Abstrak: Klasifikasi agen antivirus. Program antivirus. Klasifikasi virus Klasifikasi virus dan perisian antivirus

jangkitan antivirus perisian hasad

Untuk beroperasi dengan jayanya, virus perlu menyemak sama ada fail itu telah dijangkiti (oleh virus yang sama). Inilah cara mereka mengelakkan kemusnahan diri. Untuk melakukan ini, virus menggunakan tandatangan. Kebanyakan virus biasa (termasuk virus makro) menggunakan tandatangan aksara. Virus yang lebih kompleks (polimorfik) menggunakan tandatangan algoritma. Tidak kira jenis tandatangan virus, program antivirus menggunakannya untuk mengesan "jangkitan komputer." Selepas ini, program antivirus cuba memusnahkan virus yang dikesan. Walau bagaimanapun, proses ini bergantung pada kerumitan virus dan kualiti program antivirus. Seperti yang telah disebutkan, yang paling sukar untuk dikesan ialah kuda Trojan dan virus polimorfik. Yang pertama daripada mereka tidak menambah badan mereka ke program, tetapi memasukkannya ke dalamnya. Sebaliknya, program antivirus mesti menghabiskan banyak masa untuk menentukan tandatangan virus polimorfik. Hakikatnya ialah tandatangan mereka berubah dengan setiap salinan baharu.

Untuk mengesan, mengalih keluar dan melindungi daripada virus komputer, terdapat program khas yang dipanggil program anti-virus. Program antivirus moden ialah produk pelbagai fungsi yang menggabungkan kedua-dua alat pencegahan dan rawatan virus dan pemulihan data.

Bilangan dan kepelbagaian virus adalah besar, dan untuk mengesannya dengan cepat dan berkesan, program antivirus mesti memenuhi parameter tertentu:

1. Kestabilan dan kebolehpercayaan operasi.

2. Saiz pangkalan data virus program (bilangan virus yang dikenal pasti dengan betul oleh program): dengan mengambil kira kemunculan virus baharu yang berterusan, pangkalan data mesti dikemas kini dengan kerap.

3. Keupayaan program untuk mengesan pelbagai jenis virus, dan keupayaan untuk bekerja dengan fail pelbagai jenis (arkib, dokumen).

4. Kehadiran monitor pemastautin yang menyemak semua fail baru "dengan cepat" (iaitu, secara automatik, kerana ia ditulis ke cakera).

5. Kelajuan program, kehadiran ciri tambahan seperti algoritma untuk mengesan walaupun virus yang tidak diketahui oleh program (pengimbasan heuristik).

6. Keupayaan untuk memulihkan fail yang dijangkiti tanpa memadamkannya daripada cakera keras, tetapi hanya dengan mengeluarkan virus daripadanya.

7. Peratusan positif palsu program (pengesanan virus yang salah dalam fail "bersih").

8. Cross-platform (ketersediaan versi program untuk sistem pengendalian yang berbeza).

Klasifikasi program antivirus:

1. Program pengesan mencari dan mengesan virus dalam RAM dan media luaran, dan apabila dikesan, mengeluarkan mesej yang sepadan. Pengesan dibezakan:

Universal - mereka gunakan dalam kerja mereka untuk menyemak kebolehubahan fail dengan mengira dan membandingkan dengan standard checksum;

Khusus - cari virus yang diketahui dengan tandatangannya (bahagian kod berulang).

2. Program doktor (phages) bukan sahaja mencari fail yang dijangkiti virus, tetapi juga "merawat" mereka, i.e. keluarkan badan program virus daripada fail, mengembalikan fail ke keadaan asalnya. Pada permulaan kerja mereka, phages mencari virus dalam RAM, memusnahkannya, dan hanya kemudian meneruskan ke "membersihkan" fail. Antara phages, polyphages dibezakan, i.e. Program doktor direka untuk mencari dan memusnahkan sejumlah besar virus.

3. Program pengauditan adalah antara cara perlindungan yang paling boleh dipercayai daripada virus. Juruaudit mengingati keadaan awal program, direktori dan kawasan sistem cakera apabila komputer tidak dijangkiti virus, dan kemudian secara berkala atau atas permintaan pengguna membandingkan keadaan semasa dengan yang asal. Perubahan yang dikesan dipaparkan pada skrin monitor.

4. Program penapis (penjaga) ialah program pemastautin kecil yang direka untuk mengesan tindakan yang mencurigakan semasa operasi komputer, ciri virus. Tindakan sedemikian mungkin:

Percubaan untuk membetulkan fail dengan sambungan COM dan EXE;

Menukar atribut fail;

Tulisan terus ke cakera pada alamat mutlak;

Tulis untuk boot sektor cakera;

5. Program vaksin (imunisasi) adalah program residen yang menghalang fail daripada dijangkiti. Vaksin digunakan jika tiada program doktor yang "merawat" virus ini. Vaksinasi hanya boleh dilakukan terhadap virus yang diketahui N. Bezrukov. Virologi komputer: Buku Teks [Sumber elektronik]: http://vx.netlux.org/lib/anb00.html..

Malah, seni bina program antivirus jauh lebih kompleks dan bergantung kepada pembangun tertentu. Tetapi satu fakta tidak dapat dinafikan: semua teknologi yang saya bincangkan sangat berkait rapat antara satu sama lain sehingga kadang-kadang mustahil untuk memahami apabila sesetengahnya digunakan dan yang lain mula berfungsi. Interaksi teknologi antivirus ini membolehkan mereka digunakan dengan paling berkesan dalam memerangi virus. Tetapi jangan lupa bahawa tiada perlindungan yang sempurna, dan satu-satunya cara untuk melindungi diri anda daripada masalah sedemikian ialah kemas kini OS yang berterusan, tembok api yang dikonfigurasikan dengan baik, antivirus yang kerap dikemas kini, dan - yang paling penting - jangan lancarkan/muat turun fail yang mencurigakan daripada Internet.

Pengguna komputer peribadi moden mempunyai akses percuma kepada semua sumber mesin. Inilah yang membuka kemungkinan wujudnya bahaya yang dinamakan virus komputer.

Virus komputer ialah program bertulis khas yang mampu melekat secara spontan pada program lain, mencipta salinan dirinya sendiri dan memasukkannya ke dalam fail, kawasan sistem komputer dan rangkaian komputer untuk mengganggu operasi program, merosakkan fail dan direktori, dan mencipta semua jenis gangguan dengan kerja pada komputer. Bergantung pada habitatnya, virus boleh dibahagikan kepada virus rangkaian, virus fail, virus but, virus but fail, virus makro dan Trojan.

  • Virus rangkaian diedarkan melalui pelbagai rangkaian komputer.
  • Virus fail dilaksanakan terutamanya dalam modul boleh laku. Virus fail boleh dibenamkan dalam jenis fail lain, tetapi, sebagai peraturan, ditulis dalam fail sedemikian, mereka tidak pernah mendapat kawalan dan, oleh itu, kehilangan keupayaan untuk menghasilkan semula.
  • Virus but dibenamkan dalam sektor but cakera (Boot sector) atau dalam sektor yang mengandungi program but cakera sistem (Master Boot Record).
  • Virus but fail menjangkiti kedua-dua fail dan sektor but cakera.
  • Virus makro ditulis dalam bahasa peringkat tinggi dan menyerang fail dokumen aplikasi yang mempunyai bahasa automasi terbina dalam (bahasa makro), seperti aplikasi dalam keluarga Microsoft Office.
  • Trojan, menyamar sebagai program berguna, adalah sumber jangkitan virus komputer.

Untuk mengesan, mengalih keluar dan melindungi daripada virus komputer, beberapa jenis program khas telah dibangunkan yang membolehkan anda mengesan dan memusnahkan virus. Program sedemikian dipanggil program antivirus. Jenis berikut dibezakan: program antivirus:

  • - program pengesan;
  • - program doktor, atau phages;
  • - program audit;
  • - program penapis;
  • - program vaksin, atau imunisasi.

Program pengesan Mereka mencari ciri tandatangan virus tertentu dalam RAM dan fail dan, jika ditemui, mengeluarkan mesej yang sepadan. Kelemahan program antivirus tersebut ialah mereka hanya boleh mencari virus yang diketahui oleh pembangun program tersebut.

Program doktor, atau phages, juga program vaksin bukan sahaja mencari fail yang dijangkiti virus, tetapi juga "merawat" mereka, iaitu, mengeluarkan badan program virus daripada fail, mengembalikan fail ke keadaan asalnya. Pada permulaan kerja mereka, phages mencari virus dalam RAM, memusnahkannya, dan hanya kemudian meneruskan ke "membersihkan" fail. Antara phages ada polifaj, iaitu program doktor yang direka untuk mencari dan memusnahkan sejumlah besar virus. Yang paling terkenal daripada mereka: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

Disebabkan fakta bahawa virus baru sentiasa muncul, program pengesan dan program doktor dengan cepat menjadi ketinggalan zaman, dan kemas kini versi biasa diperlukan.

Program juruaudit adalah antara cara perlindungan yang paling boleh dipercayai terhadap virus. Juruaudit mengingati keadaan awal program, direktori dan kawasan sistem cakera apabila komputer tidak dijangkiti virus, dan kemudian secara berkala atau atas permintaan pengguna membandingkan keadaan semasa dengan yang asal. Perubahan yang dikesan dipaparkan pada skrin monitor. Sebagai peraturan, perbandingan keadaan dijalankan serta-merta selepas memuatkan sistem pengendalian. Apabila membandingkan, panjang fail, kod kawalan kitaran (jumlah semak fail), tarikh dan masa pengubahsuaian, dan parameter lain disemak. Program juruaudit mempunyai algoritma yang agak membangunkan, mengesan virus siluman dan juga boleh membezakan perubahan dalam versi program yang sedang disemak daripada perubahan yang dibuat oleh virus. Program juruaudit termasuk program Kaspersky Monitor yang digunakan secara meluas.

Penapis program atau "penjaga" ialah program pemastautin kecil yang direka untuk mengesan tindakan yang mencurigakan semasa operasi komputer, ciri virus. Tindakan sedemikian mungkin:

  • - cuba membetulkan fail dengan sambungan COM. EXE;
  • - menukar atribut fail;
  • - rakaman terus ke cakera pada alamat mutlak;
  • - menulis untuk boot sektor cakera;

Apabila mana-mana program cuba melakukan tindakan yang ditentukan, "pengawal" menghantar mesej kepada pengguna dan menawarkan untuk melarang atau membenarkan tindakan yang sepadan. Program penapis sangat berguna. kerana mereka dapat mengesan virus pada peringkat terawal kewujudannya, sebelum pembiakan. Walau bagaimanapun, mereka tidak "membersihkan" fail dan cakera.

Untuk memusnahkan virus, anda perlu menggunakan program lain, seperti phages. Kelemahan program pengawas termasuk "gangguan" mereka (contohnya, mereka sentiasa mengeluarkan amaran tentang sebarang percubaan untuk menyalin fail boleh laku), serta kemungkinan konflik dengan perisian lain.

Vaksin atau imunisasi Ini adalah program residen. mencegah jangkitan fail. Vaksin digunakan jika tiada program doktor yang "merawat" virus ini. Vaksinasi hanya boleh dilakukan terhadap virus yang diketahui. Vaksin mengubah suai program atau cakera sedemikian rupa sehingga ia tidak menjejaskan operasinya, dan virus akan menganggapnya sebagai dijangkiti dan oleh itu tidak akan berakar umbi. Pada masa ini, program vaksin mempunyai penggunaan terhad.

Pengesanan fail dan cakera yang dijangkiti virus tepat pada masanya dan pemusnahan lengkap virus yang dikesan pada setiap komputer membantu mengelakkan penyebaran wabak virus ke komputer lain.

Walaupun fakta bahawa keselamatan maklumat am dan langkah pencegahan adalah sangat penting untuk melindungi daripada virus, penggunaan program khusus adalah perlu. Program ini boleh dibahagikan kepada beberapa jenis:

  • ? Program pengesan menyemak sama ada fail pada cakera mengandungi gabungan bait tertentu (tandatangan) untuk virus yang diketahui dan melaporkannya kepada pengguna (VirusScan/SCAN/McAfee Associates).
  • ? Program doktor atau phages "merawat" program yang dijangkiti dengan "menggigit" badan virus daripada program yang dijangkiti, kedua-duanya dengan dan tanpa pemulihan habitat (fail yang dijangkiti) - modul penyembuhan program SCAN - program CLEAN.
  • ? Program pengesan doktor (Lozinsky's Aidstest, Danilov's Doctor Web, MSAV, Norton Antivirus, Kaspersky's AVP) dapat mengesan kehadiran virus yang diketahui pada cakera dan menyembuhkan fail yang dijangkiti. Kumpulan program antivirus yang paling biasa hari ini.

Dalam kes yang paling mudah, arahan untuk menyemak kandungan cakera untuk virus kelihatan seperti: aidstest / key1 / key 2 / key 3 /---

  • ? Program penapis (penjaga) terletak di dalam RAM PC dan memintas panggilan ke sistem pengendalian yang digunakan oleh virus untuk membiak dan menyebabkan bahaya dan melaporkannya kepada pengguna:
  • - percubaan untuk merosakkan fail OS utama COMMAND.COM;
  • - percubaan untuk menulis terus ke cakera (rekod sebelumnya dipadamkan), dan mesej kelihatan bahawa sesetengah program cuba menyalin ke cakera;
  • - pemformatan cakera,
  • - penempatan pemastautin program dalam ingatan.

Setelah mengesan percubaan untuk salah satu tindakan ini, program penapis memberikan pengguna penerangan tentang situasi dan memerlukan pengesahan daripadanya. Pengguna boleh membenarkan atau menafikan operasi ini. Kawalan tindakan, ciri virus, dijalankan dengan menggantikan pengendali gangguan yang sepadan. Kelemahan program ini termasuk gangguan (pengawal, contohnya, mengeluarkan amaran tentang sebarang percubaan untuk menyalin fail boleh laku), kemungkinan konflik dengan perisian lain, dan memintas pengawal oleh beberapa virus. Contoh penapis: Anti4us, Vsafe, Monitor Cakera.

Perlu diingatkan bahawa hari ini banyak program kelas pengesan doktor juga mempunyai modul pemastautin - penapis (pengawal), contohnya, DR Web, AVP, Norton Antivirus. Oleh itu, program sedemikian boleh diklasifikasikan sebagai doktor-pengesan-pengawal.

  • ? Alat antivirus perkakasan dan perisian (kompleks perkakasan dan perisian Sheriff). Setanding dengan program pengawas ialah alat antivirus perkakasan dan perisian yang memberikan perlindungan yang lebih dipercayai terhadap penembusan virus ke dalam sistem. Kompleks sedemikian terdiri daripada dua bahagian: perkakasan, yang dipasang dalam bentuk litar mikro pada Papan Induk, dan perisian, yang direkodkan pada cakera. Bahagian perkakasan (pengawal) memantau semua operasi tulis pada cakera, bahagian perisian, yang bermastautin dalam RAM, memantau semua operasi input/output maklumat. Walau bagaimanapun, kemungkinan menggunakan alat ini memerlukan pertimbangan yang teliti dari segi konfigurasi peralatan tambahan yang digunakan pada PC, contohnya, pengawal cakera, modem atau kad rangkaian.
  • ? Program Juruaudit (Adinf/Infoskop Cakera Lanjutan/dengan blok rawatan Modul Penyembuhan ADinf Mostovoy). Program audit mempunyai dua peringkat kerja. Pertama, mereka mengingati maklumat tentang keadaan program dan kawasan sistem cakera (sektor but dan sektor dengan jadual untuk membahagikan cakera keras kepada partition logik). Diandaikan bahawa pada masa ini program dan kawasan cakera sistem tidak dijangkiti. Kemudian, apabila membandingkan kawasan sistem dan cakera dengan yang asal, jika percanggahan ditemui, pengguna dimaklumkan. Program juruaudit mampu mengesan virus halimunan (STEALTH). Menyemak panjang fail tidak mencukupi; sesetengah virus tidak mengubah panjang fail yang dijangkiti. Semakan yang lebih dipercayai ialah membaca keseluruhan fail dan mengira jumlah semaknya (sedikit demi sedikit). Hampir mustahil untuk menukar keseluruhan fail supaya jumlah semaknya kekal sama. Kelemahan kecil juruaudit termasuk hakikat bahawa untuk memastikan keselamatan mereka mesti digunakan dengan kerap, contohnya, dipanggil setiap hari daripada fail AUTOEXEC.BAT. Tetapi kelebihan mereka yang tidak diragukan adalah kelajuan tinggi pemeriksaan dan hakikat bahawa mereka tidak memerlukan kemas kini versi yang kerap. Versi juruaudit, walaupun berusia enam bulan, mengesan dan mengeluarkan virus moden dengan pasti.
  • ? Program vaksin atau imunisasi (CPAV). Program vaksin mengubah suai program dan cakera sedemikian rupa sehingga ini tidak menjejaskan pengendalian program, tetapi virus yang menentang vaksinasi itu menganggap program dan cakera ini telah dijangkiti. Program-program ini tidak cukup berkesan.

Secara konvensional, strategi untuk melindungi daripada virus boleh ditakrifkan sebagai pertahanan "berlapis" berbilang peringkat. Secara struktur ia mungkin kelihatan seperti ini. Alat peninjauan dalam "pertahanan" terhadap virus sepadan dengan program pengesan yang membolehkan anda mengesan perisian yang baru diterima untuk kehadiran virus. Di barisan hadapan pertahanan adalah program penapis yang berada dalam ingatan komputer. Program ini boleh menjadi yang pertama melaporkan operasi virus. Eselon kedua "pertahanan" terdiri daripada program audit. Juruaudit mengesan serangan virus walaupun ia telah berjaya "bocor" melalui barisan hadapan pertahanan. Program doktor digunakan untuk memulihkan program yang dijangkiti jika salinan program yang dijangkiti tiada dalam arkib, tetapi ia tidak selalu sembuh dengan betul. Doktor-pemeriksa mengesan serangan virus dan merawat program yang dijangkiti, dan memantau ketepatan rawatan. Eselon pertahanan terdalam ialah cara kawalan akses. Mereka tidak membenarkan virus dan program yang tidak berfungsi, walaupun mereka telah menembusi PC, untuk merosakkan data penting. "Rizab strategik" mengandungi salinan arkib maklumat dan cakera liut "rujukan" dengan produk perisian. Mereka membenarkan anda memulihkan maklumat jika ia rosak.

Tindakan berbahaya bagi setiap jenis virus boleh menjadi sangat pelbagai. Ini termasuk memadamkan fail penting atau bahkan perisian tegar BIOS, memindahkan maklumat peribadi, seperti kata laluan, ke alamat tertentu, mengatur kempen e-mel tanpa kebenaran dan serangan pada tapak web tertentu. Ia juga mungkin untuk mula mendail melalui telefon bimbit ke nombor berbayar. Utiliti pentadbiran tersembunyi (pintu belakang) malah boleh memindahkan kawalan penuh komputer kepada penyerang. Nasib baik, semua masalah ini boleh dilawan dengan jayanya, dan senjata utama dalam perjuangan ini, sudah tentu, adalah perisian antivirus.

Kaspersky Anti-Virus. Mungkin, "Kaspersky Anti-Virus" adalah produk paling terkenal jenis ini di Rusia, dan nama "Kaspersky" telah menjadi sinonim dengan pejuang terhadap kod berniat jahat. Makmal dengan nama yang sama bukan sahaja sentiasa mengeluarkan versi baharu perisian keselamatannya, tetapi juga menjalankan kerja pendidikan di kalangan pengguna komputer. Versi terbaru Kaspersky Anti-Virus yang kesembilan, seperti keluaran sebelumnya, dibezakan oleh antara muka yang mudah dan sangat telus yang menggabungkan semua utiliti yang diperlukan dalam satu tetingkap. Terima kasih kepada wizard pemasangan dan pilihan menu intuitif, walaupun pengguna baru boleh mengkonfigurasi produk ini. Kekuatan algoritma yang digunakan akan memuaskan hati walaupun profesional. Penerangan terperinci tentang setiap virus yang dikesan boleh didapati dengan menghubungi halaman yang sepadan di Internet terus dari program.

Dr. Web. Satu lagi antivirus Rusia yang popular, menyaingi Kaspersky Anti-Virus dalam populariti, ialah Dr. Web. Versi percubaannya mempunyai ciri yang menarik: ia memerlukan pendaftaran mandatori melalui Internet. Di satu pihak, ini sangat baik - selepas pendaftaran, pangkalan data anti-virus dikemas kini dan pengguna menerima data terkini tentang tandatangan. Sebaliknya, adalah mustahil untuk memasang versi percubaan di luar talian, dan, seperti yang ditunjukkan oleh pengalaman, masalah tidak dapat dielakkan dengan sambungan yang tidak stabil.

Panda Antivirus + Firewall 2007. Penyelesaian komprehensif dalam bidang keselamatan komputer - pakej Panda Antivirus + Firewall 2007 - termasuk, sebagai tambahan kepada program anti-virus, firewall yang memantau aktiviti rangkaian. Antara muka tetingkap program utama direka dalam nada hijau "semula jadi", tetapi walaupun daya tarikan visualnya, sistem navigasi menu dibina dengan tidak selesa, dan pengguna pemula mungkin akan keliru dalam tetapan.

Pakej Panda mengandungi beberapa penyelesaian asal, seperti TruePrevent, teknologi proprietari untuk mencari ancaman yang tidak diketahui, berdasarkan algoritma heuristik yang paling moden. Ia juga bernilai memberi perhatian kepada utiliti untuk mencari kelemahan komputer - ia menilai bahaya "lubang" dalam sistem keselamatan dan menawarkan untuk memuat turun kemas kini yang diperlukan.

Norton Antivirus 2005. Kesan utama dari produk syarikat terkenal Symantec - kompleks anti-virus Norton Antivirus 2005 - adalah tumpuannya pada sistem pengkomputeran yang berkuasa. Maklum balas antara muka Norton Antivirus 2005 kepada tindakan pengguna nyata tertangguh. Di samping itu, semasa pemasangan ia meletakkan keperluan yang agak ketat pada versi sistem pengendalian dan Internet Explorer. Tidak seperti Dr.Web, Norton Antivirus tidak memerlukan pengemaskinian pangkalan data virus semasa pemasangan, tetapi akan mengingatkan anda bahawa ia sudah lapuk sepanjang keseluruhan operasi.

McAfee VirusScan. Kami memilih produk anti-virus yang menarik, yang, menurut pembangun, adalah pengimbas No. 1 di dunia - McAfee VirusScan - untuk ujian kerana, antara aplikasi yang serupa, ia menonjol untuk saiz pengedarannya yang besar (lebih daripada 40 MB ). Percaya bahawa nilai ini adalah disebabkan oleh fungsinya yang luas, kami meneruskan pemasangan dan mendapati bahawa sebagai tambahan kepada pengimbas anti-virus, ia termasuk tembok api, serta utiliti untuk membersihkan cakera keras dan menjamin penyingkiran objek daripada cakera keras. pemacu (pencincang fail).

Soalan untuk Bab 6 dan 7

  • 1. Peringkat pembangunan alat dan teknologi keselamatan maklumat.
  • 2. Komponen model keselamatan standard.
  • 3. Sumber ancaman keselamatan dan klasifikasinya.
  • 4. Ancaman tidak sengaja terhadap keselamatan maklumat.
  • 5. Ancaman yang disengajakan terhadap keselamatan maklumat.
  • 6. Klasifikasi saluran kebocoran maklumat.
  • 7. Peraturan masalah keselamatan maklumat.
  • 8. Struktur sistem keselamatan maklumat negeri.
  • 9. Kaedah dan cara keselamatan maklumat.
  • 10. Klasifikasi ancaman keselamatan data.
  • 11. Kaedah melindungi maklumat daripada virus.
  • 12. Kaedah kawalan integriti.
  • 13. Klasifikasi virus komputer.
  • 14. Perlindungan anti-virus.
  • 15. Langkah antivirus pencegahan.
  • 16. Klasifikasi produk perisian anti-virus.

Kaedah asas untuk mengesan virus

program antivirus dibangunkan selari dengan evolusi virus. Apabila teknologi baru untuk mencipta virus muncul, peralatan matematik yang digunakan dalam pembangunan antivirus menjadi lebih kompleks.

Algoritma anti-virus pertama adalah berdasarkan perbandingan dengan standard. Kita bercakap tentang program di mana virus itu dikesan oleh kernel klasik menggunakan topeng tertentu. Inti dari algoritma adalah menggunakan kaedah statistik. Topeng hendaklah, di satu pihak, kecil supaya volum fail adalah saiz yang boleh diterima, dan sebaliknya, cukup besar untuk mengelakkan positif palsu (apabila "milik sendiri" dianggap sebagai "milik orang lain", dan sebaliknya. sebaliknya).

Program antivirus pertama yang dibina berdasarkan prinsip ini (yang dipanggil pengimbas polyphage) mengetahui sejumlah virus dan tahu cara merawatnya. Program ini dicipta seperti berikut: pemaju, setelah menerima kod virus (kod virus pada mulanya statik), mencipta topeng unik (urutan 10-15 bait) berdasarkan kod ini dan memasukkannya ke dalam pangkalan data program antivirus. Program antivirus mengimbas fail dan, jika ia menemui jujukan bait ini, membuat kesimpulan bahawa fail itu telah dijangkiti. Urutan (tandatangan) ini dipilih supaya ia unik dan tidak ditemui dalam set data biasa.

Pendekatan yang diterangkan telah digunakan oleh kebanyakan program antivirus sehingga pertengahan 90-an, apabila virus polimorfik pertama muncul yang mengubah badan mereka mengikut algoritma yang tidak dapat diramalkan terlebih dahulu. Kemudian kaedah tandatangan telah ditambah dengan emulator pemproses yang dipanggil, yang memungkinkan untuk mencari virus yang disulitkan dan polimorfik yang tidak mempunyai tandatangan kekal secara eksplisit.

Prinsip emulasi pemproses ditunjukkan dalam Rajah. 1 . Jika biasanya rantai bersyarat terdiri daripada tiga elemen utama: CPU®OS®Program, maka apabila meniru pemproses, emulator ditambahkan pada rantai sedemikian. Emulator, seolah-olah, menghasilkan semula kerja program dalam beberapa ruang maya dan membina semula kandungan asalnya. Emulator sentiasa boleh mengganggu pelaksanaan program, mengawal tindakannya, menghalang apa-apa daripada rosak, dan memanggil kernel pengimbasan anti-virus.

Mekanisme kedua, yang muncul pada pertengahan 90-an dan digunakan oleh semua antivirus, ialah analisis heuristik. Hakikatnya ialah alat emulasi pemproses, yang membolehkan anda mendapatkan ringkasan tindakan yang dilakukan oleh program yang dianalisis, tidak selalu memungkinkan untuk mencari tindakan ini, tetapi ia membolehkan anda melakukan beberapa analisis dan mengemukakan hipotesis seperti "virus atau bukan virus?"

Dalam kes ini, membuat keputusan adalah berdasarkan pendekatan statistik. Dan program yang sepadan dipanggil penganalisis heuristik.

Untuk membiak, virus mesti melakukan beberapa tindakan khusus: menyalin ke dalam ingatan, menulis ke sektor, dsb. Penganalisis heuristik (ia adalah sebahagian daripada kernel anti-virus) mengandungi senarai tindakan sedemikian, melihat pada kod boleh laku program, menentukan perkara yang dilakukannya, dan berdasarkan ini membuat keputusan sama ada program ini adalah virus atau tidak .

Pada masa yang sama, peratusan virus yang hilang, walaupun yang tidak diketahui oleh program antivirus, adalah sangat kecil. Teknologi ini kini digunakan secara meluas dalam semua program antivirus.

Klasifikasi program antivirus

program antivirus dikelaskan kepada antivirus tulen dan antivirus dwi-guna (Gamb. 2).

Antivirus tulen dibezakan dengan kehadiran teras antivirus, yang melaksanakan fungsi mengimbas sampel. Prinsip dalam kes ini ialah rawatan adalah mungkin jika virus diketahui. Antivirus tulen, seterusnya, dibahagikan kepada dua kategori berdasarkan jenis akses kepada fail: yang menjalankan kawalan melalui akses (pada akses) atau mengikut permintaan pengguna (atas permintaan). Biasanya, produk atas akses dipanggil monitor, dan produk atas permintaan dipanggil pengimbas.

Produk atas permintaan berfungsi mengikut skema berikut: pengguna ingin menyemak sesuatu dan mengeluarkan permintaan (permintaan), selepas itu pengesahan dijalankan. Produk pada akses ialah program pemastautin yang memantau akses dan melakukan pengesahan pada masa akses.

Di samping itu, program antivirus, seperti virus, boleh dibahagikan bergantung pada platform di mana antivirus itu beroperasi. Dalam pengertian ini, bersama-sama dengan Windows atau Linux, platform boleh termasuk Pelayan Microsoft Exchange, Microsoft Office, Lotus Notes.

Program dwi-guna ialah program yang digunakan dalam kedua-dua antivirus dan dalam perisian yang bukan antivirus. Contohnya, CRC-checker - juruaudit perubahan berdasarkan jumlah semak - boleh digunakan bukan sahaja untuk menangkap virus. Sejenis program dwiguna ialah penyekat tingkah laku, yang menganalisis gelagat program lain dan menyekatnya apabila tindakan yang mencurigakan dikesan. Penyekat tingkah laku berbeza daripada antivirus klasik dengan teras antivirus, yang mengiktiraf dan merawat virus yang dianalisis di makmal dan yang algoritma rawatan telah ditetapkan, kerana mereka tidak boleh merawat virus kerana mereka tidak tahu apa-apa tentangnya. Sifat penyekat ini membolehkan mereka bekerja dengan mana-mana virus, termasuk yang tidak diketahui. Ini amat relevan pada hari ini, kerana pengedar virus dan antivirus menggunakan saluran penghantaran data yang sama, iaitu Internet. Pada masa yang sama, syarikat antivirus sentiasa memerlukan masa untuk mendapatkan virus itu sendiri, menganalisisnya dan menulis modul rawatan yang sesuai. Program daripada kumpulan dwi-guna membolehkan anda menyekat penyebaran virus sehingga syarikat menulis modul rawatan.

Semakan antivirus peribadi yang paling popular

Semakan itu termasuk antivirus paling popular untuk kegunaan peribadi daripada lima pembangun terkenal. Perlu diingatkan bahawa beberapa syarikat yang dibincangkan di bawah menawarkan beberapa versi program peribadi yang berbeza dalam fungsi dan, dengan itu, dalam harga. Dalam ulasan kami, kami melihat satu produk dari setiap syarikat, memilih versi yang paling berfungsi, yang biasanya dipanggil Personal Pro. Pilihan lain untuk antivirus peribadi boleh didapati di tapak web yang sepadan.

Kaspersky Anti-Virus

Pro Peribadi v. 4.0

Pembangun: Kaspersky Lab. laman web: http://www.kaspersky.ru/. Harga: $69 (lesen 1 tahun).

Kaspersky Anti-Virus Personal Pro (Gamb. 3) ialah salah satu penyelesaian paling popular di pasaran Rusia dan mengandungi beberapa teknologi unik.

Modul penyekat tingkah laku Office Guard memastikan pelaksanaan makro terkawal, menghentikan semua tindakan yang mencurigakan. Kehadiran modul Office Guard memberikan perlindungan 100% terhadap virus makro.

Inspektor memantau semua perubahan dalam komputer anda dan, jika perubahan yang tidak dibenarkan dikesan dalam fail atau dalam pendaftaran sistem, membolehkan anda memulihkan kandungan cakera dan mengalih keluar kod berniat jahat. Inspektor tidak memerlukan kemas kini kepada pangkalan data anti-virus: kawalan integriti dijalankan berdasarkan mengambil cap jari fail asal (jumlah CRC) dan perbandingan seterusnya dengan fail yang diubah suai. Tidak seperti pemeriksa lain, Pemeriksa menyokong semua format fail boleh laku yang paling popular.

Penganalisis heuristik memungkinkan untuk melindungi komputer anda walaupun daripada virus yang tidak diketahui.

Pemintas virus latar belakang Monitor, yang sentiasa ada dalam ingatan komputer, menjalankan imbasan anti-virus semua fail dengan serta-merta pada masa ia dilancarkan, dicipta atau disalin, yang membolehkan anda mengawal semua operasi fail dan mencegah jangkitan oleh walaupun virus yang paling maju dari segi teknologi.

Penapisan e-mel anti-virus menghalang virus daripada memasuki komputer anda. Pemalam Pemeriksa Mel bukan sahaja mengalih keluar virus daripada badan e-mel, tetapi juga memulihkan sepenuhnya kandungan asal e-mel. Imbasan surat-menyurat e-mel yang komprehensif tidak membenarkan virus bersembunyi dalam mana-mana elemen e-mel dengan mengimbas semua kawasan mesej masuk dan keluar, termasuk fail yang dilampirkan (termasuk yang diarkibkan dan dibungkus) dan mesej lain dari mana-mana peringkat bersarang.

Pengimbas anti-virus Pengimbas membolehkan anda menjalankan imbasan berskala penuh bagi keseluruhan kandungan pemacu tempatan dan rangkaian atas permintaan.

Pemintas virus skrip Pemeriksa Skrip menyediakan pengimbasan anti-virus semua skrip yang sedang berjalan sebelum ia dilaksanakan.

Sokongan untuk fail yang diarkibkan dan dimampatkan menyediakan keupayaan untuk mengalih keluar kod hasad daripada fail mampat yang dijangkiti.

Pengasingan objek yang dijangkiti memastikan pengasingan objek yang dijangkiti dan mencurigakan dan pergerakan seterusnya ke direktori yang dianjurkan khas untuk analisis dan pemulihan selanjutnya.

Automasi perlindungan anti-virus membolehkan anda membuat jadual dan susunan operasi komponen program; memuat turun dan menyambungkan kemas kini pangkalan data anti-virus baharu secara automatik melalui Internet; menghantar amaran tentang serangan virus yang dikesan melalui e-mel, dsb.

Norton AntiVirus 2003 Edisi Profesional

Pembangun: Symantec. laman web: http://www.symantec.ru/.

Harga 89.95 euro.

Program ini berjalan di bawah Windows 95/98/Me/NT4.0/2000 Pro/XP.

Harga: $39.95

Program ini berjalan di bawah Windows 95/98/Me/NT4.0/2000 Pro/XP.

Perlindungan anti-virus adalah langkah yang paling biasa untuk memastikan keselamatan maklumat infrastruktur IT dalam sektor korporat. Walau bagaimanapun, hanya 74% syarikat Rusia menggunakan penyelesaian antivirus untuk perlindungan, menurut kajian yang dijalankan oleh Kaspersky Lab bersama-sama dengan syarikat analisis B2B International (musim luruh 2013).

Laporan itu juga menyatakan bahawa dengan latar belakang pertumbuhan letupan ancaman siber, dari mana syarikat dilindungi oleh antivirus mudah, perniagaan Rusia mula semakin menggunakan alat perlindungan yang kompleks. Sebahagian besarnya atas sebab ini, penggunaan alat penyulitan data pada media boleh alih meningkat sebanyak 7% (24%). Di samping itu, syarikat telah menjadi lebih bersedia untuk membezakan dasar keselamatan untuk peranti boleh tanggal. Pembezaan tahap akses kepada pelbagai bahagian infrastruktur IT juga telah meningkat (49%). Pada masa yang sama, perniagaan kecil dan sederhana memberi lebih perhatian kepada kawalan peranti boleh tanggal (35%) dan kawalan aplikasi (31%).

Para penyelidik juga mendapati bahawa walaupun penemuan berterusan kelemahan perisian baru, syarikat Rusia masih tidak memberi perhatian yang cukup kepada kemas kini perisian biasa. Selain itu, bilangan organisasi yang terlibat dalam penampalan telah menurun berbanding tahun lepas kepada hanya 59%.

Program antivirus moden boleh mengesan objek berniat jahat di dalam fail dan dokumen program dengan berkesan. Dalam sesetengah kes, antivirus boleh mengalih keluar badan objek berniat jahat daripada fail yang dijangkiti, memulihkan fail itu sendiri. Dalam kebanyakan kes, antivirus dapat mengalih keluar objek perisian berniat jahat bukan sahaja dari fail program, tetapi juga dari fail dokumen pejabat, tanpa melanggar integritinya. Menggunakan program antivirus tidak memerlukan kelayakan yang tinggi dan tersedia untuk hampir semua pengguna komputer.

Kebanyakan program antivirus menggabungkan perlindungan masa nyata (monitor anti-virus) dan perlindungan atas permintaan (pengimbas anti-virus).

Penilaian antivirus

2019: Dua pertiga daripada antivirus untuk Android ternyata tidak berguna

Pada Mac 2019, makmal Austria AV-Comparatives, yang mengkhusus dalam menguji perisian antivirus, menerbitkan hasil kajian yang menunjukkan ketidakbergunaan kebanyakan program sedemikian untuk Android.

Hanya 23 antivirus yang terdapat dalam katalog Gedung Google Play rasmi mengenal pasti perisian hasad dengan tepat dalam 100% kes. Selebihnya perisian sama ada tidak bertindak balas terhadap ancaman mudah alih atau kesilapan aplikasi yang benar-benar selamat untuk mereka.

Pakar mengkaji 250 antivirus dan melaporkan bahawa hanya 80% daripadanya boleh mengesan lebih daripada 30% perisian hasad. Oleh itu, 170 permohonan gagal dalam ujian. Produk yang lulus ujian termasuk kebanyakannya penyelesaian daripada pengeluar utama, termasuk Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro dan Trustwave.

Sebagai sebahagian daripada percubaan, penyelidik memasang setiap aplikasi antivirus pada peranti berasingan (tanpa emulator) dan mengautomasikan peranti untuk melancarkan penyemak imbas, memuat turun dan kemudian memasang perisian hasad. Setiap peranti telah diuji terhadap 2 ribu virus Android yang paling biasa pada tahun 2018.

Menurut pengiraan AV-Comparatives, kebanyakan penyelesaian antivirus Android adalah palsu. Berpuluh-puluh aplikasi mempunyai antara muka yang hampir sama, dan pencipta mereka jelas lebih berminat untuk memaparkan pengiklanan daripada menulis pengimbas anti-virus yang berfungsi.

Sesetengah antivirus "melihat" ancaman dalam mana-mana aplikasi yang tidak termasuk dalam "senarai putih" mereka. Oleh kerana itu, mereka, dalam beberapa kes yang sangat anekdot, menimbulkan penggera tentang fail mereka sendiri, kerana pemaju terlupa untuk menyebutnya dalam "senarai putih".

2017: Microsoft Security Essentials diiktiraf sebagai salah satu antivirus yang paling teruk

Pada Oktober 2017, makmal antivirus Jerman AV-Test menerbitkan keputusan ujian antivirus komprehensif. Menurut kajian itu, perisian proprietari Microsoft, yang direka untuk melindungi daripada aktiviti berniat jahat, hampir paling teruk dalam menjalankan tugasnya.

Berdasarkan keputusan ujian yang dijalankan pada Julai-Ogos 2017, pakar AV-Test menamakan Kaspersky Internet Security sebagai antivirus terbaik untuk Windows 7, yang menerima 18 mata apabila menilai tahap perlindungan, prestasi dan kemudahan penggunaan.

Tiga teratas termasuk Trend Micro Internet Security dan Bitdefender Internet Security, yang memperoleh 17.5 mata setiap satu. Anda boleh mengetahui tentang status produk daripada syarikat antivirus lain yang disertakan dalam kajian daripada ilustrasi di bawah:

Banyak pengimbas juga menggunakan algoritma pengimbasan heuristik, i.e. menganalisis urutan arahan dalam objek yang diperiksa, mengumpul beberapa statistik dan membuat keputusan untuk setiap objek yang diperiksa.

Pengimbas juga boleh dibahagikan kepada dua kategori - universal dan khusus. Pengimbas sejagat direka bentuk untuk mengesan dan meneutralkan semua jenis virus, tanpa mengira sistem pengendalian di mana pengimbas direka untuk berfungsi. Pengimbas khusus direka untuk meneutralkan bilangan virus yang terhad atau hanya satu kelas virus, contohnya virus makro.

Pengimbas juga dibahagikan kepada pemastautin (monitor), yang mengimbas secara on-the-fly dan bukan pemastautin, yang mengimbas sistem hanya atas permintaan. Sebagai peraturan, pengimbas pemastautin menyediakan perlindungan sistem yang lebih dipercayai kerana ia segera bertindak balas terhadap kemunculan virus, manakala pengimbas bukan pemastautin hanya dapat mengenal pasti virus semasa pelancarannya yang seterusnya.

Pengimbas CRC

Prinsip operasi pengimbas CRC adalah berdasarkan pengiraan jumlah CRC (checksum) untuk fail/sektor sistem yang terdapat pada cakera. Jumlah CRC ini kemudiannya disimpan dalam pangkalan data antivirus, serta beberapa maklumat lain: panjang fail, tarikh pengubahsuaian terakhirnya, dsb. Apabila dilancarkan kemudiannya, pengimbas CRC membandingkan data yang terkandung dalam pangkalan data dengan nilai yang dikira sebenar. Jika maklumat fail yang direkodkan dalam pangkalan data tidak sepadan dengan nilai sebenar, maka pengimbas CRC memberi isyarat bahawa fail tersebut telah diubah suai atau dijangkiti virus.

Pengimbas CRC tidak dapat menangkap virus pada masa ia muncul dalam sistem, tetapi lakukan ini hanya beberapa ketika kemudian, selepas virus itu merebak ke seluruh komputer. Pengimbas CRC tidak dapat mengesan virus dalam fail baharu (dalam e-mel, pada cakera liut, dalam fail yang dipulihkan daripada sandaran atau semasa membongkar fail daripada arkib), kerana pangkalan data mereka tidak mengandungi maklumat tentang fail ini. Lebih-lebih lagi, virus muncul secara berkala yang mengeksploitasi kelemahan pengimbas CRC ini, hanya menjangkiti fail yang baru dibuat dan dengan itu kekal tidak kelihatan kepada mereka.

Penghalang

Penyekat anti-virus ialah program pemastautin yang memintas situasi berbahaya virus dan memberitahu pengguna mengenainya. Yang berbahaya virus termasuk panggilan untuk membuka untuk menulis kepada fail boleh laku, menulis untuk boot sektor cakera atau MBR cakera keras, percubaan oleh atur cara untuk kekal bermastautin, dsb., iaitu panggilan yang biasa untuk virus semasa pembiakan.

Kelebihan penyekat termasuk keupayaan mereka untuk mengesan dan menghentikan virus pada peringkat paling awal pembiakannya. Kelemahan termasuk kewujudan cara untuk memintas perlindungan penyekat dan sejumlah besar positif palsu.

Imunisasi

Imunisasi terbahagi kepada dua jenis: imunisasi yang melaporkan jangkitan dan imunisasi yang menghalang jangkitan. Yang pertama biasanya ditulis pada penghujung fail (berdasarkan prinsip virus fail) dan setiap kali fail itu dilancarkan, mereka menyemaknya untuk perubahan. Imunisasi sedemikian hanya mempunyai satu kelemahan, tetapi ia boleh membawa maut: ketidakupayaan mutlak untuk melaporkan jangkitan dengan virus siluman. Oleh itu, imunisasi sedemikian, seperti penyekat, boleh dikatakan tidak digunakan pada masa ini.

Jenis imunisasi kedua melindungi sistem daripada jangkitan oleh jenis virus tertentu. Fail pada cakera diubah suai sedemikian rupa sehingga virus menganggapnya telah dijangkiti. Untuk melindungi daripada virus pemastautin, program yang menyerupai salinan virus dimasukkan ke dalam ingatan komputer. Apabila dilancarkan, virus itu menemuinya dan percaya bahawa sistem itu sudah dijangkiti.

Jenis imunisasi ini tidak boleh universal, kerana adalah mustahil untuk mengimunkan fail terhadap semua virus yang diketahui.

Klasifikasi antivirus berdasarkan kebolehubahan dari semasa ke semasa

Menurut Valery Konyavsky, alat antivirus boleh dibahagikan kepada dua kumpulan besar - mereka yang menganalisis data dan mereka yang menganalisis proses.

Analisis data

Analisis data termasuk juruaudit dan polyphages. Juruaudit menganalisis akibat virus komputer dan program berniat jahat yang lain. Akibatnya mengakibatkan perubahan pada data yang tidak boleh diubah. Fakta bahawa data telah berubah adalah tanda aktiviti perisian hasad dari sudut pandangan juruaudit. Dalam erti kata lain, juruaudit memantau integriti data dan, berdasarkan fakta pelanggaran integriti, membuat keputusan tentang kehadiran program berniat jahat dalam persekitaran komputer.

Polifaj bertindak secara berbeza. Berdasarkan analisis data, mereka mengenal pasti serpihan kod berniat jahat (contohnya, dengan tandatangannya) dan atas dasar ini membuat kesimpulan tentang kehadiran program berniat jahat. Mengalih keluar atau merawat data yang dijangkiti virus membolehkan anda menghalang akibat negatif daripada melaksanakan program berniat jahat. Oleh itu, berdasarkan analisis statik, akibat yang timbul dalam dinamik dihalang.

Skim kerja kedua-dua juruaudit dan polyphages adalah hampir sama - bandingkan data (atau checksum mereka) dengan satu atau lebih sampel rujukan. Data dibandingkan dengan data. Oleh itu, untuk mencari virus dalam komputer anda, anda memerlukan ia telah bekerja untuk akibat aktivitinya muncul. Kaedah ini hanya boleh mencari virus yang diketahui yang serpihan atau tandatangan kod telah diterangkan terlebih dahulu. Perlindungan sedemikian hampir tidak boleh dipanggil boleh dipercayai.

Analisis Proses

Alat antivirus berdasarkan analisis proses berfungsi agak berbeza. Penganalisis heuristik, seperti yang diterangkan di atas, menganalisis data (pada cakera, dalam saluran, dalam ingatan, dsb.). Perbezaan asasnya ialah analisis dijalankan di bawah andaian bahawa kod yang dianalisis bukanlah data, tetapi arahan (dalam komputer dengan seni bina von Neumann, data dan arahan tidak dapat dibezakan, dan oleh itu semasa analisis adalah perlu untuk membuat satu atau yang lain. andaian.)

Penganalisis heuristik mengenal pasti urutan operasi, memberikan penilaian bahaya tertentu kepada setiap satu daripada mereka, dan berdasarkan keseluruhan bahaya, membuat keputusan sama ada jujukan operasi ini adalah sebahagian daripada kod hasad. Kod itu sendiri tidak dilaksanakan.

Satu lagi jenis alat antivirus berdasarkan analisis proses ialah penyekat tingkah laku. Dalam kes ini, kod yang mencurigakan dilaksanakan langkah demi langkah sehingga set tindakan yang dimulakan oleh kod itu dinilai sebagai tingkah laku berbahaya (atau selamat). Dalam kes ini, kod tersebut dilaksanakan sebahagiannya, memandangkan penyiapan kod hasad boleh dikesan dengan kaedah analisis data yang lebih mudah.

Teknologi pengesanan virus

Teknologi yang digunakan dalam antivirus boleh dibahagikan kepada dua kumpulan:

  • Teknologi analisis tandatangan
  • Teknologi analisis kebarangkalian

Teknologi analisis tandatangan

Analisis tandatangan ialah kaedah mengesan virus yang melibatkan pemeriksaan kehadiran tandatangan virus dalam fail. Analisis tandatangan ialah kaedah yang paling terkenal untuk mengesan virus dan digunakan dalam hampir semua antivirus moden. Untuk melakukan imbasan, antivirus memerlukan satu set tandatangan virus, yang disimpan dalam pangkalan data antivirus.

Disebabkan oleh fakta bahawa analisis tandatangan melibatkan pemeriksaan fail untuk kehadiran tandatangan virus, pangkalan data anti-virus perlu dikemas kini secara berkala untuk memastikan anti-virus dikemas kini. Prinsip operasi analisis tandatangan juga menentukan sempadan fungsinya - keupayaan untuk mengesan virus yang sudah diketahui sahaja - pengimbas tandatangan tidak berkuasa terhadap virus baru.

Sebaliknya, kehadiran tandatangan virus mencadangkan kemungkinan merawat fail yang dijangkiti yang dikesan menggunakan analisis tandatangan. Walau bagaimanapun, rawatan tidak boleh dilakukan untuk semua virus - Trojan dan kebanyakan worm tidak boleh dirawat kerana ciri reka bentuknya, kerana ia adalah modul pepejal yang dicipta untuk menyebabkan kerosakan.

Pelaksanaan tandatangan virus yang betul membolehkan anda mengesan virus yang diketahui dengan kebarangkalian seratus peratus.

Teknologi analisis kebarangkalian

Teknologi analisis probabilistik pula dibahagikan kepada tiga kategori:

  • Analisis heuristik
  • Analisis tingkah laku
  • Analisis checksum

Analisis heuristik

Analisis heuristik ialah teknologi berdasarkan algoritma probabilistik, yang hasilnya adalah pengenalpastian objek yang mencurigakan. Semasa proses analisis heuristik, struktur fail dan pematuhannya dengan corak virus disemak. Teknologi heuristik yang paling popular ialah menyemak kandungan fail untuk pengubahsuaian tandatangan virus yang sudah diketahui dan gabungannya. Ini membantu untuk mengesan hibrid dan versi baharu virus yang diketahui sebelum ini tanpa pengemaskinian tambahan pangkalan data anti-virus.

Analisis heuristik digunakan untuk mengesan virus yang tidak diketahui, dan, akibatnya, tidak melibatkan rawatan. Teknologi ini tidak 100% mampu untuk menentukan sama ada virus berada di hadapannya atau tidak, dan seperti mana-mana algoritma kebarangkalian ia mengalami positif palsu.

Analisis tingkah laku

Analisis tingkah laku ialah teknologi di mana keputusan tentang sifat objek yang diuji dibuat berdasarkan analisis operasi yang dilakukannya. Analisis tingkah laku sangat sempit digunakan dalam amalan, kerana kebanyakan ciri tindakan virus boleh dilakukan oleh aplikasi biasa. Yang paling terkenal ialah penganalisis tingkah laku skrip dan makro, kerana virus yang sepadan hampir selalu melakukan beberapa tindakan yang serupa.

Langkah keselamatan yang dibina ke dalam BIOS juga boleh diklasifikasikan sebagai penganalisis tingkah laku. Apabila anda cuba membuat perubahan pada MBR komputer, penganalisis menyekat tindakan dan memaparkan pemberitahuan yang sepadan kepada pengguna.

Di samping itu, penganalisis tingkah laku boleh memantau percubaan untuk mengakses terus fail, perubahan pada rekod but cakera liut, pemformatan cakera keras, dsb.

Penganalisis tingkah laku tidak menggunakan objek tambahan yang serupa dengan pangkalan data virus untuk beroperasi dan, akibatnya, tidak dapat membezakan antara virus yang diketahui dan tidak diketahui - semua program yang mencurigakan adalah priori yang dianggap sebagai virus yang tidak diketahui. Begitu juga, ciri pengendalian alatan yang melaksanakan teknologi analisis tingkah laku tidak membayangkan rawatan.

Analisis checksum

Analisis checksum ialah cara menjejaki perubahan pada objek sistem komputer. Berdasarkan analisis sifat perubahan - serentak, kejadian jisim, perubahan yang sama dalam panjang fail - kita boleh membuat kesimpulan bahawa sistem itu dijangkiti. Penganalisis checksum (juga dipanggil juruaudit perubahan), seperti penganalisis tingkah laku, tidak menggunakan objek tambahan dalam kerja mereka dan mengeluarkan keputusan mengenai kehadiran virus dalam sistem secara eksklusif melalui kaedah penilaian pakar. Teknologi serupa digunakan dalam pengimbas atas akses - semasa imbasan pertama, jumlah semak dikeluarkan daripada fail dan diletakkan dalam cache; sebelum imbasan seterusnya bagi fail yang sama, jumlah semak dikeluarkan semula, dibandingkan, dan jika tiada berubah, fail itu dianggap tidak dijangkiti.

Kompleks antivirus

Kompleks anti-virus - satu set anti-virus menggunakan kernel atau kernel anti-virus yang sama, direka untuk menyelesaikan masalah praktikal dalam memastikan keselamatan anti-virus sistem komputer. Kompleks anti-virus juga semestinya termasuk alat untuk mengemas kini pangkalan data anti-virus.

Selain itu, kompleks anti-virus mungkin juga termasuk penganalisis tingkah laku dan juruaudit perubahan yang tidak menggunakan teras anti-virus.

Jenis kompleks antivirus berikut dibezakan:

  • Kompleks anti-virus untuk melindungi stesen kerja
  • Kompleks anti-virus untuk melindungi pelayan fail
  • Kompleks anti-virus untuk melindungi sistem mel
  • Kompleks anti-virus untuk melindungi pintu masuk.

Antivirus desktop awan dan tradisional: apa yang perlu dipilih?

(Berdasarkan bahan dari Webroot.com)

Pasaran moden produk antivirus terdiri terutamanya daripada penyelesaian tradisional untuk sistem desktop, mekanisme perlindungan yang dibina berdasarkan kaedah tandatangan. Kaedah alternatif perlindungan anti-virus ialah penggunaan analisis heuristik.

Masalah dengan perisian antivirus tradisional

Baru-baru ini, teknologi antivirus tradisional telah menjadi semakin kurang berkesan dan dengan cepat menjadi ketinggalan zaman, yang disebabkan oleh beberapa faktor. Bilangan ancaman virus yang diiktiraf oleh tandatangan sudah begitu besar sehingga memastikan 100% pengemaskinian pangkalan data tandatangan tepat pada masanya pada komputer pengguna selalunya merupakan tugas yang tidak realistik. Penggodam dan penjenayah siber semakin menggunakan botnet dan teknologi lain yang mempercepatkan penyebaran ancaman virus sifar hari. Di samping itu, apabila serangan yang disasarkan dijalankan, tandatangan virus yang sepadan tidak dibuat. Akhir sekali, teknologi baharu untuk menentang pengesanan anti-virus digunakan: penyulitan perisian hasad, penciptaan virus polimorfik pada bahagian pelayan, ujian awal kualiti serangan virus.

Perlindungan anti-virus tradisional paling kerap dibina dalam seni bina "klien tebal". Ini bermakna sejumlah besar kod perisian dipasang pada komputer pelanggan. Dengan bantuannya, data masuk diimbas dan kehadiran ancaman virus dikesan.

Pendekatan ini mempunyai beberapa kelemahan. Pertama, mengimbas perisian hasad dan membandingkan tandatangan memerlukan beban pengiraan yang ketara, yang menghilangkan pengguna. Akibatnya, produktiviti komputer berkurangan, dan pengendalian antivirus kadangkala mengganggu tugas aplikasi selari. Kadangkala beban pada sistem pengguna sangat ketara sehingga pengguna melumpuhkan program antivirus, dengan itu menghilangkan halangan kepada serangan virus yang berpotensi.

Kedua, setiap kemas kini pada mesin pengguna memerlukan penghantaran beribu-ribu tandatangan baharu. Jumlah data yang dipindahkan biasanya kira-kira 5 MB sehari bagi setiap mesin. Pemindahan data memperlahankan rangkaian, menggunakan sumber sistem tambahan dan memerlukan penglibatan pentadbir sistem untuk mengawal trafik.

Ketiga, pengguna yang merayau atau berada pada jarak yang jauh dari tempat kerja tetap tidak berdaya melawan serangan sifar hari. Untuk menerima bahagian tandatangan yang dikemas kini, mereka mesti menyambung ke rangkaian VPN yang tidak boleh diakses oleh mereka dari jauh.

Perlindungan antivirus daripada awan

Apabila beralih kepada perlindungan antivirus daripada awan, seni bina penyelesaian berubah dengan ketara. Pelanggan "ringan" dipasang pada komputer pengguna, fungsi utamanya adalah untuk mencari fail baharu, mengira nilai cincang dan menghantar data ke pelayan awan. Dalam awan, perbandingan skala penuh dijalankan, dilakukan pada pangkalan data besar tandatangan yang dikumpul. Pangkalan data ini sentiasa dikemas kini dan tepat pada masanya menggunakan data yang dihantar oleh syarikat antivirus. Pelanggan menerima laporan dengan hasil pemeriksaan.

Oleh itu, seni bina awan perlindungan antivirus mempunyai beberapa kelebihan:

  • jumlah pengiraan pada komputer pengguna ternyata boleh diabaikan berbanding dengan pelanggan yang tebal, oleh itu, produktiviti pengguna tidak berkurangan;
  • tiada kesan bencana trafik anti-virus pada daya pemprosesan rangkaian: sekeping data padat yang mengandungi hanya beberapa dozen nilai hash mesti dipindahkan, jumlah purata trafik harian tidak melebihi 120 KB;
  • storan awan mengandungi tatasusunan besar tandatangan, jauh lebih besar daripada yang disimpan pada komputer pengguna;
  • algoritma perbandingan tandatangan yang digunakan dalam awan adalah jauh lebih pintar berbanding model ringkas yang digunakan pada peringkat stesen tempatan, dan disebabkan prestasi yang lebih tinggi, perbandingan data memerlukan lebih sedikit masa;
  • perkhidmatan antivirus awan berfungsi dengan data sebenar yang diterima daripada makmal antivirus, pembangun keselamatan, pengguna korporat dan persendirian; Ancaman sifar hari disekat serentak dengan pengiktirafannya, tanpa kelewatan yang disebabkan oleh keperluan untuk mendapatkan akses kepada komputer pengguna;
  • pengguna yang merayau atau tanpa akses kepada stesen kerja utama mereka menerima perlindungan daripada serangan sifar hari serentak dengan akses ke Internet;
  • Beban kerja pentadbir sistem dikurangkan: mereka tidak perlu menghabiskan masa memasang perisian anti-virus pada komputer pengguna, serta mengemas kini pangkalan data tandatangan.

Mengapa antivirus tradisional gagal

Kod hasad moden boleh:

  • Pintas perangkap antivirus dengan mencipta virus sasaran khas untuk syarikat
  • Sebelum antivirus mencipta tandatangan, ia akan mengelak menggunakan polimorfisme, transcoding, menggunakan DNS dinamik dan URL
  • Penciptaan yang disasarkan untuk syarikat
  • Polimorfisme
  • Kod tidak diketahui oleh sesiapa lagi - tiada tandatangan

Sukar untuk dipertahankan

Antivirus pantas 2011

Pusat maklumat dan analisis bebas Rusia Anti-Malware.ru diterbitkan pada Mei 2011 hasil ujian perbandingan lain daripada 20 antivirus paling popular mengenai prestasi dan penggunaan sumber sistem.

Tujuan ujian ini adalah untuk menunjukkan antivirus peribadi yang mempunyai kesan paling sedikit pada operasi biasa pengguna pada komputer, memperlahankan operasinya dengan kurang dan menggunakan jumlah minimum sumber sistem.

Antara pemantau antivirus (pengimbas masa nyata), seluruh kumpulan produk menunjukkan kelajuan operasi yang sangat tinggi, termasuk: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro dan Dr.Web. Dengan adanya antivirus ini, kelembapan dalam menyalin koleksi ujian adalah kurang daripada 20% berbanding standard. Antivirus memantau BitDefender, Alat PC, Outpost, F-Secure, Norton dan Emsisoft juga menunjukkan hasil prestasi tinggi, berada dalam julat 30-50%. Antivirus memantau BitDefender, Alat PC, Outpost, F-Secure, Norton dan Emsisoft juga menunjukkan hasil prestasi tinggi, berada dalam julat 30-50%.

Pada masa yang sama, Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost dan Alat PC dalam keadaan sebenar boleh menjadi lebih pantas kerana pengoptimuman pemeriksaan berikutnya.

Antivirus Avira menunjukkan kelajuan pengimbasan atas permintaan yang terbaik. Ia sedikit lebih rendah daripada Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus dan Outpost. Dari segi kelajuan imbasan pertama, antivirus ini hanya lebih rendah sedikit daripada pemimpin, pada masa yang sama, mereka semua mempunyai teknologi kuat senjata mereka untuk mengoptimumkan imbasan berulang.

Satu lagi ciri penting kelajuan antivirus ialah kesannya terhadap pengendalian program aplikasi yang sering digunakan oleh pengguna. Lima telah dipilih untuk ujian: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader dan Adobe Photoshop. Kelembapan paling sedikit dalam pelancaran program pejabat ini ditunjukkan oleh antivirus Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost dan G Data.



ARTIKEL BERKAITAN