По сути, антивирусный онлайн-сканер – это специальный веб-сервис, где любой желающий может проверить свои файлы с помощью широкого спектра антивирусных программ. Нужно просто зайти на сайт, выбрать нужный документ для проверки, нажать на кнопку, чтобы начать его загрузку, и дождаться результатов.
Всего за пару минут или даже секунд (в зависимости от нагрузки на сервер и его скорости работы) результаты сканирования будут представлены в интернет-браузере пользователя, чтобы он смог понять, был ли файл скомпрометирован или нет.
Предположим, пользователь подозревает, что его гаджет заражен вирусами, и он еще не приобрел необходимое антивирусное ПО. В таком случае бесплатный онлайн-сканер может предоставить ему быстрое и простое решение без загрузки и установки какого-либо стороннего антивирусного программного обеспечения.
Антивирусные онлайн-сканеры файлов осуществляют свою работу на облачных серверах, поэтому они не будут использовать мощность процессора устройства пользователя для выполнения поставленной задачи. Более того, скорость вычислений на этих серверах намного выше в сравнении с любым компьютером. Итак, можно подвести итог, что использование антивирусных онлайн-сканеров – неплохая альтернатива стандартному антивирусному ПО.
Антивирусные сканеры: [трёп ни о чём].
Онлайн-сканер и автономное антивирусное ПО
Широко известно, что изначально антивирусные программы представляли собой только автономные решения. Через время на рынке стали появляться онлайн-сканеры, которые смогли привлечь совершенно новую клиентскую базу, что верила в концепцию экономия места благодаря использованию облачных технологий.
Есть целый ряд доказательств, которые указывают на то, что онлайн-сканеры лучше, чем антивирусное программное обеспечение «старой школы». Давайте взглянем на некоторые их них.
Установка не требуется
Если человек использует автономное антивирусное программное обеспечение, ему необходимо скачать и установить его. Оно занимает много места в хранилище. В то время как онлайн-сканер не требует установки и не будет дополнительным грузом для любой системы.
Бесплатное базовое сканирование системы
Основным преимуществом антивирусных онлайн-сканеров является то, что в основном они бесплатны. Базовая проверка придется по карману любому бюджету. Однако некоторые специалисты утверждают, что зачастую стандартной проверки недостаточно – стоит дополнительно воспользоваться платным автономным антивирусным ПО.
Более частые обновления
Другой плюс антивирусного онлайн-сканера – это эффективность и надежность, поскольку он получает обновления чаще, чем автономное ПО. Это происходит благодаря веб-сообществу разработчиков, которые постоянно вносят свой вклад в развитие программ с открытым исходным кодом. Таким образом, клиент может использовать современное ПО, которое эффективно справляется даже с новыми угрозами.
Проверка угроз в режиме реального времени
При использовании любых антивирусных онлайн-сканеров человек получает оперативную поддержку во время проверки файлов на наличие вирусов. Кроме того, сканер также может выявлять SQL-запросы, которые способны нанести вред базе данных пользователя.
Огромный пак вирусов vs. Антивирусы | Минус система? | Лучший антивирус | UnderMind
Скорость работы и эффективность
Антивирусные онлайн-сканеры осуществляют сканирование на своих высокоскоростных облачных серверах. Скорость таких серверов не сравнится ни с одним обычным компьютером. Например, если сканирование одного файла объемом 18 ГБ на компьютере с помощью автономного антивирусного программного обеспечения занимает 20 минут, онлайн-сканеру может потребоваться менее 5 минут для получения порой даже более точных результатов.
Теперь давайте рассмотрим популярные антивирусные онлайн-сканеры, которые отлично справляются со сканированием на выявление вирусов.
1. VirusTotal
VirusTotal позволяет просканировать данные пользователя в виде одного файла, URL-адреса, IP-адреса, домена или хеша файла. Кроме того, онлайн-сканер имеет широкий набор инструментов и задействует огромные базы данных вредоносных файлов и сигнатур файлов других пользователей.
Стоит отметить, что VirusTotal был куплен Google в сентябре 2012 года. Он имеет высокую скорость работы (благодаря возможностям Google) и задействует сразу несколько антивирусных ПО.
VirusTotal поставляется с бесплатным открытым API, фильтрацией URL-адресов, особой средой, где пользователи могут комментировать, указывать языковые предпочтения, запрашивать дополнительные данные об исследуемом файле и различных способах отправки этого файла в VirusTotal.
2. Internxt
Internxt – это простой веб-инструмент сканирования на вирусы. Пользователю нужно зайти на сайт, и там он сможет увидеть одно диалоговое окно для загрузки любого подозрительного файла. Помимо этого, можно просто перетащить нужный файл в это поле. Затем Internxt выполнит свою работу, чтобы понять, поврежден ли файл или нет, используя свой свои особые механизмы анализа.
Пользователь может загрузить любой файл размером до 1 ГБ, что является одной из примечательных функций данного сайта. Более 1 миллиона пользователей доверяют Internxt в вопросах конфиденциальности своих файлов, а более 30 признанных компаний отметили его работу наградами и упоминаниями в своих ревью.
Помимо того, что Internxt является онлайн-сканером вирусов, он также предоставляет возможность использования облачного хранилища и ведения безопасной синхронизированной фотогалереи, в которую пользователь может загружать свои фото. Сервис предоставляет 10 ГБ хранилища бесплатно без лимитов во времени. Другие функции являются платными.
3. Opentip
Opentip , созданный известной организацией, работающей в антивирусной индустрии, Kaspersky , представляет собой простой онлайн-сканер. Процесс сканирования файлов протекает достаточно быстро. Во-первых, пользователь должен загрузить свой файл в специальный раздел для анализа. Затем сканер проведет поиск по всем записям Kaspersky о вирусах и вредоносных программах, собранных с помощью большой клиентской базы компании.
Этот онлайн-сканер позволяет загружать и проверять файлы с устройства объемом до 256 МБ. Кроме того, он также поддерживает анализ целевых файлов, использующих IP-адреса, хеш или URL-адреса. Это отличный сервис для бесплатной проверки файлов на вирусы, если человек уже доверяет компании Kaspersky и уверен в качестве ее работы.
4. Jotti
В сравнении с другими сервисами для онлайн-сканирования вирусов Jotti немного устарел с точки зрения внешнего вида пользовательского интерфейса и дизайна. Тем не менее, он все еще может справляться со своей задачей довольно хорошо. Это полностью бесплатное программное обеспечение, поэтому им может воспользоваться любой желающий.
Пользователь может загружать максимум 5 файлов одновременно объемом до 250 МБ на слот. Несмотря на то, что сервис имеет упрощенный внешний вид, он отлично подходит для проверки файлов, особенно установщиков со сторонних сайтов, а также исполняемых файлов и приложений, прежде чем использовать их на устройстве.
Кроме того, Jotti задействует 14 различных антивирусных программ для проверки файла на уязвимости. Некоторые из известных программ, используемых Jotti для сканирования вредоносных файлов, — это Avast, K-7, Bit Defender . Инструмент всегда использует обновленные версии упомянутых сканеров. Стоит отметить, что сервис делится всеми личными файлами пользователей со своими партнерами по антивирусному сканированию для повышения точности результатов.
5. Dr. Web
Онлайн-сканер Dr. Web прост и доступен для выполнения базовых функций. Он может сканировать только один файл размером до 10 МБ одновременно. Если пользователь хочет проверить несколько файлов за один раз, ему следует создать архив, а затем загрузить его для проверки.
После загрузки файла нужно нажать на кнопку « Проверить ». Затем появится окно, в котором будут показаны результаты сканирования. Если сканер показывает, что файл содержит вирус, а пользователь знает на 100%, что он чист, можно сообщить о ложноположительных результатах. Кроме того, Dr. Web также предоставляет API, который можно использовать, чтобы бесплатно разместить их сервис на своем веб-сайте.
6. MetaDefender
MetaDefender – это очень простой в использовании интернет-инструмент, который фильтрует и анализирует документы, хеши и IP-адреса. Этот процесс похож на сканирование вредоносных программ в Jotti и VirusTotal. Пользователю просто нужно загрузить файл или ввести IP-адрес для выбора цели сканирования.
OPSWAT , организация, придумавшая MetaDefender, публикует отчеты о последних мероприятиях и новости в сфере безопасности и защиты. Пользователь также может получить доступ к отчетам о вспышках вредоносных программ и статистике, связанной с последствиями этого. Сайт будет фильтровать загружаемый файл с помощью более чем 20 различных антивирусных программ в поисках любых рисков. Среди антивирусных программ есть Avira, McAfee и BitDefender .
7. Hybrid Analysis
Hybrid Analysis – это прекрасная онлайн-программа, которая бесплатно фильтрует файлы на определенные угрозы. Рекомендуем добавить сайт в закладки своего браузера и использовать перед запуском любого недавно загруженного антивирусного программного обеспечения.
Пользователь может загрузить документ размером до 100 МБ в окно программы или напрямую указать путь к файлу. Аналогичным образом, вставка ссылки на программу также подойдет, чтобы проверить ее, не скачивая на свой компьютер. Это отлично, потому что можно сразу узнать, безопасен ли файл для загрузки или нет.
Hybrid Analysis осуществляет продвинутое онлайн-сканирование на вирусы. Большинство сканеров, упомянутых в этой статье, сканируют файлы с помощью антивирусного программного обеспечения, такого как Avira, McAfee, Avast. Hybrid Analysis отправляет файл в несколько онлайн-инструментов для проверки на вирусы, среди них: VirusTotal, MetaDefender и многие другие сервисы. Кроме того, пользователь может сканировать IP-адреса, домены и хеши.
Действительно, можно скачать любую из доступных антивирусных программ, но это будет стоить пользователю немалых денег и дискового пространства. Антивирусный онлайн-сканер – прекрасная альтернатива подобному программному обеспечению, если необходимо просканировать несколько файлов.
Проверка файлов на компьютере на наличие вредоносных программ и любых угроз поможет сохранить систему пользователя в безопасности.
Источник: dzen.ru
Антивирусные программы сканеры что это
Классификация и принципы работы антивирусных программ
Классификация и принципы работы антивирусных программ
Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры (другие названия: доктора, фаги, полифаги). Следом за ними по эффективности и популярности следуют CRC-сканеры (так-же: ревизор, checksumer, integrity checker). Часто оба приведенных метода объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Применяются также различного типа мониторы (фильтры, блокировщики) и иммунизаторы (детекторы).
Сканеры. Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Сканеры также можно разделить на две категории — «универсальные» и «специализированные».
Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel. Сканеры также делятся на «резидентные», производящие сканирование «на лету», и «нерезидентные», обеспечивающие проверку системы только по запросу.
CRC-сканеры. Принцип работы CRC-сканеров основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.
Мониторы. Антивирусные мониторы — это резидентные программы, перехватывающие «вирусо-опасные» ситуации и сообщающие об этом пользователю. К «вирусо-опасным» относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочные сектора дисков, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения.
Иммунизаторы. Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, что он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и мониторы, практически не используются в настоящее время.
Источник: www.sites.google.com
Сканер вирусов изнутри
Последний год я работал над реализацией вирусного сканера для одной антивирусной как ни странно компании.
Пост являет собой выжимку приобретенных знаний, и повествует хабрасообществу о внутреннем устройстве как ни странно антивирусного сканера.
Сканирующий движок или сканер — это фундамент антивирусного пакета. Являет собой бэк-энд антивируса и, как правило представлен в виде dll, так как сканер используется сразу несколькими программами из пакета.
Графическая оболочка в этом случае — лишь красивая обертка для отображения результатов движка. Всю полезную работу, делает движок в бэк-енде.
Локации вирусного ПО
- Сканирование произвольных файлов и папок, вплоть до целых дисков.
- Сканирование памяти. Сканируются все загруженные в память процессы и их dll.
- Сканирование загрузочных записей дисков (Master Boot Records — MBR).
- Сканирование системы на предмет следов вредоносного ПО. Проверка системных папок вроде %APPDATA%, %WINDIR% на предмет определенных файлов и папок. Сканирование реестра, также на предмет следов в автозагрузке и настройках.
Виды сканирования.
Сканирование делится на два основных вида: сигнатурный и эвристический.
Сканирование на основе сигнатур.
Другое название — хэш-скан (hash scan). Сканер проверяет файлы путем сравнения сигнатур файлов со словарем.
Обычно сигнатурой антивируса является MD5-хэш (16 байт) сгенерированный на основе тела известного вируса.
Таким образом, файл считается зараженным, если его хэш найден в базе сигнатур. Для локализации выявления вредоноса, хэш может вычисляться только для exe-файлов на основе PE-заголовка.
Такой вид сканирования позволяет определить вид атаки с высокой долей вероятности, без ложных срабатываний (чем грешит эвристическое сканирование).
К недостаткам хэш-скана относят неспособность выявить новые вирусы, которые отсутствуют в базе. А также беззащитность перед полиморфными или шифрующимися вирусами, в связи с чем требуются регулярные обновления базы сигнатур.
Также слабым местом хэш-скана является скорость проверки. Если бы не закон Мура, ни один современный компьютер уже не смог бы закончить сканирование с такой массой сигнатур в разумное время.
Эвристическое сканирование
Метод, в основе которого положено выявление вируса на основе заранее известных характеристик (эвристик). Например, для выявления загрузочного вируса прописавшегося в MBR, антивирус может считать загрузочную запись двумя путями: функцией WinAPI ReadFile, и с использованием драйвера прямого доступа к диску (direct disk access — DDA driver). А затем сравнить оба буфера. Если буферы различны, то с высокой долей вероятности
можно сказать, что мало того что вирус загрузочный, он еще и подменяет вызовы WinAPI.
Что для руткитов — обычная практика.
Другим примером эвристического скана, может быть поиск следов вируса в реестре и системных директориях. Как правило вирусы создают определенный набор файлов, и/или записей в реестре, по которым можно их выявить.
Перечисленные выше типы локаций вредоносного ПО, а именно сканирование следов, сканирование cookies и проверка загрузочных записей диска, также подпадают под вид эвристического сканирования.
Компоненты и вспомогательные модули сканера
Драйвер прямого доступа к диску
Необходим для обхода руткитов. В зараженной системе, руткиты используются
для заметания следов своего присутствия. Лучшим способом для этого является подмена вызовов API-функций.
В частности для работы с файлами: CreateFile, ReadFile итд. Когда антивирусная программа сканирует систему,
вызывая эти функции, то руткит может возвращать FALSE, когда такой вызов относится к нему. Чтобы обойти это,
сканер содержит в себе модуль непосредственного посекторного считывания с диска, без использования WinAPI.
Черно-Белые списки
Служат для фильтрации обнаружений, которые на самом деле не являются зловредами. Таким образом, антивирус не предупреждает об опасности, в случае ложного срабатывания.
Современные антивирусы, хранят базу в среднем от 5 млн. сигнатур. Причем довольно часто, для одного вируса, может существовать с десяток сигнатур. Возможная ситуация, что из нескольких тысяч системных файлов, найдется подходящий под сигнатуру файл. А это грозит тем, что антивирус удалит его, или переместит в карантин, что может привести к отказу системы вовсе.
Минимизировать ложные срабатывания — главный приоритет любой антивирусной компании.
Чтобы пройти самый престижный антивирусный тест — virus bulletin, антивирус должен показать 100% результат обнаружения, при этом не выдав единого ложного срабатывания.
Белый список — содержит список файлов, которые не вредят системе, но так или иначе обнаруживаются сканером.
Черный список — содержит список вирусов, которым мы доверяем (также не наносят вреда системе).
Распаковщики, дешифровшики
Чтобы достичь приемлемого уровня обнаружения вируса, сканер должен отрабатывать exe-шники, зашифрованные exe-пакером (Например UPX). Тогда перед вычислением хэша, сканер обнаруживает, что файл зашифрован и сначала обращается к дешифровщику, а затем уже на этой основе, вычисляется хэш и сравнивает с имеющимся в базе.
Второй вид архивов — это всем известные zip, rar, 7z итд. Антивирус также должен уметь распаковывать эти архивы, и сканировать содержимое.
Третий вид — это распаковка NTFS ADS (NTFS Alternative Data Streams). В файловой системе NTFS, исполняемый файл может быть замаскирован под обычный, например текстовый. Альтернативный поток этого файла, будет ссылаться непосредственно на вирус.
Use-cases
- Интернет защита. А именно сканирование cookies’ов браузеров и Flash Player’a.
Например Chrome хранит кукисы в папке %localappdata%\Google\Chrome\User Data\Default\, Firefox в %appdata%\Mozilla\Firefox\Profiles.
Для Internet Explorer в %USERPROFILE%AppDataRoamingMicrosoftWindowsCookies.
Таким образом извлекая доменные имена из sql-базы кукис для Firefox и Chrome, либо из 3-ей строки каждого кукис-файла для IE,
сканер сравнивает его с базой вредносных сайтов. - Email защита. Сканер цепляется к модулю антивируса, отвечающим за почтовую защиту. Это может быть плагин для Outlook, Thunderbird,
основой которого явлется проверка аттачей на предмет вирусов. - Контекстный скан файла/папки. Когда юзер выбирает в контекстом меню «Проверить файл. », щелкая правой кнопкой мыши на папке или файле, антивирус также обращается к движку.
Источник: habr.com