Mõiste "elukoht" (DOS-i termin TSR – Terminate and Stay Resident) viitab viiruste võimele jätta endast koopiaid süsteemimälu, peatada mõned sündmused (näiteks juurdepääs failidele või ketastele) ja kutsuda protseduure tuvastatud objektide (failide ja sektorite) nakatamiseks. Seega elanike viirused on aktiivsed mitte ainult nakatunud programmi töötamise ajal, vaid ka pärast programmi käitamise lõpetamist. Selliste viiruste püsivad koopiad jäävad elujõuliseks kuni järgmise taaskäivituseni, isegi kui kõik kettal olevad nakatunud failid hävitatakse. Sageli on sellistest viirustest võimatu vabaneda, taastades kõik failide koopiad jaotusketastelt või varukoopiatest. Viiruse püsikoopia jääb aktiivseks ja nakatab vastloodud faile. Sama kehtib ka alglaadimisviiruste kohta – ketta vormindamine, kui mälus on püsiviirus, ei paranda ketast alati, kuna paljud püsivad viirused nakatavad ketta pärast vormindamist uuesti.

Mitteresidentsed viirused.

Mitteresidentsed viirused, vastupidi, on aktiivsed üsna lühikest aega - ainult nakatunud programmi käivitamise hetkel. Levimiseks otsivad nad kettalt nakatamata faile ja kirjutavad neile. Pärast viiruse koodi üleandmist juhtprogrammile, viiruse mõju operatsioonile operatsioonisüsteem vähendatakse nullini kuni mis tahes nakatunud programmi järgmise käivitamiseni. Seetõttu on mitteresidentsete viirustega nakatunud faile kõvakettalt palju lihtsam kustutada, laskmata viirusel neid uuesti nakatada.

Varjatud viirused

Stealth-viirused varjavad ühel või teisel viisil oma olemasolu süsteemis.

Stealth-algoritmide kasutamine võimaldab viirustel end täielikult või osaliselt süsteemis peita. Kõige tavalisem varjamisalgoritm on nakatunud objektide lugemise/kirjutamise OC taotluste pealtkuulamine. Sel juhul varjavad viirused kas ravivad neid ajutiselt või "asendavad" nende asemel nakatamata teabelõike. Makroviiruste puhul kõige rohkem populaarne viis- makrovaate menüüsse helistamise keeld. Tuntud on igat tüüpi salaviiruseid, välja arvatud Windowsi viirused – alglaadimisviirused, DOS-failiviirused ja isegi makroviirused. Windowsi faile nakatavate salaviiruste ilmumine on tõenäoliselt aja küsimus

Polümorfsed viirused

Enesekrüpteerimist ja polümorfismi kasutavad peaaegu kõik viiruste tüübid, et viiruse tuvastamise protseduuri võimalikult keeruliseks muuta. Polümorfsed viirused (polümorfsed) on üsna raskesti tuvastatavad viirused, millel puuduvad signatuurid, s.t. ei sisalda ühtki püsivat koodijuppi. Enamikul juhtudel ei ole sama polümorfse viiruse kahel proovil ühte vastet. See saavutatakse viiruse põhiosa krüpteerimise ja dekrüpteerimisprogrammi muutmisega.

Polümorfsete viiruste hulka kuuluvad need, mida ei ole võimalik tuvastada (või on need väga rasked) nn viirusemaskide abil – konstantse koodi osad, mis on spetsiifilised konkreetsele viirusele. See saavutatakse kahel põhilisel viisil – krüpteerides peamise viirusekoodi mittepüsiva võtme ja juhusliku dekrüpteerimiskäskude komplektiga või muutes käivitatavat viirusekoodi ennast. Erineva keerukusega polümorfismi leidub igat tüüpi viirustes – alglaadimis- ja faili DOS-i viirustest Windowsi viirusteni.

Sõltuvalt nende elupaigast võib viirused jagada järgmisteks osadeks:

fail;

saabas;

Elanike kaitse

Erinevalt värskendusmehhanismist on elanike kaitse lähenemine ebatavaline, kuid tootele on see ainult kasulik. Esiteks kõike pidevad kontrollid jagunevad siin nn pakkujateks - mooduliteks, mis jälgivad nende osa protsessidest.




Neid on ainult seitse: kaks kontrollivad sissetulevaid kirju, üks neist kõiki ja teine ​​- ainult Outlookist, kuid kasutades täiustatud algoritme ja täpsemaid sätteid. Üks pakkuja vastutab sissetulevate failide skannimise eest P2P-võrkudes ja kiirsuhtlusprogrammides (nt ICQ). Web Shield jälgib kogu porti 80 läbivat liiklust, blokeerides soovimatu liikluse. Ülejäänud kaks on peamised. " Standardne ekraan"- see on see, mida ülejäänud kutsuvad tegelikult elanike kaitseks; see vastutab käivitatud failide ja protsesside skannimise eest mälus potentsiaalselt ohtlike allkirjade leidmiseks." Tulemüür" - mini-tulemüür. Jah, täpselt "mini", sest see suudab kaitsta ainult primitiivsete rünnakute eest ja sätted on maksimaalselt lõigatud, kuid see on selle eest andeks: lõppude lõpuks pole see komplekt võrgu kaitse. Muide, see saab hakkama ainult talle teadaolevate viiruste skannimis- ja häkkimiskatsetega, nii et sisseehitatud viirusetõrje jaoks on see just õige asi. Kõik teenusepakkuja sätted, sealhulgas kiire lubamine/keelamine, on saadaval menüüs, mis kuvatakse, kui klõpsate salveikoonil ("Juurdepääsu skanneri sätted"). Seal peate lubama režiimi "Täpsemalt", et kuvada tõeliselt olulised seaded.

Samuti ilmuvad pakkuja valikul ja nupul “Seadista” uued parameetrid, mis on aga nime poolest üsna selged ja küsimuste korral saad vaadata “Abi”. See on hästi tõlgitud ja väga üksikasjalik.




Pakkujate puhul on põhiseadeks kaitse tundlikkuse tase: kas see blokeerib ja teavitab kasutajat kohe igast valest kõnest. Vaikesäte "Tavaline" vastab tõesti oma nimele ja sobib enamikule kasutajatele.

Avast on ka! varaline funktsioon, mille võib ilmselt liigitada elanike kaitseks – viirusetõrjeks ekraanisäästjaks.




Koos programmi installimisega ilmub kausta “Ekraani atribuudid” uus “ekraanisäästja” (ekraanisäästja), mille valides ja nupul “Seaded” klõpsates saate kuvamise ajal määrata skannimisparameetreid, näiteks kontrollida arhiive ja vaatamise põhjalikkus. Piisav kasulik funktsioon, eriti neile, kelle arvutid ei lülitu hetkekski välja.

Järeldus

Avast viirusetõrje! kombineerib kõike kasulikud omadused"suured vennad", nagu lai kohandamisvabadus, põhikomponentide funktsionaalsus ja uuenduste kiirus. Lisame sellele nahad ja visuaalid kasutajasõbralik liides. Parim osa on see, et see viirusetõrje on kodukasutajatele täiesti tasuta. Saate selle alla laadida aadressilt ametlik koduleht .

Nimetagem lühidalt professionaalse versiooni erinevusi.




Selles lisaks täielik funktsionaalsus kodus, on ka liides käsurida, mis võimaldab töötada ainult konsoolis, on lisatud kontrollide ajastamise mehhanism, kasutajaliidest on laiendatud, mis annab eeliseid, kui peenhäälestus, on ohtlike skriptide blokeerimine vaadatud lehtedel lubatud ja lisatud on mehhanism "värskendus nõudmisel". Üldiselt ei too see modifikatsioon põhimõttelisi muudatusi, vaid muudab viirusetõrje veelgi võimsamaks, vabastades kogenud administraatorite käed.

Programmi testiti AMD platvorm. Toimetus tänab pakutava platvormi eest AMD Venemaa esindust.

Kaasaegne viirusetõrje on keerukas tarkvaratööriist, mida peab pakkuma usaldusväärne kaitse arvutiseade(arvuti, taskuarvuti või netbook) erinevate viiruste (pahavara) eest. Üldine skeem viirusetõrje on näidatud alloleval joonisel:

Viirusetõrje skeem

Nagu diagrammil näha, koosneb viirusetõrje järgmistest osadest:

1. Moodul elanike kaitse

2. Karantiini moodul

3. Viirusetõrje "kaitsja" moodul

4. Ühendus viirusetõrjeserveriga

5. Uuenda moodulit

6. Arvuti skanneri moodul

Residentide kaitsemoodul on viirusetõrje põhikomponent, mis asub muutmälu arvutisse ja skannib reaalajas kõiki faile, millega kasutaja, operatsioonisüsteem või muud programmid suhtlevad. Sõna "elanik" tähendab "nähtamatut", "tausta". Residentide kaitse avaldub alles siis, kui leitakse viirus. Just elanike kaitsel põhineb viirusetõrjetarkvara peamine põhimõte - vältida arvuti nakatumist. See sisaldab selliseid komponente nagu aktiivne kaitse(viirusetõrjesignatuuride võrdlemine skannitud failiga ja tuvastamine tuntud viirus) ja ennetav kaitse (viirusetõrjetarkvaras kasutatav tehnoloogiate ja meetodite kogum, mille põhieesmärk on vältida kasutaja süsteemi nakatumist, mitte otsida juba teadaolevaid pahatahtlikke tarkvara süsteemis).

Karantiinimoodul on moodul, mis vastutab ruumide eest kahtlased failid spetsiaalsesse kohta, mida nimetatakse karantiiniks. Karantiini viidud failid ei suuda ühtegi toimingut teha (need on blokeeritud) ja viirusetõrje jälgib neid. Viirusetõrje otsustab faili karantiini panna, kui tuvastab failis viiruse aktiivsuse märgi (sel juhul ei ole fail ise viirusetõrje seisukohast viirus, fail on lihtsalt potentsiaalne oht) või kui fail on tegelikult viirusega nakatunud, kuid seda tuleb ravida ja ärge kustutage kogu dokumenti (näiteks mõnda olulist viirust sisaldavat kasutajadokumenti). Viimasel juhul pannakse fail viiruse edasiseks raviks karantiini (kui viirusetõrje ei suuda faili ravida, tuleb see kustutada või jätta lootma, et uue värskendusega suudab viirusetõrje selle faili ravida ). Tavaliselt luuakse karantiin viirusetõrjeprogrammi spetsiaalses kaustas, mis on isoleeritud kõigist muudest toimingutest peale viirusetõrje tehtud toimingute.

Viirusetõrjemoodul on moodul, mis kaitseb viirusetõrjet erinevate kolmandate osapoolte häirete eest tarkvara. See moodul on viirusetõrje. Sageli tahavad viirused viirusetõrje kustutada või takistada selle töötamist, blokeerides viirusetõrje. Viirusetõrjemoodul ei võimalda teil seda teha. Kuid mitte kõik kaasaegsed viirusetõrjed pole varustatud kvaliteetsete kaitsmetega. Mõned neist ei suuda tänapäevaste viiruste vastu midagi teha ja viirused võivad omakorda rahulikult ja lihtsalt viirusetõrje täielikult kustutada.

Ilmunud on ka viirused, mis simuleerivad viirusetõrje eemaldamist kasutaja poolt, st viirusetõrje kaitsja usub, et kasutaja ise soovib mingil põhjusel viirusetõrjet eemaldada ja seetõttu ei takista seda, kuigi tegelikult on see viiruse aktiivsus. Praegu on viirusetõrjefirmad hakanud kaitsjate väljastamisele tõsisemalt lähenema ja on ilmne, et kui viirusetõrjel pole head kaitsjat, on selle efektiivsus viirustega võitlemisel väga madal.

Viirusetõrjeserveri pistik on viirusetõrje oluline osa. Konnektorit kasutatakse viirusetõrje ühendamiseks serveriga, kust viirusetõrje saab alla laadida uusimad andmebaasid koos uute viiruste kirjeldustega. Sel juhul peab ühendus läbima spetsiaalse turvalise Interneti-kanali. See on väga oluline punkt, kuna ründaja võib istutada valesti viirusetõrje andmebaasid vale viiruste kirjeldusega, kui viirusetõrje ühendub serveriga turvamata Interneti-kanali kaudu. Ka tänapäevastes viirusetõrjetes on pistik ühenduse loomiseks spetsiaalse serveriga, mis haldab viirusetõrjet. Selline ühendus on näidatud alloleval joonisel:




Ühenduse skeem serveriga

arvutiviiruste kaitse

Nagu jooniselt näha, võimaldab konnektor ühendada palju kasutajate viirusetõrjeid ühe viirusetõrjeserveriga, kust kasutaja viirusetõrjed saavad värskendusi alla laadida ja kui kasutaja viirusetõrje poolel peaks tekkima mõni lahendamatu probleem, siis viirusetõrjeserver need lahendab. eemalt (näiteks kasutaja viirusetõrje on mõnes oma moodulis rikkis ja viirusetõrjeserver annab selle mooduli allalaadimiseks eraldi). Sel juhul on see ka väga oluline roll mängib rolli teabe edastuskanali (sidekanali) turvalisuses.

Ründajate poolt on hakatud kasutama huvitavat praktikat, mille tulemusel haaratakse kontroll infoedastuskanali enda üle ja tegelikult saab ründajast kasutaja viirusetõrjete haldur (olenevalt kas täielikult või osaliselt millise osa edastuskanalist ründaja pealt kuulab). Viirusetõrje loojad hakkasid omakorda infokanalis olevaid andmeid krüpteerima, et ründaja ei pääseks neile ligi ega saaks neid kuidagi enda valdusesse.

Värskendusmoodul vastutab viirusetõrje värskendamise eest, see üksikud osad, samuti selle viirusetõrje andmebaasid läbisid õigesti. IN kaasaegne praktika Viirusetõrjete loomisel hakati kasutama järgmist ideed: uuendusmoodul peaks ka kindlaks tegema, kas viirusetõrje andmebaasid on ehtsad või mitte, ning laadima mooduli ise alla.

Autentsust saab kontrollida erinevaid meetodeid- kontrollidest kontrollsumma faili andmebaasidega, enne kui otsite andmebaasidega faili seest spetsiaalset märki, mis näitab, et see fail on ehtne. Selliseid toiminguid hakati kasutusele võtma pärast seda, kui ründajate poolt viirusetõrjeandmebaaside asendamise juhtumid sagenesid.

Arvuti skanneri moodul on ehk vanim moodul tänapäevastes viirusetõrjetes, kuna varasemad viirusetõrjed koosnesid ainult sellest moodulist. See moodul vastutab arvuti viiruste kontrollimise eest, kui arvutikasutaja seda nõuab. Arvuti skaneerimisel kasutab moodul ise viirusetõrje andmebaase, mis saadi viirusetõrje värskendusmooduli abil. Kui skanner leiab viiruse, kuid ei tegele sellega kohe, asetab see viirusega faili karantiini. Seejärel saab arvutiskanneri moodul konnektori kaudu suhelda viirusetõrjeserveriga ja saada juhiseid nakatunud faili neutraliseerimiseks.

Tuleb märkida, et arvutiskanneri moodul on loodud teie arvuti viiruste eest kaitsmiseks, kuna põhikaitse tagab residentide kaitsemoodul. Arvuti skanneri moodul kasutab ainult viirusetõrje andmebaase, mis kirjeldavad selgelt viiruseid. Erinevad elemendid Arvuti skanneri moodulis ei kasutata ennetavat kaitset (näiteks heuristikat). Viiruse loojad tavaliselt ei ehita eriline kaitse oma viiruste eest arvutiskanneri moodulitest, kuna nad teavad, et kasutaja ei skaneeri sageli arvutit skanneriga ja see vahepealne aeg skannimisest skannimiseni on piisav, et varastada kasutaja isikuandmeid.

See programmi osa jälgib pidevalt arvutit ja programmide käivitamine, mis tuvastab kahtlase tegevuse (näiteks viiruse), vältides sellega failide ja arvuti kahjustamist. Elamukaitse töötab täiesti iseseisvalt (aktiveerub automaatselt arvuti käivitumisel) ja kui kõik on korras, ei pane selle toimimist tähelegi.

Sinine ikoon tähega "a" ekraani paremas alanurgas kella kõrval näitab elanike kaitse hetkeseisu. Tavaliselt näitab ikooni olemasolu, et residentide kaitse on installitud ja see kaitseb teie arvutit ennetavalt. Kui ikoonil on punane joon, on kaitse passiivne ja arvuti pole kaitstud. Kui ikoon on hall, on kaitse peatatud – vt allpool.

Elamukaitse sätted on saadaval, kui klõpsate ekraani paremas alanurgas oleval sinisel ikoonil vasakklõpsuga või klõpsate ja valite „Juurdepääsu skanneri sätted“.
Ilmub järgmine ekraan:

Siin saate ajutiselt peatada elanike kaitse, klõpsates nuppu "Peata" või "Lõpeta". IN sel juhul mõlemad variandid on samaväärsed. Residentide kaitse aktiveeritakse aga automaatselt järgmisel arvuti käivitamisel. Seda tehakse selleks, et kaitsta teie arvutit juhusliku nakatumise eest.

Residentide kaitse tundlikkust saate reguleerida ka kursoriga joonel klõpsates, muutes tundlikkuseks "Tavaline" või "Kõrge". Elanike kaitse hõlmab aga mitmeid erinevaid mooduleid või "pakkujad", millest igaüks on mõeldud arvuti erinevate osade kaitsmiseks. Kõik muudatused, mida teete see ekraan, rakendatakse kõigile elanike kaitsemoodulitele.

Elamukaitse koosneb järgmistest moodulitest või "pakkujatest":

Kiirsõnumidkontrollib jagamisprogrammide abil allalaaditud faile kiirsõnumid, näiteks ICQ ja MSN Messenger ja paljud teised. Kuigi Interneti-sõnumitoojad ise viirusohtu ei kujuta, pole tänapäevased kiirsuhtlusrakendused kaugeltki turvalised: enamik neist võimaldab ka failide jagamist – mis võib kergesti viia viirusnakkus, kui te neid ei jälgi.

Meilkontrollib sissetulevaid ja väljuvaid andmeid meilisõnumid, mida töötlevad mitte-MS Outlook ja MS Exchange kliendid, nt. Outlook Express, Eudora jne.

Tulemüür Pakub kaitset Interneti-usside (nt Blaster, Sasser jne) eest. Kaitse on võimalik ainult NT-põhistes süsteemides (Windows NT/2000/XP/Vista).

Outlook/Exchange skannib MS Outlooki või MS Exchange'i poolt töödeldud sissetulevaid ja väljaminevaid e-kirju ning peatab võimalikke viiruseid sisaldavate sõnumite saatmise ja vastuvõtmise.

P2P ekraan kontrollib faile, mis on alla laaditud tavaliste P2P (failide jagamise) programmide (nt Kazaa jne) abil.

Skripti blokeeriminekontrollib skripte kõikidel teie vaadatavatel veebilehtedel, et vältida veebibrauseri haavatavustest tingitud nakatumist.

Standardne ekraankontrollib töötavaid programme ja avatud dokumendid. See aitab vältida nakatunud programmide käivitamist ja nakatunud dokumentide avamist, blokeerides seeläbi viiruse aktiveerimise.

Veebiekraan kaitseb teie arvutit Internetti kasutades viiruste eest (veebis surfamine, failide allalaadimine jne), samuti võib blokeerida juurdepääsu teatud lehtedele, kui laadite alla nakatunud faili, takistab standardekraan selle käivitamist. Veebiekraan tuvastab viiruse aga veelgi varem – faili allalaadimise ajal, pakkudes seeläbi veelgi suuremat kaitset. Veebiekraan ühildub kõigi levinud veebibrauseritega, sealhulgas Microsoftiga Internet Explorer, FireFox, Mozilla ja Opera. Unikaalse funktsiooniga "Intelligent Stream Scanning", mis võimaldab teil skannida allalaaditud faile peaaegu reaalajas, ilma brauseri kiirust praktiliselt mõjutamata.

Saate reguleerida iga mooduli tundlikkust eraldi. Selleks või konkreetse mooduli peatamiseks klõpsake nuppu "Üksikasjad...". Ilmub järgmine ekraan:



Aknas vasakpoolses paneelis kuvatakse üksikud moodulid. Iga mooduli tundlikkust saab määrata, klõpsates selle nimel vasakul ja valides skaalal liuguri abil tundlikkuse. Selles aknas on võimalik ka teatud elanikekaitse osi ajutiselt või lõplikult peatada, klõpsates nuppu "Paus" või "Lõpeta". Kui valite "Lõpeta", küsib programm, kas soovite teatud mooduli jäädavalt välja lülitada või järgmisel arvuti käivitamisel käivitada. Kui klõpsate nuppu Jah, jääb moodul passiivseks ka pärast taaskäivitamist arvutisse, kuni selle uuesti käsitsi lubate.

Teatud summa on olemas lisavalikud, mida saab iga mooduli jaoks valida, näiteks on võimalik määrata skannitavate failide tüüp. Need valikud on saadaval pärast nupu "Seadista" klõpsamist.