Kokkuvõte: Viirusevastaste ainete klassifikatsioon. Viirusetõrjeprogrammid. Viiruste klassifikatsioon Viiruste ja viirusetõrjetarkvara klassifikatsioon

pahavara viirusetõrje infektsioon

Edukaks toimimiseks peavad viirused kontrollima, kas fail on juba nakatunud (sama viirusega). Nii väldivad nad enesehävitamist. Selleks kasutavad viirused signatuuri. Enamik levinumaid viiruseid (sh makroviirused) kasutavad märgisignatuure. Keerulisemad viirused (polümorfsed) kasutavad algoritmisignatuure. Olenemata viirusesignatuuri tüübist kasutavad viirusetõrjeprogrammid neid arvutiinfektsioonide tuvastamiseks. Pärast seda proovib viirusetõrjeprogramm tuvastatud viiruse hävitada. See protsess sõltub aga viiruse keerukusest ja viirusetõrjeprogrammi kvaliteedist. Nagu juba mainitud, on kõige raskemini tuvastatavad Trooja hobused ja polümorfsed viirused. Esimene neist ei lisa oma keha programmi, vaid sisestab selle selle sisse. Teisest küljest peavad viirusetõrjeprogrammid kulutama polümorfsete viiruste signatuuri määramiseks üsna palju aega. Fakt on see, et nende allkirjad muutuvad iga uue eksemplariga.

Arvutiviiruste tuvastamiseks, eemaldamiseks ja nende eest kaitsmiseks on spetsiaalsed programmid, mida nimetatakse viirusetõrjeprogrammideks. Kaasaegsed viirusetõrjeprogrammid on multifunktsionaalsed tooted, mis ühendavad endas nii ennetavaid kui viirusetõrje ja andmete taastamise tööriistu.

Viiruste arv ja valik on suur ning nende kiireks ja tõhusaks tuvastamiseks peab viirusetõrjeprogramm vastama teatud parameetritele:

1. Töö stabiilsus ja töökindlus.

2. Programmi viiruste andmebaasi suurus (programmi poolt õigesti tuvastatud viiruste arv): võttes arvesse uute viiruste pidevat esilekerkimist, tuleb andmebaasi regulaarselt uuendada.

3. Programmi võime tuvastada erinevat tüüpi viirusi ja võime töötada erinevat tüüpi failidega (arhiivid, dokumendid).

4. Residentmonitori olemasolu, mis kontrollib kõiki uusi faile "lennult" (st automaatselt, kui need kettale kirjutatakse).

5. Programmi kiirus, lisafunktsioonide olemasolu nagu algoritmid isegi programmile tundmatute viiruste tuvastamiseks (heuristiline skannimine).

6. Võimalus taastada nakatunud faile neid kõvakettalt kustutamata, vaid ainult viiruste eemaldamise teel.

7. Programmi valepositiivsete protsent (viiruse ekslik tuvastamine "puhas" failis).

8. Platvormideülene (programmi versioonide saadavus erinevatele operatsioonisüsteemidele).

Viirusetõrjeprogrammide klassifikatsioon:

1. Tuvastajaprogrammid otsivad ja tuvastavad viiruseid RAM-is ja välises meediumis ning tuvastamisel väljastavad vastava teate. Eristatakse detektoreid:

Universaalne - nad kasutavad oma töös failide muutumatuse kontrollimiseks loendamist ja võrdlust kontrollsumma standardiga;

Spetsialiseerunud – otsige teadaolevaid viirusi nende allkirja järgi (korduv koodiosa).

2. Arstiprogrammid (faagid) mitte ainult ei leia viirustega nakatatud faile, vaid ka “ravivad” neid, s.t. eemaldage failist viirusprogrammi keha, tagastades failid nende algsesse olekusse. Oma töö alguses otsivad faagid RAM-ist viiruseid, hävitavad need ja alles siis jätkavad failide "puhastamist". Faagidest eristatakse polüfaage, s.o. Arstiprogrammid, mis on loodud suure hulga viiruste otsimiseks ja hävitamiseks.

3. Auditeerimisprogrammid on ühed kõige usaldusväärsemad vahendid viiruste eest kaitsmiseks. Audiitorid jätavad programmide, kataloogide ja ketta süsteemialade algoleku meelde, kui arvuti pole viirusega nakatunud, ning võrdlevad seejärel perioodiliselt või kasutaja soovil praegust olekut algse olekuga. Tuvastatud muudatused kuvatakse monitori ekraanil.

4. Filtriprogrammid (watchmen) on väikesed residentprogrammid, mis on loodud viirustele iseloomulike kahtlaste toimingute tuvastamiseks arvuti töö ajal. Sellised toimingud võivad olla:

Püüab parandada COM- ja EXE-laienditega faile;

Faili atribuutide muutmine;

Otsene kirjutamine kettale absoluutaadressil;

Kirjutage ketta alglaadimissektoritesse;

5. Vaktsiiniprogrammid (immunisaatorid) on püsivad programmid, mis takistavad failide nakatumist. Vaktsiine kasutatakse juhul, kui puuduvad arstiprogrammid, mis seda viirust "ravivad". Vaktsineerimine on võimalik ainult teadaolevate viiruste vastu N. Bezrukov Arvutiviroloogia: Õpik [Elektrooniline allikas]: http://vx.netlux.org/lib/anb00.html..

Tegelikult on viirusetõrjeprogrammide arhitektuur palju keerulisem ja sõltub konkreetsest arendajast. Kuid üks tõsiasi on vaieldamatu: kõik tehnoloogiad, millest ma rääkisin, on üksteisega nii tihedalt läbi põimunud, et mõnikord on võimatu aru saada, millal mõned võetakse kasutusele ja teised hakkavad tööle. Selline viirusetõrjetehnoloogiate koostoime võimaldab neid viirustevastases võitluses kõige tõhusamalt kasutada. Kuid ärge unustage, et täiuslikku kaitset pole olemas ja ainus viis end selliste probleemide eest kaitsta on pidevad OS-i värskendused, hästi konfigureeritud tulemüür, sageli uuendatav viirusetõrje ja – mis kõige tähtsam – kahtlaste failide käivitamine/allalaadimine Internet.

Kaasaegse personaalarvuti kasutajal on vaba juurdepääs masina kõikidele ressurssidele. See avas võimaluse ohu olemasoluks, mida nimetati arvutiviiruseks.

Arvutiviirus on spetsiaalselt kirjutatud programm, mis on võimeline spontaanselt liituma teiste programmidega, looma endast koopiaid ja sisestama neid failidesse, arvutisüsteemi piirkondadesse ja arvutivõrkudesse, et häirida programmide tööd, kahjustada faile ja katalooge, ja tekitavad igasuguseid häireid arvutiga töötamisel. Sõltuvalt nende elupaigast võib viirused jagada võrguviirusteks, failiviirusteks, alglaadimisviirusteks, failikäivitusviirusteks, makroviirusteks ja troojalasteks.

  • Võrguviirused levitatakse erinevates arvutivõrkudes.
  • Failiviirused on realiseeritud peamiselt käivitatavates moodulites. Failiviiruseid saab manustada ka muud tüüpi failidesse, kuid reeglina ei saa need sellistesse failidesse kirjutatuna kunagi kontrolli alla ja seetõttu kaotavad nad paljunemisvõime.
  • Käivitusviirused on manustatud ketta alglaadimissektorisse (Boot sektor) või sektorisse, mis sisaldab süsteemi ketta alglaadimisprogrammi (Master Boot Record).
  • Failide käivitamise viirused nakatada nii faile kui ka ketaste alglaadimise sektoreid.
  • Makroviirused on kirjutatud kõrgetasemelistes keeltes ja ründavad selliste rakenduste dokumendifaile, millel on sisseehitatud automatiseerimiskeeled (makrokeeled), näiteks Microsoft Office'i perekonna rakendused.
  • Troojalased, maskeerudes kasulikeks programmideks, on arvutiviirusnakkuse allikas.

Arvutiviiruste tuvastamiseks, eemaldamiseks ja nende eest kaitsmiseks on välja töötatud mitut tüüpi eriprogramme, mis võimaldavad viiruseid tuvastada ja hävitada. Selliseid programme nimetatakse viirusetõrjeprogrammideks. Eristatakse järgmisi tüüpe: viirusetõrjeprogrammid:

  • - detektoriprogrammid;
  • - arstiprogrammid ehk faagid;
  • - auditiprogrammid;
  • - filtriprogrammid;
  • - vaktsiiniprogrammid või immunisaatorid.

Detektoriprogrammid Nad otsivad RAM-ist ja failidest konkreetsele viirusele iseloomulikku signatuuri ning kui leitakse, väljastavad vastava teate. Selliste viirusetõrjeprogrammide puuduseks on see, et nad suudavad leida ainult selliseid viiruseid, mis on selliste programmide arendajatele teada.

Arsti programmid või faagid, samuti vaktsiiniprogrammid mitte ainult ei leia viirustega nakatunud faile, vaid ka "ravi" neid, st eemaldage failist viirusprogrammi keha, tagastades failid nende algsesse olekusse. Oma töö alguses otsivad faagid RAM-ist viiruseid, hävitavad need ja alles siis jätkavad failide "puhastamist". Faagide hulgas on polüfaagid, st arstiprogrammid, mis on loodud suure hulga viiruste otsimiseks ja hävitamiseks. Neist kuulsaimad: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

Seoses uute viiruste pideva ilmumisega vananevad detektorprogrammid ja arstiprogrammid kiiresti ning vaja on regulaarset versiooniuuendust.

Audiitori programmid on üks kõige usaldusväärsemaid vahendeid viiruste eest kaitsmiseks. Audiitorid jätavad programmide, kataloogide ja ketta süsteemialade algoleku meelde, kui arvuti pole viirusega nakatunud, ning võrdlevad seejärel perioodiliselt või kasutaja soovil praegust olekut algse olekuga. Tuvastatud muudatused kuvatakse monitori ekraanil. Olekute võrdlemine toimub reeglina kohe pärast operatsioonisüsteemi laadimist. Võrdlemisel kontrollitakse faili pikkust, tsüklilist juhtkoodi (faili kontrollsummat), muutmise kuupäeva ja kellaaega ning muid parameetreid. Audiitorprogrammidel on üsna välja töötatud algoritmid, need tuvastavad hiilivaid viiruseid ja suudavad isegi eristada kontrollitava programmi versiooni muudatusi viiruse tehtud muudatustest. Audiitorprogrammide hulka kuulub laialdaselt kasutatav programm Kaspersky Monitor.

Filtreerimisprogrammid ehk "watchmen" on väikesed residendist programmid, mis on loodud viirustele iseloomulike kahtlaste toimingute tuvastamiseks arvuti töö ajal. Sellised toimingud võivad olla:

  • - proovib parandada COM-laienditega faile. EXE;
  • - faili atribuutide muutmine;
  • - otsesalvestus kettale absoluutsel aadressil;
  • - kirjutamine ketta alglaadimissektoritesse;

Kui mõni programm proovib määratud toiminguid sooritada, saadab “valvur” kasutajale teate ja pakub vastava toimingu keelamist või lubamist. Filtriprogrammid on väga kasulikud. kuna nad suudavad viiruse tuvastada selle olemasolu varases staadiumis, enne paljunemist. Kuid nad ei "puhasta" faile ja kettaid.

Viiruste hävitamiseks peate kasutama muid programme, näiteks faage. Valveprogrammide puudused hõlmavad nende "pealetükkivust" (näiteks hoiatavad pidevalt iga käivitatava faili kopeerimise katse eest), samuti võimalikke konflikte muu tarkvaraga.

Vaktsiinid või immunisaatorid Need on residentide programmid. failide nakatumise vältimine. Vaktsiine kasutatakse juhul, kui puuduvad arstiprogrammid, mis seda viirust "ravivad". Vaktsineerimine on võimalik ainult teadaolevate viiruste vastu. Vaktsiin muudab programmi või ketast nii, et see ei mõjuta selle tööd ja viirus tajub seda nakatununa ega juurdu seetõttu. Praegu on vaktsiiniprogrammide kasutamine piiratud.

Viirustega nakatunud failide ja ketaste õigeaegne avastamine ning tuvastatud viiruste täielik hävitamine igas arvutis aitavad vältida viiruseepideemia levikut teistesse arvutitesse.

Vaatamata sellele, et üldine infoturve ja ennetavad meetmed on viiruste eest kaitsmisel väga olulised, on spetsialiseeritud programmide kasutamine vajalik. Need programmid võib jagada mitut tüüpi:

  • ? Detektoriprogrammid kontrollivad, kas kettal olevad failid sisaldavad teadaoleva viiruse jaoks kindlat baitide kombinatsiooni (signatuur) ja annavad sellest kasutajale teada (VirusScan/SCAN/McAfee Associates).
  • ? Arstiprogrammid ehk faagid “ravivad” nakatunud programme, “hammustades” nakatunud programmidest välja viiruse keha, nii elupaiga taastamisega (nakatunud fail) kui ka ilma selleta – SCAN-programmi tervendav moodul – programm CLEAN.
  • ? Doctor-detektori programmid (Lozinsky's Aidstest, Danilovi Doctor Web, MSAV, Norton Antivirus, Kaspersky AVP) suudavad tuvastada teadaoleva viiruse olemasolu kettal ja ravida nakatunud faili. Tänapäeval kõige levinum viirusetõrjeprogrammide rühm.

Lihtsamal juhul näeb ketta sisu viiruste kontrollimise käsk välja selline: aidstest / key1 / key 2 / key 3 /---

  • ? Filtriprogrammid (watchmen) asuvad arvuti RAM-is ja võtavad kinni need operatsioonisüsteemi kõned, mida viirused kasutavad paljunemiseks ja kahju tekitamiseks, ning teavitavad neist kasutajat:
  • - katse rikkuda OS-i põhifaili COMMAND.COM;
  • - katse kirjutada otse kettale (eelmine kirje kustutatakse) ja kuvatakse teade, et mõni programm üritab kettale kopeerida;
  • - ketta vormindamine,
  • - programmi püsiv paigutus mällu.

Olles tuvastanud katse ühele neist toimingutest, annab filtriprogramm kasutajale olukorra kirjelduse ja nõuab temalt kinnitust. Kasutaja saab selle toimingu lubada või keelata. Viirustele iseloomulike toimingute juhtimine toimub vastavate katkestuskäitlejate asendamise teel. Nende programmide miinusteks on pealetükkivus (näiteks valvur annab hoiatuse iga käivitatava faili kopeerimise katse kohta), võimalikud konfliktid muu tarkvaraga ja mõnede viiruste poolt valvuritest möödahiilimine. Filtrite näited: Anti4us, Vsafe, Disk Monitor.

Tuleb märkida, et tänapäeval on paljudel arsti-detektori klassi programmidel ka residendi moodul - filter (kaitse), näiteks DR Web, AVP, Norton Antivirus. Seega võib selliseid programme liigitada arst-detektor-valvur.

  • ? Riist- ja tarkvara viirusetõrjevahendid (Sheriffi riist- ja tarkvarakompleks). Sarnaselt valveprogrammidega on riist- ja tarkvara viirusetõrjevahendid, mis pakuvad usaldusväärsemat kaitset viiruste süsteemi tungimise eest. Sellised kompleksid koosnevad kahest osast: riistvarast, mis paigaldatakse mikroskeemi kujul emaplaadile, ja tarkvarast, mis salvestatakse kettale. Riistvaraosa (kontroller) jälgib kõiki kettale kirjutamise toiminguid, tarkvara osa, asudes RAM-is, jälgib kõiki info sisestus-/väljundoperatsioone. Nende tööriistade kasutamise võimalus nõuab aga hoolikat kaalumist arvutis kasutatavate lisaseadmete (nt kettakontrollerite, modemite või võrgukaartide) seadistamisel.
  • ? Audiitorprogrammid (Adinf/Advanced Disk infoskoop/raviplokiga ADinf Cure Module Mostovoy). Auditiprogrammidel on kaks tööetappi. Esiteks mäletavad nad teavet programmide oleku ja ketaste süsteemialade kohta (käivitussektor ja sektor koos tabeliga kõvaketta jagamiseks loogilisteks partitsioonideks). Eeldatakse, et praegu ei ole programmid ja süsteemikettaalad nakatunud. Seejärel, kui võrrelda süsteemialasid ja kettaid algsetega, teavitatakse kasutajat, kui leitakse lahknevus. Audiitorprogrammid on võimelised tuvastama nähtamatud (STEALTH) viirused. Faili pikkuse kontrollimisest ei piisa, mõned viirused ei muuda nakatunud failide pikkust. Usaldusväärsem kontroll on lugeda kogu fail ja arvutada selle kontrollsumma (bitihaaval). Peaaegu võimatu on muuta kogu faili nii, et selle kontrollsumma jääks samaks. Audiitorite väiksemateks puudusteks on asjaolu, et turvalisuse tagamiseks tuleb neid regulaarselt kasutada, näiteks iga päev välja kutsuda failist AUTOEXEC.BAT. Kuid nende vaieldamatuteks eelisteks on kontrollide kiire kiirus ja asjaolu, et need ei vaja sagedast versiooniuuendust. Audiitori versioonid, isegi kuus kuud vanad, tuvastavad ja eemaldavad usaldusväärselt kaasaegsed viirused.
  • ? Vaktsiini- või immuniseerimisprogrammid (CPAV). Vaktsiiniprogrammid muudavad programme ja kettaid nii, et see ei mõjuta programmide tööd, kuid viirus, mille vastu vaktsineeritakse, loeb need programmid ja kettad juba nakatunuks. Need programmid ei ole piisavalt tõhusad.

Tavaliselt võib viirusevastase kaitse strateegiat määratleda kui mitmetasandilist "kihilist" kaitset. Struktuuriliselt võib see välja näha selline. Viirustevastase kaitse luuretööriistad vastavad detektoriprogrammidele, mis võimaldavad tuvastada värskelt saadud tarkvara viiruste olemasolu tuvastamiseks. Kaitsevaldkonnas on esirinnas filtriprogrammid, mis asuvad arvuti mälus. Need programmid võivad olla esimesed, kes teatavad viiruse toimimisest. “Kaitse” teine ​​ešelon koosneb auditiprogrammidest. Audiitorid tuvastavad viiruserünnaku isegi siis, kui see on suutnud "lekkida" läbi eesmise kaitseliini. Arstiprogramme kasutatakse nakatunud programmide taastamiseks, kui nakatunud programmi koopiat arhiivis pole, kuid need ei parane alati õigesti. Arstid-inspektorid tuvastavad viirusrünnaku ja ravivad nakatunud programme ning jälgivad ravi õigsust. Kaitse sügavaim ešelon on juurdepääsukontrolli vahendid. Need ei lase viirustel ja talitlushäiretega programmidel olulisi andmeid rikkuda, isegi kui need on arvutisse tunginud. "Strateegiline reserv" sisaldab teabe arhiivikoopiaid ja tarkvaratoodetega "viiteid" diskette. Need võimaldavad teil kahjustatud teavet taastada.

Iga viiruse tüübi kahjulik toime võib olla väga erinev. See hõlmab oluliste failide või isegi BIOS-i püsivara kustutamist, isikliku teabe (nt paroolide) edastamist kindlale aadressile, volitamata meilikampaaniate korraldamist ja rünnakuid teatud veebisaitidele. Tasulistele numbritele on võimalik helistada ka mobiiltelefoni kaudu. Varjatud haldusutiliidid (tagauks) võivad isegi täieliku kontrolli arvuti üle ründajale üle anda. Õnneks saab kõigi nende hädadega edukalt võidelda ja peamiseks relvaks selles võitluses saab loomulikult olema viirusetõrjetarkvara.

Kaspersky viirusetõrje. Võib-olla on "Kaspersky Anti-Virus" Venemaal kõige kuulsam seda tüüpi toode ja nimest "Kaspersky" on saanud pahatahtlike koodide vastu võitleja sünonüüm. Samanimeline labor mitte ainult ei anna pidevalt välja oma turvatarkvara uusi versioone, vaid teeb ka arvutikasutajate seas õppetööd. Kaspersky Anti-Virus uusim, üheksas versioon, nagu ka eelmised versioonid, eristub lihtsa ja äärmiselt läbipaistva liidesega, mis ühendab kõik vajalikud utiliidid ühes aknas. Tänu installiviisardile ja intuitiivsetele menüüvalikutele saab isegi algaja kasutaja seda toodet konfigureerida. Kasutatavate algoritmide võimsus rahuldab isegi professionaale. Iga tuvastatud viiruse üksikasjaliku kirjelduse leiate, helistades otse programmist vastavale Interneti-lehele.

Dr. Võrk. Teine populaarne Venemaa viirusetõrje, mis konkureerib populaarsuselt Kaspersky Anti-Virusega, on Dr. Võrk. Selle prooviversioonil on huvitav funktsioon: see nõuab kohustuslikku registreerimist Interneti kaudu. Ühest küljest on see väga hea – kohe pärast registreerimist uuendatakse viirusetõrje andmebaasi ja kasutaja saab allkirjade kohta uusimad andmed. Teisest küljest on prooviversiooni võrguühenduseta installimine võimatu ja nagu kogemused on näidanud, on ebastabiilse ühenduse korral probleemid vältimatud.

Panda Antivirus + Firewall 2007. Arvutiturbe valdkonna terviklik lahendus - Panda Antivirus + Firewall 2007 pakett - sisaldab lisaks viirusetõrjeprogrammile ka võrgutegevust jälgivat tulemüüri. Programmi põhiakna liides on kujundatud “loomulikes” rohelistes toonides, kuid vaatamata visuaalsele atraktiivsusele on menüünavigatsioonisüsteem üles ehitatud ebamugavalt ja algaja kasutaja võib seadetes segadusse sattuda.

Panda pakett sisaldab mitmeid originaallahendusi, näiteks TruePrevent, patenteeritud tehnoloogia tundmatute ohtude otsimiseks, mis põhineb kõige kaasaegsematel heuristilistel algoritmidel. Tähelepanu tasub pöörata ka arvuti haavatavuste otsimise utiliidile - see hindab turvasüsteemi “aukude” ohtu ja pakub vajalike värskenduste allalaadimist.

Norton Antivirus 2005. Peamine mulje kuulsa firma Symanteci tootest - viirusetõrjekompleksist Norton Antivirus 2005 - on keskendumine võimsatele arvutisüsteemidele. Norton Antivirus 2005 liidese reageerimine kasutaja toimingutele viibib märgatavalt. Lisaks seab see installimisel üsna ranged nõuded operatsioonisüsteemi ja Internet Exploreri versioonidele. Erinevalt Dr.Webist ei nõua Norton Antivirus viiruseandmebaaside värskendamist installimise ajal, vaid tuletab teile meelde, et need on kogu töö ajal aegunud.

McAfee VirusScan. Valisime testimiseks huvitava viirusetõrjetoote, mis on arendajate sõnul skänner nr 1 - McAfee VirusScan -, kuna sarnaste rakenduste seas paistis see silma suure levimahu poolest (üle 40 MB). ). Uskudes, et see väärtus tuleneb selle laiast funktsionaalsusest, jätkasime installimist ja avastasime, et see sisaldab lisaks viirusetõrje skannerile ka tulemüüri, aga ka utiliite kõvaketta puhastamiseks ja objektide garanteeritud eemaldamiseks kõvakettalt. draiv (failipurustaja).

Küsimused 6. ja 7. peatüki jaoks

  • 1. Infoturbe vahendite ja tehnoloogiate arendamise etapid.
  • 2. Standardse turvamudeli komponendid.
  • 3. Turvaohtude allikad ja nende klassifikatsioon.
  • 4. Tahtmatud ohud infoturbele.
  • 5. Infoturbe tahtlikud ohud.
  • 6. Infolekkekanalite klassifikatsioon.
  • 7. Infoturbe probleemide reguleerimine.
  • 8. Riigi infoturbesüsteemi ülesehitus.
  • 9. Infoturbe meetodid ja vahendid.
  • 10. Andmeturbeohtude klassifikatsioon.
  • 11. Informatsiooni viiruste eest kaitsmise meetodid.
  • 12. Terviklikkuse kontrollimise meetodid.
  • 13. Arvutiviiruste klassifikatsioon.
  • 14. Viirusetõrje.
  • 15. Ennetavad viirusetõrjemeetmed.
  • 16. Viirusetõrjetarkvara toodete klassifikatsioon.

Viiruste tuvastamise põhimeetodid

viirusetõrjeprogrammid, mis töötati välja paralleelselt viiruste arenguga. Uute viiruste loomise tehnoloogiate ilmnemisel muutus viirusetõrjete väljatöötamisel kasutatav matemaatiline aparaat keerukamaks.

Esimesed viirusetõrjealgoritmid põhinesid võrdlusel standardiga. Me räägime programmidest, milles viiruse tuvastab klassikaline kernel, kasutades teatud maski. Algoritmi mõte on kasutada statistilisi meetodeid. Mask peaks ühest küljest olema väike, et failimaht oleks vastuvõetava suurusega, ja teisest küljest piisavalt suur, et vältida valepositiivseid tulemusi (kui "oma oma" tajutakse "kellegi teise omana" ja pahe vastupidi).

Esimesed sellel põhimõttel üles ehitatud viirusetõrjeprogrammid (nn polüfaagiskannerid) tundsid teatud arvu viirusi ja teadsid, kuidas neid ravida. Need programmid loodi järgmiselt: arendaja, olles saanud viiruse koodi (viiruse kood oli algselt staatiline), lõi selle koodi põhjal unikaalse maski (jada 10-15 baiti) ja sisestas selle viirusetõrjeprogrammide andmebaasi. Viirusetõrjeprogramm kontrollis failid ja kui leidis selle baitide jada, järeldas, et fail on nakatunud. See järjestus (signatuur) valiti nii, et see oleks ainulaadne ja seda ei leitud tavalisest andmekogumist.

Kirjeldatud lähenemisviise kasutas enamik viirusetõrjeprogramme kuni 90ndate keskpaigani, mil ilmusid esimesed polümorfsed viirused, mis muutsid oma keha vastavalt eelnevalt ettearvamatutele algoritmidele. Seejärel täiendati signatuurimeetodit nn protsessori emulaatoriga, mis võimaldab leida krüpteeritud ja polümorfseid viirusi, millel pole selgesõnaliselt püsivat allkirja.

Protsessori emuleerimise põhimõte on näidatud joonisel fig. 1 . Kui tavaliselt koosneb tingimusahel kolmest põhielemendist: CPU®OS®Programm, siis protsessori emuleerimisel lisatakse sellisele ahelale emulaator. Emulaator justkui reprodutseerib programmi tööd mõnes virtuaalses ruumis ja rekonstrueerib selle algse sisu. Emulaator suudab alati programmi täitmist katkestada, kontrollib selle toiminguid, vältides millegi rikkumist ja kutsub välja viirusetõrje skannimise kerneli.

Teine mehhanism, mis ilmus 90ndate keskel ja mida kasutavad kõik viirusetõrjed, on heuristiline analüüs. Fakt on see, et protsessori emuleerimisseade, mis võimaldab teil saada analüüsitud programmi tehtud toimingute kokkuvõtte, ei võimalda alati neid toiminguid otsida, kuid see võimaldab teil teha mõningast analüüsi ja püstitada hüpoteesi. nagu "viirus või mitte viirus?"

Sel juhul põhineb otsuste tegemine statistilistel lähenemisviisidel. Ja vastavat programmi nimetatakse heuristiliseks analüsaatoriks.

Paljunemiseks peab viirus tegema teatud spetsiifilisi toiminguid: kopeerima mällu, kirjutama sektoritesse jne. Heuristiline analüsaator (see on osa viirusetõrje tuumast) sisaldab selliste toimingute loendit, vaatab programmi käivitatavat koodi, määrab, mida see teeb ja teeb selle põhjal otsuse, kas see programm on viirus või mitte. .

Samas on puuduvate viiruste osakaal, isegi viirusetõrjeprogrammile teadmata, väga väike. Seda tehnoloogiat kasutatakse nüüd laialdaselt kõigis viirusetõrjeprogrammides.

Viirusetõrjeprogrammide klassifikatsioon

viirusetõrjeprogrammid liigitatakse puhasteks viirusetõrjeteks ja kahekordse kasutusega viirusetõrjeteks (joonis 2).

Puhtaid viirusetõrjeid eristab viirusetõrjetuuma olemasolu, mis täidab proovide skannimise funktsiooni. Põhimõte on sel juhul, et ravi on võimalik, kui viirus on teada. Puhtad viirusetõrjed jagunevad omakorda failidele juurdepääsu tüübi alusel kahte kategooriasse: need, mis kontrollivad juurdepääsu (juurdepääsul) või kasutaja nõudmisel (nõudmisel). Tavaliselt nimetatakse juurdepääsuga tooteid monitorideks ja tellitavaid tooteid skanneriteks.

Tellitav toode töötab järgmise skeemi järgi: kasutaja soovib midagi kontrollida ja väljastab päringu (nõudmine), mille järel viiakse läbi kontroll. Juurdepääsuga toode on püsiprogramm, mis jälgib juurdepääsu ja teostab juurdepääsu ajal kontrolli.

Lisaks saab viirusetõrjeprogramme, nagu viirusi, jagada olenevalt platvormist, millel viirusetõrje töötab. Selles mõttes võivad platvormid koos Windowsi või Linuxiga hõlmata Microsoft Exchange Serverit, Microsoft Office'i, Lotus Notesi.

Kahe kasutusega programmid on programmid, mida kasutatakse nii viirusetõrjetes kui ka tarkvaras, mis ei ole viirusetõrje. Näiteks CRC-checkerit – kontrollsummadel põhinevat muutuste audiitorit – saab kasutada mitte ainult viiruste püüdmiseks. Teatud tüüpi kaheotstarbelised programmid on käitumisblokeerijad, mis analüüsivad teiste programmide käitumist ja blokeerivad need kahtlaste toimingute tuvastamisel. Käitumuslikud blokaatorid erinevad klassikalisest viirusetõrjetuumaga viirusetõrjest, mis tunneb ära ja ravib laboris analüüsitud viiruseid, millele on ette nähtud ravialgoritm, selle poolest, et nad ei saa viirusi ravida, kuna ei tea neist midagi. See blokaatorite omadus võimaldab neil töötada mis tahes viirustega, sealhulgas tundmatutega. See on tänapäeval eriti oluline, kuna viiruste ja viirusetõrjete levitajad kasutavad samu andmeedastuskanaleid, st Internetti. Samas vajab viirusetõrjefirma alati aega viiruse enda kättesaamiseks, analüüsiks ja vastavate ravimoodulite kirjutamiseks. Kahe kasutusega grupi programmid võimaldavad blokeerida viiruse levikut seni, kuni ettevõte kirjutab ravimooduli.

Ülevaade kõige populaarsematest isiklikest viirusetõrjetest

Ülevaade sisaldab kõige populaarsemaid isiklikuks kasutamiseks mõeldud viirusetõrjeid viielt tuntud arendajalt. Tuleb märkida, et mõned allpool käsitletavad ettevõtted pakuvad mitmeid isiklike programmide versioone, mis erinevad funktsionaalsuse ja vastavalt ka hinna poolest. Oma ülevaates vaatlesime iga ettevõtte ühte toodet, valides kõige funktsionaalsema versiooni, mida tavaliselt nimetatakse Personal Proks. Teiste isiklike viirusetõrjete valikud leiate vastavatelt veebisaitidelt.

Kaspersky viirusetõrje

Personal Pro v. 4.0

Arendaja: Kaspersky Lab. Veebisait: http://www.kaspersky.ru/. Hind: 69 dollarit (1-aastane litsents).

Kaspersky Anti-Virus Personal Pro (joonis 3) on üks populaarsemaid lahendusi Venemaa turul ja sisaldab mitmeid ainulaadseid tehnoloogiaid.

Office Guard käitumisblokeerija moodul hoiab makro täitmist kontrolli all, peatades kõik kahtlased toimingud. Office Guard mooduli olemasolu tagab 100% kaitse makroviiruste eest.

Inspector jälgib kõiki muudatusi teie arvutis ja kui failides või süsteemiregistris tuvastatakse volitamata muudatusi, võimaldab teil taastada ketta sisu ja eemaldada pahatahtlikud koodid. Inspektor ei nõua viirusetõrje andmebaasi värskendamist: terviklikkuse kontrollimisel lähtutakse originaalfailidest sõrmejälgede võtmisel (CRC summad) ja nende hilisemal võrdlemisel muudetud failidega. Erinevalt teistest inspektoritest toetab Inspector kõiki populaarsemaid käivitatava failivorminguid.

Heuristiline analüsaator võimaldab kaitsta teie arvutit isegi tundmatute viiruste eest.

Monitori taustaviiruste püüdur, mis on pidevalt arvuti mälus olemas, teostab kõigi failide viirusetõrjekontrolli kohe nende käivitamise, loomise või kopeerimise ajal, mis võimaldab teil kontrollida kõiki failitoiminguid ja vältida nakatumist isegi tehnoloogiliselt arenenumad viirused.

Viirusetõrje e-posti filtreerimine takistab viiruste sisenemist teie arvutisse. Mail Checkeri pistikprogramm mitte ainult ei eemalda meili sisust viirusi, vaid taastab täielikult ka kirjade algse sisu. Meilikirjavahetuse põhjalik kontroll ei võimalda viirusel peituda e-kirja mis tahes elemendis, kontrollides kõiki sissetulevate ja väljaminevate kirjade piirkondi, sealhulgas manustatud faile (sh arhiveeritud ja pakitud) ja muid pesastustasemega sõnumeid.

Viirusetõrjeskanner Scanner võimaldab nõudmisel läbi viia kohalike ja võrgudraivide kogu sisu täismahus skannimise.

Skriptikontrolli skriptiviiruse püüdur võimaldab kõigi töötavate skriptide viirusetõrjet enne nende käivitamist.

Arhiveeritud ja tihendatud failide tugi võimaldab eemaldada nakatunud tihendatud failist pahatahtliku koodi.

Nakatunud objektide isoleerimine tagab nakatunud ja kahtlaste objektide isoleerimise ning nende edasise liikumise spetsiaalselt organiseeritud kataloogi edasiseks analüüsiks ja taastamiseks.

Viirusetõrje automatiseerimine võimaldab koostada programmi komponentide töögraafiku ja järjekorra; automaatselt alla laadida ja ühendada uued viirusetõrje andmebaasi värskendused Interneti kaudu; saata hoiatusi tuvastatud viiruserünnakute kohta meili teel jne.

Norton AntiVirus 2003 Professional Edition

Arendaja: Symantec. Veebisait: http://www.symantec.ru/.

Hind 89,95 eurot.

Programm töötab operatsioonisüsteemides Windows 95/98/Me/NT4.0/2000 Pro/XP.

Hind: 39,95 dollarit

Programm töötab operatsioonisüsteemides Windows 95/98/Me/NT4.0/2000 Pro/XP.

Viirusetõrje on kõige levinum meede IT infrastruktuuri infoturbe tagamiseks ettevõtetes. Kuid vaid 74% Venemaa ettevõtetest kasutab kaitseks viirusetõrjelahendusi, selgus Kaspersky Labi koos analüüsifirmaga B2B International läbi viidud uuringust (sügis 2013).

Samuti märgitakse raportis, et küberohtude plahvatusliku kasvu taustal, mille eest ettevõtteid kaitsevad lihtsad viirusetõrjed, hakkavad Venemaa ettevõtted üha enam kasutama keerukaid kaitsevahendeid. Suuresti just sel põhjusel kasvas andmete krüptimise tööriistade kasutamine irdkandjatel 7% (24%). Lisaks on ettevõtted muutunud rohkem valmis eristama irdseadmete turvapoliitikaid. Samuti on suurenenud IT infrastruktuuri erinevate osade juurdepääsu taseme diferentseeritus (49%). Samas pööravad väikesed ja keskmised ettevõtted rohkem tähelepanu irdseadmete juhtimisele (35%) ja rakenduste juhtimisele (31%).

Samuti leidsid teadlased, et hoolimata pidevast uute tarkvarahaavatavuste avastamisest ei pööra Venemaa ettevõtted endiselt piisavalt tähelepanu regulaarsele tarkvarauuendusele. Veelgi enam, lappimisega seotud organisatsioonide arv vähenes eelmise aastaga võrreldes vaid 59%-ni.

Kaasaegsed viirusetõrjeprogrammid suudavad tõhusalt tuvastada pahatahtlikke objekte programmifailides ja dokumentides. Mõnel juhul võib viirusetõrje eemaldada nakatunud failist pahatahtliku objekti keha, taastades faili enda. Enamasti suudab viirusetõrje eemaldada pahatahtliku tarkvara objekti mitte ainult programmifailist, vaid ka kontori dokumendifailist, ilma selle terviklikkust rikkumata. Viirusetõrjeprogrammide kasutamine ei nõua kõrget kvalifikatsiooni ja on kättesaadav peaaegu igale arvutikasutajale.

Enamik viirusetõrjeprogramme ühendab reaalajas kaitse (viirusetõrjemonitor) ja nõudmisel kaitse (viirusetõrjeskanner).

Viirusetõrje reiting

2019: kaks kolmandikku Androidi viirusetõrjetest osutus kasutuks

2019. aasta märtsis avaldas viirusetõrjetarkvara testimisele spetsialiseerunud Austria laboratoorium AV-Comparatives uuringu tulemused, mis näitasid enamiku selliste Androidi programmide kasutust.

Ainult 23 Google Play poe ametlikus kataloogis leiduvat viirusetõrjet tuvastavad 100% juhtudest täpselt pahavara. Ülejäänud tarkvara kas ei reageeri mobiiliohtudele või eksib nende jaoks täiesti ohututes rakendustes.

Eksperdid uurisid 250 viirusetõrjet ja teatasid, et ainult 80% neist suudab tuvastada rohkem kui 30% pahavarast. Seega läbis testi 170 taotlust. Testi läbinud tooted hõlmasid peamiselt suuremate tootjate lahendusi, sealhulgas Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro ja Trustwave.

Katse raames installisid teadlased iga viirusetõrjerakenduse eraldi seadmesse (ilma emulaatorita) ja automatiseerisid seadmed brauseri käivitamiseks, allalaadimiseks ja seejärel pahavara installimiseks. Iga seadet testiti 2018. aastal 2 tuhande kõige levinuma Androidi viiruse vastu.

AV-Comparativesi arvutuste kohaselt on enamik Androidi viirusetõrjelahendusi võltsitud. Kümnetel rakendustel on peaaegu identne liides ja nende loojad on selgelt rohkem huvitatud reklaami kuvamisest kui töötava viirusetõrje skanneri kirjutamisest.

Mõned viirusetõrjed "näevad" ohtu igas rakenduses, mis ei ole nende "valges nimekirjas". Seetõttu tõstsid nad mitmel väga anekdootlikul juhul häiret enda failide pärast, kuna arendajad unustasid need "valges nimekirjas" mainida.

2017: Microsoft Security Essentials on tunnistatud üheks halvimaks viirusetõrjeks

2017. aasta oktoobris avaldas Saksamaa viirusetõrjelabor AV-Test põhjaliku viirusetõrje testimise tulemused. Uuringu kohaselt on Microsofti patenteeritud tarkvara, mis on loodud kaitsma pahatahtliku tegevuse eest, oma tööd peaaegu kõige halvemini.

AV-Testi eksperdid nimetasid 2017. aasta juulis-augustis läbi viidud testide tulemuste põhjal parimaks Windows 7 viirusetõrjeks Kaspersky Internet Security, mis sai kaitsetaseme, jõudluse ja kasutusmugavuse hindamisel 18 punkti.

Esikolmikusse kuulusid Trend Micro Internet Security ja Bitdefender Internet Security, mis teenisid kumbki 17,5 punkti. Teiste uuringusse kaasatud viirusetõrjeettevõtete toodete oleku kohta saate teada järgmistest illustratsioonidest.

Paljud skannerid kasutavad ka heuristilise skaneerimise algoritme, st. kontrollitava objekti käskude jada analüüsimine, statistika kogumine ja iga kontrollitava objekti kohta otsuse tegemine.

Skannerid võib jagada ka kahte kategooriasse – universaalsed ja spetsiaalsed. Universaalsed skannerid on mõeldud igat tüüpi viiruste tuvastamiseks ja neutraliseerimiseks, olenemata operatsioonisüsteemist, milles skanner on mõeldud töötama. Spetsiaalsed skannerid on loodud neutraliseerima piiratud arvu viirusi või ainult ühte viiruste klassi, näiteks makroviiruseid.

Skannerid jagunevad ka residentideks (monitoriteks), mis skaneerivad käigupealt, ja mitteresidentseteks, mis skaneerivad süsteemi ainult nõudmisel. Residendist skannerid pakuvad reeglina usaldusväärsemat süsteemikaitset, kuna reageerivad viiruse ilmumisele koheselt, samas kui mitteresidendist skanner suudab viiruse tuvastada alles järgmise käivitamise ajal.

CRC skannerid

CRC-skannerite tööpõhimõte põhineb CRC-summade (kontrollsummade) arvutamisel kettal olevate failide/süsteemisektorite jaoks. Need CRC summad salvestatakse seejärel viirusetõrje andmebaasi ja ka mõni muu teave: faili pikkused, nende viimase muutmise kuupäevad jne. Hiljem käivitamisel võrdlevad CRC-skannerid andmebaasis sisalduvaid andmeid tegelike arvutatud väärtustega. Kui andmebaasi salvestatud failiteave ei vasta tegelikele väärtustele, annavad CRC skannerid märku, et faili on muudetud või viirusega nakatunud.

CRC-skannerid ei suuda viirust tabada hetkel, kui see süsteemi ilmub, kuid teevad seda alles mõni aeg hiljem, kui viirus on üle kogu arvuti levinud. CRC-skannerid ei suuda tuvastada viirust uutes failides (e-kirjades, diskettidel, varukoopiast taastatud failides või failide arhiivist lahtipakkimisel), kuna nende andmebaasid ei sisalda nende failide kohta teavet. Lisaks ilmuvad perioodiliselt viirused, mis kasutavad seda CRC-skannerite nõrkust ära, nakatades ainult äsja loodud faile ja jäädes seega neile nähtamatuks.

Blokaatorid

Viirusetõrjeblokaatorid on residendist programmid, mis püüavad kinni viirusohtlikud olukorrad ja teavitavad sellest kasutajat. Viiruseohtlikud hõlmavad avamiskutseid täitmisfailidesse kirjutamiseks, ketaste alglaadimissektoritesse või kõvaketta MBR-i kirjutamist, programmide katseid residentseks jääda jne, st kõned, mis on tüüpilised viirustele paljundamise ajal.

Blokaatorite eelised hõlmavad nende võimet tuvastada ja peatada viirus selle paljunemise varases staadiumis. Puuduste hulka kuuluvad blokeerijakaitsest möödahiilimise viiside olemasolu ja suur hulk valepositiivseid tulemusi.

Immunisaatorid

Immunisaatorid jagunevad kahte tüüpi: immunisaatorid, mis teatavad infektsioonist, ja immunisaatorid, mis blokeerivad infektsiooni. Esimesed kirjutatakse tavaliselt failide lõppu (failiviiruse põhimõttel) ja iga kord, kui fail käivitatakse, kontrollivad nad seda muudatuste suhtes. Sellistel immunisaatoritel on ainult üks puudus, kuid see on surmav: täielik võimetus teatada hiiliva viirusega nakatumisest. Seetõttu selliseid immunisaatoreid, nagu blokaatoreid, praegu praktiliselt ei kasutata.

Teist tüüpi immuniseerimine kaitseb süsteemi teatud tüüpi viirusega nakatumise eest. Ketastel olevaid faile muudetakse nii, et viirus tajub neid juba nakatunutena. Residentse viiruse eest kaitsmiseks sisestatakse arvuti mällu programm, mis simuleerib viiruse koopiat. Käivitamisel puutub viirus sellega kokku ja usub, et süsteem on juba nakatunud.

Seda tüüpi immuniseerimine ei saa olla universaalne, kuna faile on võimatu immuniseerida kõigi teadaolevate viiruste vastu.

Viiruste klassifikatsioon aja jooksul muutumise alusel

Valeri Konjavski sõnul võib viirusetõrjevahendid jagada kahte suurde rühma – need, mis analüüsivad andmeid ja need, mis analüüsivad protsesse.

Andmete analüüs

Andmeanalüüs hõlmab audiitoreid ja polüfaage. Audiitorid analüüsivad arvutiviiruste ja muude pahatahtlike programmide tagajärgi. Tagajärjed toovad kaasa muudatusi andmetes, mida ei tohiks muuta. See, et andmed on muutunud, on audiitori seisukohast märk pahavara tegevusest. Teisisõnu, audiitorid jälgivad andmete terviklikkust ja teevad terviklikkuse rikkumise fakti põhjal otsuse pahatahtlike programmide olemasolu kohta arvutikeskkonnas.

Polüfaagid toimivad erinevalt. Andmeanalüüsi põhjal tuvastavad nad pahatahtliku koodi fragmente (näiteks selle allkirja järgi) ja teevad selle põhjal järelduse pahatahtlike programmide olemasolu kohta. Viirustega nakatunud andmete eemaldamine või töötlemine võimaldab teil ennetada pahatahtlike programmide käivitamise negatiivseid tagajärgi. Seega välditakse staatilise analüüsi põhjal dünaamikas tekkivaid tagajärgi.

Nii audiitorite kui ka polüfaagide tööskeem on peaaegu sama – võrrelge andmeid (või nende kontrollsummat) ühe või mitme võrdlusvalimiga. Andmeid võrreldakse andmetega. Seega on arvutist viiruse leidmiseks vaja, et see oleks juba töötanud, et selle tegevuse tagajärjed ilmneksid. Selle meetodi abil saab leida ainult teadaolevaid viirusi, mille koodifragmendid või signatuurid on eelnevalt kirjeldatud. Sellist kaitset ei saa vaevalt usaldusväärseks nimetada.

Protsessi analüüs

Protsessianalüüsil põhinevad viirusetõrjevahendid töötavad mõnevõrra erinevalt. Heuristilised analüsaatorid, nagu eespool kirjeldatud, analüüsivad andmeid (kettal, kanalis, mälus jne). Põhimõtteline erinevus seisneb selles, et analüüs viiakse läbi eeldusel, et analüüsitav kood pole mitte andmed, vaid käsud (von Neumann arhitektuuriga arvutites on andmed ja käsud eristamatud ning seetõttu on analüüsi käigus vaja teha üht või teist oletus.)

Heuristiline analüsaator tuvastab toimingute jada, määrab igale neist teatud ohuastme ja teeb ohu kogusumma põhjal otsuse, kas see toimingute jada on pahatahtliku koodi osa. Koodi ennast ei käivitata.

Teist tüüpi protsessianalüüsil põhinevad viirusetõrjevahendid on käitumuslikud blokaatorid. Sel juhul käivitatakse kahtlane kood samm-sammult, kuni koodi algatatud toimingute kogum on hinnatud ohtlikuks (või ohutuks). Sel juhul käivitatakse kood osaliselt, kuna pahatahtliku koodi valmimist saab tuvastada lihtsamate andmeanalüüsi meetoditega.

Viiruste tuvastamise tehnoloogiad

Viirusetõrjes kasutatavad tehnoloogiad võib jagada kahte rühma:

  • Allkirjade analüüsi tehnoloogiad
  • Tõenäosusanalüüsi tehnoloogiad

Allkirjade analüüsi tehnoloogiad

Signatuurianalüüs on viiruste tuvastamise meetod, mis hõlmab failides viirusesignatuuride olemasolu kontrollimist. Signatuurianalüüs on kõige tuntum viiruste tuvastamise meetod ja seda kasutatakse peaaegu kõigis kaasaegsetes viirusetõrjetes. Kontrollimiseks vajab viirusetõrje viirusesignatuuride komplekti, mis salvestatakse viirusetõrje andmebaasi.

Kuna allkirjade analüüs hõlmab failide kontrollimist viirusesignatuuride olemasolu suhtes, tuleb viirusetõrje andmebaasi perioodiliselt värskendada, et viirusetõrje oleks ajakohane. Signatuurianalüüsi toimimise põhimõte määrab ka selle funktsionaalsuse piirid - võime tuvastada ainult juba teadaolevaid viirusi - signatuuriskanner on uute viiruste vastu jõuetu.

Teisest küljest viitab viirusesignatuuride olemasolu võimalusele allkirjaanalüüsi abil tuvastatud nakatunud faile ravida. Kõigi viiruste puhul pole aga võimalik ravida – troojalasi ja enamikku usse ei saa ravida nende disainiomaduste tõttu, kuna need on kahjustuste tekitamiseks loodud tahked moodulid.

Viirussignatuuri nõuetekohane rakendamine võimaldab avastada teadaolevaid viirusi sajaprotsendilise tõenäosusega.

Tõenäosusanalüüsi tehnoloogiad

Tõenäosusanalüüsi tehnoloogiad jagunevad omakorda kolme kategooriasse:

  • Heuristiline analüüs
  • Käitumisanalüüs
  • Kontrollsumma analüüs

Heuristiline analüüs

Heuristiline analüüs on tõenäosuslikel algoritmidel põhinev tehnoloogia, mille tulemuseks on kahtlaste objektide tuvastamine. Heuristilise analüüsi käigus kontrollitakse failistruktuuri ja selle vastavust viirusmustritele. Kõige populaarsem heuristiline tehnoloogia on juba teadaolevate viirusesignatuuride ja nende kombinatsioonide muudatuste kontrollimine faili sisus. See aitab tuvastada varem tuntud viiruste hübriide ja uusi versioone ilma viirusetõrje andmebaasi täiendava värskendamiseta.

Tundmatute viiruste tuvastamiseks kasutatakse heuristlikku analüüsi ja seetõttu ei hõlma see ravi. See tehnoloogia ei ole 100% võimeline kindlaks tegema, kas viirus on selle ees või mitte, ja nagu iga tõenäosusalgoritm, kannatab see valepositiivsete testide käes.

Käitumisanalüüs

Käitumisanalüüs on tehnoloogia, mille puhul tehakse otsus testitava objekti olemuse kohta selle sooritatavate toimingute analüüsi põhjal. Käitumisanalüüs on praktikas väga kitsalt rakendatav, kuna enamikku viirustele iseloomulikke toiminguid saab teha tavaliste rakendustega. Kõige kuulsamad on skriptide ja makrode käitumuslikud analüsaatorid, kuna vastavad viirused teevad peaaegu alati mitmeid sarnaseid toiminguid.

BIOS-i sisseehitatud turvameetmed võib samuti liigitada käitumisanalüsaatoriteks. Kui proovite teha muudatusi arvuti MBR-is, blokeerib analüsaator toimingu ja kuvab kasutajale vastava teate.

Lisaks saavad käitumisanalüsaatorid jälgida katseid failidele otse juurde pääseda, diskettide alglaadimiskirje muudatusi, kõvaketaste vormindamist jne.

Käitumisanalüsaatorid ei kasuta töötamiseks viiruseandmebaasidele sarnaseid lisaobjekte ja seetõttu ei suuda nad teha vahet tuntud ja tundmatute viiruste vahel – kõiki kahtlasi programme peetakse a priori tundmatuteks viirusteks. Samuti ei tähenda käitumisanalüüsi tehnoloogiaid rakendavate tööriistade tööomadused ravi.

Kontrollsumma analüüs

Kontrollsumma analüüs on viis arvutisüsteemi objektide muutuste jälgimiseks. Lähtudes muudatuste olemuse analüüsist – samaaegsus, massiline esinemine, identsed muutused faili pikkustes – võime järeldada, et süsteem on nakatunud. Kontrollsummaanalüsaatorid (nimetatakse ka muutuste audiitoriteks), nagu ka käitumisanalüsaatorid, ei kasuta oma töös täiendavaid objekte ja teevad otsuse viiruse olemasolu kohta süsteemis eranditult eksperthinnangu meetodil. Sarnaseid tehnoloogiaid kasutatakse juurdepääsuga skannerites – esimese kontrolli käigus eemaldatakse failist kontrollsumma ja asetatakse vahemällu, enne sama faili järgmist skannimist eemaldatakse kontrollsumma uuesti, võrreldakse ja kui neid pole. muudatusi, loetakse fail nakatumata.

Viirusetõrje kompleksid

Viirusetõrjekompleks - viirusetõrjekomplekt, mis kasutab samu viirusetõrjetuuma või tuumasid, mis on loodud praktiliste probleemide lahendamiseks arvutisüsteemide viirusetõrje turvalisuse tagamisel. Viirusetõrjekompleks sisaldab tingimata ka tööriistu viirusetõrje andmebaaside värskendamiseks.

Lisaks võib viirusetõrjekompleks sisaldada lisaks käitumisanalüsaatoreid ja vahetusaudiitoreid, mis ei kasuta viirusetõrje tuuma.

Eristatakse järgmist tüüpi viirusetõrjekomplekse:

  • Viirusetõrjekompleks tööjaamade kaitsmiseks
  • Viirusetõrjekompleks failiserverite kaitsmiseks
  • Viirusetõrjekompleks postisüsteemide kaitsmiseks
  • Viirusetõrjekompleks lüüside kaitsmiseks.

Pilv ja traditsiooniline töölauaviirusetõrje: mida valida?

(Webroot.com materjalide põhjal)

Kaasaegne viirusetõrjetoodete turg koosneb eelkõige traditsioonilistest lauaarvutisüsteemide lahendustest, mille kaitsemehhanismid on üles ehitatud signatuurimeetodite alusel. Alternatiivne viirusetõrje meetod on heuristilise analüüsi kasutamine.

Probleemid traditsioonilise viirusetõrjetarkvaraga

Viimasel ajal on traditsioonilised viirusetõrjetehnoloogiad muutunud üha vähem tõhusaks ja vananevad kiiresti, mis on tingitud mitmest tegurist. Signatuuride abil tuvastatud viirusohtude hulk on juba nii suur, et kasutajate arvutites olevate signatuuriandmebaaside õigeaegse 100% uuendamise tagamine on sageli ebareaalne ülesanne. Häkkerid ja küberkurjategijad kasutavad järjest enam robotvõrke ja muid tehnoloogiaid, mis kiirendavad nullpäeva viirusohtude levikut. Lisaks ei looda sihtrünnakute läbiviimisel vastavate viiruste signatuure. Lõpuks kasutatakse uusi tehnoloogiaid viirusetõrje tuvastamiseks: pahavara krüpteerimine, polümorfsete viiruste loomine serveri poolel, viiruserünnaku kvaliteedi eeltestimine.

Traditsiooniline viirusetõrje on enamasti ehitatud paksu kliendi arhitektuuriga. See tähendab, et kliendi arvutisse on installitud suur hulk tarkvarakoodi. Tema abiga skannitakse sissetulevaid andmeid ja tuvastatakse viirusohtude olemasolu.

Sellel lähenemisviisil on mitmeid puudusi. Esiteks nõuab pahavara otsimine ja signatuuride võrdlemine märkimisväärset arvutuskoormust, mis võtab kasutajalt ära. Selle tulemusena väheneb arvuti tootlikkus ja viirusetõrje töö segab mõnikord paralleelsete rakenduste ülesandeid. Mõnikord on kasutaja süsteemi koormus nii märgatav, et kasutajad keelavad viirusetõrjeprogrammid, eemaldades seeläbi tõkke võimaliku viiruserünnaku eest.

Teiseks nõuab iga uuendus kasutaja masinas tuhandete uute allkirjade saatmist. Edastatav andmemaht on tavaliselt umbes 5 MB päevas masina kohta. Andmeedastus aeglustab võrku, kulutab täiendavaid süsteemiressursse ja nõuab süsteemiadministraatorite kaasamist liikluse juhtimiseks.

Kolmandaks on kasutajad, kes rändlevad või asuvad kindlast töökohast eemal, nullpäevarünnakute vastu kaitsetud. Allkirjade värskendatud osa saamiseks peavad nad looma ühenduse VPN-võrguga, mis pole neile eemalt juurdepääsetav.

Viirusetõrje pilve eest

Pilvelt viirusetõrjele üleminekul muutub lahenduse arhitektuur oluliselt. Kasutaja arvutisse on installitud "kerge" klient, mille põhiülesanne on otsida uusi faile, arvutada räsiväärtusi ja saata andmeid pilveserverisse. Pilves viiakse läbi täielik võrdlus, mis viiakse läbi suures kogutud allkirjade andmebaasis. Seda andmebaasi uuendatakse pidevalt ja õigeaegselt, kasutades viirusetõrjefirmade edastatud andmeid. Klient saab akti kontrolli tulemustega.

Seega on viirusetõrje pilvarhitektuuril mitmeid eeliseid:

  • arvutusmaht kasutaja arvutis osutub paksu kliendiga võrreldes tühiseks, mistõttu kasutaja tootlikkus ei lange;
  • viirusetõrjeliiklusel pole katastroofilist mõju võrgu läbilaskevõimele: üle tuleb kanda kompaktne andmestik, mis sisaldab vaid paarkümmend räsiväärtust, päevane liikluse keskmine maht ei ületa 120 KB;
  • pilvesalvestus sisaldab tohutuid allkirjade massiive, mis on palju suuremad kui kasutaja arvutitesse salvestatud;
  • pilves kasutatavad allkirjade võrdlusalgoritmid on võrreldes kohalike jaamade tasemel kasutatavate lihtsustatud mudelitega oluliselt intelligentsemad ning tänu suuremale jõudlusele nõuab andmete võrdlemine vähem aega;
  • pilveviirusetõrjeteenused töötavad reaalsete andmetega, mis on saadud viirusetõrjelaboritelt, turbearendajatelt, äri- ja erakasutajatelt; Nullpäevaohud blokeeritakse samaaegselt nende äratundmisega, ilma viivituseta, mis tuleneb vajadusest pääseda ligi kasutaja arvutitele;
  • kasutajad, kes rändlevad või kellel puudub juurdepääs oma peamistele tööjaamadele, saavad kaitse nullpäevaste rünnakute eest samaaegselt juurdepääsuga Internetile;
  • Süsteemiadministraatorite töökoormus väheneb: nad ei pea kulutama aega viirusetõrjetarkvara installimisele kasutajate arvutitesse, samuti allkirjade andmebaaside uuendamisele.

Miks traditsioonilised viirusetõrjed ebaõnnestuvad?

Kaasaegne pahatahtlik kood võib:

  • Mööduge viirusetõrjelõksudest, luues ettevõtte jaoks spetsiaalse sihtviiruse
  • Enne kui viirusetõrje loob allkirja, väldib see polümorfismi, ümberkodeerimist, dünaamilist DNS-i ja URL-e
  • Sihipärane looming ettevõttele
  • Polümorfism
  • Kood veel kellelegi teadmata – allkirja pole

Raske kaitsta

Kiire viirusetõrje 2011

Venemaa sõltumatu teabe- ja analüüsikeskus Anti-Malware.ru avaldas 2011. aasta mais 20 populaarseima viirusetõrje järjekordse võrdleva testi tulemused süsteemi ressursside jõudluse ja tarbimise kohta.

Selle testi eesmärk on näidata, millised isiklikud viirusetõrjed mõjutavad kõige vähem kasutaja tüüpilisi toiminguid arvutis, aeglustavad vähem selle tööd ja tarbivad minimaalselt süsteemiressursse.

Viirusetõrjemonitoride (reaalajaskännerite) hulgas näitas väga suurt töökiirust terve rühm tooteid, sealhulgas: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro ja Dr.Web. Nende viirusetõrjetega pardal oli testkogu kopeerimise aeglustumine võrreldes standardiga alla 20%. Kõrgeid tulemusi näitasid ka viirusetõrjemonitorid BitDefender, PC Tools, Outpost, F-Secure, Norton ja Emsisoft, jäädes 30-50% vahemikku. Kõrgeid tulemusi näitasid ka viirusetõrjemonitorid BitDefender, PC Tools, Outpost, F-Secure, Norton ja Emsisoft, jäädes 30-50% vahemikku.

Samal ajal võivad Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost ja PC Tools reaalsetes tingimustes olla palju kiiremad tänu nende järgnevate kontrollide optimeerimisele.

Avira viirusetõrje näitas parimat nõudmisel skannimise kiirust. See oli veidi kehvem kui Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus ja Outpost. Esimese skannimise kiiruse poolest jäävad need viirusetõrjed liidrile vaid veidi alla, samas on nende kõigi arsenalis võimsad tehnoloogiad korduvate skannimiste optimeerimiseks.

Teine viirusetõrje kiiruse oluline omadus on selle mõju rakendusprogrammide tööle, millega kasutaja sageli töötab. Testi valiti viis: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader ja Adobe Photoshop. Kõige väiksemat aeglustumist nende kontoriprogrammide käivitamisel näitasid viirusetõrjed Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost ja G Data.



SEOTUD ARTIKLID