K detekci, odstranění a ochraně před počítačové viry Existuje několik typů programů. Takové programy se nazývají antivirové programy. Existují následující typy antivirové programy:
1. vakcíny;
2. detektory;
3. revizoři;
4. hlídač;
5. monitory;
6. polyfágy;
7. heuristické analyzátory.
V Poslední dobou, vývojáři antivirových programů, nabízejí uživatelům komplexní řešení, která zahrnují většinu nebo dokonce všechny výše uvedené programy.
Vakcíny- jedná se o programy určené k zabránění napadení souborů jakýmkoliv konkrétním virem. Vakcíny se používají, pokud neexistují žádné programy, které by dokázaly tento virus neutralizovat. Očkování je možné pouze od známé viry, kterou lze detekovat, ale z nějakého důvodu nelze deaktivovat. Vakcinační program upraví chráněný program nebo disk tak, že to neovlivní jeho činnost, ale zároveň skutečný virus považuje chráněný program za infikovaný, a proto nepronikne do jeho spustitelného kódu.
Působení očkovacích programů je založeno na jedné ze základních vlastností počítačových virů – znovu neinfikují již infikovaný program. Pro tyto účely viry při infikování programů využívají tzv. „černou značku“, která by umožnila odlišit již infikované programy od neinfikovaných. Může to být například nastavení času vytvoření souboru na 24 hodin 1 minutu a 62 sekund. Protože normální programy nemohou mít takový čas vytvoření, poté, co virus zjistil, že soubor byl vytvořen v tuto chvíli, považuje jej za infikovaný a nepokouší se jej znovu infikovat.
Vakcinační program tak jednoduše vytvoří „černou značku“ konkrétního viru na chráněném programu, aniž by změnil jeho spustitelný kód, a virus, který takovou značku detekuje, se již nepokouší infikovat. daný soubor.
"detektory" nebo "skenery"- jedná se o programy, které hledají signaturu charakteristickou pro konkrétní virus, in paměť s náhodným přístupem počítači nebo v souborech na pevném disku, a když jsou detekovány, vydají odpovídající zprávu. Nevýhodou této třídy antivirových programů je, že mohou najít pouze viry, které jsou vývojářům známé.
"auditoři"- Jedná se o programy, které patří mezi nejspolehlivější prostředky ochrany před viry.
Při infikování počítače virus provede změny na pevném disku: připojí svůj kód k infikovanému souboru, změní systémové oblasti disku atd. Na detekci takových změn je založena práce antivirových programů nazývaných „auditoři“.
Jsou postaveny na principu opačném k principu stavby skenerů. Auditoři neznají konkrétní viry zrakem, ale pamatují si informace o každém konkrétním logický pohon a změnou těchto informací vám umožní spolehlivě detekovat známé i nové, neznámé viry.
Pokud je zjištěna změna informací o datech dostupných na disku, jsou uživateli poskytnuty všechny relevantní informace o změněném objektu. A on sám se musí rozhodnout, zda například tento soubor zkontroluje na přítomnost viru (pokud se jedná o spustitelný soubor) nebo bude zprávu ignorovat, pokud soubor upravil sám uživatel.
Stavové srovnání se zpravidla provádí ihned po načtení operační systém. Při porovnávání se kontroluje délka souboru, jeho kontrolní součet, datum a čas úpravy a některé další parametry. Auditorské programy mají dostatečně vyvinuté algoritmy, které jim umožňují detekovat i viry takových tříd, jako jsou „stealth“ viry a „polymorfní“ viry, a některé mohou dokonce obnovit původní verzi kontrolovaného programu odstraněním změn provedených virem.
Výhodou auditorů je nejvyšší rychlost skenování disků (mnohokrát vyšší než rychlost skenerů) a vysoká spolehlivost detekce i neznámých virů.
"hlídač"- Jedná se o malé rezidentní programy určené k detekci podezřelých akcí, ke kterým dochází, když uživatel pracuje na počítači a jsou charakteristické pro viry. Takové akce mohou zahrnovat:
1. pokusy o opravu souborů s příponami COM, EXE, DLL atd., které jsou obvykle neměnné;
2. změna atributů souboru;
4. zápis do spouštěcích sektorů disku;
Když se jakýkoli program pokusí provést zadané akce, "hlídač" odešle zprávu uživateli a nabídne zákaz nebo povolení odpovídající akce.
Jednou z největších nevýhod programů této třídy je, že pokud jsou nakonfigurovány špatně (a někdy i když jsou správné), doslova „bombardují“ uživatele varováními, v důsledku čehož jsou obvykle vypnuty.
"Monitory"(neboli filtrovací programy) jsou antivirové programy založené na principu polyfágů a využívající databázi svých signatur k detekci virů. Antivirový monitor je umístěn v paměti počítače a kontroluje na přítomnost virů pouze ty programy, se kterými uživatel nebo operační systém provádí jakékoli manipulace.
Antivirové monitory obvykle kontrolují všechny soubory, se kterými je manipulováno následujícími způsoby:
1. spuštění programu k provedení;
2. změna atributů souboru;
3. otevření dokumentu ( Microsoft Office);
4. kopírování nebo přesouvání souboru;
5. úprava souborů;
Filtrační programy jsou užitečné v tom, že pomáhají uživateli detekovat virus ve velmi rané fázi jeho existence, ještě před okamžikem, kdy se šíření viru stane epidemií.
"polyfágy"- jedná se o programy, které jsou schopny bezpečně odstranit virus a obnovit funkčnost poškozených programů.
U každého viru analyzuje jeho kód, jak jsou soubory infikovány atd. je přidělena nějaká, pouze pro něj charakteristická, sekvence bajtů. Tato sekvence se nazývá podpis tento virus. Hledání virů v nejjednodušším případě spočívá v hledání jejich signatur. Poté, co je virus detekován v těle programu (nebo v boot sektoru, který však také obsahuje bootovací program), polyfág jej zneškodní. K tomu vývojáři antivirových nástrojů pečlivě studují práci každého konkrétního viru: co poškozuje, jak poškozuje, kde skrývá, co poškozuje atd.
Skenování je nejtradičnější metodou hledání virů. Spočívá ve vyhledávání signatur izolovaných od dříve objevených virů. Virové databáze moderních skenerů obsahují více než 40 000 virových masek.
Nevýhodou jednoduchých skenerů je jejich neschopnost detekovat „polymorfní“ viry, které zcela mění svůj kód. Moderní polyfágy používají k vyhledávání virů jiné metody. K tomu využívají složitější vyhledávací algoritmy, včetně heuristické analýzy kontrolovaných programů. Vzhledem k tomu, že se neustále objevují nové viry, detekční programy a polyfágové programy rychle zastarávají a je nutná pravidelná aktualizace databázových verzí obsahujících signatury nově objevených virů. Výsledkem je, že skenery zastarají, jakmile je vydána nová verze.
Heuristické analyzátory- programy, které se spouštějí pod jejich kontrolou, programy, které jsou kontrolovány a detekují akce charakteristické pro viry. Díky tomu jsou heuristické analyzátory schopny detekovat "polymorfní" viry stejně snadno jako běžné viry, které nevyužívají maskovací mechanismus, navíc dokážou detekovat viry dosud neznámé autorům antivirového programu.
K detekci těchto maskovacích virů se používají speciální metody. Mezi ně patří metoda emulace procesoru. Metoda spočívá v simulaci provádění programu procesorem a podsouvání fiktivních řídicích prostředků viru. Takto oklamaný virus pod kontrolou antivirového programu dešifruje svůj kód. Poté skener porovná dešifrovaný kód s kódy ze své skenovací databáze.
Základní metody detekce virů
antivirové programy se vyvíjely souběžně s vývojem virů. Jak se objevily nové technologie pro vytváření virů, matematický aparát, který se používal při vývoji antivirů, se stal komplikovanějším.
První antivirové algoritmy byly postaveny na základě srovnání se standardem. Hovoříme o programech, ve kterých je virus určen klasickým jádrem nějakou maskou. Smyslem algoritmu je použití statistických metod. Maska by měla být na jedné straně malá, aby byla velikost souboru přijatelná, a na druhé straně dostatečně velká, aby se zabránilo falešně pozitivní(když je „vlastní“ vnímáno jako „mimozemské“ a naopak).
První antivirové programy postavené na tomto principu (tzv. polyfágové skenery) znaly určitý počet virů a uměly je léčit. Tyto programy byly vytvořeny následovně: vývojář poté, co obdržel kód viru (kód viru byl nejprve statický), z tohoto kódu sestavil jedinečnou masku (sekvence 10-15 bajtů) a vložil ji do databáze antiviru. -virový program. Antivirový program zkontroloval soubory a pokud našel tuto sekvenci bajtů, dospěl k závěru, že soubor byl infikován. Tato sekvence (podpis) byla zvolena tak, aby byla jedinečná a nevyskytovala se v běžném souboru dat.
Popsané přístupy využívala většina antivirových programů až do poloviny 90. let, kdy se objevily první polymorfní viry, které měnily své tělo podle předem nepředvídatelných algoritmů. V té době byla metoda podpisu doplněna o tzv. emulátor procesoru, který umožňoval najít šifrované a polymorfní viry, které vysloveně neměly trvalou signaturu.
Princip emulace procesoru je znázorněn na Obr. jeden . Pokud se podmíněný řetězec obvykle skládá ze tří hlavních prvků: CPU®OS®Program, pak při emulaci procesoru je do takového řetězce přidán emulátor. Emulátor jakoby reprodukuje práci programu v nějakém virtuálním prostoru a rekonstruuje jeho původní obsah. Emulátor je vždy schopen přerušit provádění programu, řídí jeho akce, aniž by se nechal něčím zkazit, a volá antivirové skenovací jádro.
Druhým mechanismem, který se objevil v polovině 90. let a využívají jej všechny antiviry, je heuristická analýza. Faktem je, že zařízení pro emulaci procesoru, které umožňuje získat souhrn akcí prováděných analyzovaným programem, neumožňuje vždy tyto akce vyhledávat, ale umožňuje provést určitou analýzu a předložit hypotézu jako "virus nebo ne virus?".
V tento případ rozhodování je založeno na statistických přístupech. A odpovídající program se nazývá heuristický analyzátor.
Aby se virus mohl reprodukovat, musí provést některé specifické akce: kopírování do paměti, zápis do sektorů atd. Heuristický analyzátor (je součástí antivirového enginu) obsahuje seznam takových akcí, prohlédne si vykonávaný programový kód, určí, co dělá, a na základě toho rozhodne, zda tento program virus nebo ne.
Zároveň je procento přeskakování virů, které ani antivirový program nezná, velmi malé. Tato technologie nyní široce používán ve všech antivirových programech.
Klasifikace antivirových programů
antivirové programy se dělí na čisté antiviry a víceúčelové antiviry (obr. 2).
Čisté antiviry se vyznačují přítomností antivirového jádra, které plní funkci skenování podle vzorů. Zásadní v tomto případě je, že léčba je možná, pokud je virus znám. Čisté antiviry se zase dělí do dvou kategorií podle typu přístupu k souborům: ty, které řídí přístup (on access) nebo on demand (on demand). Produkty na vyžádání se obvykle nazývají monitory a produkty na vyžádání se nazývají skenery.
On demand-product funguje podle následujícího schématu: uživatel chce něco zkontrolovat a zadá požadavek (poptávku), načež je kontrola provedena. Produkt s přístupem je rezidentní program, který monitoruje přístup a provádí kontrolu v okamžiku přístupu.
Kromě toho lze antivirové programy, stejně jako viry, rozdělit v závislosti na platformě, na které tento antivirus funguje. V tomto smyslu, spolu s Windows nebo Linux, platformy mohou zahrnovat Microsoft Exchange Server, Microsoft Office, Lotus Notes.
Dvojúčelové programy jsou programy používané v antivirovém i nevirovém softwaru. Například CRC-checker – inspektor změn založený na kontrolním součtu – lze použít nejen k zachycení virů. Různé programy s dvojím účelem jsou blokátory chování, které analyzují chování jiných programů a v případě zjištění podezřelých akcí je zablokují. Behaviorální blokátory se liší od klasického antiviru s antivirovým jádrem, které rozpoznává a léčí viry, které byly analyzovány v laboratoři a pro které byl předepsán léčebný algoritmus, behaviorální blokátory nevědí, jak viry léčit, protože o nich nic neví. Tato vlastnost blokátorů jim umožňuje pracovat s jakýmikoli viry, včetně neznámých. To je dnes obzvláště důležité, protože distributoři virů a antivirů používají stejné kanály přenosu dat, tedy internet. Antivirová společnost přitom vždy potřebuje čas na získání samotného viru, jeho analýzu a napsání příslušných modulů léčby. Programy ze skupiny s dvojím účelem vám umožňují zablokovat šíření viru, dokud společnost nenapíše modul léčby.
Přehled nejoblíbenějších osobních antivirů
Recenze obsahuje nejoblíbenější antiviry pro osobní použití od pěti známých vývojářů. Je třeba poznamenat, že některé z níže uvedených společností nabízejí několik verzí osobních programů, které se liší funkčností, a tedy i cenou. V naší recenzi jsme se podívali na jeden produkt od každé společnosti a vybrali jsme nejfunkčnější verzi, která se zpravidla nazývá Personal Pro. Další možnosti osobního antiviru lze nalézt na příslušných webových stránkách.
Kaspersky Anti-Virus
Osobní Prov. 4.0
Vývojář: Kaspersky Lab. Webové stránky: http://www.kaspersky.ru/. Cena 69 $ (licence na 1 rok).
Kaspersky Anti-Virus Personal Pro (obr. 3) je jedním z nejoblíbenějších řešení na ruský trh a obsahuje řadu unikátních technologií.
Blokování chování Modul Office Guard řídí provádění maker a zastavuje všechny podezřelé akce. Přítomnost modulu Office Guard poskytuje 100% ochranu proti makrovirům.
Inspektor sleduje všechny změny ve vašem počítači a pokud jsou v souborech nebo v souborech detekovány neoprávněné změny systémový registr umožňuje obnovit obsah disku a odstranit škodlivé kódy. Inspektor nevyžaduje aktualizace antivirové databáze: kontrola integrity se provádí na základě snímání otisků původních souborů (CRC-součtů) a jejich následného porovnání s upravenými soubory. Na rozdíl od jiných auditorů Inspector podporuje všechny nejoblíbenější formáty spustitelných souborů.
Heuristický analyzátor umožňuje chránit váš počítač i před neznámými viry.
Zachycovač virů na pozadí Monitor, trvale přítomný v paměti počítače, provádí antivirovou kontrolu všech souborů přímo v okamžiku jejich spuštění, vytvoření nebo zkopírování, což vám umožní kontrolovat všechny operace se soubory a zabránit infekci i těm nejpokročilejším viry.
Antivirové filtrování E-mailem zabraňuje pronikání virů do vašeho počítače. Zásuvný modul Mail Checker nejen odstraňuje viry z těla e-mailu, ale také zcela obnovuje původní obsah e-mailů. Komplexní kontrola poštovní korespondence neumožňuje viru schovat se v žádném z prvků e-mailem kontrolou všech sekcí příchozích a odchozích zpráv, včetně připojených souborů (včetně archivovaných a zabalených) a dalších zpráv jakékoli úrovně vnoření.
Antivirový skener Scanner umožňuje provádět plnohodnotnou kontrolu veškerého obsahu místních a síťové disky na požádání.
Zachycovač Script Checker poskytuje antivirovou kontrolu všech spuštěných skriptů před jejich spuštěním.
Podpora archivovaných a komprimovaných souborů poskytuje možnost odstranit škodlivý kód z infikovaného komprimovaného souboru.
Izolace infikovaných objektů zajišťuje izolaci infikovaných a podezřelých objektů s jejich následným přesunem do speciálně organizovaného adresáře pro další analýzu a obnovu.
Automatizace antivirové ochrany umožňuje vytvořit plán a pořadí komponent programu; automaticky stahovat a připojovat nové aktualizace antivirové databáze přes internet; zasílat upozornění na detekované virové útoky e-mailem atd.
Norton AntiVirus 2003 Professional Edition
Vývojář: Symantec. Webové stránky: http://www.symantec.ru/.
Cena je 89,95 eur.
Program běží pod Ovládání Windows 95/98/Me/NT4.0/2000 Pro/XP.
Cena 39,95 $
Program běží pod Windows 95/98/Me/NT4.0/2000 Pro/XP.
Evgeny Kaspersky v roce 1992 použil následující klasifikaci antivirů v závislosti na jejich principu fungování (definující funkčnost):
Ø Skenery (zastaralá verze - "polyfágy", "detektory") - určují přítomnost viru pomocí databáze signatur, která uchovává signatury (nebo jejich kontrolní součty) virů. Jejich účinnost je dána relevancí virové databáze a přítomností heuristického analyzátoru.
Ø auditoři (třída blízká IDS) - vzpomeňte si na stav souborový systém, což umožňuje analyzovat změny v budoucnu.
Ø hlídač (rezidentní monitory nebo filtry ) - sledovat potenciálně nebezpečné operace a vystavit uživateli příslušný požadavek na povolení/zakázaní operace.
Ø Vakcíny (imunizátory ) - změnit naroubovaný soubor tak, aby virus, proti kterému se vakcína vyrábí, již považoval soubor za infikovaný. V moderních podmínkách, kdy se počet možných virů měří ve stovkách tisíc, není tento přístup použitelný.
Moderní antiviry kombinují všechny výše uvedené funkce.
Antiviry lze také rozdělit na:
Produkty pro domácí uživatele:
Vlastně antiviry;
Ke klasickému antiviru přibyly kombinované produkty (například antispam, firewall, anti-rootkit atd.);
Firemní produkty:
Serverové antiviry;
Antiviry na pracovních stanicích ("koncový bod").
Sdílení antivirových programů poskytuje dobré výsledky, protože se dobře doplňují:
Data pocházející z externích zdrojů jsou kontrolována detektorový program. Pokud byla tato data zapomenuta zkontrolovat a infikovaný program byl spuštěn, může být hlídacím programem zachycen. Pravda, v obou případech jsou viry známé těmto antivirovým programům spolehlivě detekovány. To není více než 80-90% případů.
- hlídač dokáže detekovat i neznámé viry, pokud se chovají velmi drze (zkuste naformátovat HDD nebo provést změny systémové soubory). Některé viry však mohou takové kontroly obejít.
Pokud virus nebyl detekován detektorem nebo hlídačem, pak výsledky jeho činnosti zjistí program - auditor.
Na počítači by měly být zpravidla neustále spuštěny hlídací programy, detektory by měly být používány ke kontrole dat přicházejících z externích zdrojů (souborů a disket) a jednou denně by měli být spouštěni auditoři pro detekci a analýzu změn na discích. To vše by mělo být spojeno s pravidelným zálohováním dat a používáním preventivních opatření ke snížení pravděpodobnosti virové infekce.
Jakýkoli antivirový program "zpomaluje" počítač, ale je spolehlivým lékem na škodlivé účinky virů.
Falešné antiviry (falešné antiviry).
V roce 2009 různých výrobců antiviry začaly hlásit rozšířené používání nového typu antivirů – falešných antivirů nebo pseudoantivirů (rogueware). Ve skutečnosti tyto programy buď nejsou vůbec antiviry (to znamená, že nejsou schopny bojovat s malwarem), nebo dokonce viry (kradou informace o kreditních kartách atd.).
Nepoctivé antiviry se používají k vymáhání peněz z uživatelů podvodem. Jedním ze způsobů, jak infikovat počítač falešným antivirem, je následující. Uživatel je přesměrován na "infikovanou" stránku, která mu zobrazí varovnou zprávu jako: "Ve vašem počítači byl nalezen virus." Uživatel je poté vyzván ke stažení bezplatný program (falešný antivirus) k odstranění viru. Falešný antivir po instalaci prohledá PC a v počítači prý odhalí spoustu virů. K odstranění malwaru nabízí falešný antivirus ke koupi placenou verzi programu. Šokovaný uživatel zaplatí (částky od 50 do 80 USD) a falešný antivirus vyčistí PC od neexistujících virů.
Antiviry na SIM, flash karty a USB zařízení
Dnes vyráběné mobilní telefony mají široký rozsah rozhraní a možnosti přenosu dat. Uživatelé by si měli pečlivě prostudovat způsoby ochrany před připojením jakýchkoli malých zařízení.
Pro spotřebitele jsou vhodnější ochranné metody, jako je hardware, možná antiviry na zařízeních USB nebo na SIM mobilní telefony. Technické zhodnocení a přezkoumání toho, jak nainstalovat antivirový program do mobilního telefonu, by mělo být považováno za proces skenování, který může ovlivnit další legitimní aplikace v tomto telefonu.
Antivirový software na SIM kartě s antivirem zabudovaným do malé oblasti paměti poskytuje ochranu proti malwaru/virům tím, že chrání PIN a informace o uživateli telefonu. Antiviry na flash kartách umožňují uživateli vyměňovat si informace a používat tyto produkty s různými hardwarovými zařízeními a také odesílat tato data do jiných zařízení pomocí různých komunikačních kanálů.
Antiviry, mobilní zařízení a inovativní řešení
V budoucnu je možné, že se mobilní telefony nakazí virem. Stále více vývojářů v této oblasti nabízí antivirové programy pro boj s viry a ochranu mobilních telefonů. V mobilní zařízení Existují následující typy antivirové kontroly:
– omezení procesoru;
– limit paměti;
– identifikaci a aktualizaci podpisů těchto mobilních zařízení.
Výstup: Antivirový program (antivirus) je původně program pro detekci a léčbu škodlivých objektů nebo infikovaných souborů a také pro prevenci - zabránění napadení souboru nebo operačního systému škodlivým kódem. V závislosti na principu fungování antivirových programů existuje následující klasifikace antivirů: skenery (zastaralá verze - "polyfágy", "detektory"); auditoři (třída blízká IDS); hlídač (rezidentní monitory nebo filtry); vakcíny (imunizátory).
ZÁVĚR
Úspěchy v počítačová technologie v posledních letech nejen přispěl k rozvoji ekonomiky, obchodu a komunikací; poskytla účinnou výměnu informací, ale také poskytla pachatelům počítačových trestných činů unikátní sadu nástrojů. Čím intenzivnější je proces informatizace, tím reálnější je růst počítačové kriminality moderní společnost pociťuje nejen ekonomické důsledky počítačových zločinů, ale stává se také stále více závislým na informatizaci. Všechny tyto aspekty nutí věnovat stále větší pozornost ochraně informací, další vývoj legislativní rámec v regionu informační bezpečnost. Celá řada opatření by měla být redukována na ochranu státu informační zdroje; k úpravě vztahů vznikajících při tvorbě a využívání informačních zdrojů; vytvoření a použití informační technologie; ochrana informací a práv zúčastněných subjektů informační procesy; stejně jako definování základních pojmů používaných v legislativě.
Docent katedry organizace bezpečnosti a konvojů ve vězeňském systému
kandidát technických věd
podplukovník vnitřní služby V.G. Zárubský
Přestože obecná ochrana informací a preventivní opatření jsou pro ochranu před viry velmi důležité, je nutné aplikovat specializované programy. Tyto programy lze rozdělit do několika typů:
- ? Detekční programy zkontrolují, zda soubory na disku obsahují specifickou kombinaci bajtů (podpis) pro známý virus, a oznámí to uživateli (VirusScan/SCAN/McAfee Associates).
- ? Lékařské programy nebo fágy „léčí“ infikované programy „vykousnutím“ těla viru z infikovaných programů, a to jak s obnovením biotopu (infikovaného souboru), tak bez něj – léčebný modul programu SCAN – program CLEAN.
- ? Programy Doctor-detector (Lozinsky's Aidstest, Danilov's Doctor Web, MSAV, Norton Antivirus, Kaspersky's AVP) jsou schopny detekovat přítomnost známého viru na disku a vyléčit infikovaný soubor. Dnes nejrozšířenější skupina antivirových programů.
V nejjednodušším případě vypadá příkaz pro kontrolu obsahu disku na přítomnost virů takto: aidstest / switch1 / switch 2 / switch 3 /---
- ? Filtrační programy (hlídači) jsou umístěny v paměti RAM počítače a zachycují volání operačního systému, které viry používají k množení a poškození a hlásí je uživateli:
- - pokus o poškození hlavního souboru OS COMMAND.COM;
- - pokus o přímý zápis na disk (předchozí záznam je smazán), přičemž se zobrazí zpráva, že se nějaký program pokouší zkopírovat na disk;
- - formátování disku,
- - rezidentní umístění programu v paměti.
Po zjištění pokusu o jednu z těchto akcí poskytne filtrační program uživateli popis situace a požádá jej o potvrzení. Uživatel může tuto operaci povolit nebo zakázat. Řízení akcí charakteristických pro viry se provádí výměnou ovladačů odpovídajících přerušení. Mezi nevýhody těchto programů patří důmyslnost (hlídač například vydá varování o každém pokusu o kopírování spustitelný soubor), možné konflikty s jiným softwarem, hlídací psi obcházení některými viry. Příklady filtrů: Anti4us, Vsafe, Disk Monitor.
Je třeba poznamenat, že dnes má mnoho programů třídy lékař-detektor také rezidentní modul - filtr (hlídač), například DR Web, AVP, Norton Antivirus. Takové programy lze tedy klasifikovat jako lékař-detektor-úložiště.
- ? Hardwarové a softwarové antivirové nástroje (Hardwarový a softwarový komplex Sheriff). Na stejné úrovni jako hlídací programy jsou hardwarové a softwarové antivirové nástroje, které poskytují více spolehlivou ochranu od pronikání viru do systému. Takové komplexy se skládají ze dvou částí: hardwaru, který je instalován ve formě mikroobvodu základní deska a software zapsaný na disk. Hardware (řadič) sleduje všechny operace zápisu na disk, softwarová část, který je umístěn v paměti RAM, sleduje všechny operace vstupu/výstupu informací. Možnost použití těchto nástrojů však vyžaduje pečlivé zvážení z hlediska konfigurace přídavných zařízení používaných na PC, jako jsou diskové řadiče, modemy nebo síťové karty.
- ? Auditorské programy (Adinf/Advanced Disk infoscope/s vytvrzovacím blokem ADinf Cure Module Bridge). Program-auditoři mají dvě fáze práce. Nejprve si zapamatují informace o stavu programů a systémových oblastech disků (zaváděcí sektor a sektor s tabulkou oddílů pevný disk do logických oddílů). Předpokládá se, že v tuto chvíli nejsou programy a systémové oblasti disků infikovány. Poté při porovnávání systémových oblastí a disků s původními je v případě zjištění nesrovnalosti hlášena uživateli. Auditorské programy jsou schopny detekovat neviditelné (STEALTH) viry. Kontrola délky souboru nestačí, některé viry délku infikovaných souborů nemění. Spolehlivější kontrolou je přečíst celý soubor a vypočítat jeho kontrolní součet (bit po bitu). Změnit celý soubor tak, aby jeho kontrolní součet zůstal stejný, je téměř nemožné. Mezi drobné nevýhody auditorů patří to, že je kvůli bezpečnosti je nutné používat pravidelně, např. denně volat ze souboru AUTOEXEC.BAT. Ale jejich nespornou výhodou je vysoká rychlost kontrol a skutečnost, že nevyžadují časté aktualizace verzí. Verze auditora i před šesti měsíci spolehlivě detekují a odstraňují moderní viry.
- ? Programové vakcíny nebo imunizátory (CPAV). Očkovací programy upravují programy a disky tak, aby to neovlivnilo činnost programů, ale virus, proti kterému se očkování provádí, považuje tyto programy a disky za již infikované. Tyto programy nejsou dostatečně účinné.
Konvenčně lze strategii ochrany před virem definovat jako víceúrovňovou „vrstvenou“ obranu. Strukturálně by to mohlo vypadat takto. Zpravodajské nástroje v "obraně" proti virům odpovídají detektorovým programům, které umožňují určit nově přijaté software na přítomnost virů. V popředí obrany jsou filtrovací programy, které jsou rezidentní v paměti počítače. Tyto programy mohou být první, které ohlásí působení viru. Druhý stupeň „obrany“ tvoří programy auditu. Auditoři odhalují útok viru, i když se mu podařilo „proniknout“ přes přední linii obrany. Programy Doctor se používají k obnově infikovaných programů, pokud kopie infikovaného programu není v archivu, ale ne vždy se správně vyléčí. Lékaři-auditoři detekují útok viru a léčí infikované programy a kontrolují správnost léčby. Nejhlubší vrstvou obrany jsou prostředky kontroly přístupu. Neumožňují virům a neslušným programům, i když pronikly do PC, zkazit důležitá data. "Strategická rezerva" obsahuje archivní kopie informací a "referenční" diskety se softwarovými produkty. Umožňují vám obnovit informace, pokud jsou poškozené.
Škodlivé účinky každého typu viru mohou být velmi různorodé. To zahrnuje odstranění důležitých souborů nebo dokonce „firmwaru“ systému BIOS a přenos osobní informace, například hesla, konkrétní adresu, organizování neoprávněných e-mailů a útoků na některé stránky. Je také možné zahájit vytáčení mobilní telefon na prémiová čísla. Skryté administrační nástroje (backdoor) mohou dokonce přenést plnou kontrolu nad počítačem na útočníka. Naštěstí se se všemi těmito trablemi lze úspěšně vypořádat a hlavní zbraní v tomto boji bude samozřejmě antivirový software.
Kaspersky Anti-Virus. Kaspersky Anti-Virus je možná nejznámějším produktem tohoto typu v Rusku a jméno Kaspersky se stalo synonymem pro bojovníka proti škodlivé kódy. Stejnojmenná laboratoř nejen neustále vydává nové verze svého bezpečnostního softwaru, ale provádí také vzdělávací činnost mezi uživateli počítačů. Nejnovější, devátá verze Kaspersky Anti-Virus, stejně jako předchozí verze, má jednoduché a transparentní rozhraní, které kombinuje všechny potřebné nástroje v jednom okně. Díky průvodci instalací a intuitivním možnostem nabídky může tento produkt nastavit i začínající uživatel. Síla použitých algoritmů uspokojí i profesionály. Z Detailní popis každý z detekovaných virů lze nalézt zavoláním příslušné stránky na internetu přímo z programu.
Dr. Web. Dalším populárním ruským antivirem, který konkuruje Kaspersky Anti-Virus v popularitě, je Dr. Web. Jeho zkušební verze má zajímavou vlastnost: vyžaduje povinná registrace přes internet. To je na jednu stranu velmi dobré – ihned po registraci se aktualizují antivirové databáze a uživatel dostává nejnovější data o signaturách. Na druhou stranu je nemožné nainstalovat zkušební verzi offline a jak ukázala zkušenost, problémy s nestabilním připojením jsou nevyhnutelné.
Panda Antivirus + Firewall 2007. Komplexní řešení v oblasti počítačové bezpečnosti - Panda Antivirus + Firewall 2007 - obsahuje kromě antivirového programu také firewall, který hlídá síťovou aktivitu. Rozhraní hlavního okna programu je navrženo v „přirozených“ zelených tónech, ale i přes vnější atraktivitu je navigační systém nabídky postaven nepohodlně a začínající uživatel se může v nastavení zmást.
Balíček Panda obsahuje několik originálních řešení najednou, jako je proprietární technologie TruePrevent pro vyhledávání neznámých hrozeb, založená na nejmodernějších heuristických algoritmech. Stojí za to věnovat pozornost vyhledávacímu nástroji zranitelnosti počítač - vyhodnotí nebezpečí "děr" v bezpečnostním systému a nabídne stažení potřebných aktualizací.
Norton Antivirus 2005. Hlavním dojmem produktu slavné společnosti Symantec - antivirového komplexu Norton Antivirus 2005 - je jeho zaměření na výkonné výpočetní systémy. Odezva rozhraní Norton Antivirus 2005 na akce uživatele je znatelně zpožděna. Během instalace navíc klade poměrně přísné požadavky na verze operačního systému a internet Explorer. Norton Antivirus na rozdíl od Dr.Web nevyžaduje povinnou aktualizaci virových databází při instalaci, ale připomene vám, že jsou po celou dobu provozu zastaralé.
McAfee VirusScan. Pro testování byl vybrán zajímavý antivirový produkt McAfee VirusScan, který je podle svých vývojářů světovou jedničkou ve skeneru, protože mezi podobnými aplikacemi vynikal velkou distribuční velikostí (přes 40 MB). Za předpokladu, že tato hodnota je způsobena širokou funkčností, přistoupili jsme k instalaci a zjistili jsme, že kromě antivirového skeneru obsahuje firewall a také nástroje pro čištění pevného disku a zaručené odstranění objektů z pevného disku. disk (skartovačka).
Otázky ke kapitolám 6 a 7
- 1. Etapy vývoje nástrojů a technologií informační bezpečnosti.
- 2. Komponenty standardního bezpečnostního modelu.
- 3. Zdroje bezpečnostních hrozeb a jejich klasifikace.
- 4. Neúmyslné ohrožení bezpečnosti informací.
- 5. Záměrné ohrožení bezpečnosti informací.
- 6. Klasifikace kanálů úniku informací.
- 7. Regulace problémů informační bezpečnosti.
- 8. Struktura státní systém ochrana informací.
- 9. Metody a prostředky ochrany informací.
- 10. Klasifikace ohrožení bezpečnosti dat.
- 11. Metody ochrany informací před viry.
- 12. Metody řízení integrity.
- 13. Klasifikace počítačových virů.
- 14. Prostředky ochrany proti virům.
- 15. Preventivní antivirová opatření.
- 16. Klasifikace softwarových antivirových produktů.
malware antivirová infekce
Pro svou úspěšnou práci potřebují viry zkontrolovat, zda je soubor již infikován (stejným virem). Vyhýbají se tak sebedestrukci. K tomu viry používají podpis. Většina běžných virů (včetně makrovirů) používá podpisy znaků. Složitější viry (polymorfní) používají podpisy algoritmů. Bez ohledu na typ virové signatury je antivirové programy používají k detekci „počítačových infekcí“. Poté se antivirový program pokusí detekovaný virus zničit. Tento proces však závisí na složitosti viru a kvalitě antivirového programu. Jak již bylo zmíněno, nejobtížněji se odhalují trojské koně a polymorfní viry. První z nich nepřidá své tělo do programu, ale vloží ho do něj. Na druhou stranu musí antivirové programy strávit poměrně hodně času určením signatury polymorfních virů. Faktem je, že jejich podpisy se mění s každou novou kopií.
Pro detekci, odstranění a ochranu před počítačovými viry existují speciální programy tzv. antivirus. Moderní antivirové programy jsou multifunkční produkty, které kombinují jak preventivní, tak antivirovou léčbu a nástroje pro obnovu dat.
Počet a rozmanitost virů je velká a aby je mohl antivirový program rychle a efektivně detekovat, musí splňovat určité parametry:
1. Stabilita a spolehlivost práce.
2. Rozměry virové databáze programu (počet virů, které program správně detekuje): s ohledem na neustálý výskyt nových virů by databáze měla být pravidelně aktualizována.
3. Schopnost programu detekovat různé typy virů a schopnost pracovat se soubory různé typy(archivy, dokumenty).
4. Přítomnost rezidentního monitoru, který kontroluje všechny nové soubory "za chodu" (tedy automaticky, jak jsou zapisovány na disk).
5. Rychlost programu, dostupnost další funkce jako jsou algoritmy pro detekci virů i neznámých programu (heuristické skenování).
6. Možnost obnovy infikovaných souborů bez jejich vymazání z pevného disku, ale pouze odstranění virů z nich.
7. Procento falešně pozitivních výsledků programu (chybná detekce viru v "čistém" souboru).
8. Multiplatformní (dostupnost verzí programu pro různé operační systémy).
Klasifikace antivirových programů:
1. Detekční programy zajišťují vyhledávání a detekci virů v paměti RAM a dále externí média a po zjištění vydají příslušnou zprávu. Existují detektory:
Univerzální - používají ve své práci ke kontrole neměnnosti souborů počítáním a porovnáváním se standardem kontrolního součtu;
Specializované - vyhledávání známých virů podle jejich signatury (část s opakujícím se kódem).
2. Lékařské programy (fágy) virem napadené soubory nejen najdou, ale také „léčí“, tzn. odstranit tělo virového programu ze souboru a vrátit soubory do původního stavu. Na začátku své práce fágové hledají viry v RAM, ničí je a teprve potom přistupují k „léčbě“ souborů. Mezi fágy se rozlišují polyfágy, tzn. doktorské programy určené k nalezení a zničení velkého množství virů.
3. Program-auditors patří mezi nejspolehlivější prostředky ochrany proti virům. Auditoři si pamatují počáteční stav programů, adresářů a systémových oblastí disku, když počítač není infikován virem, a pak pravidelně nebo na žádost uživatele porovnávají aktuální stav s původním. Zjištěné změny se zobrazí na obrazovce monitoru.
4. Filtrační programy (watchmen) jsou malé rezidentní programy určené k detekci podezřelých akcí během provozu počítače, které jsou charakteristické pro viry. Takové akce mohou být:
Pokusy o opravu souborů s příponami COM a EXE;
Změna atributů souboru;
Přímý zápis na disk na absolutní adresu;
Zápis do spouštěcích sektorů disku;
5. Očkovací programy (imunizátory) jsou rezidentní programy, které zabraňují infekci souborů. Vakcíny se používají, pokud neexistují žádné lékařské programy, které by tento virus „léčily“. Očkování je možné pouze proti známým virům Bezrukov N. Počítačová virologie: Učebnice [Elektronický zdroj]: http://vx.netlux.org/lib/anb00.html..
Ve skutečnosti je architektura antivirových programů mnohem složitější a závisí na konkrétním vývojáři. Jeden fakt je ale nesporný: všechny technologie, o kterých jsem mluvil, jsou tak úzce propletené jedna v druhé, že je někdy nemožné pochopit, kdy je jedna spuštěna a druhá začíná fungovat. Tato interakce antivirových technologií umožňuje jejich nejúčinnější využití v boji proti virům. Ale nezapomeňte, že neexistuje žádná dokonalá ochrana, a jediná možnost varujte se před takovými problémy – neustálé aktualizace OS, dobře nastavený firewall, často aktualizovaný antivirus a – hlavně – nespouštět/stahovat podezřelé soubory z internetu.