Samenvatting: Classificatie van antivirale middelen. Antivirusprogramma's. Classificatie van virussen Classificatie van virussen en antivirussoftware

malware-antivirusinfectie

Om succesvol te kunnen werken, moeten virussen controleren of het bestand al is geïnfecteerd (door hetzelfde virus). Zo voorkomen ze zelfvernietiging. Om dit te doen, gebruiken virussen een handtekening. De meeste voorkomende virussen (inclusief macrovirussen) gebruiken karakterhandtekeningen. Complexere virussen (polymorf) gebruiken handtekeningen van algoritmen. Ongeacht het type virushandtekening gebruiken antivirusprogramma’s deze om ‘computerinfecties’ te detecteren. Hierna probeert het antivirusprogramma het gedetecteerde virus te vernietigen. Dit proces is echter afhankelijk van de complexiteit van het virus en de kwaliteit van het antivirusprogramma. Zoals reeds vermeld, zijn Trojaanse paarden en polymorfe virussen het moeilijkst te detecteren. De eerste voegen hun body niet toe aan het programma, maar voegen deze erin in. Aan de andere kant moeten antivirusprogramma's behoorlijk wat tijd besteden aan het bepalen van de signatuur van polymorfe virussen. Feit is dat hun handtekeningen veranderen bij elk nieuw exemplaar.

Om computervirussen te detecteren, verwijderen en ertegen te beschermen, zijn er speciale programma's die antivirusprogramma's worden genoemd. Moderne antivirusprogramma's zijn multifunctionele producten die zowel preventieve als virusbehandeling en tools voor gegevensherstel combineren.

Het aantal en de verscheidenheid aan virussen is groot, en om ze snel en effectief te kunnen detecteren, moet een antivirusprogramma aan bepaalde parameters voldoen:

1. Stabiliteit en betrouwbaarheid van de werking.

2. De omvang van de virusdatabase van het programma (het aantal virussen dat correct door het programma wordt geïdentificeerd): rekening houdend met de voortdurende opkomst van nieuwe virussen, moet de database regelmatig worden bijgewerkt.

3. Het vermogen van het programma om verschillende soorten virussen te detecteren, en de mogelijkheid om met bestanden van verschillende typen te werken (archieven, documenten).

4. De aanwezigheid van een interne monitor die alle nieuwe bestanden “on the fly” controleert (dat wil zeggen automatisch terwijl ze naar schijf worden geschreven).

5. De snelheid van het programma, de aanwezigheid van extra functies zoals algoritmen voor het detecteren van zelfs voor het programma onbekende virussen (heuristisch scannen).

6. De mogelijkheid om geïnfecteerde bestanden te herstellen zonder ze van de harde schijf te wissen, maar alleen door virussen ervan te verwijderen.

7. Het percentage valse positieven van het programma (foutieve detectie van een virus in een “schoon” bestand).

8. Cross-platform (beschikbaarheid van programmaversies voor verschillende besturingssystemen).

Classificatie van antivirusprogramma's:

1. Detectorprogramma's zoeken naar en detecteren virussen in het RAM-geheugen en externe media, en geven bij detectie een overeenkomstig bericht af. Detectoren worden onderscheiden:

Universeel - ze gebruiken in hun werk om de onveranderlijkheid van bestanden te controleren door te tellen en te vergelijken met een checksum-standaard;

Gespecialiseerd - zoek naar bekende virussen op basis van hun handtekening (een herhaald stuk code).

2. Artsenprogramma's (fagen) vinden niet alleen bestanden die zijn geïnfecteerd met virussen, maar 'behandelen' ze ook, d.w.z. verwijder de hoofdtekst van het virusprogramma uit het bestand en breng de bestanden terug naar hun oorspronkelijke staat. Aan het begin van hun werk zoeken fagen naar virussen in het RAM-geheugen, vernietigen ze en gaan dan pas verder met het "opschonen" van bestanden. Onder de fagen worden polyfagen onderscheiden, d.w.z. Dokterprogramma's die zijn ontworpen om een ​​groot aantal virussen te zoeken en te vernietigen.

3. Auditprogramma's behoren tot de meest betrouwbare beschermingsmiddelen tegen virussen. Auditors onthouden de initiële status van programma's, mappen en systeemgebieden op de schijf wanneer de computer niet is geïnfecteerd met een virus, en vergelijken vervolgens periodiek of op verzoek van de gebruiker de huidige status met de oorspronkelijke. Gedetecteerde wijzigingen worden weergegeven op het monitorscherm.

4. Filterprogramma's (wachters) zijn kleine residente programma's die zijn ontworpen om verdachte acties tijdens het gebruik van de computer te detecteren, kenmerkend voor virussen. Dergelijke acties kunnen zijn:

Pogingen om bestanden met COM- en EXE-extensies te corrigeren;

Bestandskenmerken wijzigen;

Direct schrijven naar schijf op absoluut adres;

Schrijf naar opstartsectoren van de schijf;

5. Vaccinprogramma's (immunisatoren) zijn residente programma's die bestandsinfectie voorkomen. Vaccins worden gebruikt als er geen doktersprogramma’s zijn die dit virus ‘behandelen’. Vaccinatie is alleen mogelijk tegen bekende virussen van N. Bezrukov Computervirologie: Leerboek [Elektronische hulpbron]: http://vx.netlux.org/lib/anb00.html.

In feite is de architectuur van antivirusprogramma's veel complexer en afhankelijk van de specifieke ontwikkelaar. Maar één feit valt niet te ontkennen: alle technologieën waar ik het over had, zijn zo nauw met elkaar verweven dat het soms onmogelijk is te begrijpen wanneer sommige in gebruik worden genomen en andere beginnen te werken. Door deze interactie van antivirustechnologieën kunnen ze het meest effectief worden gebruikt in de strijd tegen virussen. Maar vergeet niet dat perfecte bescherming niet bestaat, en de enige manier om uzelf tegen dergelijke problemen te beschermen is constante OS-updates, een goed geconfigureerde firewall, regelmatig bijgewerkte antivirusprogramma's en - het allerbelangrijkste - start/download geen verdachte bestanden van de computer. Internet.

De gebruiker van een moderne personal computer heeft gratis toegang tot alle bronnen van de machine. Dit opende de mogelijkheid van het bestaan ​​van een gevaar dat een computervirus werd genoemd.

Een computervirus is een speciaal geschreven programma dat zich spontaan aan andere programma's kan hechten, kopieën van zichzelf kan maken en deze in bestanden, systeemgebieden van de computer en computernetwerken kan introduceren om de werking van programma's te verstoren, bestanden en mappen te beschadigen, en allerlei soorten interferentie veroorzaken bij het werken op de computer. Afhankelijk van hun habitat kunnen virussen worden onderverdeeld in netwerkvirussen, bestandsvirussen, opstartvirussen, bestandsopstartvirussen, macrovirussen en Trojaanse paarden.

  • Netwerkvirussen verspreid over verschillende computernetwerken.
  • Bestandsvirussen worden voornamelijk geïmplementeerd in uitvoerbare modules. Bestandsvirussen kunnen in andere soorten bestanden worden ingebed, maar als ze in dergelijke bestanden worden geschreven, krijgen ze in de regel nooit controle en verliezen ze daarom het vermogen om zich te reproduceren.
  • Opstartvirussen zijn ingebed in de opstartsector van de schijf (Bootsector) of in de sector die het opstartprogramma van de systeemschijf bevat (Master Boot Record).
  • Virussen voor het opstarten van bestanden zowel bestanden als opstartsectoren van schijven infecteren.
  • Macro-virussen zijn geschreven in talen op hoog niveau en vallen documentbestanden aan van applicaties die ingebouwde automatiseringstalen (macrotalen) hebben, zoals applicaties uit de Microsoft Office-familie.
  • Trojaanse paarden, die zich voordoen als nuttige programma's, zijn een bron van computervirusinfecties.

Om computervirussen op te sporen, te verwijderen en ertegen te beschermen, zijn er verschillende soorten speciale programma's ontwikkeld waarmee u virussen kunt detecteren en vernietigen. Dergelijke programma's worden antivirusprogramma's genoemd. Er worden de volgende soorten onderscheiden: antivirusprogramma's:

  • - detectorprogramma's;
  • - doktersprogramma's, of fagen;
  • - auditprogramma's;
  • - filterprogramma's;
  • - vaccinatieprogramma's of immunisatoren.

Detectorprogramma's Ze zoeken naar een handtekening die kenmerkend is voor een bepaald virus in het RAM-geheugen en de bestanden en geven, indien gevonden, een bijbehorend bericht af. Het nadeel van dergelijke antivirusprogramma's is dat ze alleen virussen kunnen vinden die bekend zijn bij de ontwikkelaars van dergelijke programma's.

Dokter programma's of ook fagen vaccinprogramma's niet alleen bestanden vinden die zijn geïnfecteerd met virussen, maar ze ook 'behandelen', d.w.z. verwijder de hoofdtekst van het virusprogramma uit het bestand en breng de bestanden terug naar hun oorspronkelijke staat. Aan het begin van hun werk zoeken fagen naar virussen in het RAM-geheugen, vernietigen ze en gaan dan pas verder met het "opschonen" van bestanden. Onder de fagen zijn er polyfagen, d.w.z. doktersprogramma's die zijn ontworpen om een ​​groot aantal virussen te zoeken en te vernietigen. De bekendste: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

Omdat er voortdurend nieuwe virussen verschijnen, raken detectorprogramma's en doktersprogramma's snel verouderd en zijn regelmatige versie-updates vereist.

Auditorprogramma's behoren tot de meest betrouwbare beschermingsmiddelen tegen virussen. Auditors onthouden de initiële status van programma's, mappen en systeemgebieden op de schijf wanneer de computer niet is geïnfecteerd met een virus, en vergelijken vervolgens periodiek of op verzoek van de gebruiker de huidige status met de oorspronkelijke. Gedetecteerde wijzigingen worden weergegeven op het monitorscherm. In de regel wordt de statusvergelijking onmiddellijk na het laden van het besturingssysteem uitgevoerd. Bij het vergelijken worden de bestandslengte, de cyclische controlecode (bestandscontrolesom), de datum en tijd van wijziging en andere parameters gecontroleerd. Auditorprogramma's beschikken over redelijk ontwikkelde algoritmen, detecteren stealth-virussen en kunnen zelfs wijzigingen in de versie van het programma dat wordt gecontroleerd onderscheiden van wijzigingen die door het virus zijn aangebracht. Auditorprogramma's omvatten het veelgebruikte Kaspersky Monitor-programma.

Programma's filteren of “watchmen” zijn kleine programma’s die zijn ontworpen om verdachte acties tijdens het gebruik van de computer te detecteren, kenmerkend voor virussen. Dergelijke acties kunnen zijn:

  • - probeert bestanden met COM-extensies te corrigeren. EXE;
  • - bestandskenmerken wijzigen;
  • - directe opname op schijf op een absoluut adres;
  • - schrijven naar opstartsectoren van de schijf;

Wanneer een programma de gespecificeerde acties probeert uit te voeren, stuurt de “bewaker” een bericht naar de gebruiker en biedt aan om de bijbehorende actie te verbieden of toe te staan. Filterprogramma's zijn erg handig. omdat ze het virus in de vroegste fase van zijn bestaan, vóór de voortplanting, kunnen detecteren. Ze “repareren” echter geen bestanden en schijven.

Om virussen te vernietigen, moet je andere programma's gebruiken, zoals fagen. De nadelen van watchdog-programma's zijn onder meer hun "opdringerigheid" (ze geven bijvoorbeeld voortdurend waarschuwingen over elke poging om een ​​uitvoerbaar bestand te kopiëren), evenals mogelijke conflicten met andere software.

Vaccins of immunisatoren Dit zijn bewonersprogramma's. het voorkomen van bestandsinfectie. Vaccins worden gebruikt als er geen doktersprogramma’s zijn die dit virus ‘behandelen’. Vaccinatie is alleen mogelijk tegen bekende virussen. Het vaccin past het programma of de schijf zodanig aan dat dit de werking ervan niet beïnvloedt, en het virus zal het als geïnfecteerd beschouwen en daarom geen wortel schieten. Momenteel hebben vaccinprogramma's een beperkt nut.

Tijdige detectie van met virussen geïnfecteerde bestanden en schijven en volledige vernietiging van gedetecteerde virussen op elke computer helpen de verspreiding van een virusepidemie naar andere computers te voorkomen.

Ondanks het feit dat algemene informatiebeveiliging en preventieve maatregelen van groot belang zijn voor de bescherming tegen virussen, is het gebruik van gespecialiseerde programma's noodzakelijk. Deze programma's kunnen in verschillende typen worden onderverdeeld:

  • ? Detectorprogramma's controleren of de bestanden op de schijf een specifieke combinatie van bytes (handtekening) bevatten voor een bekend virus en rapporteren dit aan de gebruiker (VirusScan/SCAN/McAfee Associates).
  • ? Dokterprogramma's of fagen 'behandelen' geïnfecteerde programma's door het lichaam van het virus uit geïnfecteerde programma's 'uit te bijten', zowel met als zonder herstel van de habitat (geïnfecteerd bestand) - de genezingsmodule van het SCAN-programma - het CLEAN-programma.
  • ? Doctor-detectorprogramma's (Lozinsky's Aidstest, Danilov's Doctor Web, MSAV, Norton Antivirus, Kaspersky's AVP) kunnen de aanwezigheid van een bekend virus op een schijf detecteren en het geïnfecteerde bestand genezen. De meest voorkomende groep antivirusprogramma's van vandaag.

In het eenvoudigste geval ziet het commando om de inhoud van de schijf op virussen te controleren er als volgt uit: aidstest / key1 / key 2 / key 3 /---

  • ? Filterprogramma's (wachters) bevinden zich in het RAM-geheugen van de pc en onderscheppen de oproepen naar het besturingssysteem die door virussen worden gebruikt om zich te reproduceren en schade aan te richten, en rapporteren deze aan de gebruiker:
  • - een poging om het hoofdbestand van het besturingssysteem COMMAND.COM te beschadigen;
  • - een poging om rechtstreeks naar de schijf te schrijven (het vorige record is verwijderd) en er verschijnt een bericht dat een programma naar de schijf probeert te kopiëren;
  • - schijfformattering,
  • - residente plaatsing van het programma in het geheugen.

Nadat het filterprogramma een poging tot een van deze acties heeft gedetecteerd, geeft het de gebruiker een beschrijving van de situatie en vereist het bevestiging van hem. De gebruiker kan deze bewerking toestaan ​​of weigeren. Controle van acties, kenmerkend voor virussen, wordt uitgevoerd door de overeenkomstige interrupthandlers te vervangen. De nadelen van deze programma's zijn onder meer opdringerigheid (de bewaker geeft bijvoorbeeld een waarschuwing bij elke poging om een ​​uitvoerbaar bestand te kopiëren), mogelijke conflicten met andere software en het omzeilen van de bewakers door sommige virussen. Voorbeelden van filters: Anti4us, Vsafe, Schijfmonitor.

Opgemerkt moet worden dat tegenwoordig veel programma's van de arts-detectorklasse ook een residente module hebben - filter (bewaker), bijvoorbeeld DR Web, AVP, Norton Antivirus. Dergelijke programma's kunnen dus worden geclassificeerd als arts-detector-bewaker.

  • ? Hardware- en software-antivirushulpmiddelen (Sheriff-hardware- en softwarecomplex). Op gelijke voet met watchdog-programma's zijn hardware- en software-antivirusprogramma's die een betrouwbaardere bescherming bieden tegen het binnendringen van virussen in het systeem. Dergelijke complexen bestaan ​​uit twee delen: hardware, die is geïnstalleerd in de vorm van een microschakeling op het moederbord, en software, die op schijf is vastgelegd. Het hardwaregedeelte (controller) bewaakt alle schrijfbewerkingen naar de schijf, terwijl het softwaregedeelte, dat zich in het RAM bevindt, alle informatie-invoer/uitvoerbewerkingen bewaakt. De mogelijkheid om deze tools te gebruiken vereist echter een zorgvuldige afweging wat betreft de configuratie van extra apparatuur die op de pc wordt gebruikt, bijvoorbeeld schijfcontrollers, modems of netwerkkaarten.
  • ? Auditorprogramma's (Adinf/Advanced Disk infoscope/met behandelingsblok ADinf Cure Module Mostovoy). Auditprogramma's kennen twee werkfasen. Ten eerste onthouden ze informatie over de status van programma's en systeemgebieden van schijven (opstartsector en sector met een tabel voor het verdelen van de harde schijf in logische partities). Er wordt aangenomen dat programma's en systeemschijfgebieden op dit moment niet zijn geïnfecteerd. Wanneer vervolgens systeemgebieden en schijven worden vergeleken met de originele, wordt de gebruiker op de hoogte gesteld als er een discrepantie wordt gevonden. Auditorprogramma's zijn in staat onzichtbare (STEALTH) virussen te detecteren. Het controleren van de bestandslengte is niet voldoende; sommige virussen veranderen de lengte van geïnfecteerde bestanden niet. Een betrouwbaardere controle is om het hele bestand te lezen en de controlesom ervan (stukje voor beetje) te berekenen. Het is bijna onmogelijk om het hele bestand zo te wijzigen dat de controlesom hetzelfde blijft. Kleine nadelen van auditors zijn onder meer het feit dat ze om de veiligheid te garanderen regelmatig moeten worden gebruikt, bijvoorbeeld dagelijks aangeroepen vanuit het AUTOEXEC.BAT-bestand. Maar hun onbetwiste voordelen zijn de hoge snelheid van de controles en het feit dat ze geen frequente versie-updates vereisen. Versies van de auditor, zelfs zes maanden oud, detecteren en verwijderen op betrouwbare wijze moderne virussen.
  • ? Vaccin- of immunisatieprogramma's (CPAV). Vaccinprogramma's passen programma's en schijven zodanig aan dat dit de werking van de programma's niet beïnvloedt, maar het virus waartegen wordt gevaccineerd, beschouwt deze programma's en schijven als reeds geïnfecteerd. Deze programma's zijn niet effectief genoeg.

Conventioneel kan een strategie ter bescherming tegen een virus worden gedefinieerd als een ‘gelaagde’ verdediging op meerdere niveaus. Structureel zou het er zo uit kunnen zien. Verkenningshulpmiddelen ter “verdediging” tegen virussen komen overeen met detectieprogramma’s waarmee u nieuw ontvangen software kunt detecteren op de aanwezigheid van virussen. In de voorhoede van de verdediging bevinden zich filterprogramma's die zich in het geheugen van de computer bevinden. Deze programma's kunnen als eerste de werking van het virus melden. Het tweede echelon van ‘verdediging’ bestaat uit auditprogramma’s. Auditors detecteren een virusaanval, zelfs als deze erin is geslaagd via de frontlinie van de verdediging te ‘lekken’. Dokterprogramma's worden gebruikt om geïnfecteerde programma's te herstellen als er geen kopie van het geïnfecteerde programma in het archief aanwezig is, maar deze herstellen niet altijd correct. Dokters-inspecteurs detecteren een virusaanval, behandelen geïnfecteerde programma’s en controleren de juistheid van de behandeling. Het diepste niveau van verdediging zijn middelen voor toegangscontrole. Ze laten niet toe dat virussen en slecht functionerende programma's, zelfs als ze de pc zijn binnengedrongen, belangrijke gegevens bederven. De ‘strategische reserve’ bevat archiefkopieën van informatie en ‘referentie’-diskettes met softwareproducten. Hiermee kunt u informatie herstellen als deze beschadigd is.

De schadelijke acties van elk type virus kunnen zeer divers zijn. Dit omvat het verwijderen van belangrijke bestanden of zelfs BIOS-firmware, het overbrengen van persoonlijke informatie, zoals wachtwoorden, naar een specifiek adres, het organiseren van ongeautoriseerde e-mailcampagnes en aanvallen op bepaalde websites. Het is ook mogelijk om via een mobiele telefoon te gaan bellen naar betaalde nummers. Verborgen beheerhulpprogramma's (achterdeur) kunnen zelfs de volledige controle over de computer aan een aanvaller overdragen. Gelukkig kunnen al deze problemen met succes worden bestreden, en het belangrijkste wapen in deze strijd zal uiteraard antivirussoftware zijn.

Kaspersky antivirus. Misschien is “Kaspersky Anti-Virus” het bekendste product van dit type in Rusland, en is de naam “Kaspersky” synoniem geworden met de strijder tegen kwaadaardige codes. Het gelijknamige laboratorium brengt niet alleen voortdurend nieuwe versies van zijn beveiligingssoftware uit, maar voert ook educatief werk uit onder computergebruikers. De nieuwste, negende versie van Kaspersky Anti-Virus onderscheidt zich, net als eerdere releases, door een eenvoudige en uiterst transparante interface die alle noodzakelijke hulpprogramma's in één venster combineert. Dankzij de installatiewizard en intuïtieve menuopties kan zelfs een beginnende gebruiker dit product configureren. De kracht van de gebruikte algoritmen zal zelfs professionals tevreden stellen. Een gedetailleerde beschrijving van elk van de gedetecteerde virussen kunt u vinden door rechtstreeks vanuit het programma de overeenkomstige pagina op internet te openen.

dr. Web. Een ander populair Russisch antivirusprogramma, dat qua populariteit kan wedijveren met Kaspersky Anti-Virus, is Dr. Web. De proefversie heeft een interessant kenmerk: het vereist verplichte registratie via internet. Aan de ene kant is dit erg goed: onmiddellijk na registratie wordt de antivirusdatabase bijgewerkt en ontvangt de gebruiker de nieuwste gegevens over handtekeningen. Aan de andere kant is het onmogelijk om de proefversie offline te installeren en, zoals de ervaring heeft geleerd, zijn problemen onvermijdelijk met een onstabiele verbinding.

Panda Antivirus + Firewall 2007. Een uitgebreide oplossing op het gebied van computerbeveiliging - het Panda Antivirus + Firewall 2007-pakket - omvat naast het antivirusprogramma een firewall die de netwerkactiviteit bewaakt. De interface van het hoofdprogrammavenster is ontworpen in "natuurlijke" groene tinten, maar ondanks de visuele aantrekkingskracht is het menunavigatiesysteem onhandig gebouwd, en een beginnende gebruiker kan heel goed in de war raken in de instellingen.

Het Panda-pakket bevat verschillende originele oplossingen, zoals TruePrevent, een eigen technologie voor het zoeken naar onbekende bedreigingen, gebaseerd op de modernste heuristische algoritmen. Het is ook de moeite waard om aandacht te besteden aan het hulpprogramma voor het zoeken naar computerkwetsbaarheden - het beoordeelt het gevaar van "gaten" in het beveiligingssysteem en biedt aan om de nodige updates te downloaden.

Norton Antivirus 2005. De belangrijkste indruk van het product van het beroemde bedrijf Symantec - het antiviruscomplex Norton Antivirus 2005 - is de focus op krachtige computersystemen. De reactie van de Norton Antivirus 2005-interface op gebruikersacties is merkbaar vertraagd. Bovendien stelt het tijdens de installatie vrij strenge eisen aan de versies van het besturingssysteem en Internet Explorer. In tegenstelling tot Dr.Web hoeft Norton Antivirus de virusdatabases niet bij te werken tijdens de installatie, maar zal het u er gedurende de hele operatie aan herinneren dat ze verouderd zijn.

McAfee VirusScan. We kozen voor een interessant antivirusproduct, dat volgens de ontwikkelaars de nummer 1 scanner ter wereld is - McAfee VirusScan - om te testen, omdat het, van vergelijkbare applicaties, opviel door zijn grote distributieomvang (meer dan 40 MB ). In de overtuiging dat deze waarde te danken was aan de brede functionaliteit, gingen we verder met de installatie en ontdekten dat deze naast de antivirusscanner een firewall bevatte, evenals hulpprogramma's voor het opschonen van de harde schijf en het gegarandeerd verwijderen van objecten van de harde schijf schijf (bestandsvernietiger).

Vragen voor de hoofdstukken 6 en 7

  • 1. Fasen van de ontwikkeling van instrumenten en technologieën voor informatiebeveiliging.
  • 2. Onderdelen van het standaard beveiligingsmodel.
  • 3. Bronnen van veiligheidsbedreigingen en hun classificatie.
  • 4. Onopzettelijke bedreigingen voor de informatiebeveiliging.
  • 5. Opzettelijke bedreigingen voor de informatiebeveiliging.
  • 6. Classificatie van informatielekkanalen.
  • 7. Regulering van informatiebeveiligingsproblemen.
  • 8. Structuur van heteem.
  • 9. Methoden en middelen voor informatiebeveiliging.
  • 10. Classificatie van bedreigingen voor de gegevensbeveiliging.
  • 11. Methoden om informatie tegen virussen te beschermen.
  • 12. Methoden voor integriteitscontrole.
  • 13. Classificatie van computervirussen.
  • 14. Antivirusbescherming.
  • 15. Preventieve antivirusmaatregelen.
  • 16. Classificatie van antivirussoftwareproducten.

Basismethoden voor het detecteren van virussen

antivirusprogramma's die parallel zijn ontwikkeld met de evolutie van virussen. Naarmate er nieuwe technologieën voor het maken van virussen opkwamen, werd het wiskundige apparaat dat werd gebruikt bij de ontwikkeling van antivirussen complexer.

De eerste antivirusalgoritmen waren gebaseerd op vergelijking met een standaard. We hebben het over programma's waarin het virus door de klassieke kernel wordt gedetecteerd met behulp van een bepaald masker. Het doel van het algoritme is om statistische methoden te gebruiken. Het masker moet enerzijds klein zijn, zodat het bestandsvolume een acceptabele omvang heeft, en anderzijds groot genoeg om valse positieven te voorkomen (wanneer “de eigen” wordt gezien als “die van iemand anders”, en vice versa omgekeerd).

De eerste antivirusprogramma's die op dit principe waren gebouwd (de zogenaamde polyfaagscanners) kenden een bepaald aantal virussen en wisten hoe ze deze moesten behandelen. Deze programma's zijn als volgt gemaakt: nadat de ontwikkelaar de viruscode had ontvangen (de viruscode was aanvankelijk statisch), creëerde hij op basis van deze code een uniek masker (een reeks van 10-15 bytes) en voerde deze in de database van het antivirusprogramma in. Het antivirusprogramma scande de bestanden en concludeerde dat het bestand geïnfecteerd was als het deze reeks bytes aantrof. Deze reeks (handtekening) werd zo gekozen dat deze uniek was en niet in een reguliere dataset voorkomt.

De beschreven benaderingen werden door de meeste antivirusprogramma's gebruikt tot halverwege de jaren negentig, toen de eerste polymorfe virussen verschenen die hun lichaam veranderden volgens algoritmen die van tevoren onvoorspelbaar waren. Vervolgens werd de handtekeningmethode aangevuld met de zogenaamde processoremulator, die het mogelijk maakt gecodeerde en polymorfe virussen te vinden die niet expliciet een permanente handtekening hebben.

Het principe van processoremulatie wordt gedemonstreerd in Fig. 1. Als een voorwaardelijke keten gewoonlijk uit drie hoofdelementen bestaat: CPU®OS®Program, dan wordt bij het emuleren van een processor een emulator aan een dergelijke keten toegevoegd. De emulator reproduceert als het ware het werk van het programma in een virtuele ruimte en reconstrueert de oorspronkelijke inhoud ervan. De emulator is altijd in staat de uitvoering van het programma te onderbreken, controleert de acties ervan, voorkomt dat iets wordt bedorven, en roept de antivirusscankernel aan.

Het tweede mechanisme, dat halverwege de jaren negentig verscheen en door alle antivirusprogramma’s wordt gebruikt, is heuristische analyse. Feit is dat het processoremulatieapparaat, waarmee u een samenvatting kunt krijgen van de acties die door het geanalyseerde programma zijn uitgevoerd, het niet altijd mogelijk maakt om naar deze acties te zoeken, maar u wel in staat stelt een analyse uit te voeren en een hypothese naar voren te brengen. zoals "virus of geen virus?"

In dit geval is de besluitvorming gebaseerd op statistische benaderingen. En het bijbehorende programma wordt een heuristische analysator genoemd.

Om zich te kunnen voortplanten, moet het virus een aantal specifieke acties uitvoeren: kopiëren naar het geheugen, schrijven naar sectoren, enz. De heuristische analysator (deze maakt deel uit van de antiviruskernel) bevat een lijst met dergelijke acties, kijkt naar de uitvoerbare code van het programma, bepaalt wat het doet en neemt op basis hiervan een beslissing of dit programma een virus is of niet .

Tegelijkertijd is het percentage ontbrekende virussen, zelfs als deze onbekend zijn bij het antivirusprogramma, erg klein. Deze technologie wordt nu veel gebruikt in alle antivirusprogramma's.

Classificatie van antivirusprogramma's

antivirusprogramma's worden geclassificeerd in pure antivirussen en antivirussen voor tweeërlei gebruik (Fig. 2).

Pure antivirussen onderscheiden zich door de aanwezigheid van een antiviruskern, die de functie vervult van het scannen van monsters. Uitgangspunt hierbij is dat behandeling mogelijk is als het virus bekend is. Pure antivirussen worden op hun beurt onderverdeeld in twee categorieën op basis van het type toegang tot bestanden: antivirusprogramma's die controle uitoefenen via toegang (on access) of op basis van de vraag van de gebruiker (on demand). On-access-producten worden doorgaans monitoren genoemd en on-demand-producten scanners.

Het on-demand product werkt volgens het volgende schema: de gebruiker wil iets controleren en geeft een verzoek (demand), waarna de verificatie wordt uitgevoerd. Het On Access-product is een intern programma dat de toegang bewaakt en verificatie uitvoert op het moment van toegang.

Bovendien kunnen antivirusprogramma's, net als virussen, worden onderverdeeld afhankelijk van het platform waarbinnen de antivirus werkt. In die zin kunnen platforms, naast Windows of Linux, Microsoft Exchange Server, Microsoft Office en Lotus Notes omvatten.

Programma's voor tweeërlei gebruik zijn programma's die zowel in antivirusprogramma's als in software die geen antivirusprogramma is, worden gebruikt. CRC-checker – een change auditor op basis van checksums – kan bijvoorbeeld niet alleen worden gebruikt om virussen op te vangen. Een soort programma's met een tweeledig doel zijn gedragsblokkers, die het gedrag van andere programma's analyseren en deze blokkeren wanneer verdachte acties worden gedetecteerd. Gedragsblokkers verschillen van een klassieke antivirus met een antiviruskern, die virussen herkent en behandelt die in het laboratorium zijn geanalyseerd en waarvoor een behandelalgoritme is voorgeschreven, doordat ze geen virussen kunnen behandelen omdat ze er niets van weten. Dankzij deze eigenschap van blokkers kunnen ze met alle virussen werken, inclusief onbekende. Dit is tegenwoordig van bijzonder belang, omdat distributeurs van virussen en antivirussen dezelfde kanalen voor gegevensoverdracht gebruiken, namelijk internet. Tegelijkertijd heeft een antivirusbedrijf altijd tijd nodig om het virus zelf te bemachtigen, te analyseren en de juiste behandelingsmodules te schrijven. Met programma’s uit de dual-use-groep kun je de verspreiding van het virus blokkeren totdat het bedrijf een behandelmodule schrijft.

Overzicht van de populairste persoonlijke antivirussen

De recensie bevat de populairste antivirussen voor persoonlijk gebruik van vijf bekende ontwikkelaars. Opgemerkt moet worden dat sommige van de hieronder besproken bedrijven verschillende versies van persoonlijke programma's aanbieden die qua functionaliteit en dienovereenkomstig qua prijs verschillen. In onze review hebben we van elk bedrijf één product bekeken, waarbij we de meest functionele versie hebben gekozen, die meestal Personal Pro wordt genoemd. Andere opties voor persoonlijke antivirussen zijn te vinden op de betreffende websites.

Kaspersky antivirus

Persoonlijke Pro v. 4.0

Ontwikkelaar: Kaspersky Lab. Website: http://www.kaspersky.ru/. Prijs: $ 69 (licentie voor 1 jaar).

Kaspersky Anti-Virus Personal Pro (Fig. 3) is een van de meest populaire oplossingen op de Russische markt en bevat een aantal unieke technologieën.

De gedragsblokkeringsmodule van Office Guard houdt de uitvoering van macro's onder controle en stopt alle verdachte acties. De aanwezigheid van de Office Guard-module biedt 100% bescherming tegen macrovirussen.

Inspector controleert alle wijzigingen op uw computer en als er ongeautoriseerde wijzigingen worden gedetecteerd in bestanden of in het systeemregister, kunt u de inhoud van de schijf herstellen en kwaadaardige codes verwijderen. Inspector heeft geen updates van de antivirusdatabase nodig: de integriteitscontrole wordt uitgevoerd op basis van het nemen van originele bestandsvingerafdrukken (CRC-sommen) en hun daaropvolgende vergelijking met gewijzigde bestanden. In tegenstelling tot andere inspecteurs ondersteunt Inspector alle populaire uitvoerbare bestandsformaten.

De heuristische analysator maakt het mogelijk om uw computer zelfs tegen onbekende virussen te beschermen.

De Monitor achtergrondvirusinterceptor, die voortdurend aanwezig is in het geheugen van de computer, voert een antivirusscan uit van alle bestanden onmiddellijk op het moment dat ze worden gestart, gemaakt of gekopieerd, waardoor u alle bestandsbewerkingen kunt controleren en infectie kunt voorkomen, zelfs door de meest technologisch geavanceerde virussen.

Antivirus-e-mailfilters voorkomen dat virussen uw computer binnendringen. De Mail Checker-plug-in verwijdert niet alleen virussen uit de hoofdtekst van een e-mail, maar herstelt ook de originele inhoud van e-mails volledig. Een uitgebreide scan van e-mailcorrespondentie zorgt ervoor dat een virus zich niet in enig element van een e-mail kan verbergen door alle delen van inkomende en uitgaande berichten te scannen, inclusief bijgevoegde bestanden (inclusief gearchiveerde en verpakte bestanden) en andere berichten van elk nestniveau.

De antivirusscanner van Scanner maakt het mogelijk om op verzoek een volledige scan van de volledige inhoud van lokale en netwerkschijven uit te voeren.

De Script Checker-scriptvirusinterceptor biedt antivirusscans van alle actieve scripts voordat ze worden uitgevoerd.

Ondersteuning voor gearchiveerde en gecomprimeerde bestanden biedt de mogelijkheid om kwaadaardige code uit een geïnfecteerd gecomprimeerd bestand te verwijderen.

Isolatie van geïnfecteerde objecten zorgt voor de isolatie van geïnfecteerde en verdachte objecten en hun daaropvolgende verplaatsing naar een speciaal georganiseerde map voor verdere analyse en herstel.

Met automatisering van antivirusbescherming kunt u een schema en volgorde van werking van programmacomponenten maken; automatisch nieuwe antivirusdatabase-updates downloaden en verbinden via internet; waarschuwingen verzenden over gedetecteerde virusaanvallen per e-mail, enz.

Norton AntiVirus 2003 Professionele editie

Ontwikkelaar: Symantec. Website: http://www.symantec.ru/.

Prijs 89,95 euro.

Het programma draait onder Windows 95/98/Me/NT4.0/2000 Pro/XP.

Prijs: $ 39,95

Het programma draait onder Windows 95/98/Me/NT4.0/2000 Pro/XP.

Antivirusbescherming is de meest gebruikelijke maatregel om de informatiebeveiliging van de IT-infrastructuur in het bedrijfsleven te garanderen. Slechts 74% van de Russische bedrijven gebruikt echter antivirusoplossingen ter bescherming, blijkt uit een onderzoek uitgevoerd door Kaspersky Lab samen met het analytische bedrijf B2B International (najaar 2013).

Het rapport stelt ook dat tegen de achtergrond van de explosieve groei van cyberdreigingen, waartegen bedrijven worden beschermd door eenvoudige antivirusprogramma's, Russische bedrijven steeds vaker complexe beschermingsinstrumenten gaan gebruiken. Grotendeels om deze reden is het gebruik van data-encryptietools op verwisselbare media met 7% (24%) toegenomen. Bovendien zijn bedrijven steeds meer bereid om het beveiligingsbeleid voor verwisselbare apparaten te differentiëren. Ook de differentiatie van het toegangsniveau tot verschillende delen van de IT-infrastructuur is toegenomen (49%). Tegelijkertijd besteden kleine en middelgrote bedrijven meer aandacht aan controle over verwijderbare apparaten (35%) en applicatiecontrole (31%).

De onderzoekers ontdekten ook dat Russische bedrijven, ondanks de voortdurende ontdekking van nieuwe softwarekwetsbaarheden, nog steeds niet genoeg aandacht besteden aan reguliere software-updates. Bovendien is het aantal organisaties dat betrokken is bij patching ten opzichte van vorig jaar gedaald tot slechts 59%.

Moderne antivirusprogramma's kunnen kwaadaardige objecten in programmabestanden en documenten effectief detecteren. In sommige gevallen kan een antivirusprogramma de hoofdtekst van een kwaadaardig object uit een geïnfecteerd bestand verwijderen en het bestand zelf herstellen. In de meeste gevallen kan een antivirusprogramma een kwaadaardig softwareobject niet alleen uit een programmabestand, maar ook uit een Office-documentbestand verwijderen, zonder de integriteit ervan te schenden. Het gebruik van antivirusprogramma's vereist geen hoge kwalificaties en is voor vrijwel elke computergebruiker beschikbaar.

De meeste antivirusprogramma's combineren realtime bescherming (antivirusmonitor) en bescherming op aanvraag (antivirusscanner).

Antivirus-beoordeling

2019: Twee derde van de antivirussen voor Android bleken nutteloos

In maart 2019 publiceerde het Oostenrijkse laboratorium AV-Comparatives, gespecialiseerd in het testen van antivirussoftware, de resultaten van een onderzoek dat de nutteloosheid van de meeste van dergelijke programma's voor Android aantoonde.

Slechts 23 antivirusprogramma's in de officiële Google Play Store-catalogus identificeren malware in 100% van de gevallen nauwkeurig. De rest van de software reageert niet op mobiele bedreigingen of fouten die absoluut veilige applicaties voor hen zijn.

Deskundigen bestudeerden 250 antivirusprogramma’s en meldden dat slechts 80% daarvan meer dan 30% van de malware kan detecteren. Zo slaagden 170 aanvragen niet voor de test. De producten die de test doorstaan, omvatten voornamelijk oplossingen van grote fabrikanten, waaronder Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro en Trustwave.

Als onderdeel van het experiment installeerden de onderzoekers elke antivirusapplicatie op een apart apparaat (zonder emulator) en automatiseerden ze de apparaten om de browser te starten, malware te downloaden en vervolgens te installeren. Elk apparaat werd in 2018 getest tegen tweeduizend van de meest voorkomende Android-virussen.

Volgens de berekeningen van AV-Comparatives zijn de meeste Android-antivirusoplossingen nep. Tientallen applicaties hebben een vrijwel identieke interface, en de makers ervan zijn duidelijk meer geïnteresseerd in het weergeven van advertenties dan in het schrijven van een werkende antivirusscanner.

Sommige antivirusprogramma's 'zien' een bedreiging in elke toepassing die niet op hun 'witte lijst' staat. Hierdoor hebben ze in een aantal zeer anekdotische gevallen alarm geslagen over hun eigen bestanden, omdat de ontwikkelaars vergaten deze op de “witte lijst” te vermelden.

2017: Microsoft Security Essentials wordt erkend als een van de slechtste antivirussen

In oktober 2017 publiceerde het Duitse antiviruslaboratorium AV-Test de resultaten van uitgebreide antivirustests. Volgens het onderzoek is de eigen software van Microsoft, ontworpen om bescherming te bieden tegen kwaadaardige activiteiten, vrijwel het slechtst in zijn werk.

Op basis van de resultaten van tests uitgevoerd in juli-augustus 2017 noemden AV-Test-experts Kaspersky Internet Security als de beste antivirus voor Windows 7, die 18 punten kreeg bij het beoordelen van het beschermingsniveau, de prestaties en het gebruiksgemak.

Tot de top drie behoorden Trend Micro Internet Security en Bitdefender Internet Security, die elk 17,5 punten verdienden. In de onderstaande illustraties kunt u meer te weten komen over de status van producten van andere antivirusbedrijven die in het onderzoek zijn opgenomen:

Veel scanners gebruiken ook heuristische scanalgoritmen, d.w.z. het analyseren van de reeks opdrachten in het object dat wordt gecontroleerd, het verzamelen van enkele statistieken en het nemen van een beslissing voor elk object dat wordt gecontroleerd.

Scanners kunnen ook in twee categorieën worden onderverdeeld: universeel en gespecialiseerd. Universele scanners zijn ontworpen om alle soorten virussen te detecteren en te neutraliseren, ongeacht het besturingssysteem waarvoor de scanner is ontworpen. Gespecialiseerde scanners zijn ontworpen om een ​​beperkt aantal virussen of slechts één klasse virussen, bijvoorbeeld macrovirussen, te neutraliseren.

Scanners zijn ook onderverdeeld in ingezetenen (monitoren), die on-the-fly scannen, en niet-ingezetenen, die het systeem alleen op verzoek scannen. In de regel bieden residente scanners een betrouwbaardere systeembescherming omdat ze onmiddellijk reageren op het verschijnen van een virus, terwijl een niet-residente scanner een virus pas kan identificeren tijdens de volgende lancering.

CRC-scanners

Het werkingsprincipe van CRC-scanners is gebaseerd op het berekenen van CRC-sommen (checksums) voor bestanden/systeemsectoren die op de schijf aanwezig zijn. Deze CRC-sommen worden vervolgens opgeslagen in de antivirusdatabase, samen met enkele andere informatie: bestandslengtes, datums van de laatste wijziging, enz. Wanneer ze vervolgens worden gestart, vergelijken CRC-scanners de gegevens in de database met de daadwerkelijk berekende waarden. Als de bestandsinformatie die in de database is vastgelegd niet overeenkomt met de werkelijke waarden, signaleren CRC-scanners dat het bestand is gewijzigd of geïnfecteerd met een virus.

CRC-scanners kunnen een virus niet onderscheppen op het moment dat het in het systeem verschijnt, maar doen dit pas enige tijd later, nadat het virus zich door de computer heeft verspreid. CRC-scanners kunnen geen virus detecteren in nieuwe bestanden (in e-mail, op diskettes, in bestanden die zijn hersteld vanaf een back-up of bij het uitpakken van bestanden uit een archief), omdat hun databases geen informatie over deze bestanden bevatten. Bovendien verschijnen er periodiek virussen die misbruik maken van deze zwakte van CRC-scanners, waardoor alleen nieuw aangemaakte bestanden worden geïnfecteerd en dus onzichtbaar voor hen blijven.

Blokkers

Antivirusblokkers zijn residente programma's die virusgevaarlijke situaties onderscheppen en de gebruiker hierover informeren. Virusgevaarlijke zijn onder meer oproepen om te openen voor het schrijven naar uitvoerbare bestanden, schrijven naar opstartsectoren van schijven of de MBR van een harde schijf, pogingen van programma's om resident te blijven, enz., dat wil zeggen oproepen die typisch zijn voor virussen tijdens reproductie.

De voordelen van blokkers zijn onder meer hun vermogen om een ​​virus in het vroegste stadium van de reproductie ervan te detecteren en te stoppen. Nadelen zijn onder meer het bestaan ​​van manieren om de blokkerbescherming te omzeilen en een groot aantal valse positieven.

Immunisatoren

Immunisatoren zijn onderverdeeld in twee typen: immunisatoren die infectie melden en immunisatoren die infectie blokkeren. De eerste worden meestal aan het einde van de bestanden geschreven (gebaseerd op het principe van een bestandsvirus) en elke keer dat het bestand wordt gestart, controleren ze het op wijzigingen. Dergelijke immunisatoren hebben slechts één nadeel, maar het is dodelijk: het absolute onvermogen om infectie met een stealth-virus te melden. Daarom worden dergelijke immunisatoren, zoals blokkers, momenteel praktisch niet gebruikt.

Het tweede type immunisatie beschermt het systeem tegen infectie door een specifiek type virus. De bestanden op de schijven worden zodanig gewijzigd dat het virus ze als reeds geïnfecteerd beschouwt. Ter bescherming tegen een aanwezig virus wordt een programma dat een kopie van het virus simuleert, in het geheugen van de computer geplaatst. Wanneer het wordt gelanceerd, komt het virus het tegen en denkt dat het systeem al is geïnfecteerd.

Dit type immunisatie kan niet universeel zijn, omdat het onmogelijk is om bestanden tegen alle bekende virussen te immuniseren.

Classificatie van antivirussen op basis van variabiliteit in de tijd

Volgens Valery Konyavsky kunnen antivirusprogramma's in twee grote groepen worden verdeeld: degenen die gegevens analyseren en degenen die processen analyseren.

Gegevensanalyse

Gegevensanalyse omvat auditors en polyfagen. Auditors analyseren de gevolgen van computervirussen en andere kwaadaardige programma's. De gevolgen resulteren in wijzigingen in gegevens die niet gewijzigd mogen worden. Het feit dat gegevens zijn veranderd, is vanuit het perspectief van de auditor een teken van malware-activiteit. Met andere woorden, auditors bewaken de integriteit van gegevens en nemen op basis van een schending van de integriteit een besluit over de aanwezigheid van kwaadaardige programma's in de computeromgeving.

Polyfagen gedragen zich anders. Op basis van data-analyse identificeren ze fragmenten van kwaadaardige code (bijvoorbeeld aan de hand van de handtekening) en trekken op basis daarvan een conclusie over de aanwezigheid van kwaadaardige programma’s. Door met virus geïnfecteerde gegevens te verwijderen of te behandelen, kunt u de negatieve gevolgen van het uitvoeren van kwaadaardige programma's voorkomen. Zo worden op basis van statische analyse gevolgen die ontstaan ​​in de dynamiek voorkomen.

Het werkschema van zowel auditors als polyfagen is vrijwel hetzelfde: vergelijk gegevens (of hun controlesom) met een of meer referentiemonsters. Data worden vergeleken met data. Om een ​​virus op uw computer te kunnen vinden, moet het dus al gewerkt hebben voordat de gevolgen van zijn activiteit zichtbaar worden. Deze methode kan alleen bekende virussen vinden waarvan vooraf codefragmenten of handtekeningen zijn beschreven. Een dergelijke bescherming kan nauwelijks betrouwbaar worden genoemd.

Proces analyse

Antivirustools op basis van procesanalyse werken enigszins anders. Heuristische analysatoren, zoals hierboven beschreven, analyseren gegevens (op schijf, in een kanaal, in het geheugen, enz.). Het fundamentele verschil is dat de analyse wordt uitgevoerd in de veronderstelling dat de code die wordt geanalyseerd geen data is, maar commando's (in computers met von Neumann-architectuur zijn data en commando's niet van elkaar te onderscheiden, en daarom is het tijdens de analyse noodzakelijk om de een of de ander te maken aanname.)

De heuristische analysator identificeert een reeks bewerkingen, kent aan elk ervan een bepaalde gevarenclassificatie toe en neemt op basis van het geheel van het gevaar een beslissing of deze reeks bewerkingen deel uitmaakt van kwaadaardige code. De code zelf wordt niet uitgevoerd.

Een ander type antivirusprogramma's gebaseerd op procesanalyse zijn gedragsblokkers. In dit geval wordt de verdachte code stap voor stap uitgevoerd totdat de reeks acties die door de code worden geïnitieerd, als gevaarlijk (of veilig) gedrag wordt beoordeeld. In dit geval wordt de code gedeeltelijk uitgevoerd, omdat de voltooiing van de kwaadaardige code kan worden gedetecteerd door eenvoudigere methoden voor gegevensanalyse.

Technologieën voor virusdetectie

Technologieën die in antivirussen worden gebruikt, kunnen in twee groepen worden verdeeld:

  • Kenmerkende analysetechnologieën
  • Technologieën voor probabilistische analyse

Kenmerkende analysetechnologieën

Handtekeninganalyse is een methode voor het detecteren van virussen waarbij wordt gecontroleerd op de aanwezigheid van virushandtekeningen in bestanden. Handtekeninganalyse is de meest bekende methode voor het detecteren van virussen en wordt in vrijwel alle moderne antivirusprogramma's gebruikt. Om een ​​scan uit te voeren heeft de antivirus een set virushandtekeningen nodig, die zijn opgeslagen in de antivirusdatabase.

Omdat bij de handtekeninganalyse het controleren van bestanden op de aanwezigheid van virushandtekeningen plaatsvindt, moet de antivirusdatabase periodiek worden bijgewerkt om het antivirusprogramma up-to-date te houden. Het werkingsprincipe van handtekeninganalyse bepaalt ook de grenzen van de functionaliteit ervan - het vermogen om alleen reeds bekende virussen te detecteren - een handtekeningscanner is machteloos tegen nieuwe virussen.

Aan de andere kant suggereert de aanwezigheid van virussignaturen de mogelijkheid om geïnfecteerde bestanden die zijn gedetecteerd te behandelen met behulp van handtekeninganalyse. Behandeling is echter niet voor alle virussen mogelijk. Trojaanse paarden en de meeste wormen kunnen niet worden behandeld vanwege hun ontwerpkenmerken, omdat het solide modules zijn die zijn gemaakt om schade aan te richten.

Door een juiste implementatie van een virushandtekening kunt u bekende virussen met honderd procent waarschijnlijkheid detecteren.

Technologieën voor probabilistische analyse

Probabilistische analysetechnologieën zijn op hun beurt onderverdeeld in drie categorieën:

  • Heuristische analyse
  • Gedragsanalyse
  • Checksum-analyse

Heuristische analyse

Heuristische analyse is een technologie gebaseerd op probabilistische algoritmen, met als resultaat de identificatie van verdachte objecten. Tijdens het heuristische analyseproces worden de bestandsstructuur en de naleving ervan met viruspatronen gecontroleerd. De meest populaire heuristische technologie is het controleren van de inhoud van een bestand op wijzigingen van reeds bekende virussignaturen en hun combinaties. Dit helpt bij het detecteren van hybriden en nieuwe versies van eerder bekende virussen zonder extra updates van de antivirusdatabase.

Heuristische analyse wordt gebruikt om onbekende virussen op te sporen en vereist bijgevolg geen behandeling. Deze technologie is niet 100% in staat om te bepalen of er een virus voor zit of niet, en net als elk probabilistisch algoritme heeft het last van valse positieven.

Gedragsanalyse

Gedragsanalyse is een technologie waarbij een beslissing over de aard van het geteste object wordt genomen op basis van een analyse van de bewerkingen die het uitvoert. Gedragsanalyse is in de praktijk zeer beperkt toepasbaar, omdat de meeste acties die kenmerkend zijn voor virussen kunnen worden uitgevoerd door gewone toepassingen. De bekendste zijn gedragsanalysatoren van scripts en macro's, omdat de bijbehorende virussen bijna altijd een aantal vergelijkbare acties uitvoeren.

Beveiligingsmaatregelen die in het BIOS zijn ingebouwd, kunnen ook worden geclassificeerd als gedragsanalysatoren. Wanneer u wijzigingen probeert aan te brengen in de MBR van de computer, blokkeert de analysator de actie en geeft een overeenkomstige melding aan de gebruiker weer.

Bovendien kunnen gedragsanalysatoren pogingen monitoren om rechtstreeks toegang te krijgen tot bestanden, wijzigingen in het opstartrecord van diskettes, het formatteren van harde schijven, enz.

Gedragsanalysatoren gebruiken voor hun werk geen extra objecten die vergelijkbaar zijn met virusdatabases en kunnen als gevolg daarvan geen onderscheid maken tussen bekende en onbekende virussen - alle verdachte programma's worden a priori als onbekende virussen beschouwd. Op dezelfde manier impliceren de operationele kenmerken van tools die technologieën voor gedragsanalyse implementeren geen behandeling.

Checksum-analyse

Checksum-analyse is een manier om wijzigingen in computersysteemobjecten bij te houden. Op basis van de analyse van de aard van de veranderingen (gelijktijdigheid, massaal voorkomen, identieke veranderingen in bestandslengtes) kunnen we concluderen dat het systeem geïnfecteerd is. Checksum-analysatoren (ook wel change-auditors genoemd), zoals gedragsanalysatoren, gebruiken geen extra objecten in hun werk en geven uitsluitend een oordeel over de aanwezigheid van een virus in het systeem volgens de methode van deskundige beoordeling. Soortgelijke technologieën worden gebruikt in scanners bij toegang: tijdens de eerste scan wordt een controlesom uit een bestand verwijderd en in de cache geplaatst; vóór de volgende scan van hetzelfde bestand wordt de controlesom opnieuw verwijderd, vergeleken en als er geen wijzigingen, wordt het bestand als niet-geïnfecteerd beschouwd.

Antiviruscomplexen

Antiviruscomplex - een reeks antivirussen die dezelfde antiviruskernel of -kernels gebruiken, ontworpen om praktische problemen op te lossen bij het waarborgen van de antivirusbeveiliging van computersystemen. Het antiviruscomplex omvat noodzakelijkerwijs ook tools voor het bijwerken van antivirusdatabases.

Bovendien kan het antiviruscomplex ook gedragsanalysatoren en veranderingsauditors omvatten die geen gebruik maken van de antiviruskern.

De volgende soorten antiviruscomplexen worden onderscheiden:

  • Antiviruscomplex voor het beschermen van werkstations
  • Antiviruscomplex voor het beschermen van bestandsservers
  • Antiviruscomplex voor het beschermen van mailsystemen
  • Antiviruscomplex voor het beschermen van gateways.

Cloud- en traditionele desktop-antivirus: wat te kiezen?

(Gebaseerd op materiaal van Webroot.com)

De moderne markt van antivirusproducten bestaat voornamelijk uit traditionele oplossingen voor desktopsystemen, waarvan de beschermingsmechanismen zijn gebouwd op basis van handtekeningmethoden. Een alternatieve methode voor antivirusbescherming is het gebruik van heuristische analyse.

Problemen met traditionele antivirussoftware

De laatste tijd zijn traditionele antivirustechnologieën steeds minder effectief geworden en snel verouderd, wat te wijten is aan een aantal factoren. Het aantal door handtekeningen herkende virusbedreigingen is al zo groot dat het tijdig 100% bijwerken van handtekeningendatabases op gebruikerscomputers vaak een onrealistische taak is. Hackers en cybercriminelen maken steeds vaker gebruik van botnets en andere technologieën die de verspreiding van zero-day-virusbedreigingen versnellen. Bovendien worden bij gerichte aanvallen geen handtekeningen van de betreffende virussen aangemaakt. Ten slotte worden nieuwe technologieën gebruikt om antivirusdetectie tegen te gaan: encryptie van malware, creatie van polymorfe virussen aan de serverzijde, voorlopige tests van de kwaliteit van een virusaanval.

Traditionele antivirusbescherming is meestal gebouwd in een ‘thick client’-architectuur. Dit betekent dat er een grote hoeveelheid softwarecode op de computer van de klant wordt geïnstalleerd. Met zijn hulp worden inkomende gegevens gescand en wordt de aanwezigheid van virusbedreigingen gedetecteerd.

Deze aanpak heeft een aantal nadelen. Ten eerste vergt het scannen op malware en het vergelijken van handtekeningen een aanzienlijke rekenkracht, wat de gebruiker minder tijd kost. Als gevolg hiervan neemt de computerproductiviteit af en interfereert de werking van de antivirus soms met parallelle applicatietaken. Soms is de belasting van het systeem van de gebruiker zo merkbaar dat gebruikers antivirusprogramma's uitschakelen, waardoor de barrière voor een mogelijke virusaanval wordt weggenomen.

Ten tweede vereist elke update op de machine van de gebruiker het verzenden van duizenden nieuwe handtekeningen. De hoeveelheid overgedragen gegevens bedraagt ​​doorgaans ongeveer 5 MB per dag per machine. Gegevensoverdracht vertraagt ​​het netwerk, verbruikt extra systeembronnen en vereist de betrokkenheid van systeembeheerders om het verkeer te controleren.

Ten derde zijn gebruikers die rondzwerven of zich op enige afstand van een vaste werkplek bevinden, weerloos tegen zero-day-aanvallen. Om een ​​bijgewerkt deel van de handtekeningen te ontvangen, moeten ze verbinding maken met een VPN-netwerk dat op afstand niet voor hen toegankelijk is.

Antivirusbescherming vanuit de cloud

Wanneer u overschakelt naar antivirusbescherming vanuit de cloud, verandert de architectuur van de oplossing aanzienlijk. Op de computer van de gebruiker wordt een “lichtgewicht” client geïnstalleerd, waarvan de belangrijkste functie is het zoeken naar nieuwe bestanden, het berekenen van hashwaarden en het verzenden van gegevens naar de cloudserver. In de cloud wordt een volledige vergelijking uitgevoerd op een grote database met verzamelde handtekeningen. Deze database wordt voortdurend en tijdig bijgewerkt met behulp van gegevens die door antivirusbedrijven worden verzonden. De opdrachtgever ontvangt een rapport met de resultaten van de inspectie.

De cloudarchitectuur van antivirusbescherming heeft dus een aantal voordelen:

  • de hoeveelheid rekenwerk op de computer van de gebruiker blijkt verwaarloosbaar te zijn vergeleken met een dikke client, daarom neemt de productiviteit van de gebruiker niet af;
  • er is geen catastrofale impact van antivirusverkeer op de netwerkdoorvoer: een compact stukje gegevens met slechts enkele tientallen hash-waarden moet worden overgedragen, het gemiddelde volume van het dagelijkse verkeer bedraagt ​​niet meer dan 120 KB;
  • cloudopslag bevat enorme reeksen handtekeningen, veel groter dan de handtekeningen die op gebruikerscomputers zijn opgeslagen;
  • algoritmen voor het vergelijken van handtekeningen die in de cloud worden gebruikt, zijn aanzienlijk intelligenter vergeleken met vereenvoudigde modellen die op het niveau van lokale stations worden gebruikt, en dankzij de hogere prestaties kost het vergelijken van gegevens minder tijd;
  • antivirusdiensten in de cloud werken met echte gegevens die zijn ontvangen van antiviruslaboratoria, beveiligingsontwikkelaars, zakelijke en particuliere gebruikers; Zero-day-bedreigingen worden gelijktijdig met de herkenning ervan geblokkeerd, zonder de vertraging die wordt veroorzaakt door de noodzaak om toegang te krijgen tot gebruikerscomputers;
  • gebruikers die roamen of geen toegang hebben tot hun hoofdwerkstations, worden tegelijkertijd met toegang tot internet beschermd tegen zero-day-aanvallen;
  • De werklast van systeembeheerders wordt verminderd: ze hoeven geen tijd te besteden aan het installeren van antivirussoftware op gebruikerscomputers en het bijwerken van handtekeningdatabases.

Waarom traditionele antivirussen falen

Moderne kwaadaardige code kan:

  • Omzeil antivirusvallen door een speciaal doelvirus voor het bedrijf te maken
  • Voordat de antivirus een handtekening creëert, zal deze het gebruik van polymorfisme, transcodering en dynamische DNS en URL's omzeilen
  • Gerichte creatie voor een bedrijf
  • Polymorfisme
  • Code nog voor niemand onbekend - geen handtekening

Moeilijk te verdedigen

Snelle antivirussen van 2011

Het Russische onafhankelijke informatie- en analysecentrum Anti-Malware.ru publiceerde in mei 2011 de resultaten van een andere vergelijkende test van de twintig populairste antivirussen op het gebied van prestaties en verbruik van systeembronnen.

Het doel van deze test is om te laten zien welke persoonlijke antivirusprogramma's de minste impact hebben op de typische handelingen van de gebruiker op een computer, de werking ervan minder vertragen en de minimale hoeveelheid systeembronnen verbruiken.

Onder de antivirusmonitors (real-time scanners) vertoonde een hele groep producten een zeer hoge werksnelheid, waaronder: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro en Dr.Web. Met deze antivirussen aan boord was de vertraging bij het kopiëren van de testcollectie minder dan 20% vergeleken met de standaard. Antivirusmonitors BitDefender, PC Tools, Outpost, F-Secure, Norton en Emsisoft lieten ook hoge prestatieresultaten zien, binnen het bereik van 30-50%. Antivirusmonitors BitDefender, PC Tools, Outpost, F-Secure, Norton en Emsisoft lieten ook hoge prestatieresultaten zien, binnen het bereik van 30-50%.

Tegelijkertijd kunnen Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost en PC Tools in reële omstandigheden veel sneller zijn dankzij hun optimalisatie van daaropvolgende controles.

Avira-antivirus liet de beste on-demand scansnelheid zien. Het was iets inferieur aan Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus en Outpost. In termen van de snelheid van de eerste scan zijn deze antivirussen slechts iets inferieur aan de leider, terwijl ze tegelijkertijd allemaal krachtige technologieën in hun arsenaal hebben voor het optimaliseren van herhaalde scans.

Een ander belangrijk kenmerk van de snelheid van een antivirusprogramma is de impact ervan op de werking van applicatieprogramma’s waar de gebruiker vaak mee werkt. Voor de test werden er vijf geselecteerd: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader en Adobe Photoshop. Antivirussen Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost en G Data vertoonden de minste vertraging in de lancering van deze kantoorprogramma's.



GERELATEERDE ARTIKELEN