K detekci, odstranění a ochraně proti počítačové viry existuje několik typů programů. Takové programy se nazývají antivirové programy. Existují následující typy antivirový software:
1. vakcíny;
2. detektory;
3. auditoři;
4. strážní;
5. monitory;
6. polyfágy;
7. heuristické analyzátory.
V v poslední době, vývojáři antivirových programů, nabízejí uživatelům komplexní řešení, která zahrnují většinu nebo dokonce všechny výše uvedené programy.
Vakcíny - Jedná se o programy určené k prevenci infekce souborů z jakéhokoli konkrétního viru. Vakcíny se používají, pokud neexistují programy, které by mohly virus neutralizovat. Očkování je možné pouze proti známým virům, které lze detekovat, ale z nějakého důvodu nelze neutralizovat. Vakcínový program upravuje chráněný program nebo disk tak, aby to neovlivnilo jejich práci, ale skutečný virus zároveň považoval chráněný program za infikovaný, a proto se nevložil do svého spustitelného kódu.
Akce vakcinačních programů je založena na jedné ze základních vlastností počítačových virů - nikoli k reinfekci již infikovaného programu. Pro tyto účely používají viry při infikování programů takzvanou „černou značku“, která by odlišila již infikované programy od neinfikovaných. Může to být například nastavení času vytvoření souboru na 24 hodin 1 minutu a 62 sekund. Protože Normální programy nemohou mít takový čas vytvoření, poté, co zjistí, že soubor byl vytvořen v tuto chvíli, virus se domnívá, že je infikován, a nepokouší se jej znovu infikovat.
Vakcinační program tedy jednoduše vytvoří „černou značku“ konkrétního viru v chráněném programu beze změny jeho spustitelného kódu a virus, který takovou značku detekuje, se již nepokouší infikovat tento soubor.
"Detektory" nebo "Skenery" jsou programy, které hledají podpis charakteristický pro konkrétní virus v paměť s náhodným přístupem počítač nebo soubory na pevném disku, a pokud jsou detekovány, zobrazí odpovídající zprávu. Nevýhodou této třídy antivirových programů je, že mohou najít pouze viry známé vývojářům.
"Inspektoři" jsou programy, které patří mezi nejspolehlivější prostředky ochrany před viry.
Infikováním počítače provede virus změny na pevném disku: přidá svůj kód do infikovaného souboru, změní systémové oblasti disku atd. Detekce těchto změn je základem pro práci antivirových programů zvaných „auditoři“.
Jsou postaveny na opačném principu, než je princip sestavování skenerů. Auditoři neznají konkrétní viry zrakem, ale pamatují si informace o každém konkrétním logická jednotka a změnou těchto informací mohou spolehlivě detekovat známé i nové, neznámé viry.
V případě detekce změny v informacích o datech dostupných na disku jsou uživateli poskytnuty všechny relevantní informace o změněném objektu. A on sám musí učinit rozhodnutí: stojí za to například zkontrolovat, zda tento soubor neobsahuje virus (pokud jde o spustitelný soubor), nebo ignorovat zprávu, pokud byl soubor změněn uživatelem.
Porovnání stavů se zpravidla provádí bezprostředně po načtení operační systém... Porovnání kontroluje délku souboru, jeho kontrolní součet, datum a čas úpravy a některé další parametry. Programy auditorů mají dostatečně pokročilé algoritmy, aby detekovaly i viry takových tříd, jako jsou „stealth“ - viry a „polymorfní“ viry, a některé mohou dokonce obnovit původní verzi skenovaného programu odstraněním změn provedených virem.
Výhodou auditorů je nejvyšší rychlost skenování disku (mnohonásobně vyšší než rychlost skenování) a vysoká spolehlivost detekce i neznámých virů.
"Watchman" jsou malé rezidentní programy určené k detekci podezřelých akcí, ke kterým dochází, když uživatel pracuje na počítači, a jsou typické pro viry. Tyto akce mohou zahrnovat:
1. pokusy o opravu souborů s příponami COM, EXE, DLL atd., Obvykle neměnné;
2. změna atributů souboru;
4. zápis do zaváděcích sektorů disku;
Když se jakýkoli program pokusí provést zadané akce, „hlídač“ pošle zprávu uživateli a nabídne zakázat nebo povolit odpovídající akci.
Jednou z největších nevýhod programů této třídy je, že pokud jsou nesprávně nakonfigurovány (a někdy i když jsou správné), doslova „bombardují“ uživatele varováními, v důsledku čehož jsou obvykle deaktivovány.
„Monitory“ (nebo filtrační programy) jsou polyfágové antivirové programy, které k detekci virů používají virovou databázi. Monitoruje antivirový program paměť počítačea kontroluje přítomnost virů pouze u těch programů, s nimiž manipuluje uživatel nebo operační systém.
Antivirové monitory obvykle kontrolují všechny soubory, na kterých jsou prováděny následující manipulace:
1. spuštění programu k provedení;
2. změna atributů souboru;
3. otevírací dokument ( Microsoft Office);
4. kopírování nebo přesunutí souboru;
5. editace souboru;
Filtrační programy jsou užitečné v tom smyslu, že pomáhají uživateli detekovat virus v nejranější fázi jeho existence, a to ještě před okamžikem, kdy šíření viru má podobu epidemie.
„Polyfágy“ jsou programy, které jsou schopné bezpečně odstranit virus a obnovit funkčnost poškozených programů.
U každého viru analýzou jeho kódu, způsobů infikování souborů atd. je přidělena nějaká posloupnost bytů, charakteristická pouze pro něj. Tato sekvence se nazývá podpis tohoto viru... Hledání virů je v nejjednodušším případě omezeno na hledání jejich podpisů. Po detekci viru v těle programu (nebo zaváděcím sektoru, který však také obsahuje zaváděcí program) jej polyfág neutralizuje. Za tímto účelem vývojáři antivirových nástrojů pečlivě studují práci každého konkrétního viru: co kazí, jak to kazí, kde skrývá to, co kazí atd.
Skenování je nejtradičnější metodou vyhledávání virů. Spočívá v hledání podpisů extrahovaných z dříve detekovaných virů. Virové databáze moderních skenerů obsahují více než 40 000 virových masek.
Nevýhodou jednoduchých skenerů je jejich neschopnost detekovat „polymorfní“ viry, které zcela mění jejich kód. Moderní polyfágy používají jiné metody hledání virů. K tomu používají složitější vyhledávací algoritmy, včetně heuristické analýzy skenovaných programů. Vzhledem k tomu, že se nové viry neustále objevují, detektory a polyfágy rychle zastarávají a jsou vyžadovány pravidelné aktualizace verzí databáze obsahující podpisy nově objevených virů. Výsledkem je, že skenery zastarají, jakmile je vydána nová verze.
Heuristické analyzátory - programy, které provádějí pod svou kontrolou skenované programy a detekují akce typické pro viry. Díky tomu jsou heuristické analyzátory schopné najít „polymorfní“ viry stejně snadno jako běžné viry, které nepoužívají maskovací mechanismus, navíc mohou detekovat viry, které autoři antivirového programu dříve neznali.
K identifikaci těchto maskujících virů se používají speciální metody. Patří mezi ně metoda emulace procesoru. Metoda spočívá v napodobování provádění programu procesorem a vklouznutí fiktivních řídicích prostředků do viru. Virus takto oklamaný pod kontrolou antivirového programu dešifruje svůj kód. Poté skener porovná dekódovaný kód s kódy ze své skenovací databáze.
Základní metody detekce virů
antivirové programy se vyvíjely souběžně s vývojem virů. Jakmile se objevily nové technologie pro vytváření virů, stal se složitější matematický aparát, který se používal při vývoji antivirových produktů.
První antivirové algoritmy byly založeny na srovnání s benchmarkem. Mluvíme o programech, ve kterých je virus detekováno klasickým jádrem pomocí určité masky. Základem algoritmu je použití statistických metod. Maska by měla být na jedné straně malá, aby byla přijatelná velikost souboru, a na druhé straně dostatečně velká, aby se zabránilo falešně pozitivní výsledky (když je „přítel“ vnímán jako „mimozemšťan“ a naopak).
První antivirové programy postavené na tomto principu (tzv. Polyfágové skenery) znaly řadu virů a dokázaly je vyléčit. Tyto programy byly vytvořeny následovně: vývojář poté, co obdržel virový kód (původně byl statický), sestavil pomocí tohoto kódu jedinečnou masku (sekvence 10–15 bajtů) a zadal ji do databáze antivirového programu. Antivirový program soubory zkontroloval a pokud zjistil danou sekvenci bajtů, dospěl k závěru, že soubor byl infikován. Tato sekvence (podpis) byla zvolena takovým způsobem, že byla jedinečná a nevyskytovala se v obvyklém souboru dat.
Popsané přístupy používala většina antivirových programů až do poloviny 90. let, kdy se objevily první polymorfní viry, které změnily své tělo podle nepředvídatelných algoritmů. Poté byla metoda podpisu doplněna o takzvaný procesorový emulátor, který umožňuje najít šifrované a polymorfní viry, které nemají trvalý podpis ve explicitní podobě.
Princip emulace procesoru je znázorněn na obr. jeden . Pokud se konvenční řetězec obvykle skládá ze tří hlavních prvků: CPU®OS®Program, pak je při emulaci procesoru do takového řetězce přidán emulátor. Emulátor jakoby reprodukuje práci programu v nějakém virtuálním prostoru a rekonstruuje jeho původní obsah. Emulátor je vždy schopen přerušit provádění programu, monitorovat jeho akce, aniž by něco pokazil, a zavolá antivirový skenovací modul.
Druhým mechanismem, který se objevil v polovině 90. let a je využíván všemi antiviry, je heuristická analýza. Faktem je, že zařízení pro emulaci procesoru, které vám umožňuje zmáčknout akce prováděné analyzovaným programem, vám vždy neumožňuje tyto akce vyhledat, ale umožňuje provést určitou analýzu a předložit hypotézu jako „virus nebo ne virus?“
V v tomto případě rozhodování je založeno na statistických přístupech. A odpovídající program se nazývá heuristický analyzátor.
Aby se virus mohl množit, musí provádět jakékoli konkrétní akce: kopírování do paměti, zápis do sektorů atd. Heuristický analyzátor (je součástí antivirového modulu) obsahuje seznam takových akcí, zkoumá spustitelný kód programu, určuje, co dělá, a na základě toho rozhodne, zda je program virus nebo ne.
Zároveň je velmi malé procento chybějícího viru, i když je antivirovému programu neznámé. Tato technologie je nyní široce používán ve všech antivirových programech.
Klasifikace antivirových programů
antivirové programy se dělí na čisté antiviry a antiviry dvojího užití (obr. 2).
Čisté antiviry se vyznačují přítomností antivirového modulu, který vykonává funkci skenování podle vzorků. V tomto případě platí zásada, že léčba je možná, pokud je virus znám. Čisté antiviry se zase dělí do dvou kategorií podle typu přístupu k souborům: on-access nebo on-demand. Obvykle se produkty pro přístup nazývají monitory a produkty na vyžádání se nazývají skenery.
Produkt na vyžádání funguje podle následujícího schématu: uživatel chce něco zkontrolovat a vydat požadavek, po kterém je kontrola provedena. Produkt s přístupem je rezidentní program, který sleduje přístup a kontroluje v době přístupu.
Kromě toho lze antivirové programy, jako jsou viry, rozdělit v závislosti na platformě, na které je antivirový program spuštěn. V tomto smyslu mohou platformy spolu s Windows nebo Linux zahrnovat Microsoft Exchange Server, Microsoft Office, Lotus Notes.
Dvojúčelové programy jsou programy používané v antivirovém i ne antivirovém softwaru. Například CRC-checker - kontrola změn založená na kontrolním součtu - lze použít k více než k chytání virů. Různé programy dvojího užití jsou blokátory chování, které analyzují chování jiných programů a blokují je při zjištění podezřelých akcí. Blokátory chování se liší od klasického antiviru s antivirovým jádrem, které rozpoznává a léčí viry, které byly analyzovány v laboratoři a pro které byl předepsán léčebný algoritmus, tím, že neví, jak viry léčit, protože o nich nic neví jim. Tato vlastnost blokátorů jim umožňuje pracovat s jakýmikoli viry, včetně neznámých. To je dnes zvláště důležité, protože distributoři virů a antivirů používají stejné kanály pro přenos dat, tj. Internet. Současně antivirová společnost vždy potřebuje čas na získání viru, jeho analýzu a vytvoření příslušných modulů léčby. Programy ze skupiny s dvojím použitím umožňují blokování šíření viru, dokud společnost nenapíše modul léčby.
Přehled nejpopulárnějších osobních antivirů
Recenze zahrnuje nejoblíbenější antiviry pro osobní použití od pěti známých vývojářů. Je třeba poznamenat, že některé z níže diskutovaných společností nabízejí několik verzí osobních programů, které se liší funkčností a podle toho i cenou. V naší recenzi jsme se podívali na jeden produkt od každé společnosti a vybrali jsme nejfunkčnější verzi, která se obvykle nazývá Personal Pro. Další možnosti osobního antiviru najdete na příslušných webových stránkách.
Kaspersky Anti-Virus
Personal Pro v. 4.0
Vývojář: Kaspersky Lab. Web: http://www.kaspersky.com/. Cena 69 $ (licence na 1 rok).
Kaspersky Anti-Virus Personal Pro (obr. 3) je jedním z nejpopulárnějších řešení ruský trh a obsahuje řadu jedinečných technologií.
Blokování chování, modul Office Guard řídí provádění maker a potlačuje všechny podezřelé akce. Přítomnost modulu Office Guard poskytuje stoprocentní ochranu proti makrovirům.
Inspektor sleduje všechny změny ve vašem počítači a když zjistí neoprávněné změny v souborech nebo systémový registr umožňuje obnovit obsah disku a odstranit škodlivé kódy. Inspektor nevyžaduje aktualizace antivirové databáze: kontrola integrity se provádí na základě odstranění otisků původních souborů (součty CRC) a jejich následného porovnání s upravenými soubory. Na rozdíl od jiných auditorů podporuje Inspector všechny nejoblíbenější formáty spustitelných souborů.
Heuristický analyzátor umožňuje chránit váš počítač i před neznámými viry.
Monitor virů na pozadí, který je neustále v paměti počítače, provádí antivirovou kontrolu všech souborů okamžitě v době jejich spuštění, vytvoření nebo kopírování, což vám umožňuje kontrolovat všechny operace se soubory a zabránit infekci i těmi nejnáročnějšími. technologicky vyspělé viry.
Antivirové filtrování e-mailem zabraňuje vniknutí virů do vašeho počítače. Plug-in Mail Checker nejen odstraňuje viry z těla e-mailu, ale také zcela obnovuje původní obsah e-mailů. Komplexní prohledávání e-mailů neumožňuje viru skrýt se v žádném z prvků e-mailem skenováním všech sekcí příchozích a odchozích zpráv, včetně připojených souborů (včetně archivovaných a zabalených) a dalších zpráv jakékoli úrovně vnoření.
Antivirový skener umožňuje provádět úplnou kontrolu veškerého obsahu místního a síťové jednotky na požádání.
Script Checker pro zachytávání virů skriptů poskytuje antivirovou kontrolu všech spuštěných skriptů před jejich spuštěním.
Podpora archivovaných a komprimovaných souborů poskytuje možnost odstranit škodlivý kód z infikovaného komprimovaného souboru.
Izolace infikovaných objektů poskytuje izolaci infikovaných a podezřelých objektů s jejich následným přenosem do speciálně organizovaného adresáře pro další analýzu a obnovu.
Automatizace antivirové ochrany vám umožňuje vytvořit plán a pořadí provozu komponent programu; automaticky stahovat a připojovat nové aktualizace k antivirové databázi přes internet; zasílat upozornění na detekované virové útoky e-mailem atd.
Norton AntiVirus 2003 Professional Edition
Vývojář: Symantec Company. Webové stránky: http://www.symantec.ru/.
Cena 89,95 eur.
Program funguje pod správa Windows 95/98 / Me / NT4.0 / 2000 Pro / XP.
Cena 39,95 $
Program běží pod Windows 95/98 / Me / NT4.0 / 2000 Pro / XP.
Eugene Kaspersky v roce 1992 použil následující klasifikaci antivirů v závislosti na jejich principu fungování (který určuje funkčnost):
Ø Skenery (zastaralá verze - „polyfágy“, „detektory“) - určují přítomnost viru pomocí databáze podpisů, která ukládá podpisy (nebo jejich kontrolní součty) virů. Jejich účinnost je dána relevancí virové databáze a přítomností heuristického analyzátoru.
Ø Auditoři (třída blízká IDS) - zapamatujte si stav souborový systém, což umožňuje další analýzu změn.
Ø Hlídač (rezidentní monitory nebo filtry ) - monitorovat potenciálně nebezpečné operace a vydávat odpovídající žádost uživateli o povolení / zakázání operace.
Ø Vakcíny (imunizátory ) - upravte naočkovaný soubor tak, aby virus, proti kterému je očkována vakcína, již soubor považoval za infikovaný. V moderních podmínkách, kdy je počet možných virů měřen na stovky tisíc, je tento přístup nepoužitelný.
Moderní antiviry kombinují všechny výše uvedené funkce.
Antiviry lze také rozdělit na:
Produkty pro domácí uživatele:
Samotné antiviry;
Kombinované produkty (například anti-spam, firewall, anti-rootkit atd. Byly přidány do klasického antiviru);
Firemní produkty:
Serverové antiviry;
Antiviry na pracovních stanicích („koncový bod“).
Společné používání antivirových programů přináší dobré výsledky, protože se navzájem dobře doplňují:
Kontrolují se data pocházející z externích zdrojů program detektoru... Pokud zapomněli zkontrolovat tato data a byl spuštěn infikovaný program, může je program watchdog zachytit. Je pravda, že v obou případech jsou viry známé těmto antivirovým programům spolehlivě detekovány. To není více než 80–90% případů.
- hlídači dokonce dokáže detekovat neznámé viry, pokud se chovají velmi nestoudně (snaží se formátovat) hDD nebo provést změny v systémových souborech). Některé viry však takové kontroly mohou obejít.
Pokud virus nebyl detekován detektorem nebo strážcem, budou detekovány výsledky jeho aktivity program - auditor.
Programy watchdogu by zpravidla měly v počítači fungovat po celou dobu, detektory by se měly používat ke kontrole dat pocházejících z externích zdrojů (soubory a diskety) a auditoři by měli být spuštěni jednou denně, aby detekovali a analyzovali změny na discích. To vše musí být kombinováno s pravidelným zálohováním dat a preventivními opatřeními, aby se snížila pravděpodobnost virové infekce.
Jakýkoli antivirový program „zpomaluje“ počítač, je však spolehlivým prostředkem proti škodlivým účinkům virů.
Falešné antiviry (falešné antiviry).
V roce 2009 různých výrobců Antiviry začaly hlásit rozsáhlé používání nového typu antiviru - nepoctivého antiviru nebo nepoctivého softwaru. Ve skutečnosti tyto programy nejsou vůbec antivirové (tj. Nejsou schopné bojovat proti malwaru) nebo dokonce viry (kradou data o kreditních kartách atd.).
Falešné antiviry se používají k vydírání peněz od uživatelů tím, že je klamou. Jeden způsob, jak infikovat počítač falešným antivirem, je následující. Uživatel se dostane na „infikovaný“ web, který mu zobrazí varovnou zprávu typu: „Ve vašem počítači byl zjištěn virus.“ Poté je uživatel vyzván ke stažení bezplatný program (falešný antivirus) k odstranění viru. Po instalaci falešný antivirus prohledá počítač a údajně detekuje mnohem více virů v počítači. K odstranění malwaru nabízí falešný antivirus nákup placené verze programu. Šokovaný uživatel zaplatí (částky od 50 do 80 USD) a falešný antivirus čistí počítač od neexistujících virů.
Antiviry na SIM, flash kartách a USB zařízení
Dnes vyráběné mobilní telefony mají širokou škálu rozhraní a schopností přenosu dat. Před připojením malých zařízení by si měli spotřebitelé pečlivě prostudovat metody ochrany.
Pro spotřebitele jsou vhodnější způsoby ochrany, jako je hardware, možná antivirus na USB zařízeních nebo na SIM mobilní telefony... Technické posouzení a přehled, jak nainstalovat antivirový program na mobilní telefon, by měly být považovány za proces skenování, který by mohl ovlivnit další legitimní aplikace v daném telefonu.
Antivirový software SIM s integrovaným antivirem v malé paměťové zóně poskytuje ochranu proti malwaru / virům ochranou PIN a informací o uživateli telefonu. Flash antiviry umožňují uživateli vyměňovat si informace a používat tyto produkty s různými hardwarovými zařízeními, stejně jako odesílat tato data do jiných zařízení pomocí různých komunikačních kanálů.
Antiviry, mobilní zařízení a inovativní řešení
V budoucnu mohou být mobilní telefony infikovány virem. Stále více vývojářů v této oblasti nabízí antivirový software pro boj s viry a ochranu mobilních telefonů. V mobilní zařízení existují následující typy antivirové kontroly:
- omezení procesoru;
- omezení paměti;
- identifikace a aktualizace podpisů těchto mobilních zařízení.
Výstup: Antivirový program (antivirus) - původně program pro detekci a léčbu škodlivých objektů nebo infikovaných souborů a také pro prevenci - prevenci infekce souboru nebo operačního systému škodlivým kódem. V závislosti na principu fungování antivirových programů existuje následující klasifikace antivirů: skenery (zastaralá verze - "polyfágy", "detektory"); auditoři (třída blízká IDS); hlídači (rezidentní monitory nebo filtry); vakcíny (imunizátory).
ZÁVĚR
Úspěchy v počítačová technologie v posledních letech přispěly nejen k rozvoji ekonomiky, obchodu a komunikací; zajistil účinnou výměnu informací, ale také poskytl jedinečnou sadu nástrojů osobám, které páchají počítačové trestné činy. Čím intenzivněji proces elektronizace probíhá, tím reálnější je růst počítačové kriminality a moderní společnost nejen pociťuje ekonomické důsledky počítačových zločinů, ale také stále více závisí na automatizaci. Všechny tyto aspekty zavazují věnovat stále větší pozornost ochraně informací, další vývoj legislativní rámec v oblasti informační bezpečnost... Celá řada opatření by měla být omezena na ochranu státu informační zdroje; k regulaci vztahů vyplývajících z tvorby a využívání informačních zdrojů; tvorba a použití informační technologie; ochrana informací a práva subjektů zapojených do informační procesy; stejně jako definice základních pojmů použitých v legislativě.
Docent Katedry organizace bezpečnosti a eskorty v UIS
kandidát technických věd
podplukovník vnitřní služby V.G. Zarubsky
Zatímco obecná bezpečnost informací a preventivní opatření jsou pro ochranu před viry zásadní, specializované programy... Tyto programy lze rozdělit do několika typů:
- ? Detekční programy kontrolují, zda soubory na disku obsahují specifický bajtový vzor (podpis) známého viru, a hlásí jej uživateli (VirusScan / SCAN / McAfee Associates).
- ? Doktorské programy nebo fágy „vyléčí“ infikované programy „vykousnutím“ těla viru z infikovaných programů, a to jak s obnovením prostředí (infikovaný soubor), tak bez něj - modulem léčby programu SCAN je program CLEAN.
- ? Programy detektorů lékařů (Lozinsky's Aidstest, Danilov's Doctor Web, MSAV, Norton Antivirus, Kaspersky AVP) jsou schopny detekovat přítomnost známého viru na disku a léčit infikovaný soubor. Nejrozšířenější skupina antivirových programů současnosti.
V nejjednodušším případě je příkaz ke kontrole obsahu disku na přítomnost virů: aidstest / key1 / key 2 / key 3 / ---
- ? Filtrovací programy (hlídači) jsou rezidenty v paměti RAM počítače PC a zachycují hovory do operačního systému, které používají viry k jejich množení a poškození a hlásí je uživateli:
- - pokus o poškození hlavního souboru OS COMMAND.COM;
- - pokus o zápis přímo na disk (předchozí záznam je smazán), zatímco se zobrazí zpráva, že se nějaký program pokouší zkopírovat na disk;
- - formátování disku,
- - rezidentní umístění programu v paměti.
Po detekci pokusu o jednu z těchto akcí poskytne program filtru uživateli popis situace a vyžaduje od něj potvrzení. Uživatel může tuto operaci povolit nebo zakázat. Řízení akcí typických pro viry se provádí nahrazením příslušných obslužných programů přerušení. Mezi nevýhody těchto programů patří rušivost (například hlídač vydá varování před jakýmkoli pokusem o kopírování spustitelný soubor), možné konflikty s jiným softwarem, chrání obcházení některých virů. Příklady filtrů: Anti4us, Vsafe, Disk Monitor.
Je třeba poznamenat, že dnes má mnoho programů třídy lékař-detektor také rezidentní modul - filtr (hlídač), například DR Web, AVP, Norton Antivirus. Takové programy lze tedy klasifikovat jako doktor-detektor-strážce.
- ? Hardwarové a softwarové antivirové nástroje (hardwarový a softwarový komplex šerifa). Stejně jako programy Watchdog existují i \u200b\u200bhardwarové a softwarové antivirové nástroje, které poskytují více spolehlivá ochrana z proniknutí viru do systému. Takové komplexy se skládají ze dvou částí: hardware, který je nainstalován ve formě mikroobvodu Základní deska a software, který zapisuje na disk. Hardwarová část (řadič) sleduje všechny operace zápisu na disk, softwarová část, která je rezidentem v RAM, sleduje všechny operace vstupu / výstupu informací. Použitelnost těchto nástrojů však vyžaduje pečlivé zvážení, pokud jde o konfiguraci dalšího vybavení používaného v počítači, jako jsou řadiče disků, modemy nebo síťové karty.
- ? Auditorské programy (Adinf / Advanced Disk infoscope / s ADinf Cure Module Mostovoy). Programy auditorů mají dvě pracovní fáze. Nejprve si pamatují informace o stavu programů a systémových oblastech disků (bootovací sektor a sektory s tabulkou oddílů pevný disk do logických oddílů). Předpokládá se, že v tomto okamžiku nejsou infikovány programy a systémové oblasti disků. Poté, při porovnání systémových oblastí a disků s originálem, je-li nalezena neshoda, je ohlášena uživateli. Programy auditora dokážou detekovat neviditelné (STEALTH) viry. Kontrola délky souboru je nedostatečná; některé viry nemění délku infikovaných souborů. Spolehlivější kontrolou je přečíst celý soubor a vypočítat jeho kontrolní součet (kousek po kousku). Je téměř nemožné změnit celý soubor tak, aby jeho kontrolní součet zůstal stejný. Drobné nevýhody auditorů zahrnují skutečnost, že z bezpečnostních důvodů je nutné je pravidelně používat, například denně volat ze souboru AUTOEXEC.BAT. Jejich nepochybnými výhodami jsou však vysoká rychlost kontrol a skutečnost, že nevyžadují časté aktualizace verzí. Dokonce i šestiměsíční verze auditora spolehlivě detekují a odstraňují moderní viry.
- ? Vakcíny nebo imunizační programy (CPAV). Vakcinační programy upravují programy a disky tak, aby to nemělo vliv na fungování programů, ale virus, proti kterému je očkován, považuje tyto programy a disky za již infikované. Práce těchto programů není dostatečně účinná.
Strategii obrany proti viru lze běžně definovat jako víceúrovňovou „vrstvenou“ obranu. Strukturálně to může vypadat takto. Průzkumné prostředky v „obraně“ proti virům se shodují s detektorovými programy, které umožňují určit nově přijatý software na viry. V popředí obrany jsou filtrační programy, které se nacházejí v paměti počítače. Tyto programy mohou být první, kdo ohlásí virus. Druhý sled „obrany“ tvoří auditní programy. Auditoři detekují útok viru, i když se mu podařilo „prosáknout“ přes přední linii obrany. Programy doktora se používají k obnovení infikovaných programů, pokud kopie infikovaného programu není v archivu, ale ne vždy se s nimi zachází správně. Lékaři-vyšetřující detekují virový útok a léčí infikované programy a kontrolují správnost léčby. Nejhlubší vrstvou obrany jsou prostředky kontroly přístupu. Zabraňují virům a špatně fungujícím programům, i když vstoupili do počítače, aby nekazily důležitá data. „Strategická rezerva“ obsahuje archivované kopie informací a „referenční“ diskety se softwarovými produkty. Umožní vám obnovit informace, pokud jsou poškozené.
Škodlivé akce každého typu viru mohou být velmi různorodé. Jedná se o odstranění důležitých souborů nebo dokonce „firmwaru“ BIOSu a přenos osobní informacenapříklad hesla na konkrétní adresu, organizace neoprávněných e-mailů a útoky na určité weby. Je také možné zahájit vytáčení mobilní telefon na placená čísla. Skryté nástroje pro správu (zadní vrátka) jsou dokonce schopné poskytnout útočníkovi plnou kontrolu nad počítačem. Naštěstí lze proti všem těmto problémům úspěšně bojovat a hlavní zbraní v tomto boji bude samozřejmě antivirový software.
Kaspersky Anti-Virus. Možná je „Kaspersky Anti-Virus“ nejslavnějším produktem tohoto typu v Rusku a název „Kaspersky“ se stal synonymem pro boj proti škodlivé kódy... Laboratoř se stejným názvem nejen neustále vydává nové verze svého bezpečnostního softwaru, ale také provádí vzdělávací práci mezi uživateli počítačů. Nejnovější devátá verze aplikace Kaspersky Anti-Virus, stejně jako předchozí vydání, má jednoduché a transparentní rozhraní, které kombinuje všechny potřebné nástroje v jednom okně. S průvodcem a intuitivními možnostmi nabídky může tento produkt konfigurovat i začínající uživatel. Síla použitých algoritmů uspokojí i profesionály. S detailní popis každý z detekovaných virů lze zobrazit voláním příslušné stránky na internetu přímo z programu.
Dr. Web. Dalším populárním ruským antivirem, který konkuruje popularitě s Kaspersky Anti-Virus, je Dr. Web. Jeho zkušební verze má zajímavou vlastnost: vyžaduje povinnou registraci přes internet. Na jedné straně je to velmi dobré - ihned po registraci je antivirová databáze aktualizována a uživatel obdrží nejnovější podpisová data. Na druhou stranu je nemožné instalovat zkušební verzi samostatně a, jak ukázaly zkušenosti, při nestabilním připojení jsou nevyhnutelné problémy.
Panda Antivirus + Firewall 2007. Komplexní řešení zabezpečení počítače - balíček Panda Antivirus + Firewall 2007 - obsahuje kromě antivirového programu také bránu firewall, která sleduje aktivitu v síti. Rozhraní hlavního okna programu je navrženo v „přirozených“ zelených tónech, ale navzdory vizuální přitažlivosti je systém přechodů v nabídce nepohodlně vytvořen a začínající uživatel může být v nastavení zmatený.
Balíček Panda obsahuje několik originálních řešení, například proprietární technologii TruePrevent pro hledání neznámých hrozeb založenou na nejmodernějších heuristických algoritmech. Stojí za to věnovat pozornost nástroji pro vyhledávání zranitelnosti počítače - posuzuje nebezpečí "děr" v bezpečnostním systému a nabízí stažení potřebných aktualizací.
Norton Antivirus 2005. Hlavním dojmem produktu slavné společnosti Symantec - antivirového komplexu Norton Antivirus 2005 - je jeho orientace na výkonné výpočetní systémy. Reakce rozhraní Norton Antivirus 2005 na akce uživatelů je znatelně zpožděna. Během instalace navíc vytváří poměrně přísné požadavky na verze operačního systému a internet Explorer... Na rozdíl od Dr.Web nevyžaduje Norton Antivirus během instalace aktualizaci virových databází, ale připomene vám, že jsou po celou dobu provozu zastaralé.
McAfee VirusScan. McAfee VirusScan, zvědavý antivirový produkt, který je podle ujištění vývojářů jedničkou ve světě skenerů - vybrali jsme pro testování, protože mezi podobnými aplikacemi vynikal velkou distribuční sadou (přes 40 MB). Věřili jsme, že tato hodnota je dána širokou funkčností, přistoupili jsme k instalaci a zjistili jsme, že kromě antivirového skeneru obsahuje i bránu firewall a také nástroje pro čištění pevného disku a zaručené mazání objektů z pevného disku ( skartovačka).
Otázky ke kapitolám 6 a 7
- 1. Fáze vývoje nástrojů a technologií informační bezpečnosti.
- 2. Součásti standardního modelu zabezpečení.
- 3. Zdroje bezpečnostních hrozeb a jejich klasifikace.
- 4. Neúmyslné ohrožení bezpečnosti informací.
- 5. Úmyslné ohrožení bezpečnosti informací.
- 6. Klasifikace kanálů úniku informací.
- 7. Regulace problémů s bezpečností informací.
- 8. Struktura státního informačního systému.
- 9. Metody a prostředky ochrany informací.
- 10. Klasifikace bezpečnostních hrozeb dat.
- 11. Metody ochrany informací před viry.
- 12. Metody kontroly integrity.
- 13. Klasifikace počítačových virů.
- 14. Prostředky ochrany před viry.
- 15. Preventivní antivirová opatření.
- 16. Klasifikace softwarových antivirových produktů.
malware antivirová infekce
Aby viry fungovaly úspěšně, musí zkontrolovat, zda je soubor již infikován (stejným virem). Takto se vyhýbají sebezničení. Viry k tomu používají podpis. Většina běžných virů (včetně makrovirů) používá symbolické podpisy. Složitější viry (polymorfní) používají podpisy algoritmů. Bez ohledu na typ virového podpisu je antivirové programy používají k detekci „počítačových infekcí“. Poté se antivirový program pokusí detekovaný virus zničit. Tento proces však závisí na složitosti viru a kvalitě antivirového programu. Jak již bylo zmíněno, je nejobtížnější detekovat trojské koně a polymorfní viry. První z nich nepřidávají své tělo do programu, ale vkládají ho do něj. Na druhou stranu musí antivirové programy trvat dlouho, než určí podpis polymorfních virů. Faktem je, že jejich podpisy se mění s každou novou kopií.
K detekci, odstranění a ochraně před počítačovými viry existují speciální programykteré se nazývají antivirové. Moderní antivirové programy jsou multifunkční produkty, které kombinují jak preventivní opatření, tak antivirovou léčbu a nástroje pro obnovu dat.
Počet a rozmanitost virů je velká a pro jejich rychlou a efektivní detekci musí antivirový program splňovat několik parametrů:
1. Stabilita a spolehlivost práce.
2. Velikost virové databáze programu (počet virů, které program správně detekuje): vzhledem k neustálému výskytu nových virů by databáze měla být pravidelně aktualizována.
3. Schopnost programu detekovat různé typy virů a schopnost pracovat se soubory odlišné typy (archivy, dokumenty).
4. Přítomnost rezidentního monitoru, který kontroluje všechny nové soubory „za běhu“ (tj. Automaticky, jak jsou zapisovány na disk).
5. Rychlost programu, dostupnost další příležitosti typ algoritmů pro detekci i virů neznámých programu (heuristické skenování).
6. Schopnost obnovit infikované soubory bez jejich vymazání z pevného disku, ale pouze odstraněním virů z nich.
7. Procento falešných poplachů programu (chybná detekce viru v „čistém“ souboru).
8. Cross-platform (dostupnost verzí programu pro různé operační systémy).
Klasifikace antivirových programů:
1. Programy-detektory poskytují vyhledávání a detekci virů v RAM a na externích médiích a po detekci vydají odpovídající zprávu. Existují detektory:
Univerzální - používají při své práci kontrolu neměnnosti souborů počítáním a srovnáním se standardním kontrolním součtem;
Specializované - vyhledá známé viry podle jejich podpisu (opakující se část kódu).
2. Doktorské programy (fágy) nejen vyhledají soubory infikované viry, ale také je „vyléčí“, tzn. odebrat ze souboru tělo virového programu a vrátit soubory do původního stavu. Na začátku své práce hledají fágy viry v RAM, ničí je a teprve poté pokračují v „léčbě“ souborů. Mezi fágy se rozlišují polyfágy, tj. Doktorské programy určené k vyhledávání a ničení velkého množství virů.
3. Programoví auditoři patří mezi nejspolehlivější prostředky ochrany před viry. Auditoři si pamatují počáteční stav programů, adresářů a systémových oblastí disku, když počítač není infikován virem, a poté pravidelně nebo na žádost uživatele porovnávají aktuální stav s původním. Zjištěné změny se zobrazí na obrazovce monitoru.
4. Filtry (hlídací psi) jsou malé rezidentní programy určené k detekci podezřelých akcí během provozu počítače, typických pro viry. Může jít o tyto akce:
Pokusy o opravu souborů s příponami COM a EXE;
Změna atributů souboru;
Přímý zápis na disk na absolutní adrese;
Zápis do bootovacích sektorů disku;
5. Vakcínové programy (imunizátory) jsou rezidentní programy, které zabraňují infikování souborů. Vakcíny se používají, pokud neexistují žádné lékařské programy, které by tento virus „léčily“. Očkování je možné pouze proti známým virům N. Bezrukov. Počítačová virologie: Učebnice [Elektronický zdroj]: http://vx.netlux.org/lib/anb00.html ..
Ve skutečnosti je architektura antivirových programů mnohem složitější a závisí na konkrétním vývojáři. Ale jeden fakt je nesporný: všechny technologie, o kterých jsem mluvil, jsou navzájem tak úzce propojeny, že někdy je nemožné pochopit, kdy někteří začnou pracovat a jiní začnou pracovat. Tato interakce antivirových technologií umožňuje jejich nejúčinnější využití v boji proti virům. Ale nezapomeňte, že neexistuje dokonalá obrana, a jediná možnost varujte se před takovými problémy - neustálé aktualizace OS, vyladěný firewall, často aktualizovaný antivirus a - co je nejdůležitější - nespouštějte / nestahujte podezřelé soubory z Internetu.