Сучасний антивірус є складним програмним засобом, який має забезпечити надійний захист комп'ютерного пристрою(комп'ютера, кишенькового комп'ютераабо нетбука) від різних вірусів (шкідливих програм). Загальна схемаантивіруса представлена ​​на малюнку нижче:

Схема антивірусу

Як видно зі схеми, антивірус складається з наступних частин:

1. Модуль резидентного захисту

2. Модуль карантину

3. Модуль "протектора" антивірусу

4. Конектор до антивіруса-сервера

5. Модуль оновлення

6. Модуль сканера комп'ютера

Модуль резидентного захисту є основним компонентом антивіруса, що знаходиться в оперативної пам'ятікомп'ютера та скануючий у режимі реального часу всі файли, з якими здійснюється взаємодія користувача, операційної системичи інших програм. Слово "резидентний" означає "невидимий", "фоновий". Резидентний захист поводиться тільки при знаходженні вірусу. Саме на резидентний захистгрунтується головний принцип антивірусного ПЗ - запобігти зараженню комп'ютера. До її складу входять такі компоненти, як активний захист(порівняння антивірусних сигнатур зі сканованим файлом та виявлення відомого вірусу) та проактивний захист (сукупність технологій та методів, що використовуються в антивірусному програмному забезпеченні, основною метою яких є запобігання зараженню системи користувача, а не пошук вже відомого шкідливого) програмного забезпеченняв системі).

Модуль карантину є модулем, який відповідає за приміщення підозрілих файліву спеціальне місце, яке називається карантином. Файли, переміщені до карантину, не мають можливості виконувати будь-які дії (вони заблоковані) і знаходяться під наглядом антивірусу. Антивірус приймає рішення помістити файл на карантин при виявленні у файлі ознаки вірусної діяльності (при цьому сам файл з точки зору антивірусу вірусом у цьому випадку не є, просто файл є потенційною загрозою), або якщо файл дійсно заражений вірусом, але його необхідно вилікувати, а не видаляти повністю (наприклад, важливий документ користувача, до якого потрапив вірус). В останньому випадку файл буде поміщений в карантин для подальшого лікування від вірусу (якщо антивірус не зможе вилікувати файл, його доведеться видалити, або залишити, в надії на те, що з новим оновленням антивірус зможе вилікувати цей файл). Зазвичай карантин створюється в особливій папці антивірусної програмияка ізольована від будь-яких дій, крім дій з боку антивірусу.

Модуль протектора антивірусу є модулем, який захищає антивірус від стороннього втручання з боку різних програмних засобів. Цей модуль є захисником антивіруса. Часто віруси хочуть стерти антивірус або запобігти його роботі шляхом блокування антивірусу. Модуль протектора антивірусу не дасть це. Втім, не всі сучасні антивіруси мають якісні протектори. Деякі їх нічого не можуть зробити проти сучасних вірусів, а віруси у свою чергу можуть спокійно і безперешкодно повністю стерти антивірус.

Також з'явилися віруси, які імітують видалення антивірусу з боку користувача, тобто протектор антивіруса вважає, що сам користувач з якихось причин хоче видалити антивірус, і тому не перешкоджає цьому, хоча насправді це діяльність вірусу. В даний час антивірусні компанії стали більш серйозно підходити до випуску протекторів, і стає очевидним, що якщо антивірус не матиме хорошого протектора, його ефективність у боротьбі з вірусами буде дуже мала.

Конектор до антивірусу-сервера є важливою частиною антивірусу. Конектор служить для з'єднання антивірусу до сервера, з якого антивірус може завантажити актуальні основи з описом нових вірусів. При цьому з'єднання має проходити за допомогою спеціального захищеного Інтернет-каналу. Це дуже важливий момент, тому що зловмисник може підкласти невірні антивірусні базиз брехливим описом вірусів, якщо антивірус з'єднуватиметься із сервером по незахищеному Інтернет-каналу. Також у сучасних антивірусах конектор служить ще й для з'єднання до спеціального сервера, який керує антивірусом. Подібне з'єднання зображено на малюнку нижче:

Схема підключення до сервера

комп'ютерний вірус захист

Як видно з малюнка, конектор дозволяє з'єднувати безліч антивірусів користувачів з єдиним антивірусом-сервером, з якого антивіруси користувача можуть завантажувати оновлення, а також якщо на стороні антивірусу користувача виникли якісь нерозв'язні проблеми, то антивірус-сервер буде віддалено вирішувати їх (наприклад, у антивірусу користувача став несправний якийсь із модулів і антивірус-сервер надасть цей модуль окремо для скачування). У цьому випадку також дуже важливу рольграє захищеність каналу передачі (каналу зв'язку) інформації.

З боку зловмисників стала застосовуватися цікава практика, в результаті якої захоплюється контроль над самим каналом передачі інформації, і фактично зловмисник стає керуючим для антивірусів користувача (для всіх або частково, залежно від того, яку саме ділянку каналу передачі буде перехоплено зловмисником). У свою чергу, творці антивірусів стали зашифровувати дані на каналі інформації, щоб зловмисник не міг отримати доступ до них і якось заволодіти ними.

Модуль оновлення відповідає за те, щоб оновлення антивірусу, його окремих частин, і його антивірусних баз пройшло правильно. У сучасній практиціСтворення антивірусів стала застосовуватися такою ідеєю: модуль оновлення також повинен визначати справжні чи ні антивірусні бази завантажує сам модуль.

Справжність може перевірятися при цьому різними методами- від перевірок контрольної сумифайлу з базами до пошуку всередині файлу з базами спеціальної мітки, яка говорить про те, що файл є справжнім. Подібні дії почали вводитися після того, як почастішали випадки заміни антивірусних баз з боку зловмисників.

Модуль сканера комп'ютера є, мабуть, найстарішим модулем у сучасних антивірусах, оскільки раніше антивіруси складалися лише з цього модуля. Цей модуль відповідає за те, щоб сканувати комп'ютер на наявність вірусів, якщо цього вимагатиме користувач комп'ютера. Сам модуль під час сканування комп'ютера використовує антивірусні бази, які були здобуті за допомогою модуля оновлення антивірусу. Якщо сканер знайде, але не впорається з вірусом відразу ж, він помістить файл з вірусом в карантин. Потім, згодом, модуль сканера комп'ютера може зв'язатися через конектор з антивірусом-сервером та отримати інструкції щодо знешкодження зараженого файлу.

Слід зазначити, що модуль сканера комп'ютера призначений для профілактики комп'ютера від вірусів, оскільки основний захист є модулем резидентного захисту. У модулі сканера комп'ютера використовуються лише антивірусні бази, у яких чітко описані віруси. Різні елементиПроактивний захист (наприклад, евристика) не використовується в модулі сканера комп'ютера. Зазвичай творці вірусів не будують спеціальний захистдля своїх вірусів від модулів сканера комп'ютера, тому що знають, що користувач не часто перевіряє комп'ютер сканером, і цього проміжного часу від перевірки до перевірки вистачить, щоб вкрасти персональні дані користувача.

Анотація: У лекції наведено знання щодо антивірусних програм: історія антивірусних програм, відомості про надійність та механізми роботи сучасних антивірусних програм, а також основні моменти використання сучасних антивірусних програм.

Ціль лекції: надати читачеві знання про антивірусні програми.

Антивірусні програми (далі антивіруси) є основною частиною сучасної антивірусного захисту(якщо розглядати антивірусний захист як комплекс програм, що протистоять шкідливим програмам). Як правило, їх потужностей вистачає, щоб впоратися з більшістю шкідливих програм, але іноді буває і так, що з тих чи інших причин вони впоратися не можуть (з метою зручності для читання всі типи шкідливих програм будемо називати загальним поняттямвіруси). А з чого розпочалася ця боротьба антивірусів із різними вірусами?

Історія виникнення антивірусних програм

Найперший вірус, який діяв вже точно на поразку, з'явився наприкінці 60-х. Йому пожертвували той самий комп'ютер, на якому його і створили (вперше з метою розваги). Але всі ці розваги, може, так і залишилися б іграшками програмістів, якби не народження Інтернету. Ще 1975 року через мережу Telenet розійшовся і найперший мережевий вірус"The Creeper", і вперше було створено програму - антивірус "Reeper". Але вже в наступному десятилітті Ф. Коен робив експерименти з програмами, які зможуть розмножуватися і мати можливість поширитися, його "дітище" створювало свої копії та знаходило виходи для них у велику комп'ютерну мережу. Так за цим принципом віруси поширилися і в наш час через глобальну мережу. А тоді, 1984 р., Коен виступив на сьомій конференції з безпеки інформації у Сполучених Штатах, висловлюючи свої думки з приводу нової загрозиу цій сфері діяльності. Також два брати Амджад у Пакистані в 86 р відкрили невідомий досі вірус. Брати торгували програмним забезпеченням і раптом ненароком побачили, що хтось його несанкціоновано копіює і множить, позбавляючи їх чесно зароблених грошей. Щоб якось зупинити любителів "халяви", вони написали програму "THE BRAIN" і впровадили її у свої роботи. Вона стала активною при спробі копіювання. Саме це було початком та прообразом усіх майбутніх вірусів. THE BRAIN різко перейшов кордон Пакистану і шокував неготовий до цього незвичайного явища світ. А вже 1987 року з'явилася перша література про віруси та боротьбу з ними. З цього моменту стало абсолютно очевидним, що для боротьби з вірусами необхідно створювати спеціальні програми" антивіруси " , які б боротися з вірусами, цим " лікуючи " заражену машину. Перші антивіруси були далекі від сучасних антивірусних програм. Фактично вони були одноразовими програмами, які призначалися для лікування певного вірусу. Саме поширення такого антивірусу було досить дорогим і довгим заняттям, оскільки антивіруси записувалися на дискети і надсилалися своїм передплатникам у різні куточки світу. Звичайно, така доставка була досить довгою, і було дуже складно вчасно отримати потрібну копіюантивірусу. Часто бувало і так, що жителі особливо віддалених місць від місця відсилання дискети з антивірусом на момент отримання антивірусу були заражені парою ще інших вірусів. Все це створювало погану репутацію для антивірусів, але з розвитком мережі Інтернет антивіруси почали надсилати спочатку на поштові ящикиКористувачів, а потім і з'явилася можливість динамічно оновлювати спеціальні антивірусні бази. Сама ж схема роботи перших антивірусів була далека від ідеалу: вони не вміли постійно працювати на зараженій машині, а були по суті лише сканером, який шукав певний вірус і далі намагався з ним впоратися. Творці вірусів знайшли досить простий спосіб боротьби з такими антивірусами: вони почали створювати віруси, які знищували антивірус до того, як ним міг скористатися користувач (тобто вони просто прали антивірус з дискети, яка приходила користувачеві). Творці антивірусів у свою чергу стали оснащувати свої антивіруси спеціальними "протекторами", які не дозволяли видалити антивірусну програму. Тоді почали з'являтися віруси, які маскувались під системні файлиабо папки, а потім почали з'являтися віруси, які навіть могли змінювати свій власний код(Щоб антивірус не міг їх виявити). Але антивірусні програми також удосконалювалися (працювало правило "на кожен меч знайдеться свій щит"), і стала очевидною боротьба творців антивірусів із творцями вірусів. У свою чергу преса почала поширювати чутки, що антивірусні компанії самі пишуть різні віруси, з метою підтримки інтересу до антивірусних програм (якоюсь мірою це може бути цілком логічним висновком), але подібні чутки досі не можуть знайти свого підтвердження. Цікаво й те, що творці антивірусів становлять конкуренцію один одному в боротьбі за покупців, і тому цілком логічним є висновок, що тримати кілька антивірусів на комп'ютері недоцільно, оскільки вони конфліктуватимуть один з одним, що гратимуть на руку самим вірусам.

Механізм роботи сучасних антивірусів

Сучасний антивірус є складним програмним засобом, який повинен забезпечити надійний захист комп'ютерного пристрою (комп'ютера, кишенькового комп'ютера або нетбука) від різних вірусів (шкідливих програм). Загальна схема антивіруса представлена ​​на малюнку нижче:

Мал. 3.1.

Як видно зі схеми, антивірус складається з наступних частин:

1. Модуль резидентного захисту
2. Модуль карантину
3. Модуль "протектора" антивірусу
4. Конектор до антивірусу-сервера
5. Модуль поновлення
6. Модуль сканера комп'ютера

Модуль резидентного захисту є основним компонентом антивірусу, що знаходиться в оперативній пам'яті комп'ютера та сканує в режимі реального часу всі файли, з якими здійснюється взаємодія користувача, операційної системи чи інших програм. Слово "резидентний" означає "невидимий", "фоновий". Резидентний захист поводиться тільки при знаходженні вірусу. Саме на резидентному захисті ґрунтується головний принцип антивірусного ПЗ – запобігти зараженню комп'ютера. До її складу входять такі компоненти, як активний захист (порівняння антивірусних сигнатур зі сканованим файлом та виявлення відомого вірусу) та проактивний захист (сукупність технологій та методів, що використовуються в антивірусному програмному забезпеченні, основною метою яких є запобігання зараженню системи користувача, а не пошук вже відомого шкідливого програмного забезпечення у системі).

Модуль карантину є модулем, який відповідає за розміщення підозрілих файлів у спеціальне місце , що називається карантином. Файли, переміщені до карантину, не мають можливості виконувати будь-які дії (вони заблоковані) і знаходяться під наглядом антивірусу. Антивірус приймає рішення помістити файл на карантин при виявленні у файлі ознаки вірусної діяльності (при цьому сам файл з точки зору антивірусу вірусом у цьому випадку не є, просто файл є потенційною загрозою), або якщо файл дійсно заражений вірусом, але його необхідно вилікувати, а не видаляти повністю (наприклад, важливий документ користувача, до якого потрапив вірус). В останньому випадку файл буде поміщений в карантин для подальшого лікування від вірусу (якщо антивірус не зможе вилікувати файл, його доведеться видалити, або залишити, в надії на те, що з новим оновленням антивірус зможе вилікувати цей файл). Зазвичай карантин створюється в спеціальній папці антивірусної програми, яка ізольована від будь-яких дій, крім антивірусних дій.

Модуль протектора антивірусу є модулем, який захищає антивірус від стороннього втручання різних програмних засобів. Цей модуль є захисником антивірусу. Часто віруси хочуть стерти антивірус або запобігти його роботі шляхом блокування антивірусу. Модуль протектора антивірусу не дасть це. Втім, не всі сучасні антивіруси мають якісні протектори. Деякі з них нічого не можуть зробити проти сучасних вірусів, а віруси, у свою чергу, можуть спокійно і безперешкодно повністю стерти антивірус. Також з'явилися віруси, які імітують видалення антивірусу з боку користувача, тобто протектор антивірусу вважає, що сам користувач з якихось причин хоче видалити антивірус і тому не перешкоджає цьому, хоча насправді це діяльність вірусу. В даний час антивірусні компанії стали більш серйозно підходити до випуску протекторів, і стає очевидним, що якщо антивірус не матиме хорошого протектора, його ефективність у боротьбі з вірусами буде дуже мала.

Конектор до антивірусу-сервера є важливою частиною антивірусу. Конектор служить для з'єднання антивірусу до сервера, з якого антивірус може завантажити актуальні основи з описом нових вірусів. При цьому з'єднання повинне проходити по спеціальному захищеному Інтернет-каналу. Це дуже важливий момент, оскільки зловмисник може підкласти невірні антивірусні бази з брехливим описом вірусів, якщо антивірус з'єднуватиметься із сервером по незахищеному Інтернет-каналу. Також у сучасних антивірусах конектор служить ще й для з'єднання до спеціального сервера, який керує антивірусом. Подібне з'єднання зображено на малюнку нижче:

Як видно з малюнка, конектор дозволяє поєднувати безліч антивірусів користувачів з єдиним антивірусом-сервером, з якого антивіруси користувача можуть завантажувати оновлення, а також якщо на стороні антивірусу користувача виникли якісь нерозв'язні проблеми, то

Ця частина програми постійно відстежує комп'ютер та запущені програми, виявляючи будь-яку підозрілу активність (наприклад, вірус), таким чином попереджаючи будь-які пошкодження файлів та комп'ютера. Резидентний захист працює повністю незалежно (активізується автоматично при запуску комп'ютера) і, якщо все гаразд, ви навіть не помітите його роботу.

Синя іконка з літерою "а" у правому нижньому кутку екрана поряд з годинником відображає поточний статус резидентного захисту. Зазвичай наявність іконки вказує на те, що резидентний захист встановлений і превентивно захищає ваш комп'ютер. Якщо іконка перекреслена червоною лінією, захист неактивний, і комп'ютер не захищений. Якщо сіра іконка, захист був припинений - див. далі.

Налаштування резидентного захисту доступні, якщо клацніть лівою кнопкою миші на синій іконці в нижньому правому куті екрана або клацніть і виберіть “Налаштування сканера доступу”.
Відобразиться такий екран:

Тут ви зможете тимчасово призупинити резидентний захист, натиснувши “Пауза” або “Завершити”. У даному випадкуобидві опції рівнозначні. Однак резидентний захист буде автоматично активовано під час наступного запуску комп'ютера. Це зроблено для того, щоб убезпечити комп'ютер від випадкового зараження.

Ви також можете налаштувати чутливість резидентного захисту, клацнувши на лінії курсора, змінивши чутливість на “Нормальна” або “Висока”. Однак резидентний захист включає кілька різних модулівабо "провайдерів", кожен з яких створений для захисту різних частин комп'ютера. Будь-які зміни, які ви робите на даному екрані, будуть застосовані до всіх модулів резидентного захисту.

Резидентний захист складається з наступних модулів або провайдерів”:

Миттєві повідомленняперевіряє файли, що завантажуються програмами для обміну миттєвими повідомленнями, наприклад, ICQ та MSN Messenger та багатьма іншими. У той час як самі інтернет-пейджери не становлять небезпеки в плані вірусів, сучасні IM-програми далекі від того, щоб бути безпечними: більшість з них також дозволяють обмінюватися файлами - що легко може призвести до вірусного зараженняякщо їх не відстежувати.

Електронна поштаперевіряє вхідні та вихідні поштові повідомлення, оброблені клієнтами, які не належать до MS Outlook і MS Exchange, наприклад, Outlook Express, Eudora і т.д.

Мережевий екран забезпечує захист від інтернет-хробаків, наприклад, Blaster, Sasser і т.д. Захист можливий лише на системах на базі NT (Windows NT/2000/XP/Vista).

Outlook/Exchange перевіряє вхідні та вихідні поштові повідомлення, що обробляються MS Outlook або MS Exchange і зупиняє надсилання та отримання будь-яких повідомлень, що містять потенційні віруси.

Екран P2P перевіряє файли, що завантажуються поширеними програмами P2P (для обміну файлами), наприклад Kazaa і т.д.

Блокування сценаріївперевіряє скрипти на будь-яких веб-сторінках, які ви переглядаєте, для попередження будь-якого зараження через вразливість у веб-браузері.

Стандартний екран перевіряє запущені програми та відкриті документи. Це допоможе попередити запуск заражених програм та відкриття заражених документів, тим самим блокуючи активацію вірусу.

Web екран захищає ваш комп'ютер від вірусів при використанні інтернету (веб-серфінг, завантаження файлів і т.д.), а також може блокувати доступ до певних сторінок. Якщо ви завантажуєте заражений файл, Стандартний екран попередить його запуск. Однак Web екран виявить вірус навіть раніше - під час завантаження файлу, тим самим забезпечуючи ще більший захист. Web екран сумісний з усіма поширеними веб-браузерами, включаючи Microsoft Internet Explorer, FireFox, Mozilla та Opera. За допомогою унікальної функції, яка називається "Intelligent Stream Scanning", яка дозволяє сканувати завантажені файли майже в режимі реального часу, практично не впливаючи на швидкість роботи браузера.

Ви можете налаштувати чутливість кожного модуля окремо. Щоб зробити це або призупинити роботу певного модуля, клацніть на “Деталі…”. З'явиться наступний екран:

У вікні панелі зліва представлені індивідуальні модулі. Чутливість кожного модуля можна встановити, клацнувши на його назві зліва і вибравши чутливість у шкалі за допомогою повзунка. У цьому вікні також можна призупинити певні частини резидентного захисту тимчасово або постійно, клацнувши на “Пауза” або “Завершити”. запитає, чи дійсно ви хочете вимкнути певний модуль назавжди або запустити при наступному запуску комп'ютера: Якщо ви клацніть "Так", модуль залишиться неактивним, навіть після перезапуску комп'ютера, доки ви вручну не включите його знову.

Існує певна кількість додаткових опцій, які можна вибрати для кожного модуля, наприклад, можна визначити тип файлів, які потрібно сканувати. Ці опції доступні після натискання кнопки “Налаштувати”.

Резидентний захист

Підхід до резидентного захисту, на відміну механізму оновлень, тут нетрадиційний, але продукт від цього лише виграє. По-перше, все постійні перевіркиділяться тут так звані " провайдери " - модулі, стежать за частиною процесів.

Їх всього сім: два перевіряють вхідну пошту, причому один усю, а другий - тільки з Outlook, але застосовуючи посилені алгоритми та розширені налаштування. По одному провайдеру відповідають за сканування вхідних файлів у P2P-мережах та програмах миттєвого обміну повідомленнями, наприклад ICQ. Web Shield переглядає весь трафік, що проходить 80 портом, блокуючи небажаний. Два - основні. "Стандартний екран" - це те, що в інших і називається, власне, резидентним захистом, він відповідає за сканування файлів, що запускаються, і процесів у пам'яті на потенційно небезпечні сигнатури. "Мережевий екран" – міні-брандмауер. Так, саме "міні", тому що захистити він може тільки від примітивних атак, і налаштування обрізані по-максимуму, але це йому прощається: адже це не комплект для мережевого захисту. До речі, справляється він тільки зі скануванням і спробами злому, зробленими йому відомими вірусами, Так що для вбудованого в антивірус - саме те. Усі налаштування провайдерів, у тому числі швидке увімкнення/вимкнення, доступні з меню, що з'являється при натисканні по значку в треї ("Налаштування сканера доступу"). Там потрібно включити режим "Більше деталей", щоб з'явилися справді важливі налаштування.

Також при виборі провайдера та кнопки "Налаштувати" з'являються нові параметри, які, втім, досить зрозумілі за назвою, а якщо виникнуть питання, можна заглянути в "Допомога". Вона добре перекладена і дуже докладна.

У провайдерах основним налаштуванням є рівень чутливості захисту: чи буде вона блокувати і негайно повідомляти користувача про будь-який некоректний виклик. Налаштування за умовчанням "Нормальна" дійсно відповідає своїй назві і підійде більшості користувачів.

Є також Avast! фірмова особливість, Яку, напевно, можна віднести і до резидентного захисту - антивірусний скрінсейвер.

Разом із встановленням програми в "Властивості екрана" з'явиться новий "охоронець екрана" (скринсейвер), вибравши який і натиснувши кнопку "Налаштування", можна вказати параметри сканування під час його показу, наприклад, перевірку архівів та ретельність перегляду. Достатньо корисна функціяособливо для тих, у кого комп'ютер ні на хвилину не вимикається.

Висновок

Антивірус Avast! поєднує в собі все корисні якості"старших побратимів", такі як широка свобода налаштування, функціональність основних компонентів та оперативність оновлень. Додамо до цього скіни та наочний зручний інтерфейс. Найприємніше, що для домашніх користувачів цей антивірус абсолютно безкоштовний. Завантажити його можна на офіційному сайті .

Коротко згадаємо відмінності професійної версії.

У ній, крім повної функціональностідомашньої, є також інтерфейс командного рядка, що дозволяє працювати виключно в консолі, додано механізм планування перевірок, розширений інтерфейс користувача, що дає переваги при тонкому налаштуванні, включено блокування небезпечних скриптів на сторінках, що переглядаються, і додано механізм "оновлення за запитом". Загалом ця модифікація не несе кардинальних змін, просто вона робить антивірус ще більш насиченим, розв'язуючи руки досвідченим адміністраторам.

Тестування програми проводилося на платформі AMD. Редакція дякує Російському представництву AMD за надану платформу.