Nykyaikaisten virustorjuntaohjelmien toimintamekanismi. Virustorjuntaohjelmien käyttö

Termi "asuminen" (DOS:n termi TSR - Terminate and Stay Resident) viittaa virusten kykyyn jättää kopioita itsestään järjestelmämuisti, siepata joitain tapahtumia (esimerkiksi pääsy tiedostoihin tai levyihin) ja kutsua toimenpiteitä havaittujen objektien (tiedostot ja sektorit) tartuttamiseksi. Siten, paikalliset virukset ovat aktiivisia paitsi tartunnan saaneen ohjelman ollessa käynnissä, myös ohjelman päätyttyä. Tällaisten virusten pysyvät kopiot säilyvät elinkelpoisina seuraavaan uudelleenkäynnistykseen asti, vaikka kaikki levyllä olevat tartunnan saaneet tiedostot tuhoutuisivat. Usein on mahdotonta päästä eroon tällaisista viruksista palauttamalla kaikki tiedostojen kopiot jakelulevyiltä tai varmuuskopioista. Viruksen pysyvä kopio pysyy aktiivisena ja saastuttaa juuri luodut tiedostot. Sama pätee käynnistysviruksiin - levyn alustaminen, kun muistissa on pysyvä virus, ei aina paranna levyä, koska monet paikalliset virukset saastuttavat levyn uudelleen sen alustamisen jälkeen.

Ulkomaiset virukset.

Ulkopuoliset virukset päinvastoin ovat aktiivisia melko lyhyen ajan - vain sillä hetkellä, kun tartunnan saanut ohjelma käynnistetään. Levittääkseen he etsivät tartunnan saamattomia tiedostoja levyltä ja kirjoittavat niihin. Kun viruskoodi on siirtänyt hallinnan isäntäohjelmalle, viruksen vaikutus toimintaan käyttöjärjestelmä pienennetään nollaan tartunnan saaneen ohjelman seuraavaan käynnistykseen asti. Siksi on paljon helpompaa poistaa tiedostoja, joissa on ulkopuolisten viruksien saastuttamia tiedostoja levyltä antamatta viruksen tartuttaa ne uudelleen.

Hiljaiset virukset

Stealth-virukset piilottavat läsnäolonsa järjestelmässä tavalla tai toisella.

Hiljaisten algoritmien avulla virukset voivat piiloutua kokonaan tai osittain järjestelmään. Yleisin stealth-algoritmi on siepata OC-pyyntöjä lukea/kirjoittaa tartunnan saaneita objekteja. Tässä tapauksessa varkain virukset joko parantavat ne tilapäisesti tai "korvaavat" tartunnan saamattomia tietoja niiden tilalle. Makrovirusten tapauksessa eniten suosittu tapa- makron katseluvalikkoon kutsumisen esto. Kaiken tyyppisiä salaperäisiä viruksia tunnetaan, lukuun ottamatta Windows-viruksia - käynnistysviruksia, DOS-tiedostoviruksia ja jopa makroviruksia. Windows-tiedostoja saastuttavien varkaiden virusten esiintyminen on todennäköisesti ajan kysymys

Polymorfiset virukset

Itsesalausta ja polymorfismia käyttävät lähes kaikki virukset, jotta virusten havaitsemisprosessi olisi mahdollisimman monimutkaista. Polymorfiset virukset (polymorfiset) ovat melko vaikeita havaita viruksia, joilla ei ole allekirjoituksia, ts. ei sisällä yhtäkään pysyvää koodinpätkää. Useimmissa tapauksissa saman polymorfisen viruksen kahdella näytteellä ei ole yhtä ottelua. Tämä saavutetaan salaamalla viruksen pääosa ja muokkaamalla salauksenpurkuohjelmaa.

Polymorfisiin viruksiin kuuluvat virukset, joita ei voida havaita (tai ne ovat erittäin vaikeita) käyttämällä niin kutsuttuja virusmaskeja - tietylle virukselle spesifisiä vakiokoodin osia. Tämä saavutetaan kahdella päätavalla - salaamalla pääviruskoodi ei-pysyvällä avaimella ja satunnaisella joukolla salauksenpurkukomentoja tai muuttamalla itse suoritettavaa viruskoodia. Polymorfismia, jonka monimutkaisuusaste vaihtelee, löytyy kaikenlaisista viruksista - käynnistys- ja tiedosto DOS-viruksista Windows-viruksiin.

Virukset voidaan jakaa elinympäristönsä perusteella:

    tiedosto;

    boot;

    Asukkaiden suojelu

    Lähestymistapa asukassuojaan, toisin kuin päivitysmekanismi, on epätavallinen, mutta tuote vain hyötyy tästä. Ensinnäkin kaikki jatkuvat tarkastukset jaetaan tässä niin sanottuihin "palveluntarjoajiin" - moduuleihin, jotka valvovat omaa osaa prosesseistaan.


    Niitä on vain seitsemän: kaksi tarkistaa saapuvan postin, yksi niistä kaikista ja toinen - vain Outlookista, mutta käyttämällä parannettuja algoritmeja ja lisäasetuksia. Jokainen palveluntarjoaja vastaa saapuvien tiedostojen skannauksesta P2P-verkoissa ja pikaviestiohjelmissa, kuten ICQ. Web Shield valvoo kaikkea portin 80 kautta kulkevaa liikennettä ja estää ei-toivotun liikenteen. Loput kaksi ovat tärkeimpiä. " Normaali näyttö" - tämä on se, mitä muut kutsuvat itse asiassa asukassuojaukseksi; se vastaa käynnistettyjen tiedostojen ja prosessien tarkistamisesta muistissa mahdollisesti vaarallisten allekirjoitusten varalta." Palomuuri" - mini-palomuuri. Kyllä, juuri "mini", koska se voi suojata vain primitiivisiltä hyökkäyksiltä ja asetukset leikataan maksimiin, mutta tämä on anteeksi annettu: loppujen lopuksi tämä ei ole sarja verkon suojaus. Muuten, se pystyy selviytymään vain sen tuntemien virusten skannaus- ja hakkerointiyrityksistä, joten sisäänrakennetulle virustorjuntaohjelmalle se on oikea asia. Kaikki palveluntarjoajan asetukset, mukaan lukien pikakäyttöön/pois käytöstä, ovat käytettävissä valikosta, joka tulee näkyviin, kun napsautat lokerokuvaketta ("Access Scanner Settings"). Siellä sinun on otettava käyttöön "Lisätietoja" -tila, jotta todella tärkeät asetukset tulevat näkyviin.

    Lisäksi, kun valitset palveluntarjoajan ja “Määritä”-painikkeen, näkyviin tulee uusia parametreja, jotka ovat kuitenkin nimensä mukaisesti melko selkeitä, ja jos sinulla on kysyttävää, voit katsoa “Ohje”. Se on hyvin käännetty ja erittäin yksityiskohtainen.

    Palveluntarjoajissa pääasetus on suojauksen herkkyys: estääkö se ja ilmoittaako se käyttäjälle välittömästi virheellisistä puheluista. Oletusasetus "Normaali" todellakin vastaa nimeään ja sopii useimmille käyttäjille.

    Avastilla on myös se! oma ominaisuus, joka voidaan luultavasti luokitella asukassuojaukseksi - virustentorjunnan näytönsäästäjäksi.

    Ohjelman asennuksen yhteydessä "Näytön ominaisuuksiin" ilmestyy uusi "näytönsäästäjä" (näytönsäästäjä), jonka valitsemalla ja napsauttamalla "Asetukset" -painiketta voit määrittää skannausparametreja sen ollessa näytössä, esim. tarkistaa arkistoja ja tarkastelun perusteellisuus. Tarpeeksi hyödyllinen ominaisuus, erityisesti niille, joiden tietokone ei sammu hetkeksikään.

    Johtopäätös

    Avast Antivirus! yhdistää kaiken hyödyllisiä ominaisuuksia"isot veljet", kuten laaja räätälöintivapaus, pääkomponenttien toimivuus ja päivitysnopeus. Lisätään tähän skinit ja visuaalit käyttäjäystävällinen käyttöliittymä. Parasta on, että tämä virustorjunta on täysin ilmainen kotikäyttäjille. Voit ladata sen osoitteessa virallinen verkkosivusto .

    Mainitsemme lyhyesti erot ammattiversion välillä.

    Siinä lisäksi täysi toiminnallisuus kotiin, siellä on myös käyttöliittymä komentorivi, jonka avulla voit työskennellä yksinomaan konsolissa, on lisätty mekanismi tarkastusten ajoittamiseen, käyttöliittymää on laajennettu, mikä tarjoaa etuja, kun hienosäätöä, vaarallisten komentosarjojen estäminen katsotuilla sivuilla on käytössä ja "päivitys pyynnöstä" -mekanismi on lisätty. Yleensä tämä muutos ei tuo perustavanlaatuisia muutoksia, se vain tekee virustorjunnasta entistä tehokkaamman vapauttaen kokeneiden järjestelmänvalvojien kädet.

    Ohjelmaa testattiin AMD alusta. Toimittajat kiittävät AMD:n Venäjän edustustoa tarjotusta alustasta.

    Nykyaikainen virustorjunta on monimutkainen ohjelmistotyökalu, jonka on tarjottava luotettava suoja tietokonelaite(tietokone, taskutietokone tai netbook) useilta viruksilta (haittaohjelmat). Yleinen kaava virustorjunta näkyy alla olevassa kuvassa:

    Virustorjuntaohjelma

    Kuten kaaviosta voidaan nähdä, virustorjunta koostuu seuraavista osista:

    1. Moduuli asukkaiden suojelu

    2. Karanteenimoduuli

    3. Virustorjuntamoduuli

    4. Virustorjuntapalvelimen liitin

    5. Päivitä moduuli

    6. Tietokoneen skannerimoduuli

    Asukassuojausmoduuli on virustorjunnan pääkomponentti, joka sijaitsee RAM tietokoneeseen ja skannaa reaaliajassa kaikki tiedostot, joiden kanssa käyttäjä, käyttöjärjestelmä tai muut ohjelmat ovat vuorovaikutuksessa. Sana "asukas" tarkoittaa "näkymätöntä", "taustaa". Asukassuoja ilmenee vasta, kun virus löytyy. Virustorjuntaohjelmiston pääperiaate perustuu asukassuojaukseen - estää tietokoneen tartunnan. Se sisältää komponentteja mm aktiivinen suojaus(vertaamalla virustentorjuntatunnisteita skannattuun tiedostoon ja tunnistamalla tunnettu virus) ja ennakoiva suojaus (joukko virustorjuntaohjelmistoissa käytettyjä teknologioita ja menetelmiä, joiden päätarkoituksena on estää käyttäjän järjestelmän tartuttaminen, eikä etsiä jo tunnettuja haittaohjelmia ohjelmisto järjestelmässä).

    Karanteenimoduuli on moduuli, joka vastaa tiloista epäilyttäviä tiedostoja erityiseen paikkaan nimeltä karanteeni. Karanteeniin siirretyt tiedostot eivät pysty suorittamaan mitään toimintoja (ne ovat estetty) ja virustorjunta valvoo niitä. Viruksentorjunta päättää asettaa tiedoston karanteeniin, kun se havaitsee merkin virustoiminnasta tiedostossa (tässä tapauksessa tiedosto itsessään ei ole virus virustorjunnan näkökulmasta, tiedosto on vain mahdollinen uhka) tai jos tiedosto on todella viruksen tartuttama, mutta se on parannettava, äläkä poista koko asiakirjaa (esimerkiksi tärkeää viruksen sisältävää käyttäjädokumenttia). Jälkimmäisessä tapauksessa tiedosto asetetaan karanteeniin viruksen myöhempää käsittelyä varten (jos virustorjunta ei pysty parantamaan tiedostoa, se on poistettava tai jätettävä siihen toivoin, että virustorjunta pystyy uudella päivityksellä parantamaan tämän tiedoston ). Tyypillisesti karanteeni luodaan virustentorjuntaohjelman erityiseen kansioon, joka on eristetty kaikista muista kuin viruksentorjuntaohjelman toiminnoista.

    Virustorjuntamoduuli on moduuli, joka suojaa virustentorjuntaa kolmansien osapuolten häiriöiltä ohjelmisto. Tämä moduuli on virussuoja. Usein virukset haluavat poistaa viruksentorjuntaohjelman tai estää sen toiminnan estämällä virustentorjunnan. Virustorjuntamoduuli ei salli sinun tehdä tätä. Kaikissa nykyaikaisissa virustorjuntaohjelmissa ei kuitenkaan ole korkealaatuisia suojaimia. Jotkut heistä eivät voi tehdä mitään nykyaikaisia ​​viruksia vastaan, ja virukset puolestaan ​​voivat rauhallisesti ja helposti tyhjentää virustentorjunnan kokonaan.

    On myös ilmaantunut viruksia, jotka simuloivat käyttäjän suorittamaa virustorjunnan poistamista, eli virussuoja uskoo, että käyttäjä itse haluaa jostain syystä poistaa viruksen, eikä siksi estä tätä, vaikka itse asiassa tämä on viruksen aktiivisuus. Tällä hetkellä virustentorjuntayritykset ovat alkaneet suhtautua vakavammin suojainten vapauttamiseen, ja on ilmeistä, että jos viruksentorjuntaohjelmalla ei ole hyvää suojaa, sen tehokkuus virusten torjunnassa on erittäin alhainen.

    Virustorjuntapalvelimen liitin on tärkeä osa virustorjuntaa. Liitintä käytetään yhdistämään virustorjunta palvelimeen, josta virustorjunta voi ladata uusimmat tietokannat uusien virusten kuvauksilla. Tässä tapauksessa yhteyden on kuljettava erityisen suojatun Internet-kanavan kautta. Tämä on erittäin tärkeä kohta, koska hyökkääjä voi istuttaa väärin virustorjuntatietokannat väärällä viruskuvauksella, jos virustorjunta muodostaa yhteyden palvelimeen suojaamattoman Internet-kanavan kautta. Myös nykyaikaisissa virustorjuntaohjelmissa liitin toimii myös yhteyden muodostamisessa erityiseen palvelimeen, joka hallitsee virustorjuntaa. Tällainen yhteys on esitetty alla olevassa kuvassa:


    Kytkentäkaavio palvelimeen

    tietokonevirustorjunta

    Kuten kuvasta näkyy, liitin mahdollistaa useiden käyttäjien virustentorjunnan yhdistämisen yhteen virustorjuntapalvelimeen, josta käyttäjän virustentorjuntaohjelmat voivat ladata päivityksiä ja jos käyttäjän virustorjuntapuolella ilmenee ratkaisemattomia ongelmia, virustorjuntapalvelin ratkaisee ne. etänä (esimerkiksi käyttäjän virustorjunta on viallinen missä tahansa moduulissaan ja virustorjuntapalvelin toimittaa tämän moduulin erikseen ladattavaksi). Tässä tapauksessa se on myös erittäin tärkeä rooli Sillä on rooli tiedon siirtokanavan (viestintäkanavan) turvallisuudessa.

    Hyökkääjien puolelta on alettu soveltaa mielenkiintoista käytäntöä, jonka seurauksena itse tiedonsiirtokanavan hallinta kaapautuu ja itse asiassa hyökkääjästä tulee käyttäjän virustorjuntaohjelmien hallinta (koko tai osittain, riippuen minkä osan lähetyskanavasta hyökkääjä sieppaa). Virustentorjuntaohjelmien tekijät puolestaan ​​alkoivat salata tietokanavan tietoja, jotta hyökkääjä ei pääse käsiksi tai millään tavalla haltuunsa sitä.

    Päivitysmoduuli vastaa virustorjunnan päivittämisestä, se yksittäisiä osia ja sen virustorjuntatietokannat läpäisivät oikein. IN nykyaikainen käytäntö Virustentorjuntaohjelmien luomisessa alettiin hyödyntää seuraavaa ajatusta: päivitysmoduulin tulisi myös selvittää, ovatko virustorjuntatietokannat aitoja vai eivät, ja ladata itse moduuli.

    Aitous voidaan tarkistaa erilaisia ​​menetelmiä- tarkastuksista tarkistussumma tiedosto tietokannoilla ennen kuin etsit tietokantojen tiedoston sisältä erityistä merkkiä, joka osoittaa, että tämä tiedosto on aito. Tällaisia ​​toimia alettiin ottaa käyttöön sen jälkeen, kun hyökkääjät ovat vaihtaneet virustorjuntatietokantoja useammin.

    Tietokoneskannerimoduuli on ehkä vanhin moduuli nykyaikaisissa virustorjuntaohjelmissa, koska aikaisemmat virustorjuntaohjelmat koostuivat vain tästä moduulista. Tämä moduuli on vastuussa tietokoneen virustarkistamisesta, jos tietokoneen käyttäjä sitä pyytää. Kun tietokonetta tarkistetaan, moduuli itse käyttää virustentorjuntatietokantoja, jotka on saatu virustorjuntapäivitysmoduulilla. Jos skanneri löytää viruksen, mutta ei käsittele sitä välittömästi, se asettaa viruksen sisältävän tiedoston karanteeniin. Tämän jälkeen tietokoneen skannerimoduuli voi kommunikoida liittimen kautta virustorjuntapalvelimen kanssa ja saada ohjeet tartunnan saaneen tiedoston neutraloimiseksi.

    On huomattava, että tietokoneen skannerimoduuli on suunniteltu estämään tietokonettasi viruksilta, koska pääsuojauksen tarjoaa pysyvä suojausmoduuli. Tietokoneen skannerimoduuli käyttää vain virustentorjuntatietokantoja, jotka kuvaavat virukset selkeästi. Erilaisia ​​elementtejä Ennakoivaa suojausta (esimerkiksi heuristiikkaa) ei käytetä tietokoneen skannerimoduulissa. Virusten tekijät eivät yleensä rakenna erityistä suojaa viruksilleen tietokoneen skannerimoduuleista, koska he tietävät, että käyttäjä ei usein tarkista tietokonetta skannerilla, ja tämä väliaika tarkistuksesta tarkistukseen riittää varastamaan käyttäjän henkilötiedot.

    Tämä ohjelman osa valvoo jatkuvasti tietokonetta ja käynnissä olevia ohjelmia, havaitsee epäilyttävän toiminnan (esimerkiksi viruksen) ja estää siten tiedostojen ja tietokoneen vahingoittumisen. Asuinsuoja toimii täysin itsenäisesti (aktivoituu automaattisesti, kun tietokone käynnistyy) ja jos kaikki on kunnossa, et edes huomaa sen toimintaa.

    Näytön oikeassa alakulmassa kellon vieressä oleva sininen kuvake kirjaimella "a" näyttää nykyisen asukassuojauksen tilan. Tyypillisesti kuvakkeen läsnäolo osoittaa, että pysyvä suojaus on asennettu ja suojaa tietokonettasi ennakoivasti. Jos kuvakkeen läpi kulkee punainen viiva, suojaus ei ole aktiivinen eikä tietokone ole suojattu. Jos kuvake on harmaa, suojaus on keskeytetty - katso alla.

    Asuinalueen suojausasetukset ovat käytettävissä, jos napsautat hiiren vasemmalla painikkeella sinistä kuvaketta näytön oikeassa alakulmassa tai napsautat ja valitset "Access Scanner Settings".
    Seuraava näyttö tulee näkyviin:

    Täällä voit väliaikaisesti keskeyttää asukassuojauksen napsauttamalla "Keskeytä" tai "Lopeta". IN tässä tapauksessa molemmat vaihtoehdot ovat samanarvoisia. Asukassuojaus aktivoituu kuitenkin automaattisesti, kun seuraavan kerran käynnistät tietokoneen. Tämä tehdään tietokoneesi suojaamiseksi tahattomalta tartunnalta.

    Voit myös säätää pysyvän suojauksen herkkyyttä napsauttamalla riviä kohdistimella ja muuttamalla herkkyydeksi "Normaali" tai "Korkea". Asukassuoja sisältää kuitenkin useita erilaisia ​​moduuleja tai "palveluntarjoajat", joista jokainen on suunniteltu suojaamaan tietokoneen eri osia. Kaikki tekemäsi muutokset tämä näyttö, sovelletaan kaikkiin paikallisiin suojausmoduuleihin.

    Asuinsuojelu koostuu seuraavista moduuleista tai "palveluntarjoajista":

    Pikaviestittarkistaa jakamisohjelmien lataamat tiedostot pikaviestit esimerkiksi ICQ ja MSN Messenger ja monet muut. Vaikka Internet-viestintälaitteet eivät itsessään aiheuta virusuhkaa, nykyaikaiset pikaviestisovellukset eivät ole läheskään turvallisia: useimmat niistä mahdollistavat myös tiedostojen jakamisen - mikä voi helposti johtaa virusinfektio, jos et seuraa niitä.

    Sähköpostitarkistaa saapuvat ja lähtevät sähköpostiviestejä, joita käsittelevät muut kuin MS Outlook- ja MS Exchange -asiakkaat, esim. Outlook Express, Eudora jne.

    Palomuuri Tarjoaa suojan Internet-madoilta, kuten Blaster, Sasser jne. Suojaus on mahdollista vain NT-pohjaisissa järjestelmissä (Windows NT/2000/XP/Vista).

    Outlook/Exchange skannaa MS Outlookin tai MS Exchangen käsittelemät saapuvat ja lähtevät sähköpostiviestit ja lopettaa mahdollisia viruksia sisältävien viestien lähettämisen ja vastaanottamisen.

    P2P-näyttö tarkistaa tiedostot, jotka on ladattu yleisillä P2P (tiedostonjako) -ohjelmilla, kuten Kazaa jne.

    Skriptin estotarkistaa kaikkien katsomiesi verkkosivujen komentosarjat estääkseen verkkoselaimen haavoittuvuuksista johtuvan tartunnan.

    Normaali näyttötarkistaa käynnissä olevat ohjelmat ja avaa asiakirjoja. Tämä auttaa estämään tartunnan saaneiden ohjelmien käynnistämisen ja tartunnan saaneiden asiakirjojen avaamisen, mikä estää viruksen aktivoitumisen.

    Web-näyttö suojaa tietokonettasi viruksilta käyttäessäsi Internetiä (netissä surffaaminen, tiedostojen lataaminen jne.) ja voi myös estää pääsyn tietyille sivuille, jos lataat tartunnan saaneen tiedoston, vakionäyttö estää sen käynnistymisen. Web-näyttö havaitsee kuitenkin viruksen vielä aikaisemmin - tiedoston latauksen aikana, mikä tarjoaa entistä paremman suojan. Web-näyttö on yhteensopiva kaikkien yleisten verkkoselaimien kanssa, mukaan lukien Microsoft Internet Explorer, FireFox, Mozilla ja Opera. Ainutlaatuisella "Intelligent Stream Scanning" -ominaisuudella, jonka avulla voit skannata ladatut tiedostot lähes reaaliajassa ilman, että se vaikuta selaimen nopeuteen.

    Voit säätää kunkin moduulin herkkyyttä erikseen. Voit tehdä tämän tai keskeyttää tietyn moduulin napsauttamalla "Tiedot...". Seuraava näyttö tulee näkyviin:

    Ikkunassa vasemmalla oleva paneeli esittelee yksittäiset moduulit. Jokaisen moduulin herkkyys voidaan asettaa napsauttamalla sen nimeä vasemmalla ja valitsemalla herkkyys asteikosta liukusäätimellä. Tässä ikkunassa on myös mahdollista keskeyttää tietyt asukassuojan osat väliaikaisesti tai pysyvästi napsauttamalla "Keskeytä" tai "Lopeta". Jos valitset "Lopeta", ohjelma kysyy, haluatko todella sammuttaa tietyn moduulin, kun käynnistät sen seuraavan kerran, kun käynnistät tietokoneen tietokoneellesi, kunnes otat sen uudelleen käyttöön manuaalisesti.

    On tietty määrä lisävaihtoehtoja, joka voidaan valita kullekin moduulille, esimerkiksi voidaan määrittää tarkistettavien tiedostojen tyyppi. Nämä vaihtoehdot ovat käytettävissä, kun napsautat "Määritä" -painiketta.



LIITTYVÄT ARTIKKELI