Антивирусные программы на сегодняшний день смело можно назвать самым популярным средством защиты информации . Антивирусные программы – программы, предназначенные для борьбы с вредоносным программным обеспечением (вирусами).
Для обнаружения вирусов антивирусные программы используют два метода – сигнатурный и эвристический.
Сигнатурный метод основан на сравнении подозрительного файла с сигнатурами известных вирусов. Сигнатура – это некий образец известного вируса, то есть набор характеристик, позволяющих идентифицировать данный вирус или наличие вируса в файле. Каждый антивирус хранит антивирусную базу, содержащую сигнатуры вирусов.
Естественно, каждый день появляются новые вирусы, поэтому антивирусная база нуждается в регулярном обновлении. В противном случае антивирус не будет находить новые вирусы. Раньше все антивирусные программы использовали только сигнатурный метод для обнаружения вирусов ввиду его простоты реализации и точности обнаружения известных вирусов. Тем не менее, данный метод обладает очевидными минусами – если вирус новый и сигнатура его неизвестна, антивирус «пропустит» его. Поэтому современные антивирусы используют также эвристические методы . Эвристический метод представляет собой совокупность приблизительных методов обнаружения вирусов, основанных на тех или иных предположениях. Как правило, выделяют следующие эвристические методы :
- поиск вирусов, похожих на известные (часто именно этот метод называют эвристическим). В принципе метод похож на сигнатурный, только в данном случае он более гибкий. Сигнатурный метод требует точного совпадения, здесь же файл исследуется на наличие модификаций известных сигнатур, то есть не обязательно полное совпадение. Это помогает обнаруживать гибриды вирусов и модификации уже известных вирусов;
- аномальный метод – метод основан на отслеживании аномальных событий в системе и выделении основных вредоносных действий: удаления, запись в определенные области реестра, рассылка писем и пр. Понятно, что выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Но если программа последовательно выполняет несколько таких действий, например, записывает себя в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа по меньшей мере подозрительна. Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам и, как следствие, неспособны различать известные и неизвестные вирусы — все подозрительные программы априори считаются неизвестными вирусами. Аналогично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения.
- анализ контрольных сумм — это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений — одновременность, массовость, идентичные изменения длин файлов — можно делать вывод о заражении системы. Анализаторы контрольных сумм, как и анализаторы аномального поведения, не используют в работе антивирусные базы и принимают решение о наличии вируса в системе исключительно методом экспертной оценки . Большая популярность анализа контрольных сумм связана с воспоминаниями об однозадачных операционных системах, когда количество вирусов было относительно небольшим, файлов было немного и менялись они редко. Сегодня ревизоры изменений утратили свои позиции и используются в антивирусах достаточно редко. Чаще подобные технологии применяются в сканерах при доступе — при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным[10.4].
Эвристические методы также обладают недостатками и достоинствами. К достоинствам можно отнести способность обнаруживать новые вирусы. То есть если вирус новый и его сигнатура не известна, антивирус с сигнатурным обнаружением «пропустит» его при проверке, а с эвристическим возможно найдет. Из последнего предложения вытекает и основной недостаток эвристического метода – его вероятностный характер. То есть такой антивирус может найти вирус, не найти его или принять легитимный файл за вирус.
В современных антивирусных комплексах производители стараются совмещать сигнатурный метод и эвристические. Перспективным направлением в данной области является разработка антивирусов с искусственной иммунной системой – аналогом иммунной системы человека, которая может обнаруживать «инородные»тела.
В составе антивируса обязательно должны присутствовать следующие модули:
- модуль обновления – доставляет обновленные базы сигнатур пользователю антивируса. Модуль обновления обращается к серверам производителя и скачивает обновленные антивирусные базы.
- модуль планирования – предназначен для планирования действий, которые регулярно должен выполнять антивирус . Например, проверять компьютер на наличие вирусов и обновлять антивирусные базы. Пользователь может выбрать расписание выполнения данных действий.
- модуль управления – предназначен для администраторов крупных сетей. Данные модули содержат интерфейс, позволяющий удаленно настраивать антивирусы на узлах сети, а также способы ограничения доступа локальных пользователей к настройкам антивируса.
- модуль карантина – предназначен для изолирования подозрительных файлов в специальное место – карантин. Лечение или удаление подозрительного файла не всегда является возможным, особенно если учесть ложные срабатывания эвристического метода. В этих случаях файл помещается в карантин и не может выполнять какие-либо действия оттуда.
В больших организациях с разветвленной внутренней сетью и выходом в Интеренет для защиты информации применяются антивирусные комплексы.
Антивирусное ядро — реализация механизма сигнатурного сканирования на основе имеющихся сигнатур вирусов и эвристического анализа.
Антивирусный комплекс — набор антивирусов , использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем[10.4]..
Выделяют следующие типы антивирусных комплексов в зависимости от того, где они применяются:
- Антивирусный комплекс для защиты рабочих станций
- Антивирусный комплекс для защиты файловых серверов
- Антивирусный комплекс для защиты почтовых систем
- Антивирусный комплекс для защиты шлюзов
Антивирусный комплекс для защиты рабочих станций, как правило, состоит из следующих компонентов:
- антивирусный сканер при доступе – проверяет файлы, к которым обращается ОС;
- антивирусный сканер локальной почты – для проверки входящих и исходящих писем;
- антивирусный сканер по требованию – проверяет указанные области дисков или файлы по запросу либо пользователя, либо в соответствии с установленным в модуле планирования расписанием.
Антивирусный комплекс для защиты почтовых систем предназначен для защиты почтового сервера и состоит из:
- фильтр почтового потока — осуществляет проверку на наличие вирусов входящего и исходящего трафика сервера, на котором установлен комплекс;
- сканер общих папок (баз данных) — осуществляет проверку на наличие вирусов баз данных и общих папок пользователей в режиме реального времени (в момент обращения к этим папкам или базам). Может составлять единое целое с фильтром почтового потока в зависимости от реализации технологии перехвата сообщений/обращений к папкам и передачи на проверку.
- антивирусный сканер по требованию — осуществляет проверку на наличие вирусов почтовых ящиков пользователей и общих папок в случае использования таковых на почтовом сервере . Проверка осуществляется по требованию администратора антивирусной безопасности либо в фоновом режиме.
Антивирусный комплекс для защиты файловых серверов – предназначен для защиты сервера, на котором установлен. Обычно состоит из двух ярко выраженных компонентов:
- Антивирусного сканера при доступе — аналогичен сканеру при доступе для рабочей станции;
- Антивирусного сканера по требованию — аналогичен сканеру по требованию для рабочей станции.
Антивирусный комплекс для защиты шлюзов, как следует из названия, предназначен для проверки на вирусы данных, передаваемых через шлюз. Так как данные через шлюз передаются практически постоянно, на нем устанавливаются компоненты, работающие в непрерывном режиме:
- Сканер HTTP-потока — проверяет данные, передаваемые по протоколу HTTP;
- Сканер FTP-потока — проверяет данные, передаваемые по протоколу FTP.
- Сканер SMTP-потока — проверяет данные, передаваемые через шлюз по SMTP.
Обязательным компонентом всех рассмотренных комплексов является модуль обновления антивирусных баз.
Антивирусные средства широко представлены на рынке сегодня. При этом они обладают различными возможностями, ценой и требованиям к ресурсам. Для того чтобы правильно выбрать антивирусное ПО необходимо следить за публикуемой в сети статистикой тестирования антивирусных средств.
Одним из первых тестировать антивирусные продукты начал британский журнал Virus Bulletin еще в далеком 1998 году. Основу теста составляет коллекция вредоносных программ WildList , которую можно при желании найти в Интернете. Для успешного прохождения теста антивирусной программе нужно выявить все вирусы из этого списка и продемонстрировать нулевой уровень ложных срабатываний на коллекции «чистых» файлов журнала. Тестирование проводится на различных операционных системах (Windows, Linux и т.п.), а успешно прошедшие тест продукты получают награду VB100 %. Посмотреть список программ, прошедших последнюю проверку можно на странице http://www.virusbtn.com/vb100/archive/summary
Помимо Virus Bulletin тестирование проводят такие независимые лаборатории как AV-Comparatives и AV-Tests. Только их «коллекция» вирусов может содержать до миллиона вредоносных программ . В Интернете можно найти отчеты об этих исследованиях, правда, на английском языке. Более того, на сайте Virus Bulletin можно сравнить производителей(вендоров) антивирусов между собой на следующей страницы http://www.virusbtn.com/vb100/archive/compare?nocache
Результат последнего исследования Virus Bulletin представлен на рисунке 10.3.
Рис. 10.3. Результат исследования антивирусных программ Virus Bulletin
Понятно, что не бывает идеального антивирусного средства, которое может обеспечить 100 процентную защиту при любых ситуациях: какой-то антивирус очень быстро находит известные вирусы, а какой-то удачно использует эвристические методы . Производители антивирусов в рекламе стараются обратить внимание на плюсы своих продуктов, поэтому мониторинг подобных тестов может помочь скорее в выявлении минусов.
Источник: intuit.ru
.Антивирусные программы
Антивирусная программа (антивирус) — изначально программа для обнаружения и лечения вредоносных объектов или инфицированных файлов, а также для профилактики — предотвращения заражения файла или операционной системы вредоносным кодом.
Многие современные антивирусы позволяют обнаруживать и удалять также троянские программы и прочие вредоносные программы. Так же существуют программы — файрволы, которые также способствуют защите компьютерных сетей или отдельных узлов от несанкционированного доступа, однако их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации, т.е. от несанкционированного доступа извне или, наоборот, для ограничения связи программ с внешними источниками из-за возможной утечки информации.
Первые наиболее простые антивирусные программы появились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаются крупные компании. Как и у создателей вирусов, в этой сфере также сформировались оригинальные приёмы — но уже для поиска и борьбы с вирусами. Современные антивирусные программы могут обнаруживать сотни тысяч вирусов, но ни одна из них не даст 100% защиты.
Антивирусное программное обеспечение состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.
Метод соответствия определению вирусов в словаре
Обнаружение, основанное на сигнатурах.
Сигнату́ра ата́ки (вируса) — характерные признаки атаки или вируса, используемые для их обнаружения. Большинство современных антивирусов, сканеров уязвимостей и систем обнаружения вторжений (СОВ) используют «синтаксические» сигнатуры, взятые непосредственно из тела атаки (файла вируса или сетевого пакета, принадлежащего эксплойту). Также существуют сигнатуры, основанные на поведении или аномалиях — например, слишком агрессивное обращение к какому-либо сетевому порту на компьютере.
Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий:
- Удалить инфицированный файл.
- Заблокировать доступ к инфицированному файлу.
- Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).
- Попытаться «вылечить» файл, удалив вирус из тела файла.
- В случае невозможности лечения/удаления, выполнить эту процедуру при следующей перезагрузке операционной системы.
Источник: studfile.net
Методы обнаружения вирусов
Антивирусная программа (антивирус) – изначально программа для обнаружения и лечения программ, заражённых компьютерным вирусом, а также для предотвращения заражения файла вирусом (например, с помощью вакцинации).
Многие современные антивирусы позволяют обнаруживать и удалять также троянские программы и прочие вредоносные программы. И напротив – программы, создававшиеся как файрволы (межсетевой экран или сетевой экран (англ. Firewall) — комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа.), также обретают функции, роднящие их с антивирусами (например Outpost Firewall), что со временем может привести к ещё более очевидному распространению смысла термина на средства защиты вообще.
Первые наиболее простые антивирусные программы появились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаются крупные компании. Как и у создателей вирусов, в этой сфере также сформировались оригинальные приёмы – но уже для поиска и борьбы с вирусами. Современные антивирусные программы могут обнаруживать десятки тысяч вирусов.
К сожалению, конкуренция между антивирусными компаниями привела к тому, что развитие идёт в сторону увеличения количества обнаруживаемых вирусов (прежде всего для рекламы), а не в сторону улучшения их детектирования (идеал – 100%-е детектирование) и алгоритмов лечения заражённых файлов.
Антивирусное программное обеспечение состоит из компьютерных программ, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.
Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:
· Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах
· Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.
Метод соответствия определению вирусов в словаре
Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа антивирус может по запросу выполнить одно из следующих действий:
· Удалить инфицированный файл.
· Заблокировать доступ к инфицированному файлу.
· Отправить файл в карантин (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса).
· Попытаться восстановить файл, удалив сам вирус из тела файла.
· В случае невозможности лечения/удаления, выполнить эту процедуру при перезагрузке.
Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.
Метод обнаружения странного поведения программ
Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (exe-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать. В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.
Другие названия: Проактивная защита, Поведенческий блокиратор, Host Intrusion Prevention System (HIPS). В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах.
Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше невредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше. Так, в 2006 году вышло несколько продуктов, впервые реализовавших этот метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe’n’Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многие программы класса файрволл издавна имели в своем составе модуль обнаружения странного поведения программ.
Метод обнаружения при помощи эмуляции
Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть немедленно начинает искать другие exe-файлы например), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.
Распространение вирусов по электронной почте (возможно наиболее многочисленных и вредоносных) можно было бы предотвратить недорогими и эффективными средствами без установки антивирусных программ, если бы были устранены дефекты программ электронной почты, которые сводятся к выполнению без ведома и разрешения пользователя исполняемого кода, содержащегося в письмах.
Обучение пользователей может стать эффективным дополнением к антивирусному программному обеспечению. Простое обучение пользователей правилам безопасного использования компьютера (например, не загружать и не запускать на выполнение неизвестные программы из Интернета) снизило бы вероятность распространения вирусов и избавило бы от надобности пользоваться многими антивирусными программами.
Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление.
Метод обнаружения вирусов по поиску соответствия в словаре не всегда достаточен из-за продолжающегося создания всё новых вирусов, метод подозрительного поведения не работает достаточно хорошо из-за большого числа ошибочных решений о принадлежности к вирусам незаражённых программ. Следовательно, антивирусное программное обеспечение в его современном виде никогда не победит компьютерные вирусы.
Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы необнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. К несчастью, во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.
Постоянное появление новых вирусов даёт разработчикам антивирусного программного обеспечения хорошую финансовую перспективу.
Некоторые антивирусные программы могут значительно понизить быстродействие. Пользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая риск заражения вирусами. Для максимальной защищённости антивирусное программное обеспечение должно быть подключено всегда, несмотря на потерю быстродействия. Некоторые антивирусные программы (как AVG for Windows) не очень сильно влияют на быстродействие.
Иногда приходится отключать антивирусную защиту при установке обновлений программ, таких, например, как Windows Service Packs. Антивирусная программа, работающая во время установки обновлений, может стать причиной неправильной установки модификаций или полной отмене установки модификаций. Перед обновлением Windows 98, Windows 98 Second Edition или Windows ME на Windows XP (Home или Professional), лучше отключить защиту от вирусов, в противном случае процесс обновления может завершиться неудачей.
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:
Источник: studopedia.ru