Antivirus+Firewall 2007 - include, pe langa programul antivirus, un firewall care monitorizeaza activitatea in retea. Interfața ferestrei principale a programului este proiectată în tonuri de verde „naturale”, dar, în ciuda atractivității sale vizuale, sistemul de navigare prin meniu este construit în mod incomod, iar un utilizator începător poate deveni confuz în setări.

Pachetul Panda conține mai multe solutii originale, cum ar fi tehnologia proprietară TruePrevent pentru căutarea amenințărilor necunoscute, bazată pe cei mai avansați algoritmi euristici. De asemenea, merită să acordați atenție utilitarului pentru căutarea vulnerabilităților computerului - evaluează pericolul de „găuri” în sistemul de securitate și oferă descărcarea actualizărilor necesare.

Norton Antivirus 2005. Principala impresie de la produsul celebrei companii Symantec - complexul de antivirus Norton Antivirus 2005 - este concentrarea sa pe puternic sisteme de calcul. Răspunsul interfeței Norton Antivirus 2005 la acțiunile utilizatorului este întârziat semnificativ. În plus, în timpul instalării impune cerințe destul de stricte asupra versiunilor sistemului de operare și Internet Explorer. Spre deosebire de Dr.Web, Norton Antivirus nu necesită actualizarea bazelor de date cu viruși în timpul instalării, dar vă va aminti că acestea sunt depășite pe toată durata operațiunii.

McAfee VirusScan. Am ales un produs antivirus interesant, care, potrivit dezvoltatorilor, este scanerul nr. 1 din lume - McAfee VirusScan - pentru testare deoarece, printre aplicațiile similare, s-a remarcat prin dimensiunea mare de distribuție (mai mult de 40 MB). ). Crezând că această valoare se datorează funcționalității sale largi, am continuat cu instalarea și am descoperit că, pe lângă scanerul antivirus, acesta include și un firewall, precum și utilități pentru curățarea hard disk-ului și eliminarea garantată a obiectelor de pe hard. unitate (destructor de fișiere).

Întrebări pentru capitolele 6 și 7

• 1. Etapele dezvoltării instrumentelor și tehnologiilor de securitate a informațiilor.
• 2. Componentele modelului standard de securitate.
• 3. Sursele amenințărilor de securitate și clasificarea acestora.
• 4. Amenințări neintenționate la adresa securității informațiilor.
• 5. Amenințări deliberate la adresa securității informațiilor.
• 6. Clasificarea canalelor de scurgere de informații.
• 7. Reglementarea problemelor de securitate a informațiilor.
• 8. Structura sistemului de securitate a informațiilor de stat.
• 9. Metode și mijloace de securitate a informațiilor.
• 10. Clasificarea amenințărilor la securitatea datelor.
• 11. Metode de protejare a informațiilor de viruși.
• 12. Metode de control al integrității.
• 13. Clasificarea virușilor informatici.
• 14. Protecție antivirus.
• 15. Măsuri preventive antivirus.
• 16. Clasificarea produselor software antivirus.

Metode de bază pentru detectarea virușilor

programe antivirus dezvoltate în paralel cu evoluția virușilor. Pe măsură ce au apărut noi tehnologii pentru crearea virușilor, aparatul matematic folosit în dezvoltarea antivirusurilor a devenit mai complex.

Primii algoritmi antivirus s-au bazat pe compararea cu un standard. Vorbim despre programe în care virusul este detectat de nucleul clasic folosind o anumită mască. Scopul algoritmului este de a folosi metode statistice. Masca ar trebui, pe de o parte, să fie mică, astfel încât volumul fișierului să aibă o dimensiune acceptabilă și, pe de altă parte, suficient de mare pentru a evita falsele pozitive (când „al propriu” este perceput ca „al altcuiva”, și vice invers).

Primele programe antivirus construite pe acest principiu (așa-numitele scanere polifage) cunoșteau un anumit număr de viruși și știau cum să-i trateze. Aceste programe au fost create după cum urmează: dezvoltatorul, după ce a primit codul virusului (codul virusului a fost inițial static), a creat o mască unică (o secvență de 10-15 octeți) pe baza acestui cod și a introdus-o în baza de date a programului antivirus. Programul antivirus a scanat fișierele și, dacă a găsit această secvență de octeți, a concluzionat că fișierul a fost infectat. Această secvență (semnătură) a fost aleasă astfel încât să fie unică și să nu fie găsită într-un set de date obișnuit.

Abordările descrise au fost folosite de majoritatea programelor antivirus până la mijlocul anilor 90, când au apărut primii viruși polimorfi care și-au schimbat corpul conform unor algoritmi care erau imprevizibili în prealabil. Apoi metoda semnăturii a fost completată de așa-numitul emulator de procesor, care face posibilă găsirea de viruși criptați și polimorfi care nu au în mod explicit o semnătură permanentă.

Principiul emulării procesorului este demonstrat în Fig. 1. Dacă, de obicei, un lanț condiționat este format din trei elemente principale: CPU®OS®Program, atunci când emulați un procesor, la un astfel de lanț este adăugat un emulator. Emulatorul, așa cum spune, reproduce activitatea programului într-un spațiu virtual și reconstruiește conținutul său original. Emulatorul este întotdeauna capabil să întrerupă executarea programului

, își controlează acțiunile, împiedicându-l să strice ceva și apelează nucleul de scanare antivirus.

Al doilea mecanism, care a apărut la mijlocul anilor 90 și este folosit de toate antivirusurile, este analiza euristică. Cert este că aparatul de emulare a procesorului, care vă permite să obțineți un rezumat al acțiunilor efectuate de programul analizat, nu face întotdeauna posibilă căutarea acestor acțiuni, dar vă permite să efectuați o analiză și să prezentați o ipoteză. cum ar fi „virus sau nu virus?” ÎNîn acest caz,

luarea deciziilor se bazează pe abordări statistice. Și programul corespunzător se numește analizor euristic. Pentru a se reproduce, virusul trebuie să efectueze anumite acțiuni specifice: copierea în memorie, scrierea în sectoare etc. Analizorul euristic (face parte din nucleul antivirus) conține o listă de astfel de acțiuni, se uită la codul de execuție al programului, determină ce face și, pe baza acestuia, ia o decizie, este acest program

virus sau nu.

În același timp, procentul de viruși lipsă, chiar și cei necunoscuți programului antivirus, este foarte mic. Această tehnologie este acum utilizată pe scară largă în toate programele antivirus.

Clasificarea programelor antivirus

Antivirusurile pure se disting prin prezența unui nucleu antivirus, care îndeplinește funcția de scanare a probelor. Principiul în acest caz este că tratamentul este posibil dacă virusul este cunoscut. Antivirusurile pure, la rândul lor, sunt împărțite în două categorii în funcție de tipul de acces la fișiere: cele care exercită controlul prin acces (la acces) sau după cererea utilizatorului (la cerere). De obicei, produsele la acces se numesc monitoare, iar produsele la cerere se numesc scanere.

Produsul la cerere funcționează după următoarea schemă: utilizatorul dorește să verifice ceva și emite o cerere (cerere), după care se efectuează verificarea. Produsul la acces este un program rezident care monitorizează accesul și efectuează verificarea în momentul accesării.

În plus, programele antivirus, precum virușii, pot fi împărțite în funcție de platforma în care funcționează antivirusul. În acest sens, alături de Windows sau Linux, platformele pot include Microsoft Exchange Server Microsoft Office, Lotus Notes.

Programele cu dublă utilizare sunt programe utilizate atât în ​​antivirus, cât și în software care nu este un antivirus. De exemplu, CRC-checker - un auditor de schimbare bazat pe sume de control - poate fi folosit nu numai pentru a captura viruși. Un tip de programe cu dublu scop sunt blocanții comportamentali, care analizează comportamentul altor programe și le blochează atunci când sunt detectate acțiuni suspecte. Blocantele comportamentale se deosebesc de un antivirus clasic cu nucleu antivirus, care recunoaște și tratează virușii care au fost analizați în laborator și pentru care a fost prescris un algoritm de tratament, prin aceea că nu pot trata virușii pentru că nu știu nimic despre ei. Această proprietate a blocanților le permite să lucreze cu orice viruși, inclusiv cu cei necunoscuți. Acest lucru are o relevanță deosebită astăzi, deoarece distribuitorii de viruși și antivirusuri folosesc aceleași canale de transmitere a datelor, adică Internetul. În același timp, o companie de antivirus are întotdeauna nevoie de timp pentru a obține virusul în sine, a-l analiza și a scrie modulele de tratament adecvate.

Programele din grupul cu dublă utilizare vă permit să blocați răspândirea virusului până când compania scrie un modul de tratament.

Revizuirea include cele mai populare antivirusuri pentru uz personal de la cinci dezvoltatori cunoscuți. Trebuie remarcat faptul că unele dintre companiile discutate mai jos oferă mai multe versiuni de programe personale care diferă în funcție de funcționalitate și, în consecință, de preț. În recenzia noastră, ne-am uitat la un produs de la fiecare companie, alegând cea mai funcțională versiune, care se numește de obicei Personal Pro. Alte opțiuni pentru antivirusurile personale pot fi găsite pe site-urile web corespunzătoare.

Kaspersky Anti-Virus

Personal Pro v. 4.0

Dezvoltator: Kaspersky Lab. Site: http://www.kaspersky.ru/.

Preț: 69 USD (licență de un an). Kaspersky Anti-Virus Personal Pro (Fig. 3) una dintre cele mai populare soluții pe piata ruseasca

și conține o serie de tehnologii unice.

Modulul de blocare comportamentală Office Guard ține sub control execuția macro, oprind toate acțiunile suspecte. Prezența modulului Office Guard oferă protecție 100% împotriva virușilor macro. Inspectorul monitorizează toate modificările aduse computerului și detectează modificările neautorizate ale fișierelor sau registru de sistem

vă permite să restaurați conținutul discului și să eliminați codurile rău intenționate. Inspector nu necesită actualizări ale bazei de date antivirus: controlul integrității se realizează pe baza prelevarii amprentelor fișierelor originale (sume CRC) și compararea lor ulterioară cu fișierele modificate.

Spre deosebire de alți inspectori, Inspector acceptă toate cele mai populare formate de fișiere executabile. Analizorul euristic face posibilă protejarea computerului chiar și împotriva virușilor necunoscuți. Interceptor de viruși de fundal Monitor, care este prezent în mod constant în memoria computerului, efectuează o scanare antivirus a tuturor fișierelor imediat în momentul lansării, creării sau copierii acestora, ceea ce vă permite să controlați totul

operațiuni cu fișiere și preveniți infectarea chiar și cu cei mai avansați viruși din punct de vedere tehnologic. verificând toate secțiunile mesajelor primite și trimise, inclusiv fișierele atașate (inclusiv arhivate și împachetate) și alte mesaje de orice nivel de imbricare.

Scanner antivirus Scannerul face posibilă efectuarea unei scanări la scară completă a întregului conținut al unităților locale și de rețea, la cerere.

Script Checker Script Virus Interceptor oferă scanarea antivirus a tuturor scripturilor care rulează înainte ca acestea să fie executate.

Suportul pentru fișierele arhivate și comprimate oferă posibilitatea de a elimina codul rău intenționat dintr-un fișier comprimat infectat.

Izolarea obiectelor infectate asigură că obiectele infectate și suspecte sunt izolate și apoi mutate într-un director special organizat pentru analiză și recuperare ulterioară.

Automatizarea protecției antivirus vă permite să creați un program și o ordine de funcționare a componentelor programului; descărcați și conectați automat noi actualizări de baze de date antivirus prin Internet; trimiteți avertismente despre atacurile de viruși detectate prin e-mail etc.

Norton AntiVirus 2003 Professional Edition

Dezvoltator: Symantec. Site: http://www.symantec.ru/.

Pret 89,95 euro.

Programul rulează sub Control Windows 95/98/Me/NT4.0/2000 Pro/XP.

Preț: 39,95 USD

Programul rulează sub Windows 95/98/Me/NT4.0/2000 Pro/XP.

Un program antivirus (antivirus) este un program pentru identificarea și eliminarea virușilor de computer și a altor programe rău intenționate, prevenind răspândirea acestora și restaurarea programelor infectate de aceștia.

Principalele sarcini ale programelor antivirus moderne:

• -- Scanați fișiere și programe în timp real.
• -- Scanați computerul la cerere.
• -- Scanarea traficului de internet.
• -- Scanați e-mailul.
• -- Protecție împotriva atacurilor de la site-uri web periculoase.
• -- Recuperare fișiere deteriorate(tratament).

Clasificarea programelor antivirus:

• · programe de detectare oferiți căutarea și detectarea virușilor în RAM și pe medii externe și, dacă sunt detectați, emiteți un mesaj corespunzător. Detectoarele se disting:
  • 1. universal - folosesc în munca lor pentru a verifica imuabilitatea fișierelor prin numărarea și compararea cu un standard de sumă de control
  • 2. specializate- căutați viruși cunoscuți după semnătură (o secțiune repetată de cod). Dezavantajul unor astfel de detectoare este că nu pot detecta toți virușii cunoscuți.

Un detector care poate detecta mai mulți viruși se numește polidetector. Dezavantajul unor astfel de programe antivirus este că pot găsi doar viruși care sunt cunoscuți de dezvoltatorii unor astfel de programe.

• · Programe medicale (fagi) nu numai că găsesc fișiere infectate cu viruși, ci și le „tratează”, adică. eliminați corpul programului virus din fișier, readucerea fișierelor la starea inițială. La începutul activității lor, fagii caută viruși în RAM, distrugându-i și abia apoi procedează la „curățarea” fișierelor. Dintre fagi se disting polifagii, adică. Programe medicale concepute pentru a căuta și a distruge cantitate mare virusuri. Având în vedere că apar în mod constant noi viruși, programele de detectare și programele medicale devin rapid depășite și sunt necesare actualizări regulate ale versiunilor lor.
• · Programe de auditor sunt printre cele mai fiabile mijloace de protecție împotriva virușilor. Auditorii își amintesc starea inițială a programelor, directoarelor și zonelor de sistem ale discului atunci când computerul nu este infectat cu un virus și apoi, periodic sau la cererea utilizatorului, compară starea actuală cu cea originală. Modificările detectate sunt afișate pe ecranul monitorului. De regulă, compararea stărilor se efectuează imediat după încărcarea sistemului de operare. La comparare, sunt verificate lungimea fișierului, codul de control ciclic (suma de verificare a fișierului), data și ora modificării și alți parametri.
• · Programe de filtrare (paznici) sunt mici programe rezidente concepute pentru a detecta acțiunile suspecte în timpul funcționării computerului, caracteristice virușilor. Astfel de acțiuni pot fi:
  • 1. încearcă să corecteze fișierele cu extensii COM și EXE;
  • 2. modificarea atributelor fișierului;
  • 3. înregistrare directă pe disc la o adresă absolută;
  • 4. intrare la sectoare de boot disc;

Programe de vaccinare (imunizatoare)- Acestea sunt programe rezidente care previn infectarea fișierelor. Vaccinurile sunt folosite dacă nu există programe medicale care să „trateze” acest virus. Vaccinarea este posibilă numai împotriva virusurilor cunoscute. Vaccinul modifică programul sau discul în așa fel încât să nu afecteze funcționarea acestuia, iar virusul îl va percepe ca fiind infectat și, prin urmare, nu va prinde rădăcini. Un dezavantaj semnificativ al acestor programe este capacitatea lor limitată de a preveni infectarea cu un număr mare de viruși diferiți.

Funcțiile programelor antivirus

Protecție antivirus în timp real

Majoritatea programelor antivirus oferă protecție în timp real. Aceasta înseamnă că programul antivirus vă protejează computerul de toate amenințările primite în fiecare secundă. Prin urmare, chiar dacă un virus nu v-a infectat computerul, ar trebui să luați în considerare instalarea unui program antivirus cu protecție în timp real pentru a preveni răspândirea în continuare a infecției.

Detectarea amenințărilor

Programele antivirus pot scana întregul computer pentru viruși. Zonele cele mai vulnerabile sunt scanate mai întâi, folderele de sistem, RAM. De asemenea, puteți alege singur sectoarele de scanare sau puteți alege, de exemplu, să scanați un anumit hard disk. Cu toate acestea, nu toate programele antivirus sunt la fel ca algoritmi, iar unele programe antivirus au o rată de detectare mai mare decât altele.

Actualizări automate

Noi viruși sunt creați și apar în fiecare zi. Prin urmare, este extrem de important ca programele antivirus să poată actualiza bazele de date antivirus (o listă cu toți virușii cunoscuți, atât vechi, cât și noi). Actualizare automată este necesar deoarece antivirusul învechit nu poate detecta viruși și amenințări noi. De asemenea, dacă programul dvs. antivirus oferă doar actualizare manuală Este posibil să uitați să actualizați definițiile antivirus și computerul poate fi infectat cu un virus nou. Încercați să alegeți un antivirus cu actualizări automate.

Alerte

Antivirusul vă va avertiza când vreun program încearcă să vă acceseze computerul. Un exemplu sunt aplicațiile de pe Internet. Multe programe care încearcă să obțină acces la PC-ul tău sunt inofensive sau le-ai descărcat voluntar și astfel programele antivirus îți oferă posibilitatea de a decide singur dacă să permiti sau să blochezi instalarea sau funcționarea acestora.