Антивирусная программа что это кратко

Использование антивирусных программ

Аннотация: В лекции приведены знания, касающиеся антивирусных программ: история антивирусных программ, сведения о надежности и механизмах работы современных антивирусных программ, а также основные моменты использования современных антивирусных программ.

Цель лекции: предоставить читателю знания об антивирусных программах.

Антивирусные программы (далее антивирусы) являются основной частью современной антивирусной защиты (если рассматривать антивирусную защиту как комплекс программ, которые противостоят зловредным программам). Как правило, их мощностей хватает, чтобы справиться с большинством зловредных программ, но иногда бывает и так, что по тем или иным причинам, они справиться не могут (в целях удобства для чтения все типы зловредных программ будем называть общим понятием вирусы). А с чего началась эта борьба антивирусов с различными вирусами?

История возникновения антивирусных программ

Самый первый вирус , действовавший уже точно на поражение, появился в конце 60-ых. Ему пожертвовали тот же компьютер , на котором его и создали (впервые, с целью развлечения). Но все эти развлечения, может, так и остались бы только игрушками программистов, если бы не рождение Интернета.

Компьютерные вирусы и антивирусные программы.

Еще в 1975 году через сеть Telenet разошелся и самый первый сетевой вирус «The Creeper», и впервые была создана программа — антивирус «Reeper». Но уже в следующем десятилетии Ф. Коэн делал эксперименты с программами, которые смогут размножаться и иметь возможность распространиться, его «детище» создавало свои копии и находило выходы для них в большую компьютерную сеть . Так по этому принципу вирусы распространились и в наше время через глобальную сеть . А тогда, в 1984 г., Коэн выступил на седьмой конференции по безопасности информации в Соединенных Штатах, высказывая свои мысли по поводу новой угрозы в этой сфере деятельности.

Также два брата Амджад в Пакистане в 86 г открыли неизвестный доселе вирус . Братья торговали программным обеспечением и вдруг нечаянно увидели, что кто-то его несанкционированно копирует и множит, лишая их честно заработанных денег. Чтобы как-нибудь остановить любителей «халявы», они написали программку «THE BRAIN» и внедрили ее в свои работы.

Она стала активной при попытке копирования. Именно это было началом и прообразом всех будущих вирусов. THE BRAIN резко перешел границу Пакистана и поверг в шок неготовый к этому необычному явлению мир. А уже в 1987 году появилась первая литература о вирусах и борьбе с ними.

С этого момента стало абсолютно очевидно, что для борьбы с вирусами необходимо создавать специальные программы «антивирусы», которые могли бы бороться с вирусами, тем самым «леча» зараженную машину. Первые антивирусы были далеки от современных антивирусных программ. Фактически, они были одноразовыми программами, которые предназначались для лечения определенного вируса.

Само же распространение такого антивируса было достаточно дорогим и долгим занятием, так как антивирусы записывались на дискеты и высылались своим подписчикам в разные уголки мира. Естественно, такая доставка была достаточно долгой, и было весьма сложно своевременно получить нужную копию антивируса . Часто бывало и так, что жители особо удаленных мест от места отсылки дискеты с антивирусом к моменту получения антивируса были заражены парой еще других вирусов.

Все это создавало плохую репутацию для антивирусов, но с развитием сети Интернет антивирусы стали высылать сначала на почтовые ящики пользователей, а потом и появилась возможность динамически обновлять специальные антивирусные базы. Сама же схема работы первых антивирусов была далека от идеала: они не умели постоянно работать на зараженной машине, а были, по сути дела, лишь сканером, который искал определенный вирус и далее пытался с ним справиться.

Создатели вирусов нашли достаточно простой способ для борьбы с такими антивирусами: они стали создавать вирусы, которые уничтожали антивирус до того, как им мог воспользоваться пользователь (то есть они просто стирали антивирус с дискеты, которая приходила пользователю). Создатели же антивирусов в свою очередь стали оснащать свои антивирусы специальными «протекторами», которые не позволяли удалить антивирусную программу.

Тогда стали появляться вирусы, которые маскировались под системные файлы или папки, а потом начали появляться вирусы, которые даже могли изменять свой собственный код (чтобы антивирус не мог их обнаружить). Но антивирусные программы также совершенствовались (работало правило «на каждый меч найдется свой щит»), и стала очевидна борьба создателей антивирусов с создателями вирусов. В свою очередь пресса стала распространять слухи, что антивирусные компании сами пишут различные вирусы, с целью поддержания интереса к антивирусным программам (в какой-то мере это может быть вполне логичным заключением), но подобные слухи до сих пор не могут найти своего подтверждения. Интересно и то, что создатели антивирусов составляют конкуренцию друг другу в борьбе за покупателей, и поэтому вполне логичным является вывод , что держать несколько антивирусов на компьютере нецелесообразно, так как они будут конфликтовать друг с другом, что будет играть на руку самим вирусам.

Механизм работы современных антивирусов

Современный антивирус является сложным программным средством, которое должно обеспечить надежную защиту компьютерного устройства ( компьютера, карманного компьютера или нетбука) от различных вирусов (зловредных программ). Общая схема антивируса представлена на рисунке ниже:

Рис. 3.1. Схема антивируса

Как видно из схемы, антивирус состоит из следующих частей:

1. Модуль резидентной защиты
2. Модуль карантина
3. Модуль «протектора» антивируса
4. Коннектор к антивирусу -серверу
5. Модуль обновления
6. Модуль сканера компьютера

Модуль резидентной защиты является основным компонентом антивируса , находящийся в оперативной памяти компьютера и сканирующий в режиме реального времени все файлы, с которыми осуществляется взаимодействие пользователя, операционной системы или других программ. Слово «резидентный» означает «невидимый», «фоновый». Резидентная защита проявляет себя только при нахождении вируса. Именно на резидентной защите основывается главный принцип антивирусного ПО — предотвратить заражение компьютера. В ее состав входят такие компоненты, как активная защита (сравнение антивирусных сигнатур со сканируемым файлом и выявление известного вируса) и проактивная защита (совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе).

Модуль карантина является модулем, который отвечает за помещение подозрительных файлов в специальное место , именуемое карантином. Файлы, перемещенные в карантин, не имеют возможности выполнять какие-либо действия (они заблокированы) и находятся под наблюдением антивируса . Антивирус принимает решение поместить файл на карантин при обнаружении в файле признака вирусной деятельности (при этом сам файл с точки зрения антивируса вирусом в этом случае не является, просто файл является потенциальной угрозой), либо если файл действительно заражен вирусом, но его необходимо излечить, а не удалять целиком (например, важный документ пользователя, в который попал вирус ). В последнем случае файл будет помещен в карантин для последующего излечения от вируса (если же антивирус не сможет вылечить файл , его придется удалить, либо оставить, в надежде на то, что с новым обновлением антивирус сможет вылечить этот файл ). Обычно карантин создается в особой папке антивирусной программы, которая изолирована от каких-либо действий, кроме действий со стороны антивируса .

Модуль протектора антивируса является модулем, который защищает антивирус от стороннего вмешательства со стороны различных программных средств. Этот модуль является защитником антивируса . Часто вирусы хотят стереть антивирус или предотвратить его работу путем блокировки антивируса . Модуль протектора антивируса не даст это сделать. Впрочем, не все современные антивирусы снабжены качественными протекторами. Некоторые из них ничего не могут сделать против современных вирусов, а вирусы в свою очередь могут спокойно и беспрепятственно полностью стереть антивирус . Также появились вирусы, которые имитируют удаление антивируса со стороны пользователя, то есть протектор антивируса считает, что сам пользователь по каким-либо причинам хочет удалить антивирус , и поэтому не препятствует этому, хотя на самом деле это деятельность вируса. В настоящее время антивирусные компании стали более серьезно подходить к выпуску протекторов, и становится очевидно, что если антивирус не будет иметь хороший протектор, его эффективность в борьбе с вирусами будет очень мала.

Коннектор к антивирусу -серверу является важной частью антивируса . Коннектор служит для соединения антивируса к серверу, с которого антивирус может скачать актуальные базы с описанием новых вирусов. При этом соединение должно проходить по специальному защищенному Интернет -каналу. Это очень важный момент, так как злоумышленник может подложить неверные антивирусные базы с лживым описанием вирусов, если антивирус будет соединяться с сервером по незащищенному Интернет -каналу. Также в современных антивирусах коннектор служит еще и для соединения к специальному серверу, который управляет антивирусом. Подобное соединение изображено на рисунке ниже:

Рис. 3.2. Схема соединения к серверу

Как видно из рисунка, коннектор позволяет соединять множество антивирусов пользователей с единым антивирусом-сервером, с которого антивирусы пользователя могут скачивать обновления, а также если на стороне антивируса пользователя возникли какие-либо неразрешимые проблемы, то антивирус — сервер будет удаленно их решать (например, у антивируса пользователя стал неисправен какой-либо из модулей и антивирус — сервер предоставит этот модуль отдельно для скачивания). В этом случае также очень важную роль играет защищенность канала передачи (канала связи) информации. Со стороны злоумышленников стала применяться интересная практика, в результате которой захватывается контроль над самим каналом передачи информации, и фактически злоумышленник становится управляющим для антивирусов пользователя (для всех или частично, в зависимости от того, какой именно участок канала передачи будет перехвачен злоумышленником). В свою очередь , создатели антивирусов стали зашифровывать данные на канале информации, чтобы злоумышленник не мог получить к ним доступ и как-либо завладеть ими.

Модуль обновления отвечает за то, чтобы обновление антивируса , его отдельных частей, а также его антивирусных баз прошло правильно. В современной практике создания антивирусов стала применяться следующая идея: модуль обновления также должен определять подлинные или нет антивирусные базы скачивает сам модуль . Подлинность при этом может проверяться различными методами — от проверок контрольной суммы файла с базами до поиска внутри файла с базами специальной метки, которая говорит о том, что этот файл является подлинным. Подобные действия стали вводиться после того, как участились случаи подмены антивирусных баз со стороны злоумышленников.

Модуль сканера компьютера является, пожалуй, самым старым модулем в современных антивирусах, так как раньше антивирусы состояли только из этого модуля. Этот модуль отвечает за то, чтобы сканировать компьютер на наличие вирусов, если этого будет требовать пользователь компьютера.

Сам модуль при сканировании компьютера использует антивирусные базы, которые были добыты с помощью модуля обновления антивируса . Если сканер найдет, но не справится с вирусом сразу же, то он поместит файл с вирусом в карантин. Потом, впоследствии, модуль сканера компьютера может связаться через коннектор с антивирусом-сервером и получить инструкции по обезвреживанию зараженного файла.

Следует отметить, что модуль сканера компьютера предназначен для профилактики компьютера от вирусов, так как основную защиту представляет модуль резидентной защиты. В модуле сканера компьютера используются только антивирусные базы, в которых четко описаны вирусы. Различные элементы проактивной защиты (например, эвристика ) не используются в модуле сканера компьютера. Обычно создатели вирусов не строят специальную защиту для своих вирусов от модулей сканера компьютера, так как знают, что пользователь не часто проверяет компьютер сканером, и этого промежуточного времени от проверки до проверки хватит, чтобы украсть персональные данные пользователя.

Источник: intuit.ru

Краткий обзор антивирусных программ

При выборе антивирусной программы необходимо учитывать не только процент обнаружения вирусов, но и способность обнаруживать новые вирусы, количество вирусов в антивирусной базе, частоту ее обновления, наличие дополнительных функций.

В настоящее время серьезный антивирус должен уметь распознавать не менее 25000 вирусов. Это не значит, что все они находятся на воле. На самом деле большинство из них или уже прекратили свое существование или находятся в лабораториях и не распространяются. Реально можно встретить 200-300 вирусов, а опасность представляют только несколько десятков из них.

На сегодняшний день перечень доступных антивирусных программ весьма обширен. Они различаются как по цене (от весьма дорогих до абсолютно бесплатных), так и по своим функциональным возможностям. Наиболее мощные (и, как правило, наиболее дорогие) антивирусные программы представляют собой на самом деле пакеты специализированных утилит, способных при совместном их использовании поставить заслон практически любому виду зловредных программ.

Вот типовой перечень тех функций, которые способны выполнять такие антивирусные пакеты:

Ÿ сканирование памяти и содержимого дисков по расписанию;

Ÿ сканирование памяти компьютера, а также записываемых и читаемых файлов в реальном режиме времени с помощью резидентного модуля;

Ÿ выборочное сканирование файлов с измененными атрибутами;

Ÿ распознавание поведения, характерного для компьютерных вирусов;

Ÿ блокировка и/или удаление выявленных вирусов;

Ÿ восстановление зараженных информационных объектов;

Ÿ принудительная проверка подключенных к корпоративной сети компьютеров;

Ÿ удаленное обновление антивирусного программного обеспечения и баз данных с информацией о вирусах, в том числе автоматическое обновление баз данных по вирусам через Интернет;

Ÿ фильтрация трафика Интернета на предмет выявления вирусов в передаваемых программах и документах;

Ÿ выявление потенциально опасных Java-апплетов и модулей ActiveX;

Ÿ ведение протоколов, содержащих информацию о событиях, касающихся антивирусной защиты.

Таким образом, в настройках антивируса устанавливаем проверку оперативной памяти и всех без исключения файлов на любых доступных дисках. Обязательно включаем функцию лечения зараженных данных и ведение подробного отчета по инфицированным файлам, чтобы после сканирования составить наиболее достоверную картину о состоянии компьютера. С объектами, которые антивирус не одолел, расправляемся вручную согласно инструкциям, доступным на веб-сайте любого производителя антивирусных продуктов.

На российском рынке антивирусного программного обеспечения наиболее востребованы программные продукты следующих фирм: Symantec (США), ЗАО «ДиалогНаука», ЗАО «лаборатория Касперского (обе Россия), ESET (Словакия), Panda Software (Испания).

Norton AntiVirus (Symantec).

Один из наиболее известных и популярных антивирусов, отлично зарекомендовал себя у пользователей по всему миру. В программе используется технология SONAR. позволяющая в режиме реального времени распознавать новые неизвестные вирусы. Данный антивирус не позволяет рассылать зараженные письма, автоматически распознает и блокирует вирусы, программы-шпионы и троянские компоненты, обнаруживает угрозы, скрытые в операционной системе, проверяет загружаемые файлы, выполняет функции просмотра электронной почты и защиты от интернет-червей.

Мастер по борьбе с вирусами выдает подробную информацию об обнаруженном вирусе, а также предоставляет вам возможность выбора: удалять вирус либо в автоматическом режиме, либо более осмотрительно, посредством пошаговой процедуры, которая позволяет увидеть каждое из выполняемых в процессе удаления действий.

Антивирусные базы обновляются очень часто (иногда обновления появляются несколько раз в неделю). Имеется резидентный монитор.

Антивирус Dr.Web(ЗАО «ДиалогНаука»)

Dr.Web — одна из самых известных и популярных отечественных антивирусных программ.

Имеет эвристический анализатор, позволяющий с большой долей вероятности обнаруживать неизвестные вирусы. При проверке какой-либо программы анализатор эмулирует ее исполнение и протоколирует все ее «подозрительные» действия, например, открытие или запись в файл, перехват векторов прерываний и т.д. На основе этого протокола принимается решение о возможном заражении программы вирусом.

Таким образом, с помощью эвристического анализатора кода обнаруживаются до 92% новых вирусов. Этот механизм достаточно эффективен и очень редко приводит к ложным срабатываниям. Файлы, в которых эвристический анализатор обнаружил подозрение на вирус, называют возможно зараженными или подозрительными.

Dr.Web допускает автоматическую загрузку из Интернета новых баз данных вирусов и автообновление самой программы, что позволяет оперативно реагировать на появление новых вирусов. Передовые технологии Dr.Web позволяют организовать надежную антивирусную защиту, как в рамках крупных корпоративных сетей, так и на домашнем компьютере или в домашнем офисе. Антивирусные программы Dr.Web могут быть использованы практически под всеми популярными операционными системами.

Антивирусные программы Dr.Web отличаются от аналогичных решений других производителей исключительной нетребовательностью к ресурсам компьютера, компактностью, быстротой работы и надежностью в детектировании всех видов вредоносных программ.

Антивирус Касперского (ЗАО «Лаборатория Касперского»)

Антивирус Касперского – одна из популярнейших и наиболее качественных антивирусных программ. За счет специального алгоритма работы у нее очень высокий процент определения вирусов, в том числе и еще не известных. Антивирус Касперского умеет проверять на вирусы почтовые базы данных и получаемые письма вместе с приложениями к ним, очень хорошо определяет макровирусы, внедренные в документы Microsoft Office, а также проверяет наиболее популярные форматы архивов.

Ÿ Три степени защиты от известных и новых интернет-угроз: 1) проверка по базам сигнатур, 2) эвристический анализатор, 3) поведенческий блокиратор.

Ÿ Защита от вирусов, троянских программ и червей.

Ÿ Защита от шпионского и рекламного ПО.

Ÿ Проверка файлов, почты и интернет-трафика в режиме реального времени.

Ÿ Защита от вирусов при работе с ICQ.

Ÿ Защита от всех типов клавиатурных шпионов.

Ÿ возможность проверки архивов, даже вложенных. Следует отметить, что эта возможность является почти уникальной. Последняя версия программы может проверять содержимое архивов ZIP, ARJ, RAR. При проверке архивов, защищенных паролем, программа запрашивает этот пароль у пользователя.

Ÿ Все подозрительные файлы (то есть те, для которых программа не смогла точно определить, заражен он или нет), размещаются в специальном разделе Карантин, в резервное хранилище программа записывает объекты, созданные во время антивирусной проверки.

Ÿ Программа отлично справляется с контролем почтового трафика, контролируя всю отправляемую и принимаемую почту.

Ÿ Ежедневное обновление базы вирусных сигнатур, автоматически реализуется через Интернет при помощи специально встроенного модуля и обеспечивает высокий уровень детектирования компьютерных вирусов.

Все это делает программу одной из лучших в своей категории.

Антивирус NOD32 (ESET, Словакия)

Очень быстро работающая антивирусная программа, эффективно защищающая от всех видов вирусов, включая троянские программы, черви, шпионские программы, рекламные программы, phishing-атаки. NOD32 обладает всеми возможностями, характерными для современных средств защиты компьютера, причем по некоторым очень важным параметрам NOD32 превосходит абсолютное большинство популярных антивирусных программ. Это единственный антивирус в мире, который уже более 10 лет не пропустил ни один активный на момент тестирования вирус, а также не менее мощный и встроенный виртуальный эмулятор для обнаружения полиморфных вирусов. Продукты NOD32предназначены как для защиты отдельных персональных компьютеров и рабочих станций, так и для защиты IT-инфраструктуры предприятий и организаций.

Panda Antivirus (Panda Software, Испания)

Panda Antivirus Pro 2011– мощный антивирус, включающий фаервол, защиту USB-устройств, загрузочный диск Panda SafeCD и набор инструментов для безопасного просмотра веб-сайтов. Благодаря технологиям Коллективного разума, этот антивирус стал еще более безопасным и быстрым, чем когда-либо, и предоставляет полную защиту от всех типов вредоносных программ.

Коллективный разум содержит серверы, которые автоматически классифицируют и обрабатывают информацию, поступающую от Сообщества пользователей и содержащую данные о вирусах, обнаруженных на их компьютерах. Персональный фаервол блокирует вторжения и атаки хакеров, даже если Вы работаете в своей беспроводной сети.

Panda USB Vaccine защищает Ваш ПК и USB-устройства от инфекций.

Panda SafeCD способен уничтожать на Вашем компьютере все типы вредоносных программ в случае, если Вы не можете запустить Windows. Он подсоединяется к Интернету для подключения самых современных антивирусных технологий каждый раз, когда это необходимо.

Avast! Free Antivirus (Чехия)

Бесплатный антивирус Avast!, работа которого основывается на отмеченном рядом наград антивирусном ядре, включает в себя все функции, которые необходимы профессиональной антивирусной программе. Он имеет простой пользовательский интерфейс, подходящий для новичков или неопытных пользователей. Последняя версия обеспечивает еще более высокую скорость сканирования и усовершенствованную функцию обнаружения вредоносных программ. В состав программы входит несколько работающих в реальном времени «экранов», которые наблюдает за всеми возможными опасными операциями, выполняемыми в течение ежедневной работы на компьютере, постоянно отслеживают вашу электронную почту и подключения к Интернету, проверяют файлы в вашем компьютере при каждом их открытии или закрытии.

После бесплатной регистрации на сайте программа будет работать один год, после чего опять потребуется регистрация. Программа полностью бесплатна для домашнего и некоммерческого использования.

AVG Anti-Virus Free 2011 (AVG Technologies, Чехия)

Эффективный и быстрый бесплатный антивирус. Гарантированные производителем быстрые обновления вирусной базы данных, простота использования, низкие системные требования – основные преимущества этого антивируса. AVG Anti-Virus Free Edition включает следующие компоненты: сканер, монитор, сканер электронной почты, систему автоматического обновления антивирусной базы.

Основные функции и возможности программы:

Ÿ проводит сканирование файлов во время их открытия и программ при их запуске;

Ÿ проверяет всю электронную почту;

Ÿ позволяет пользователю сканировать компьютер на наличие вирусов, как по расписанию так и вручную;

Ÿ наличие системы автоматического обновления антивирусной базы;

Ÿ работает в фоновом режиме. Для выполнения задач программе требуется совсем немного системных ресурсов, поэтому в качестве антивируса она незаменима.

Источник: studopedia.ru

Антивирусная защита

Под антивирусной защитой подразумевается комплекс профилактических и диагностических мер, применяемых для защиты информационных систем от заражения вирусами.

В свою очередь, вирусы — это вредоносные программы, которые распространяются через каналы связи, чтобы внедриться в код другого программного обеспечения, блокировав его, или нарушить работу программно-аппаратных комплексов.

Антивирусная защита является одним из базовых элементов обеспечения информационной безопасности.

Какие вирусы бывают?

Общепринятой классификации вирусов нет, но чаще всего их разделяют на виды в зависимости от типа поражаемого объекта, механизма работы и функциональности, используемых технологий, а также языка, на котором написано вредоносное программное обеспечение (далее — ПО).

К основным типам вирусов, на которые направлена значительная доля технологий в области информационной безопасности сегодня относятся: трояны, черви, руткиты (маркировщики, блокировщики), бэкдоры (шпионы) и загрузчики.

У каждого вида есть свои особенности, например:

• в основе червей лежат саморазмножающиеся программы, которые позволяют таким вирусам бесконтрольно реплицировать самих себя после проникновения в компьютер через электронную почту, мессенджеры и файлы;
• трояны попадают в компьютеры, маскируясь приложением, а затем выполняют свою вредоносную задачу вплоть до администрирования компьютера (троян бэкдор);
• руткиты (или маркировщики), интегрируясь с операционной системой, предназначены для сокрытия наличия вредоносных программ в компьютере как от пользователей, так и от антивирусов. Более того, некоторые вирусы данного типа начинают «своё дело» до загрузки операционной системы (отсюда их альтернативное название — буткиты, блокировщики);
• бэкдор представляет собой программу для удалённого управления компьютером злоумышленниками. При этом хакеры могут сохранить информацию о том, на какие клавиши нажимает пользователь и в каком порядке, запустить любые программы, файлы и даже видеокамеру или микрофон. По этому же сценарию (сохранение последовательности нажатия клавиш) работают вирусы-шпионы, основной задачей которых обычно является похищение данных о паролях и банковских картах пользователей;
• загрузчик является лишь частью кода вируса, который, попадая в компьютер, делает своё дело, позволяя загрузиться полной версии вредоносного кода. Чаще всего такие вирусы попадают в компьютеры через открытие заражённых картинок, поступающих по электронной почте.

Методы защиты от вирусов

Сегодня для обеспечения антивирусной защиты используются следующие методы:

• сигнатурный анализ — базируется на сканировании анализе уникальной последовательности байтов вредоносного программного обеспечения. Этот метод лежит в основе работы современных антивирусов – они исследуют код и сравнивают с базой данных, которая содержит вирусные сигнатуры. В случае обнаружения сходства с вирусными сигнатурами программа идентифицирует вирус и сигнализирует об этом. Основное достоинство этого метода — точность, однако, эффективность работы антивирусного ПО из-за этого полностью зависит от своевременности актуализации баз данных с вирусными сигнатурами;
• контроль целостности — работает по принципу идентификации подозрительных событий, которые становятся предметом пристального внимания антивирусных программ. В случае обнаружения расхождений в исходном и текущем состоянии кода проводятся дополнительные проверки, например, сигнатурный анализ. Контроль целостности — менее затратный с точки зрения времени метод, чем сканирование сигнатур, потому что требует меньше вычислений;
• в основе метода эвристического сканирования лежит поиск подозрительных команд или признаков подозрительных команд, при обнаружении которых запускаются другие методы проверки. Как и сигнатурный метод, эвристическое сканирование требует постоянной актуализации баз данных с новыми вирусами;
• отслеживание поведения программного обеспечения — работает только при активном участии пользователей, которые должны реагировать на предупреждения антивирусных программ. Данный метод характеризуется высокой частотой ложных срабатываний, в отличие от сигнатурного сканирования.

Стоит отметить, что именно первые три метода защиты от вирусов являются базисом антивирусной защиты компьютеров и компьютерных сетей организаций. Подробнее о средствах антивирусной защиты и их особенностях.

«Антивирусное программное обеспечение должно быть развёрнуто на всех системах, подверженных воздействию вирусов (особенно на рабочих станциях и серверах)», — PI DSS — Стандарт безопасности данных индустрии платёжных карт.

«Использование двух или более продуктов разных вендоров, направленных на защиту от вредоносного программного обеспечения, может повысить эффективность системы противодействия вредоносному программному обеспечению», — ISO 27002:2005 — Информационные технологии. Свод правил по управлению защитой информации ISO — Международная организация по стандартизации.

«Мы строго рекомендуем разворачивать антивирусное программное обеспечение на всех системах, для которых оно существует», — NIST SP 800-83 — Руководство по предотвращению и обработке инцидентов, связанных с вредоносным программным обеспечением NIST — Национальный Институт Стандартов и Технологий США.

«…Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации…», — Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах — Приказ ФСТЭК РФ от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Источник: www.azone-it.ru

Как работает антивирус

Мало кто задумывается о принципе работы антивирусного ПО. Зачастую его устанавливают, периодически обновляют, но на этом забота о программе заканчивается. Сам антивирус представляет собой средство борьбы с вирусами, троянами, программами-шпионами, червями, бекдорами и прочим мусором, который мы в огромных количествах черпаем из интернета.

Львиная доля подобных программ нацелена на ОС Windows. Во-первых, эта операционная система самая распространенная в мире. Во-вторых, уязвима к атакам и попыткам взлома из-за своей популярности. В-третьих, аудитория, использующая ОСь, не блещет особыми знаниями компьютерной грамотности. Для Linux и MacOS также есть шпионский софт, но он бесполезный от слова совсем.

Принцип работы антивирусов

Если разобраться, то любой продукт, будь то Касперский, Аваст, Нод 32 и не только, работает по тому же принципу, что и вирус:

• следит за трафиком;
• просматривает порты;
• удаляет и модифицирует файлы;
• правит реестр;
• сильно нагружает систему «левыми» службами;
• собирает статистику и отправляет ее разработчику.

Но система при этом работает довольно стабильно и быстро. Другое дело, что ставить параллельно два антивируса если и можно, то довольно глупо. Машина начнет адски тормозить, файлы двух программ станут воспринимать друг друга чем-то подозрительным, пытаясь «сожрать» один одного, остатки ПО будут качать недостающие фрагменты из сети и процесс повторится заново. Закончится все падением ОС.

Как антивирус защищает владельца

Если не вдаваться в подробности работы ПО, которые многим покажутся непонятными, хочется выделить 3 основных принципа действий антивирусов по отношению к шпионским программам:

• диагностика;
• профилактика;
• лечение.

В первом случае софт проверяет все места на HDD, ОЗУ и съемных носителях. Приоритет отдается тем участкам, которые чаще всего поражаются троянами (загрузочные сектора, исполняемые библиотеки, драйверы и т.д.). Если антивирус что-то находит – он автоматически оповещает пользователя.

Лечение может быть двух типов:

• попытка вылечить файл;
• помещение в карантин;
• удаление.

В первом случае ПО будет всячески пытаться восстановить работоспособность одного или нескольких файлов. Если ничего не получится – зараженные объекты удалятся с ПК навсегда. Целостность системы при этом может пострадать и ее придется восстанавливать.

На карантин файлы помещаются в том случае, если они ценны для вас, или содержат важные данные. В дальнейшем вы можете попытаться вылечить объект самостоятельно, или с помощью специалиста.

Профилактика – систематическое сканирование антивирусом в фоновом режиме. Вы можете и не подозревать о его работе (если ПК мощный и ресурсов достаточно). В этом режиме антивирус проверяет все открываемые программы, папки, файлы и не только. Если он обнаружит вирус или что-то подозрительное, сразу сообщит владельцу.

Методы обнаружения

На сегодняшний день различают 3 ключевых способа поиска различных червей и всего прочего мракобесия, которое портит ОС:

• сигнатурный метод;
• эвристический метод;
• брандмауэр (фаервол).

Сигнатуры

Принцип сигнатур следующий: антивирусная лаборатория выявляет новый вирус с последующим анализированием, выявляя сигнатуру – особый цифровой признак вредителя (вроде отпечатка пальца). Сигнатуры вносят в базу, которую скачивает пользователь при обновлении.

Достоинства в том, что метод надежный и используется очень давно. К тому же относительно быстрый.

Из недостатков хочется отметить огромное количество подобных троянов, которые имеют схожие сигнатуры. Из-за этого приходится разрабатывать шаблон, который вносится с базу, а затем на его основе разыскивается нежелательное ПО. При этом иногда возникают ложные срабатывания антивирусов, что периодически раздражает.

Эвристика

Многие программы имеют встроенный эвристический модуль поиска вирусов. Суть заключается в проверка всех программ и файлов, которые вы запускаете на ПК. Если антивирус обнаружил что-то сомнительное или подозрительное – он сразу же выдаст сообщение.

Достоинства в перспективности направления такого метода и способность реагировать на те угрозы, которых нет в базе сигнатур.

Недостаток заключается в «сырости», потому как нередки ложные срабатывания на безопасное ПО. Нередки случаи отключения модуля эвристики, который «раздражает», из-за чего система подвергает потенциальной угрозе. И данный метод довольно прожорлив к ресурсам ПК.

Брандмауэр

Фаерволы защищают сеть, т.е. локальные и глобальные подключения. Данный модуль зачастую является самостоятельным и продается в виде отдельной программы, либо уже встроен в систему (брандмауэр Windows тому пример). ПО контролирует входящий и исходящий трафик, ограничивая возможность соединяться с определенными ресурсами (белые и черные списки).

Из достоинств отметим возможность создать «свободный» интернет, работая исключительно со списком проверенных сайтов. Также можно установить на один из локальных шлюзов, создавая школьные или институтские сети узкой направленности (без соцсетей, мессенджеров и прочих «черных» сайтов).

Недостаток в сложности настроек. Чтобы создать действительно защищенную сеть, нужно хорошенько попотеть в сторону матчасти. Использование настроек «по умолчанию» делает брандмауэр огромным дырявым корытом.

Источник: useron.ru