Sehingga kini, banyak pengalaman telah terkumpul dalam memerangi virus komputer, program anti-virus telah dibangunkan, dan langkah-langkah untuk melindungi program dan data diketahui. Terdapat peningkatan berterusan dan pembangunan agen antivirus, yang, dalam tempoh yang singkat dari saat virus itu dikesan - dari seminggu hingga sebulan - dapat mengatasi virus yang baru muncul.

Penciptaan program anti-virus bermula dengan mengesan virus melalui anomali dalam pengendalian komputer. Selepas ini, virus itu dikaji dengan teliti, tandatangannya diasingkan - urutan bait yang sepenuhnya mencirikan program virus (bahagian yang paling penting dan ciri kod), mekanisme operasi virus dan kaedah jangkitan dijelaskan. Maklumat yang diperoleh memungkinkan untuk membangunkan kaedah untuk mengesan virus dalam memori komputer dan pada cakera magnetik, serta algoritma untuk meneutralkan virus (jika boleh, mengeluarkan kod virus dari fail - "rawatan").

Jenis program antivirus

Program antivirus yang diketahui pada masa ini boleh dibahagikan kepada beberapa jenis.

Pengesan. Tujuan mereka hanya untuk mengesan virus. Pengesan virus boleh membandingkan sektor but cakera liut dengan sektor but yang diketahui dihasilkan oleh sistem pengendalian yang berbeza untuk mengesan virus but atau mengimbas fail cakera magnetik untuk tandatangan virus yang diketahui. Program sedemikian dalam bentuk tulennya pada masa ini jarang berlaku.

Phages. Fag ialah program yang bukan sahaja dapat mengesan tetapi juga memusnahkan virus, i.e. alih keluar kodnya daripada program yang dijangkiti dan pulihkan fungsinya (jika boleh). Fag yang paling terkenal di Rusia ialah Aidstest , dicipta oleh D.N. Lozinsky. Salah satu versi terkini mengesan lebih daripada 8,000 virus. Aidstest untuk fungsi normalnya, ia memerlukan tiada antivirus pemastautin dalam ingatan yang menyekat penulisan pada fail program, jadi ia harus dipunggah, sama ada dengan menentukan pilihan pemunggahan kepada program pemastautin itu sendiri, atau dengan menggunakan utiliti yang sesuai.

Phage ialah antivirus yang sangat berkuasa dan berkesan Dr Web (dicipta oleh I. Danilov). Pengesan phage ini bukan sahaja mengimbas fail untuk salah satu tandatangan virus yang diketahui. Untuk mencari virus Dr Web menggunakan program emulasi pemproses, i.e. ia mensimulasikan pelaksanaan fail lain menggunakan model program mikropemproses I-8086 dan dengan itu mewujudkan persekitaran untuk manifestasi virus dan pembiakannya. Jadi program Dr Web boleh melawan bukan sahaja virus polimorfik, tetapi juga virus yang mungkin muncul pada masa hadapan.

Dr Web 4.33 ialah:

• - perlindungan terhadap cecacing, virus, Trojan, virus polimorfik, virus makro, perisian pengintip, pendail, perisian iklan, utiliti penggodam dan skrip berniat jahat;
• - mengemas kini pangkalan data anti-virus sehingga beberapa kali sejam, saiz setiap kemas kini adalah sehingga 15 KB;
• - menyemak memori sistem komputer untuk mengesan virus yang tidak wujud dalam bentuk fail (contohnya, CodeRed atau Slammer);
• - penganalisis heuristik yang membolehkan anda meneutralkan ancaman yang tidak diketahui sebelum kemas kini pangkalan data virus yang sepadan dikeluarkan.

Pemasangan. Pada permulaan Dr Web dia dengan jujurnya memberi amaran bahawa dia tidak akan bergaul dengan aplikasi anti-virus lain dan meminta untuk memastikan bahawa tiada aplikasi sedemikian pada komputer. Jika tidak, kerja bersama boleh membawa kepada "akibat yang tidak dapat diramalkan." Seterusnya, pilih pemasangan "Tersuai" atau "Biasa" (disyorkan) dan mula mengkaji komponen utama yang dibentangkan:

• - pengimbas untuk Windows. Menyemak fail secara manual;
• - pengimbas konsol untuk Windows. Direka untuk dilancarkan daripada fail arahan;
• - Pengawal Laba-laba. Menyemak fail dengan cepat, mencegah jangkitan dalam masa nyata;
• - SpiDer Mail. Imbas mesej yang diterima melalui protokol POP3, SMTP, IMAP dan NNTP.

Antara muka dan operasi. Kekurangan konsistensi dalam antara muka antara modul antivirus sangat menarik, yang menimbulkan ketidakselesaan visual tambahan dengan akses yang tidak begitu mesra kepada komponen Dr Web . Sebilangan besar pelbagai tetapan jelas tidak direka untuk pengguna pemula, bagaimanapun, bantuan yang agak terperinci dalam bentuk yang boleh diakses akan menerangkan tujuan parameter tertentu yang menarik minat anda. Akses kepada modul pusat Dr Web - pengimbas untuk Windows - dijalankan bukan melalui dulang, tetapi hanya melalui "Mula".

Kemas kini boleh didapati melalui Internet dan menggunakan pelayan proksi, yang, memandangkan saiz tandatangan yang kecil, adalah Dr Web pilihan yang sangat menarik untuk rangkaian komputer sederhana dan besar.

Tetapkan parameter imbasan sistem, kemas kini pesanan dan konfigurasikan keadaan pengendalian untuk setiap modul Dr Web anda boleh menggunakan alat "Penjadual" yang mudah, yang membolehkan anda mencipta sistem perlindungan yang koheren daripada "pereka" komponen Dr Web .

Akibatnya, kami mendapat sumber komputer yang tidak menuntut, perlindungan holistik komputer yang agak tidak rumit (selepas pemeriksaan lebih dekat) daripada semua jenis ancaman, yang keupayaannya untuk menentang aplikasi berniat jahat jelas mengatasi satu-satunya kelemahan yang dinyatakan oleh antara muka "berwarna" modul Dr Web .

Juruaudit. Program audit memantau kemungkinan cara penyebaran virus dan menjangkiti komputer. Program audit adalah antara cara perlindungan yang paling boleh dipercayai terhadap virus dan harus menjadi sebahagian daripada senjata setiap pengguna. Juruaudit adalah satu-satunya cara untuk memantau integriti dan perubahan fail dan kawasan sistem cakera magnetik. Program audit yang paling terkenal di Rusia ADinf , dibangunkan oleh D. Mostov.

Pengawas. Pengawas ialah program pemastautin yang berada secara kekal dalam ingatan komputer, memantau operasi komputer yang berkaitan dengan perubahan dalam maklumat pada cakera magnetik, dan memberi amaran kepada pengguna tentangnya. Sistem pengendalian MS DOS, bermula dari versi 6.0, termasuk pengawal VSAFE. Walau bagaimanapun, kerana atur cara biasa melakukan operasi yang serupa dengan virus, pengguna biasanya tidak menggunakan penjaga kerana amaran berterusan mengganggu.

Pengimbas- elemen utama mana-mana antivirus, menyediakan, boleh dikatakan, perlindungan pasif. Atas permintaan pengguna atau rutin yang diberikan, ia mengimbas fail dalam kawasan terpilih sistem. Ia mengesan objek berniat jahat dengan mencari dan membandingkan kod virus. Contoh kod program terkandung dalam tandatangan yang telah ditetapkan (set jujukan bait ciri untuk virus yang diketahui). Pertama sekali, kelemahan program ini termasuk kerentanan kepada virus, yang tidak mempunyai kod program kekal dan boleh diubah suai sambil mengekalkan fungsi asas. Selain itu, pengimbas tidak dapat menahan varian virus yang sama, yang memerlukan pengguna sentiasa mengemas kini pangkalan data anti-virus. Walau bagaimanapun, titik paling terdedah bagi alat ini ialah ketidakupayaannya untuk mengesan virus baharu dan tidak diketahui, yang amat penting apabila, melalui e-mel, ancaman yang baru dicetak boleh menjangkiti beribu-ribu komputer di seluruh dunia dalam masa beberapa jam;

Pemantau- bersama-sama dengan pengimbas mereka membentuk perlindungan komputer asas. Berdasarkan tandatangan sedia ada, proses semasa disemak dalam masa nyata. Lakukan semakan awal apabila cuba melihat atau menjalankan fail. Terdapat monitor fail, monitor untuk klien e-mel (MS Outlook, Lotus Notes, Pegasus, The Bat dan lain-lain menggunakan protokol POP3, IMAP, NNTP dan SMTP) dan monitor khas untuk aplikasi individu. Sebagai peraturan, yang terakhir diwakili oleh modul pengimbasan fail Microsoft Office. Kelebihan utama mereka ialah keupayaan untuk mengesan virus pada peringkat awal aktiviti;

Vaksin-vaksin. Ini adalah nama yang diberikan kepada program antivirus yang berkelakuan seperti virus, tetapi tidak menyebabkan bahaya. Vaksin melindungi fail daripada perubahan dan bukan sahaja dapat mengesan fakta jangkitan, tetapi juga, dalam beberapa kes, "menyembuhkan" fail yang dijangkiti virus. Pada masa ini, program vaksin antivirus tidak digunakan secara meluas, kerana pada tahun-tahun lalu, ramai pengguna telah dicederakan oleh beberapa vaksin yang tidak berfungsi.

Selain perisian perlindungan virus, terdapat juga peranti tambahan khas yang memberikan perlindungan yang boleh dipercayai untuk partition cakera keras tertentu. Contoh peranti jenis ini ialah lembaga Sheriff (dibangunkan oleh Yu. Fomin). Walaupun terdapat banyak alat anti-virus perisian, walaupun semuanya bersama-sama mereka tidak memberikan perlindungan lengkap program dan data, dan tidak memberikan jaminan 100% terhadap kesan program virus. Hanya langkah perlindungan pencegahan yang komprehensif memberikan perlindungan yang boleh dipercayai terhadap kemungkinan kehilangan maklumat. Set langkah tersebut termasuk:

• - pengarkiban maklumat tetap (membuat salinan sandaran fail penting dan kawasan sistem cakera keras);
• - mengelakkan penggunaan program yang diperoleh secara tidak sengaja (cuba gunakan hanya cara yang sah untuk mendapatkan program);
• - kawalan input perisian baharu, cakera liut yang diterima;
• - pembahagian cakera keras, i.e. membahagikannya kepada bahagian logik dengan sempadan akses kepada mereka;
• - penggunaan sistematik program audit untuk mengawal integriti maklumat;
• - apabila mencari virus (yang sepatutnya berlaku secara kerap!) cuba gunakan sistem pengendalian bersih yang diketahui dimuatkan daripada cakera liut. Lindungi cakera liut tulis jika terdapat sedikit kemungkinan jangkitan.

Jika anda bekerja secara cuai dengan program antivirus, anda bukan sahaja boleh menghantar virus dengannya, tetapi bukannya merawat fail, anda boleh merosakkannya tanpa harapan. Adalah berguna untuk mempunyai sekurang-kurangnya pemahaman umum tentang perkara yang boleh dan tidak boleh dilakukan oleh virus komputer, kitaran hayatnya, dan kaedah perlindungan yang paling penting.

Mana-mana produk antivirus moden bukan sahaja satu set teknologi pengesanan individu, tetapi juga sistem perlindungan kompleks yang dibina berdasarkan pemahaman syarikat antivirus itu sendiri tentang cara memastikan keselamatan terhadap perisian hasad. Pada masa yang sama, keputusan seni bina dan teknikal yang diterima pakai bertahun-tahun yang lalu secara serius mengehadkan keupayaan untuk mengubah nisbah kaedah pertahanan proaktif dan reaktif. Contohnya, dalam sistem antivirus Eset NOD32 Kedua-dua kaedah heuristik dan berasaskan tandatangan untuk memerangi kod berniat jahat digunakan, tetapi peranan antara kedua-dua teknologi ini diedarkan secara berbeza daripada antivirus lain: manakala kebanyakan antivirus bermula daripada kaedah berasaskan tandatangan, menambahnya dengan heuristik, Eset NOD32 ia adalah sebaliknya. Cara utama untuk menentang perisian hasad di sini ialah apa yang dipanggil Advanced Heuristics, yang merupakan gabungan emulasi, heuristik, analisis algoritma dan kaedah tandatangan. Akibatnya, heuristik lanjutan Eset NOD32 membolehkan anda mengesan hampir 90% daripada semua ancaman secara proaktif, dan selebihnya dihapuskan menggunakan kaedah tandatangan. Kebolehpercayaan pendekatan ini disahkan oleh keputusan ujian bebas.

Ciri fungsi utama Esest NOD32 ialah:

• - analisis heuristik untuk mengesan ancaman yang tidak diketahui;
• - Teknologi ThreatSense - analisis fail untuk mengesan virus, perisian pengintip, pengiklanan yang tidak diminta (perisian iklan), serangan pancingan data dan ancaman lain;
• - menyemak dan mengalih keluar virus daripada fail terkunci tulis (contohnya, DLL yang dilindungi oleh sistem keselamatan Windows);
• - pengesahan protokol HTTP, POP3 dan PMTP.

Pemasangan ditawarkan dalam tiga mod: "Lazim" (untuk kebanyakan pengguna), "Lanjutan" (penyesuaian separa komponen yang dipasang) dan "Pakar" (pemasangan boleh disesuaikan sepenuhnya). Ia serta-merta menggesa anda untuk menunjukkan sama ada anda menggunakan pelayan proksi, dan juga meminta anda untuk beberapa tetapan untuk kemas kini masa hadapan. selain itu, NOD32 bertanya terlebih dahulu jika anda ingin menggunakan "sistem pengesanan awal dua arah" - fungsi menghantar objek mencurigakan yang terdapat pada komputer ke makmal Eset. Jika dikehendaki, semua komponen perlindungan akan ditawarkan untuk pemasangan dengan penerangan terperinci langkah demi langkah.

Untuk melindungi sistem, modul berikut ditawarkan kepada pengguna:

• - MONitor Antivirus (AMON). Pengimbas yang menyemak fail secara automatik sebelum menjalankan atau melihatnya;
• - NOD32. Imbas seluruh komputer atau bahagian yang dipilih. Ciri tersendiri ialah pengaturcaraan untuk dimulakan pada waktu dengan beban paling sedikit;
• - PEMANTA Internet (IMON). Pengimbas kediaman yang menyemak trafik Internet (HTTP) dan mel masuk yang diterima melalui protokol POP3;
• - E-mel MONitor (EMON). Modul untuk bekerja dengan pelanggan e-mel, mengimbas mesej e-mel masuk dan keluar melalui antara muka MAPI (digunakan dalam Microsoft Outlook dan Microsoft Exchange);
• - MONitor Dokumen (DMON). Berdasarkan API Microsoft yang dipatenkan, ia mengesahkan dokumen Microsoft Office.

Antara muka dan operasi. Pengguna rangkaian rumah akan segera membandingkan antara muka secara mental NOD32 dengan pengimbas rangkaian yang popular Netlook - antivirus menggunakan struktur yang serupa untuk mengakses komponen. Antara muka NOD32 disusun secara ergonomik dan seefisien mungkin. Item menu utama mengandungi subtajuk, yang seterusnya membuka kawasan untuk bekerja dengan modul atau komponen yang dipilih di sebelah kanan tetingkap utama. Setiap sub-item (kecuali pengimbas NOD32 ) menawarkan tetapan terperinci yang lebih sesuai untuk pakar atau pentadbir berbanding pengguna biasa. Walau bagaimanapun, jika anda ingin memahami semua selok-belok modul NOD32 Anda akan ditawarkan bantuan yang menunjukkan dengan jelas dan menerangkan tujuan tetapan.

Pembaharuan adalah salah satu kekuatan NOD32 . Pada mulanya, terdapat sebanyak 3 pelayan untuk dipilih, dengan kemungkinan menambah alamat kemudian. Kemas kini tempatan daripada sumber rangkaian juga disokong. Anda boleh membuat cakera liut atau CD dengan kemas kini. Kemas kini berlaku setiap beberapa jam.

Peribadi Anti-Virus Kaspersky. Kaspersky Anti-Virus Personal direka untuk perlindungan anti-virus bagi komputer peribadi yang menjalankan sistem pengendalian Windows 98/ME, 2000/NT/XP terhadap semua jenis virus yang diketahui, termasuk perisian yang berpotensi berbahaya. Program ini sentiasa memantau semua sumber penembusan virus - e-mel, Internet, cakera liut, CD, dll. Sistem analisis data heuristik yang unik meneutralkan virus yang tidak diketahui dengan berkesan. Pilihan berikut untuk program boleh dibezakan (ia boleh digunakan sama ada secara berasingan atau gabungan):

• - perlindungan komputer berterusan - memeriksa semua objek yang dilancarkan, dibuka dan disimpan pada komputer untuk kehadiran virus;
• - imbasan komputer atas permintaan - mengimbas dan membasmi kuman kedua-dua seluruh komputer secara keseluruhan dan cakera individu, fail atau direktori. Anda boleh menjalankan imbasan ini sendiri atau mengkonfigurasinya untuk dijalankan secara kerap secara automatik.

Kaspersky Anti-Virus Personal kini tidak mengimbas semula objek yang dianalisis semasa imbasan sebelumnya dan tidak berubah sejak itu, bukan sahaja semasa perlindungan berterusan, tetapi juga semasa pengimbasan atas permintaan. Organisasi kerja ini meningkatkan kelajuan program dengan ketara.

Program ini mewujudkan penghalang yang boleh dipercayai kepada penembusan virus melalui e-mel. Kaspersky Anti-Virus Personal secara automatik mengimbas dan membasmi kuman semua surat-menyurat e-mel masuk dan keluar menggunakan protokol POP3 dan SMTP dan berkesan mengesan virus dalam pangkalan data e-mel.

Program ini menyokong lebih daripada tujuh ratus format fail yang diarkibkan dan dimampatkan serta menyediakan pengimbasan anti-virus automatik bagi kandungannya, serta penyingkiran kod hasad daripada fail arkib dalam format ZIP, CAB, RAR, ARJ, LHA dan ICE.

Program ini mudah untuk dikonfigurasikan kerana keupayaan untuk memilih salah satu daripada tiga tahap yang telah ditetapkan : Perlindungan maksimum, Perlindungan yang disyorkan dan kelajuan maksimum.

Pangkalan data anti-virus dikemas kini setiap jam, dan penghantarannya dijamin apabila sambungan ke Internet terganggu atau ditukar.

Kaspersky Anti-Virus termasuk komponen khas yang melindungi sistem fail komputer daripada jangkitan - File Anti-Virus . Ia bermula apabila sistem pengendalian bermula, sentiasa terletak dalam RAM komputer dan menyemak semua fail yang dibuka, disimpan dan dilancarkan oleh anda atau program.

Secara lalai, File Anti-Virus mengimbas HANYA FAIL BARU atau BERUBAH, iaitu fail yang telah ditambah atau ditukar sejak kali terakhir anda mengaksesnya. Ini boleh dilakukan berkat penggunaan teknologi iChecker dan iSwift baharu. Untuk melaksanakan teknologi, jadual semak fail digunakan. Proses pengesahan fail dilakukan mengikut algoritma berikut:

• - setiap fail yang diakses oleh pengguna atau beberapa program dipintas oleh komponen;
• - File Anti-Virus menyemak maklumat tentang fail yang dipintas dalam pangkalan data iChecker dan iSwift.

• - jika tiada maklumat tentang fail yang dipintas dalam pangkalan data, ia tertakluk kepada imbasan anti-virus terperinci. Jumlah semak fail yang disahkan direkodkan dalam pangkalan data;
• - jika maklumat tentang fail terdapat dalam pangkalan data, File Anti-Virus membandingkan keadaan semasa fail dengan keadaannya yang direkodkan dalam pangkalan data pada masa imbasan sebelumnya. Jika maklumat sepadan sepenuhnya, fail dipindahkan kepada pengguna untuk bekerja tanpa pengesahan. Jika fail telah berubah dalam beberapa cara, ia akan disemak secara terperinci, dan maklumat baharu mengenainya akan ditulis ke pangkalan data.

Proses pengesahan termasuk langkah-langkah berikut:

• - fail dianalisis untuk kehadiran virus. Pengiktirafan objek berniat jahat berlaku berdasarkan tandatangan ancaman yang digunakan dalam kerja. Tandatangan mengandungi penerangan tentang semua perisian hasad, ancaman, serangan rangkaian dan kaedah untuk meneutralkannya;
• - sebagai hasil analisis, pilihan tingkah laku berikut adalah mungkin:
  • a) jika kod berniat jahat dikesan dalam fail, File Anti-Virus menyekat fail, meletakkan salinannya dalam storan sandaran dan cuba meneutralkan fail. Hasil daripada rawatan yang berjaya, fail menjadi tersedia untuk kerja, tetapi jika rawatan gagal, fail itu dipadamkan;
  • b) jika kod yang serupa dengan berniat jahat ditemui dalam fail, tetapi tidak ada jaminan 100% mengenainya, fail itu diletakkan dalam storan khas - kuarantin;
  • c) jika tiada kod berniat jahat dikesan dalam fail, ia segera menjadi tersedia untuk bekerja.

Selain memastikan perlindungan data anda, program ini mempunyai perkhidmatan tambahan yang memperluaskan keupayaan bekerja dengan Kaspersky Anti-Virus.

Semasa operasi, program meletakkan beberapa objek dalam storan khas. Matlamat yang dikejar dalam kes ini adalah untuk memastikan perlindungan data maksimum dengan kerugian yang minimum.

Storan sandaran mengandungi salinan objek yang telah ditukar atau dipadamkan akibat daripada Kaspersky Anti-Virus. Jika mana-mana objek mengandungi maklumat penting kepada anda yang tidak dapat disimpan sepenuhnya semasa pemprosesan anti-virus, anda sentiasa boleh memulihkan objek daripada salinan sandarannya.

Kuarantin mengandungi objek yang mungkin dijangkiti yang tidak boleh diproses menggunakan versi semasa tandatangan ancaman.

Sesetengah perkhidmatan bertujuan untuk membantu anda bekerja dengan program, contohnya.

Perkhidmatan Perkhidmatan sokongan teknikal menyediakan bantuan menyeluruh dalam bekerja dengan Kaspersky Anti-Virus. Pakar Kaspersky Lab cuba memasukkan semua cara yang mungkin untuk menyediakan sokongan: sokongan dalam talian, forum soalan dan cadangan daripada pengguna program, dsb.

Perkhidmatan pemberitahuan tentang acara membantu mengkonfigurasi pemberitahuan kepada pengguna tentang detik penting dalam pengendalian Kaspersky Anti-Virus. Ini boleh sama ada peristiwa maklumat atau ralat yang memerlukan penghapusan segera, dan sangat penting untuk mengetahui tentangnya.

Program perkhidmatan pertahanan diri dan sekatan akses untuk bekerja dengannya memastikan perlindungan fail program sendiri daripada perubahan dan kerosakan oleh penceroboh, melarang kawalan luaran perkhidmatan program, dan juga memperkenalkan pembezaan hak pengguna lain komputer anda untuk melakukan tindakan tertentu dengan Kaspersky Anti-Virus. Contohnya, menukar tahap keselamatan boleh menjejaskan keselamatan maklumat pada komputer anda dengan ketara.

Perkhidmatan pengurusan kunci lesen membolehkan anda mendapatkan maklumat terperinci tentang lesen yang anda gunakan, mengaktifkan salinan program anda, dan juga mengurus fail kunci lesen.

Mencipta Cakera Penyelamat akan membolehkan anda memulihkan komputer anda ke tahap sebelum jangkitan. Ini amat berguna dalam situasi di mana, selepas fail sistem telah dirosakkan oleh kod hasad, adalah mustahil untuk but sistem pengendalian komputer.

Juga disediakan keupayaan untuk menukar rupa Kaspersky Anti-Virus dan konfigurasikan tetapan antara muka program semasa.

Utiliti antivirus AVZ.

Utiliti anti-virus AVZ ialah alat penyelidikan dan pemulihan sistem, dan direka untuk mencari dan mengalih keluar secara automatik atau manual:

• - SpyWare, program dan modul AdvWare (ini adalah salah satu tujuan utama utiliti);
• - rootkit dan perisian hasad yang menyamarkan prosesnya;
• - cacing rangkaian dan mel;
• - Program Trojan (termasuk semua jenisnya, khususnya Trojan-PSW, Trojan-Downloader, Trojan-Spy) dan Backdoor (program untuk kawalan jauh rahsia komputer);
• - Dialer Trojan (Dialer, Trojan.Dialer, Porn-Dialer);
• - keylogger dan program lain yang boleh digunakan untuk menjejaki pengguna;

Utiliti adalah analog langsung program Trojan Hunter dan LavaSoft Ad-aware 6. Tugas utama program ini adalah untuk mengalih keluar program AdWare, SpyWare dan Trojan.

Perlu diperhatikan dengan segera bahawa program dalam kategori SpyWare dan AdWare, mengikut definisi, bukan virus atau Trojan. Mereka mengintip pengguna dan memuat turun maklumat dan kod program ke komputer yang terjejas terutamanya atas sebab pemasaran (iaitu maklumat yang dihantar tidak mengandungi data kritikal - kata laluan, nombor kad kredit, dsb., dan maklumat yang dimuat turun adalah pengiklanan atau kemas kini). Walau bagaimanapun, selalunya garis antara SpyWare dan program Trojan agak sewenang-wenangnya dan klasifikasi yang tepat adalah sukar.

Ciri khas program AVZ ialah keupayaan untuk menyesuaikan tindak balas program kepada setiap kategori perisian hasad - contohnya, anda boleh menetapkan mod untuk memusnahkan virus dan Trojan yang dikesan, tetapi menyekat penyingkiran AdWare.

Satu lagi ciri AVZ ialah banyak semakan sistem heuristik yang tidak berdasarkan mekanisme carian tandatangan - ini ialah carian untuk RootKit, keylogger dan pelbagai Pintu Belakang berdasarkan pangkalan data port TCP/UDP standard. Kaedah carian sedemikian membolehkan anda mencari jenis perisian hasad baharu.

Sebagai tambahan kepada carian biasa untuk fail dengan tandatangan untuk program kelas ini, AVZ mempunyai pangkalan data terbina dalam dengan tandatangan digital berpuluh-puluh ribu fail sistem. Penggunaan pangkalan data ini membolehkan anda mengurangkan bilangan positif palsu heuristik dan membolehkan anda menyelesaikan beberapa masalah. Khususnya, sistem carian fail mempunyai penapis untuk mengecualikan fail yang diketahui daripada hasil carian; dalam pengurus proses yang sedang berjalan dan tetapan SPI, proses yang diketahui diserlahkan dalam warna; apabila menambah fail ke kuarantin, penambahan fail selamat AVZ yang diketahui disekat. .

Seperti yang ditunjukkan oleh amalan, selalunya program seperti SpyWare boleh diklasifikasikan sebagai AdWare dan sebaliknya (sebabnya mudah - tujuan pengintipan dalam kebanyakan kes adalah pengiklanan yang disasarkan). Untuk kes sedemikian, klasifikasi memperkenalkan Perisik kategori generalisasi, yang secara kasar boleh ditafsirkan sebagai AdWare+SpyWare. Istilah Perisik diterjemahkan sebagai "perisik", "ejen rahsia", "ikut", "mengintip". Istilah ini sesuai dengan program kelas ini dengan baik.

Had program:

• - kerana Utiliti ini bertujuan terutamanya untuk memerangi modul SpyWare dan AdWare, dan pada masa ini ia tidak menyokong pengimbasan jenis arkib, pembungkus PE dan dokumen tertentu. Untuk memerangi SpyWare tidak ada keperluan untuk ini. Walau bagaimanapun, utiliti sedang ditambah baik dan penampilan fungsi serupa dirancang;
• - utiliti tidak merawat program yang dijangkiti virus komputer. Untuk rawatan yang berkualiti tinggi dan betul bagi program yang dijangkiti, antivirus khusus diperlukan (contohnya, antivirus Kaspersky, Dr Web, dll.).

Program antivirus ialah sistem algoritma yang direka untuk menghapuskan atau menghalang aktiviti program berniat jahat yang dipasang tanpa pengetahuan pengguna. Tanpa pengecualian, semua program antivirus mempunyai pangkalan data tandatangan virus, yang sentiasa dikemas kini oleh penerbitnya. Ini perlu supaya antivirus sentiasa mempunyai maklumat terkini tentang ancaman sedia ada. Oleh kerana kepelbagaiannya, antivirus berbeza antara satu sama lain dalam fungsi.

Pakej antivirus klasik

Ini adalah jenis program antivirus yang paling biasa. Ia termasuk sistem pengecaman ancaman berdasarkan sama ada pada analisis heuristik (mengenal pasti ancaman sebelum ia menjadi aktif) atau pada analisis akses (semasa melancarkan sebarang program). Selain menganalisis data pada komputer anda, program antivirus selalunya menyertakan tetapan dan pilihan tambahan. Ini mungkin termasuk sistem untuk mengasingkan aktiviti program daripada aktiviti sistem, pemantau keselamatan untuk sumber Internet dan pengimbas RAM. Semua ini tidak akan berfungsi jika pangkalan data tandatangan antivirus sudah lapuk. Pakej antivirus klasik termasuk program seperti: Avast!, Kaspersky Antivirus, AVG dan banyak lagi.

Firewall

Ini adalah kategori khas program antivirus yang pakar dalam memantau aktiviti Internet semua aplikasi yang dipasang pada komputer. Ini adalah perlu untuk melindungi komputer daripada Trojan yang dapat mengetahui data pengguna sulit dan memindahkannya kepada penyerang. Ketiadaan tembok api pada komputer anda menjejaskan maklumat tentang pembayaran, kata laluan yang digunakan, sejarah penyemakan imbas tapak web, dsb. Contoh firewall ialah: Agnitum Outpost Firewall, Kaspersky Firewall, Agava Firewall, dsb.

Perlindungan menyeluruh terhadap virus dan Trojan

Terutamanya popular adalah pakej perisian yang direka untuk melindungi pengguna daripada kedua-dua virus dan ancaman Internet, dan semua ini akan berlaku pada tahap kualiti yang sama seolah-olah pengguna menggunakan antivirus dan firewall secara berasingan. Pakej perlindungan popular terhadap semua jenis ancaman kepada komputer anda ialah: Kaspersky Internet Security, Comodo Internet Security, G-Data Internet Security dan banyak lagi.

Program antivirus berbayar dan percuma

Pada masa kini terdapat program antivirus berbayar dan percuma. Ini terpakai kepada kedua-dua antivirus klasik dan tembok api serta pakej perlindungan komprehensif. Sebagai peraturan, perbezaan antara versi berbayar dan percuma adalah tidak penting. Ia mungkin berkaitan dengan sokongan teknikal untuk pengguna, ketersediaan pilihan tambahan dalam program, dsb.

Program antivirus percuma dan pakej komprehensif ialah: AVG, Avast!, Comodo Internet Security, dsb.
Dibayar ialah: semua produk daripada Kaspersky Lab, Dr. Web, Agnitum Outpost Firewall, dsb.

Perlindungan anti-virus adalah langkah yang paling biasa untuk memastikan keselamatan maklumat infrastruktur IT dalam sektor korporat. Walau bagaimanapun, hanya 74% syarikat Rusia menggunakan penyelesaian antivirus untuk perlindungan, menurut kajian yang dijalankan oleh Kaspersky Lab bersama-sama dengan syarikat analisis B2B International (musim luruh 2013).

Laporan itu juga menyatakan bahawa dengan latar belakang pertumbuhan letupan ancaman siber, dari mana syarikat dilindungi oleh antivirus mudah, perniagaan Rusia mula semakin menggunakan alat perlindungan yang kompleks. Sebahagian besarnya atas sebab ini, penggunaan alat penyulitan data pada media boleh alih meningkat sebanyak 7% (24%). Di samping itu, syarikat telah menjadi lebih bersedia untuk membezakan dasar keselamatan untuk peranti boleh tanggal. Pembezaan tahap akses kepada pelbagai bahagian infrastruktur IT juga telah meningkat (49%). Pada masa yang sama, perniagaan kecil dan sederhana memberi lebih perhatian kepada kawalan peranti boleh tanggal (35%) dan kawalan aplikasi (31%).

Para penyelidik juga mendapati bahawa walaupun penemuan berterusan kelemahan perisian baru, syarikat Rusia masih tidak memberi perhatian yang cukup kepada kemas kini perisian biasa. Selain itu, bilangan organisasi yang terlibat dalam penampalan telah menurun berbanding tahun lepas kepada hanya 59%.

Program antivirus moden boleh mengesan objek berniat jahat di dalam fail dan dokumen program dengan berkesan. Dalam sesetengah kes, antivirus boleh mengalih keluar badan objek berniat jahat daripada fail yang dijangkiti, memulihkan fail itu sendiri. Dalam kebanyakan kes, antivirus dapat mengalih keluar objek perisian berniat jahat bukan sahaja dari fail program, tetapi juga dari fail dokumen pejabat, tanpa melanggar integritinya. Menggunakan program antivirus tidak memerlukan kelayakan yang tinggi dan tersedia untuk hampir semua pengguna komputer.

Kebanyakan program antivirus menggabungkan perlindungan masa nyata (monitor anti-virus) dan perlindungan atas permintaan (pengimbas anti-virus).

Penilaian antivirus

2019: Dua pertiga daripada antivirus untuk Android ternyata tidak berguna

Pada Mac 2019, makmal Austria AV-Comparatives, yang mengkhusus dalam menguji perisian antivirus, menerbitkan hasil kajian yang menunjukkan ketidakbergunaan kebanyakan program sedemikian untuk Android.

Hanya 23 antivirus yang terdapat dalam katalog Gedung Google Play rasmi mengenal pasti perisian hasad dengan tepat dalam 100% kes. Selebihnya perisian sama ada tidak bertindak balas terhadap ancaman mudah alih atau kesilapan aplikasi yang benar-benar selamat untuk mereka.

Pakar mengkaji 250 antivirus dan melaporkan bahawa hanya 80% daripadanya boleh mengesan lebih daripada 30% perisian hasad. Oleh itu, 170 permohonan gagal dalam ujian. Produk yang lulus ujian termasuk kebanyakannya penyelesaian daripada pengeluar utama, termasuk Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro dan Trustwave.

Sebagai sebahagian daripada percubaan, penyelidik memasang setiap aplikasi antivirus pada peranti berasingan (tanpa emulator) dan mengautomasikan peranti untuk melancarkan penyemak imbas, memuat turun dan kemudian memasang perisian hasad. Setiap peranti telah diuji terhadap 2 ribu virus Android yang paling biasa pada tahun 2018.

Menurut pengiraan AV-Comparatives, kebanyakan penyelesaian antivirus Android adalah palsu. Berpuluh-puluh aplikasi mempunyai antara muka yang hampir sama, dan pencipta mereka jelas lebih berminat untuk memaparkan pengiklanan daripada menulis pengimbas anti-virus yang berfungsi.

Sesetengah antivirus "melihat" ancaman dalam mana-mana aplikasi yang tidak termasuk dalam "senarai putih" mereka. Oleh kerana itu, mereka, dalam beberapa kes yang sangat anekdot, menimbulkan penggera tentang fail mereka sendiri, kerana pemaju terlupa untuk menyebutnya dalam "senarai putih".

2017: Microsoft Security Essentials diiktiraf sebagai salah satu antivirus yang paling teruk

Pada Oktober 2017, makmal antivirus Jerman AV-Test menerbitkan keputusan ujian antivirus komprehensif. Menurut kajian itu, perisian proprietari Microsoft, yang direka untuk melindungi daripada aktiviti berniat jahat, hampir paling teruk dalam menjalankan tugasnya.

Berdasarkan keputusan ujian yang dijalankan pada Julai-Ogos 2017, pakar AV-Test menamakan Kaspersky Internet Security sebagai antivirus terbaik untuk Windows 7, yang menerima 18 mata apabila menilai tahap perlindungan, prestasi dan kemudahan penggunaan.

Tiga teratas termasuk Trend Micro Internet Security dan Bitdefender Internet Security, yang memperoleh 17.5 mata setiap satu. Anda boleh mengetahui tentang status produk daripada syarikat antivirus lain yang disertakan dalam kajian daripada ilustrasi di bawah:

Banyak pengimbas juga menggunakan algoritma pengimbasan heuristik, i.e. menganalisis urutan arahan dalam objek yang diperiksa, mengumpul beberapa statistik dan membuat keputusan untuk setiap objek yang diperiksa.

Pengimbas juga boleh dibahagikan kepada dua kategori - universal dan khusus. Pengimbas sejagat direka bentuk untuk mengesan dan meneutralkan semua jenis virus, tanpa mengira sistem pengendalian di mana pengimbas direka untuk berfungsi. Pengimbas khusus direka untuk meneutralkan bilangan virus yang terhad atau hanya satu kelas virus, contohnya virus makro.

Pengimbas juga dibahagikan kepada pemastautin (monitor), yang mengimbas secara on-the-fly dan bukan pemastautin, yang mengimbas sistem hanya atas permintaan. Sebagai peraturan, pengimbas pemastautin menyediakan perlindungan sistem yang lebih dipercayai kerana ia segera bertindak balas terhadap kemunculan virus, manakala pengimbas bukan pemastautin hanya dapat mengenal pasti virus semasa pelancarannya yang seterusnya.

Pengimbas CRC

Prinsip operasi pengimbas CRC adalah berdasarkan pengiraan jumlah CRC (checksum) untuk fail/sektor sistem yang terdapat pada cakera. Jumlah CRC ini kemudiannya disimpan dalam pangkalan data antivirus, serta beberapa maklumat lain: panjang fail, tarikh pengubahsuaian terakhirnya, dsb. Apabila dilancarkan kemudiannya, pengimbas CRC membandingkan data yang terkandung dalam pangkalan data dengan nilai yang dikira sebenar. Jika maklumat fail yang direkodkan dalam pangkalan data tidak sepadan dengan nilai sebenar, maka pengimbas CRC memberi isyarat bahawa fail tersebut telah diubah suai atau dijangkiti virus.

Pengimbas CRC tidak dapat menangkap virus pada masa ia muncul dalam sistem, tetapi lakukan ini hanya beberapa ketika kemudian, selepas virus itu merebak ke seluruh komputer. Pengimbas CRC tidak dapat mengesan virus dalam fail baharu (dalam e-mel, pada cakera liut, dalam fail yang dipulihkan daripada sandaran atau semasa membongkar fail daripada arkib), kerana pangkalan data mereka tidak mengandungi maklumat tentang fail ini. Lebih-lebih lagi, virus muncul secara berkala yang mengeksploitasi kelemahan pengimbas CRC ini, hanya menjangkiti fail yang baru dibuat dan dengan itu kekal tidak kelihatan kepada mereka.

Penghalang

Penyekat anti-virus ialah program pemastautin yang memintas situasi berbahaya virus dan memberitahu pengguna mengenainya. Yang berbahaya virus termasuk panggilan untuk membuka untuk menulis kepada fail boleh laku, menulis untuk boot sektor cakera atau MBR cakera keras, percubaan oleh atur cara untuk kekal bermastautin, dsb., iaitu panggilan yang biasa untuk virus semasa pembiakan.

Kelebihan penyekat termasuk keupayaan mereka untuk mengesan dan menghentikan virus pada peringkat paling awal pembiakannya. Kelemahan termasuk kewujudan cara untuk memintas perlindungan penyekat dan sejumlah besar positif palsu.

Imunisasi

Imunisasi terbahagi kepada dua jenis: imunisasi yang melaporkan jangkitan dan imunisasi yang menghalang jangkitan. Yang pertama biasanya ditulis pada penghujung fail (berdasarkan prinsip virus fail) dan setiap kali fail itu dilancarkan, mereka menyemaknya untuk perubahan. Imunisasi sedemikian hanya mempunyai satu kelemahan, tetapi ia boleh membawa maut: ketidakupayaan mutlak untuk melaporkan jangkitan dengan virus siluman. Oleh itu, imunisasi sedemikian, seperti penyekat, boleh dikatakan tidak digunakan pada masa ini.

Jenis imunisasi kedua melindungi sistem daripada jangkitan oleh jenis virus tertentu. Fail pada cakera diubah suai sedemikian rupa sehingga virus menganggapnya telah dijangkiti. Untuk melindungi daripada virus pemastautin, program yang menyerupai salinan virus dimasukkan ke dalam ingatan komputer. Apabila dilancarkan, virus itu menemuinya dan percaya bahawa sistem itu sudah dijangkiti.

Jenis imunisasi ini tidak boleh universal, kerana adalah mustahil untuk mengimunkan fail terhadap semua virus yang diketahui.

Klasifikasi antivirus berdasarkan kebolehubahan dari semasa ke semasa

Menurut Valery Konyavsky, alat antivirus boleh dibahagikan kepada dua kumpulan besar - mereka yang menganalisis data dan mereka yang menganalisis proses.

Analisis data

Analisis data termasuk juruaudit dan polyphages. Juruaudit menganalisis akibat virus komputer dan program berniat jahat yang lain. Akibatnya mengakibatkan perubahan pada data yang tidak boleh diubah. Fakta bahawa data telah berubah adalah tanda aktiviti perisian hasad dari sudut pandangan juruaudit. Dalam erti kata lain, juruaudit memantau integriti data dan, berdasarkan fakta pelanggaran integriti, membuat keputusan tentang kehadiran program berniat jahat dalam persekitaran komputer.

Polifaj bertindak secara berbeza. Berdasarkan analisis data, mereka mengenal pasti serpihan kod berniat jahat (contohnya, dengan tandatangannya) dan atas dasar ini membuat kesimpulan tentang kehadiran program berniat jahat. Mengalih keluar atau merawat data yang dijangkiti virus membolehkan anda menghalang akibat negatif daripada melaksanakan program berniat jahat. Oleh itu, berdasarkan analisis statik, akibat yang timbul dalam dinamik dihalang.

Skim kerja kedua-dua juruaudit dan polyphages adalah hampir sama - bandingkan data (atau checksum mereka) dengan satu atau lebih sampel rujukan. Data dibandingkan dengan data. Oleh itu, untuk mencari virus dalam komputer anda, anda memerlukan ia telah bekerja untuk akibat aktivitinya muncul. Kaedah ini hanya boleh mencari virus yang diketahui yang serpihan atau tandatangan kod telah diterangkan terlebih dahulu. Perlindungan sedemikian hampir tidak boleh dipanggil boleh dipercayai.

Analisis Proses

Alat antivirus berdasarkan analisis proses berfungsi agak berbeza. Penganalisis heuristik, seperti yang diterangkan di atas, menganalisis data (pada cakera, dalam saluran, dalam ingatan, dsb.). Perbezaan asasnya ialah analisis dijalankan di bawah andaian bahawa kod yang dianalisis bukanlah data, tetapi arahan (dalam komputer dengan seni bina von Neumann, data dan arahan tidak dapat dibezakan, dan oleh itu semasa analisis adalah perlu untuk membuat satu atau yang lain. andaian.)

Penganalisis heuristik mengenal pasti urutan operasi, memberikan penilaian bahaya tertentu kepada setiap satu daripada mereka, dan berdasarkan keseluruhan bahaya, membuat keputusan sama ada jujukan operasi ini adalah sebahagian daripada kod hasad. Kod itu sendiri tidak dilaksanakan.

Satu lagi jenis alat antivirus berdasarkan analisis proses ialah penyekat tingkah laku. Dalam kes ini, kod yang mencurigakan dilaksanakan langkah demi langkah sehingga set tindakan yang dimulakan oleh kod itu dinilai sebagai tingkah laku berbahaya (atau selamat). Dalam kes ini, kod tersebut dilaksanakan sebahagiannya, memandangkan penyiapan kod hasad boleh dikesan dengan kaedah analisis data yang lebih mudah.

Teknologi pengesanan virus

Teknologi yang digunakan dalam antivirus boleh dibahagikan kepada dua kumpulan:

• Teknologi analisis tandatangan
• Teknologi analisis kebarangkalian

Teknologi analisis tandatangan

Analisis tandatangan ialah kaedah mengesan virus yang melibatkan pemeriksaan kehadiran tandatangan virus dalam fail. Analisis tandatangan ialah kaedah yang paling terkenal untuk mengesan virus dan digunakan dalam hampir semua antivirus moden. Untuk melakukan imbasan, antivirus memerlukan satu set tandatangan virus, yang disimpan dalam pangkalan data antivirus.

Disebabkan oleh fakta bahawa analisis tandatangan melibatkan pemeriksaan fail untuk kehadiran tandatangan virus, pangkalan data anti-virus perlu dikemas kini secara berkala untuk memastikan anti-virus dikemas kini. Prinsip operasi analisis tandatangan juga menentukan sempadan fungsinya - keupayaan untuk mengesan virus yang sudah diketahui sahaja - pengimbas tandatangan tidak berkuasa terhadap virus baru.

Sebaliknya, kehadiran tandatangan virus mencadangkan kemungkinan merawat fail yang dijangkiti yang dikesan menggunakan analisis tandatangan. Walau bagaimanapun, rawatan tidak boleh dilakukan untuk semua virus - Trojan dan kebanyakan worm tidak boleh dirawat kerana ciri reka bentuknya, kerana ia adalah modul pepejal yang dicipta untuk menyebabkan kerosakan.

Pelaksanaan tandatangan virus yang betul membolehkan anda mengesan virus yang diketahui dengan kebarangkalian seratus peratus.

Teknologi analisis kebarangkalian

Teknologi analisis probabilistik pula dibahagikan kepada tiga kategori:

• Analisis heuristik
• Analisis tingkah laku
• Analisis checksum

Analisis heuristik

Analisis heuristik ialah teknologi berdasarkan algoritma probabilistik, yang hasilnya adalah pengenalpastian objek yang mencurigakan. Semasa proses analisis heuristik, struktur fail dan pematuhannya dengan corak virus disemak. Teknologi heuristik yang paling popular ialah menyemak kandungan fail untuk pengubahsuaian tandatangan virus yang sudah diketahui dan gabungannya. Ini membantu untuk mengesan hibrid dan versi baharu virus yang diketahui sebelum ini tanpa pengemaskinian tambahan pangkalan data anti-virus.

Analisis heuristik digunakan untuk mengesan virus yang tidak diketahui, dan, akibatnya, tidak melibatkan rawatan. Teknologi ini tidak 100% mampu untuk menentukan sama ada virus berada di hadapannya atau tidak, dan seperti mana-mana algoritma kebarangkalian ia mengalami positif palsu.

Analisis tingkah laku

Analisis tingkah laku ialah teknologi di mana keputusan tentang sifat objek yang diuji dibuat berdasarkan analisis operasi yang dilakukannya. Analisis tingkah laku sangat sempit digunakan dalam amalan, kerana kebanyakan ciri tindakan virus boleh dilakukan oleh aplikasi biasa. Yang paling terkenal ialah penganalisis tingkah laku skrip dan makro, kerana virus yang sepadan hampir selalu melakukan beberapa tindakan yang serupa.

Langkah keselamatan yang dibina ke dalam BIOS juga boleh diklasifikasikan sebagai penganalisis tingkah laku. Apabila anda cuba membuat perubahan pada MBR komputer, penganalisis menyekat tindakan dan memaparkan pemberitahuan yang sepadan kepada pengguna.

Di samping itu, penganalisis tingkah laku boleh memantau percubaan untuk mengakses terus fail, perubahan pada rekod but cakera liut, pemformatan cakera keras, dsb.

Penganalisis tingkah laku tidak menggunakan objek tambahan yang serupa dengan pangkalan data virus untuk beroperasi dan, akibatnya, tidak dapat membezakan antara virus yang diketahui dan tidak diketahui - semua program yang mencurigakan adalah priori yang dianggap sebagai virus yang tidak diketahui. Begitu juga, ciri pengendalian alatan yang melaksanakan teknologi analisis tingkah laku tidak membayangkan rawatan.

Analisis checksum

Analisis checksum ialah cara menjejaki perubahan pada objek sistem komputer. Berdasarkan analisis sifat perubahan - serentak, kejadian jisim, perubahan yang sama dalam panjang fail - kita boleh membuat kesimpulan bahawa sistem itu dijangkiti. Penganalisis checksum (juga dipanggil juruaudit perubahan), seperti penganalisis tingkah laku, tidak menggunakan objek tambahan dalam kerja mereka dan mengeluarkan keputusan mengenai kehadiran virus dalam sistem secara eksklusif melalui kaedah penilaian pakar. Teknologi serupa digunakan dalam pengimbas atas akses - semasa imbasan pertama, jumlah semak dikeluarkan daripada fail dan diletakkan dalam cache; sebelum imbasan seterusnya bagi fail yang sama, jumlah semak dikeluarkan semula, dibandingkan, dan jika tiada berubah, fail itu dianggap tidak dijangkiti.

Kompleks antivirus

Kompleks anti-virus - satu set anti-virus menggunakan kernel atau kernel anti-virus yang sama, direka untuk menyelesaikan masalah praktikal dalam memastikan keselamatan anti-virus sistem komputer. Kompleks anti-virus juga semestinya termasuk alat untuk mengemas kini pangkalan data anti-virus.

Selain itu, kompleks anti-virus mungkin juga termasuk penganalisis tingkah laku dan juruaudit perubahan yang tidak menggunakan teras anti-virus.

Jenis kompleks antivirus berikut dibezakan:

• Kompleks anti-virus untuk melindungi stesen kerja
• Kompleks anti-virus untuk melindungi pelayan fail
• Kompleks anti-virus untuk melindungi sistem mel
• Kompleks anti-virus untuk melindungi pintu masuk.

Antivirus desktop awan dan tradisional: apa yang perlu dipilih?

(Berdasarkan bahan dari Webroot.com)

Pasaran moden produk antivirus terdiri terutamanya daripada penyelesaian tradisional untuk sistem desktop, mekanisme perlindungan yang dibina berdasarkan kaedah tandatangan. Kaedah alternatif perlindungan anti-virus ialah penggunaan analisis heuristik.

Masalah dengan perisian antivirus tradisional

Baru-baru ini, teknologi antivirus tradisional telah menjadi semakin kurang berkesan dan dengan cepat menjadi ketinggalan zaman, yang disebabkan oleh beberapa faktor. Bilangan ancaman virus yang diiktiraf oleh tandatangan sudah begitu besar sehingga memastikan 100% pengemaskinian pangkalan data tandatangan tepat pada masanya pada komputer pengguna selalunya merupakan tugas yang tidak realistik. Penggodam dan penjenayah siber semakin menggunakan botnet dan teknologi lain yang mempercepatkan penyebaran ancaman virus sifar hari. Di samping itu, apabila serangan yang disasarkan dijalankan, tandatangan virus yang sepadan tidak dibuat. Akhir sekali, teknologi baharu untuk menentang pengesanan anti-virus digunakan: penyulitan perisian hasad, penciptaan virus polimorfik pada bahagian pelayan, ujian awal kualiti serangan virus.

Perlindungan anti-virus tradisional paling kerap dibina dalam seni bina "klien tebal". Ini bermakna sejumlah besar kod perisian dipasang pada komputer pelanggan. Dengan bantuannya, data masuk diimbas dan kehadiran ancaman virus dikesan.

Pendekatan ini mempunyai beberapa kelemahan. Pertama, mengimbas perisian hasad dan membandingkan tandatangan memerlukan beban pengiraan yang ketara, yang menghilangkan pengguna. Akibatnya, produktiviti komputer berkurangan, dan pengendalian antivirus kadangkala mengganggu tugas aplikasi selari. Kadangkala beban pada sistem pengguna sangat ketara sehingga pengguna melumpuhkan program antivirus, dengan itu menghilangkan halangan kepada serangan virus yang berpotensi.

Kedua, setiap kemas kini pada mesin pengguna memerlukan penghantaran beribu-ribu tandatangan baharu. Jumlah data yang dipindahkan biasanya kira-kira 5 MB sehari bagi setiap mesin. Pemindahan data memperlahankan rangkaian, menggunakan sumber sistem tambahan dan memerlukan penglibatan pentadbir sistem untuk mengawal trafik.

Ketiga, pengguna yang merayau atau berada pada jarak yang jauh dari tempat kerja tetap tidak berdaya melawan serangan sifar hari. Untuk menerima bahagian tandatangan yang dikemas kini, mereka mesti menyambung ke rangkaian VPN yang tidak boleh diakses oleh mereka dari jauh.

Perlindungan antivirus daripada awan

Apabila beralih kepada perlindungan antivirus daripada awan, seni bina penyelesaian berubah dengan ketara. Pelanggan "ringan" dipasang pada komputer pengguna, fungsi utamanya adalah untuk mencari fail baharu, mengira nilai cincang dan menghantar data ke pelayan awan. Dalam awan, perbandingan skala penuh dijalankan, dilakukan pada pangkalan data besar tandatangan yang dikumpul. Pangkalan data ini sentiasa dikemas kini dan tepat pada masanya menggunakan data yang dihantar oleh syarikat antivirus. Pelanggan menerima laporan dengan hasil pemeriksaan.

Oleh itu, seni bina awan perlindungan antivirus mempunyai beberapa kelebihan:

• jumlah pengiraan pada komputer pengguna ternyata boleh diabaikan berbanding dengan pelanggan yang tebal, oleh itu, produktiviti pengguna tidak berkurangan;
• tiada kesan bencana trafik anti-virus pada daya pemprosesan rangkaian: sekeping data padat yang mengandungi hanya beberapa dozen nilai hash mesti dipindahkan, jumlah purata trafik harian tidak melebihi 120 KB;
• storan awan mengandungi tatasusunan besar tandatangan, jauh lebih besar daripada yang disimpan pada komputer pengguna;
• algoritma perbandingan tandatangan yang digunakan dalam awan adalah jauh lebih pintar berbanding model ringkas yang digunakan pada peringkat stesen tempatan, dan disebabkan prestasi yang lebih tinggi, perbandingan data memerlukan lebih sedikit masa;
• perkhidmatan antivirus awan berfungsi dengan data sebenar yang diterima daripada makmal antivirus, pembangun keselamatan, pengguna korporat dan persendirian; Ancaman sifar hari disekat serentak dengan pengiktirafannya, tanpa kelewatan yang disebabkan oleh keperluan untuk mendapatkan akses kepada komputer pengguna;
• pengguna yang merayau atau tanpa akses kepada stesen kerja utama mereka menerima perlindungan daripada serangan sifar hari serentak dengan akses ke Internet;
• Beban kerja pentadbir sistem dikurangkan: mereka tidak perlu menghabiskan masa memasang perisian anti-virus pada komputer pengguna, serta mengemas kini pangkalan data tandatangan.

Mengapa antivirus tradisional gagal

Kod hasad moden boleh:

• Pintas perangkap antivirus dengan mencipta virus sasaran khas untuk syarikat
• Sebelum antivirus mencipta tandatangan, ia akan mengelak menggunakan polimorfisme, transcoding, menggunakan DNS dinamik dan URL

• Penciptaan yang disasarkan untuk syarikat
• Polimorfisme
• Kod tidak diketahui oleh sesiapa lagi - tiada tandatangan

Sukar untuk dipertahankan

Antivirus pantas 2011

Pusat maklumat dan analisis bebas Rusia Anti-Malware.ru diterbitkan pada Mei 2011 hasil ujian perbandingan lain daripada 20 antivirus paling popular mengenai prestasi dan penggunaan sumber sistem.

Tujuan ujian ini adalah untuk menunjukkan antivirus peribadi yang mempunyai kesan paling sedikit pada operasi biasa pengguna pada komputer, memperlahankan operasinya dengan kurang dan menggunakan jumlah minimum sumber sistem.

Antara pemantau antivirus (pengimbas masa nyata), seluruh kumpulan produk menunjukkan kelajuan operasi yang sangat tinggi, termasuk: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro dan Dr.Web. Dengan adanya antivirus ini, kelembapan dalam menyalin koleksi ujian adalah kurang daripada 20% berbanding standard. Antivirus memantau BitDefender, Alat PC, Outpost, F-Secure, Norton dan Emsisoft juga menunjukkan hasil prestasi tinggi, berada dalam julat 30-50%. Antivirus memantau BitDefender, Alat PC, Outpost, F-Secure, Norton dan Emsisoft juga menunjukkan hasil prestasi tinggi, berada dalam julat 30-50%.

Pada masa yang sama, Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost dan Alat PC dalam keadaan sebenar boleh menjadi lebih pantas kerana pengoptimuman pemeriksaan berikutnya.

Antivirus Avira menunjukkan kelajuan pengimbasan atas permintaan yang terbaik. Ia sedikit lebih rendah daripada Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus dan Outpost. Dari segi kelajuan imbasan pertama, antivirus ini hanya lebih rendah sedikit daripada pemimpin, pada masa yang sama, mereka semua mempunyai teknologi kuat senjata mereka untuk mengoptimumkan imbasan berulang.

Satu lagi ciri penting kelajuan antivirus ialah kesannya terhadap pengendalian program aplikasi yang sering digunakan oleh pengguna. Lima telah dipilih untuk ujian: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader dan Adobe Photoshop. Antivirus Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost dan G Data menunjukkan kelembapan paling sedikit dalam pelancaran program pejabat ini.

Nampaknya, pencipta komputer pertama tidak pernah dapat membayangkan bahawa dari masa ke masa, ancaman keselamatan terhadap sistem itu sendiri dan data pengguna yang disimpan dalam memori peranti akan muncul. Tetapi... mereka muncul, yang memerlukan penciptaan cara perlindungan yang berkesan, yang kemudiannya dipanggil "program anti-virus". Senarai pakej yang paling terkenal dan berkuasa akan dibentangkan di bawah. Buat masa ini, mari fokus pada memahami apa itu virus komputer dan cara ia boleh dikenal pasti, diasingkan atau dialih keluar.

Apa itu? Sedikit sejarah

Jadi, apakah ancaman virus dan bagaimana untuk memeranginya? Jika anda melihat pada masa yang jauh apabila teknologi komputer baru mula berkembang, sebagai peraturan, virus adalah fail boleh laku (.exe, .bat, dll.), yang pelancarannya mengaktifkan kod dan arahan terbina dalam yang membolehkannya menyebabkan kerosakan pada sistem komputer.

Tidak seperti applet virus moden, ia hanya berfungsi selepas fail yang sepadan diaktifkan oleh pengguna sendiri, dan tindakan mereka bertujuan untuk mengganggu operasi sistem pengendalian. Oleh itu, pada mulanya antivirus hanya melindungi sistem, tetapi bukan maklumat.

Subjek perlindungan

Hari ini, ancaman seperti itu semakin jarang berlaku. Keutamaan untuk virus menjadi aktiviti pengintipan dan pencurian data sulit. Walau bagaimanapun, kategori virus juga termasuk pelbagai jenis modul pengiklanan yang boleh menjadi aktif dalam sistem dan menyebabkan ketidakselesaan dalam bekerja, katakan, di Internet.

Malah, cara ancaman menembusi sistem komputer telah berubah dengan ketara. Kebanyakannya adalah disebabkan oleh Internet. Ia adalah kurang biasa untuk mencari virus pada media boleh tanggal. Namun, tingkah laku mereka juga sangat berbeza dari sebelumnya. Mereka boleh menyamar sebagai program rasmi atau perkhidmatan sistem, menembusi sistem di bawah samaran perpustakaan standard yang mengandungi kod boleh laku, mencipta salinan mereka sendiri, dsb.

Setelah diaktifkan, sangat sukar untuk menjejaki tindakan sedemikian, itulah sebabnya disyorkan untuk memasang program antivirus, tidak kira sama ada pengguna disambungkan ke Internet. Akibatnya boleh menjadi yang paling dahsyat, contohnya, kehilangan wang dari akaun kad. Seperti log masuk dan kata laluan untuk mengakses perkhidmatan kewangan atau perkembangan rahsia kini semakin diminati berbanding sebelum ini. Bagaimanakah seseorang tidak dapat mengingati ungkapan terkenal bahawa orang yang memiliki maklumat itu memiliki dunia?

Jenis-jenis virus

Tidak perlu dikatakan bahawa virus dan perlindungan antivirus sangat berkait rapat. Masalah utama ialah virus sentiasa selangkah di hadapan perisian keselamatan. Ia tidak menghairankan, kerana hari ini mereka tumbuh di Internet seperti cendawan selepas hujan, dan pemaju cara untuk mengatasi ancaman tersebut tidak dapat bersaing dengan mereka.

Lihat sahaja virus penyulitan yang muncul baru-baru ini, yang, apabila ia menembusi komputer, serta-merta menyulitkan maklumat pengguna menggunakan algoritma 1024-bit, walaupun makmal anti-virus baru sahaja mendapat kemungkinan untuk menentang penyulitan 128-bit. Tetapi terdapat kaedah ramalan di sini juga.

Jadi, apa yang kita ada hari ini? Adalah dipercayai bahawa jenis virus berikut adalah yang paling biasa pada peringkat perkembangan teknologi komputer sekarang:

• but;
• fail;
• fail but;
• dokumentari;
• rangkaian.

Berdasarkan jenis pekerjaan mereka dibahagikan kepada pemastautin dan bukan pemastautin. Satu-satunya perbezaan ialah ia boleh kekal dalam ingatan mesin selepas aplikasi atau perkhidmatan yang berkaitan dengannya ditamatkan, manakala yang bukan pemastautin berfungsi secara eksklusif semasa operasi program.

Dan ini hanyalah sebahagian kecil daripada program antivirus yang sepatutnya dapat mengesan dan meneutralkan. Malangnya, untuk kebanyakan pakej percuma yang paling mudah ini ternyata, secara ringkasnya, tugas yang mustahil. Tetapi untuk memahami sepenuhnya semua yang berkaitan dengan perisian antivirus, mari kita fahami prinsip operasinya dan kaedah untuk mengenal pasti ancaman sedia ada atau berpotensi.

Teknologi untuk mengenal pasti potensi ancaman

Pertama sekali, kami perhatikan bahawa kebanyakan aplikasi antivirus yang terkenal hari ini bergantung pada apa yang dipanggil pangkalan data tandatangan virus. Dalam erti kata lain, ini adalah data yang mengandungi contoh struktur ancaman dan kesimpulan sedemikian tentang tingkah laku mereka dalam sistem yang dijangkiti.

Pangkalan data sedemikian dikemas kini hampir setiap jam dalam pakej anti-virus itu sendiri dan pada pelayan jauh pembangun. Dalam kes kedua, ini disebabkan oleh kemunculan ancaman baru. Kelebihan besar pangkalan data sedemikian ialah, berdasarkan keputusan analisis yang sedia ada, adalah mungkin untuk mengenal pasti elemen baru yang berpotensi berbahaya yang tidak termasuk dalam pangkalan data tandatangan. Oleh itu, kita boleh mengatakan bahawa program anti-virus adalah keseluruhan kompleks yang terdiri daripada pakej perisian asas, pangkalan data virus dan cara interaksi antara mereka.

Analisis tandatangan

Jika kita bercakap tentang metodologi yang digunakan dalam mengenal pasti ancaman, salah satu tempat pertama diduduki oleh analisis tandatangan, yang terdiri daripada membandingkan struktur fail virus dengan templat sedia ada atau skema yang ditakrifkan sebelum ini, yang berkait rapat dengan analisis heuristik.

Untuk mengenal pasti potensi ancaman, ini tidak boleh ditukar ganti, walaupun tidak ada jaminan 100% untuk mengenal pasti ancaman bagi virus moden.

Jenis ujian kebarangkalian

Satu lagi teknologi yang digunakan oleh hampir semua pakej keselamatan yang diketahui pada masa ini (contohnya, antivirus Doctor Web, Kaspersky dan banyak lagi) adalah untuk mengenal pasti ancaman berdasarkan penampilan struktur dan tingkah lakunya dalam sistem.

Ia mempunyai tiga cabang: analisis heuristik dan tingkah laku dan kaedah untuk membandingkan jumlah semak fail (paling kerap digunakan untuk mengenal pasti virus yang boleh menyamar sebagai perkhidmatan sistem dan program tidak berbahaya). Di sini anda boleh membandingkan kod terbina dalam, menganalisis kesan pada sistem dan banyak lagi.

Tetapi alat yang paling berkuasa, dipercayai, adalah perbandingan checksum, yang membolehkan mengenal pasti potensi ancaman dalam 99.9% kes daripada 100.

Pertahanan Proaktif

Salah satu kaedah ramalan dalam mengenal pasti potensi ancaman boleh dipanggil pertahanan proaktif. Modul sedemikian tersedia dalam kebanyakan program antivirus. Tetapi terdapat dua pendapat yang bertentangan secara diametrik mengenai kesesuaian penggunaannya.

Di satu pihak, nampaknya adalah mungkin untuk mengenal pasti program atau fail yang berpotensi tidak selamat berdasarkan analisis tandatangan dan kebarangkalian. Tetapi sebaliknya, pendekatan ini selalunya menghasilkan positif palsu, malah menyekat aplikasi dan program yang sah. Walau bagaimanapun, sebagai sebahagian daripada teknologi umum, teknik ini digunakan hampir di mana-mana.

Program antivirus yang paling terkenal: senarai

Sekarang, mungkin, mari kita beralih kepada program antivirus secara langsung. Sudah tentu tidak mungkin untuk menutup kesemuanya, jadi kami akan mengehadkan diri kami kepada yang paling terkenal dan berkuasa dan mempertimbangkan program komputer anti-virus yang merangkumi perisian komersial dan percuma.

Di antara semua jumlah besar ini, pakej berikut boleh dibezakan secara berasingan:

• produk antivirus Kaspersky Lab;
• antivirus Web Doktor dan produk berkaitannya;
• Pakej antivirus ESET (NOD32, Keselamatan Pintar);
• Avast;
• Avira;
• Bitdefender;
• Antivirus Comodo;
• 360 Keselamatan;
• Awan Panda;
• Microsoft Security Essentials;
• produk perisian McAffe;
• Produk Symantec;
• antivirus dari Norton;
• pengoptimum dengan modul anti-virus terbina dalam seperti Penjagaan Sistem Lanjutan, dsb.

Sememangnya, anda boleh menemui tiga jenis program di sini:

• diedarkan secara bebas sepenuhnya (percuma);
• shareware (versi shareware, atau "antivirus percubaan") dengan tempoh percubaan selama kira-kira 30 hari;
• produk komersial (berbayar) yang memerlukan pembelian lesen atau kunci pengaktifan khas.

Pakej versi percuma, shareware dan berbayar: apakah perbezaannya?

Bercakap tentang pelbagai jenis aplikasi, perlu diperhatikan bahawa perbezaan di antara mereka bukan sahaja beberapa yang anda perlukan untuk membayar atau mengaktifkannya, sementara yang lain tidak. Intinya jauh lebih mendalam. Sebagai contoh, antivirus percubaan biasanya berfungsi selama 30 hari sahaja dan memberi pengguna peluang untuk menilai semua keupayaannya. Tetapi selepas tempoh ini, ia boleh mematikan sepenuhnya atau menyekat beberapa modul perlindungan penting.

Adalah jelas bahawa selepas pemotongan tidak boleh bercakap tentang sebarang perlindungan. Tetapi dalam kes kedua, pengguna, secara kasarnya, menerima antivirus ringan (Lite), versi percuma yang tidak mempunyai set lengkap untuk mengenal pasti ancaman dan hanya mempunyai keperluan penting untuk mengenal pasti dan meneutralkan virus sama ada dalam sistem yang telah dijangkiti. atau pada peringkat penembusan mereka. Tetapi, seperti yang ditunjukkan oleh amalan, pengimbas sedemikian mampu menghantar bukan sahaja program, skrip atau applet yang berpotensi berbahaya, tetapi kadang-kadang mereka tidak mengenali virus sedia ada.

Kaedah paling mudah untuk mengemas kini pangkalan data dan perisian

Bagi pengemaskinian, dalam semua pakej proses ini adalah automatik sepenuhnya. Dalam kes ini, kedua-dua pangkalan data tandatangan dan modul program itu sendiri dikemas kini (ini adalah perkara biasa untuk produk komersial).

Walau bagaimanapun, untuk sesetengah program, anda juga boleh menggunakan kunci khas yang diedarkan secara bebas yang mengaktifkan sepenuhnya semua fungsi pakej untuk tempoh masa tertentu. Sebagai contoh, NOD32, pakej Keselamatan Pintar ESET, program Kaspersky Lab dan banyak lagi berfungsi berdasarkan prinsip ini. Anda hanya perlu memasukkan log masuk dan kata laluan khas untuk program berfungsi sepenuhnya. Kadangkala anda mungkin perlu menukar data tersebut kepada kod lesen. Tetapi masalah ini boleh diselesaikan menggunakan tapak web rasmi pembangun, di mana keseluruhan operasi mengambil masa beberapa saat.

Apakah yang harus dipilih oleh pengguna?

Seperti yang dapat dilihat dari semua di atas, program anti-virus adalah sistem yang agak kompleks, dan bukan bersifat tempatan, tetapi terdiri daripada banyak modul, di antaranya interaksi langsung mesti dipastikan (pangkalan data tandatangan, modul program, pengimbas, tembok api, penganalisis, "doktor" untuk mengalih keluar kod berniat jahat daripada objek yang dijangkiti, dsb.).

Bagi pilihan, sudah tentu, untuk perlindungan komprehensif yang lengkap, tidak disyorkan untuk menggunakan program primitif atau versi percuma produk komersial yang hanya sesuai untuk pemasangan di rumah, dan itupun hanya dengan syarat terminal sedemikian tidak mengakses Internet. Nah, untuk keseluruhan sistem komputer dengan sambungan tempatan yang meluas, tanpa ragu-ragu, anda perlu membeli keluaran berlesen rasmi perisian tersebut. Tetapi, jika tidak sepenuhnya, maka sekurang-kurangnya pada tahap yang sangat besar, anda boleh yakin dengan keselamatan kedua-dua sistem dan data yang disimpan di dalamnya.