Для чего используют программы фильтры антивирусы

Девяткин, Д. Е. Современные средства антивирусной защиты / Д. Е. Девяткин, А. В. Баландин, Е. А. Дегтярев. — Текст : непосредственный // Молодой ученый. — 2018. — № 13 (199). — С. 44-45. — URL: https://moluch.ru/archive/199/49059/ (дата обращения: 29.05.2023).

Актуальность. В наш век тотальной компьютеризации и электронной информации каждый пользовать после первого же запуска компьютера оказывается один на один с довольно серьезным вопросом: как уберечь свои данные и систему, безбоязненно использовать принесенную извне информацию и обеспечить стабильную работу настольного друга? С развитием Интернета проблема внешних угроз стала, как никогда, острой, новые вирусы и другие и другие вредоносные программы появляются практически каждый день и ежедневно заражают тысячи компьютеров по всему миру. Черви, трояны, вирусы, дозвонщики, программы-шпионы, фишинговые атаки-вот далеко не полный перечень неприятных сюрпризов, с которыми рано или поздно сталкивается пользователь.

Естественно, специалисты IT- индустрии не могли обойти стороной эту проблему. Сегодня на рынке компьютерной безопасности предлагаются десятки самых разнообразных средств защиты. Остановить свой выбор на каком-либо решении становится весьма трудным делом, ведь необходимо владеть информацией о возможностях каждого продукта.

Какой бесплатный антивирус лучше использовать!

Цель. В статье мы рассмотрим современные средства антивирусной защиты, которые по той или иной причине смогли найти свою аудиторию среди пользователей.

Вирусы созданы специально для поражения других компьютеров, информации, содержащейся на них. Они представляют собой программы, написанные на низшем компьютерном языке, которые автоматически распространяются на другой программный продукт через зараженные носители или при подключении к интернет-ресурсам.

Вирусы бывают трех видов:

– черви. Распространяются через социальные сети, письма, направляемые по электронной почте;

– вирусы. Они получают управление компьютером при запуске зараженных файлов;

– троянские программы. Они наиболее опасны, так как могут производить на чужом компьютере самостоятельные действия, несанкционированные владельцем, уничтожить или повредить файлы, воровать данные.

Вирусы могут находиться в любой части системы компьютера и ждать определенного события или действия, чтобы начать активную работу. Они вполне могут быть неопасными, существовать на компьютере годами, не причиняя особого вреда, создавая лишь некоторые затруднения в работе определенных программ. Стоит отметить, что таких единицы, основная масса вирусов очень опасны, для этого они и созданы.

Сейчас вирусы настолько разработаны, что могут выполнять различные функции. Есть некоторые количество вирусов, которые поражают оперативную память и потом весь компьютер, есть такие, которые существуют недолгое время, производят определенные действия и остаются неопознанными.

Антивирусные программы постоянно совершенствуются. Это означает, что пользователь должен находится в поиске более эффективной системы защиты персонального компьютера.

Компьютерные вирусы и антивирусные программы.

В основном все антивирусные программы можно условно поделить на несколько ключевых типов, каждый их которых ориентирован на некоторую доминирующую функцию. Данный перечень программ выглядит так:

Каждый из данных компонентов может понадобиться в таком ответственном и нелегком деле, как организация системы защиты информации. Так, например, антивирусные программы, относящиеся к типу докторов, могут не только обнаружить угрозу, но и вылечить систему. Это является крайне актуальным свойством. Тело вируса в данном случае удаляется из пораженного файла.

Последний же возвращается в исходное состояние. Такие программы, которые называют флагами, ведут поиск вирусов. При обнаружении таковых, они, прежде всего, уничтожают их и только после этого активируют процессы восстановления. Если в силу различных причин компьютер постоянно подвергается воздействию множества угроз, имеет смысл использовать полифаги.

Они предназначены специально для таких нагрузок. Если же речь идет о детекторах, то данный тип антивирусных программ используется для быстрого поиска вирусов в оперативной памяти и различных носителях. Такие антивирусные системы и защиты информации не могут быть рассмотрены по отдельности. Особое внимание следует обратить на программы-фильтры.

Они разработаны специально для обнаружения в системе подозрительных процессов. Именно благодаря работе антивирусных программ такого типа пользователи периодически могут видеть на мониторе предупреждения о том, что некоторая программа пытает выполнить подозрительное или некорректное действие.

Из вышеуказанных достоинств поиска и устранения вирусных атак является разработка современных методов поиска и обнаружения внешнего воздействия вирусных баз на ПЭВМ. Перспективным направлением является Эвристический анализ.

Эвристический анализ — обнаружение ранее неизвестных вирусов;

Метод эвристического анализа (heuristic-based detection) служит для выявления даже трех вирусов, для которых не существует образцов в базе антивирусной программы. Существует множество различных методов эвристического анализа. Основной принцип-идентифицировать программный код, который является крайне нежелательным для безопасных программных продуктов.

Как бы то и ни было, этот метод неточен и может вызвать множество ложных тревог. Хороший эвристический анализ отлично сбалансирован и вызывает минимальное количество ложных тревог при большой доле обнаружения вредоносного ПО. Чувствительность эвристики может быть настроена.

Таким образом, каждый производитель антивируса пытается выставить в лучшем свете свое приложение, расписывает его уникальные возможности и функции. Обычному пользователю может оказаться не просто сделать выбор в пользу того или иного программного продукта.

Один из критериев, на который стоит обращать внимание при выборе программы- осуществление защиты от вирусов, которые «неизвестны» антивирусу. Ранее такие программы могли лишь справится с теми вредоносными приложениями, сведения о которых находились в их вирусной базе. Но с выходом нового вируса разработчикам не всегда удавалось оперативно выпускать обновления. Поэтому наличие системы «умного сканирования»- существенное преимущество для антивирусной программы.

1. Антивирусные программы (антивирус). Режим доступа: https://kompkimi.ru/programms-2/sistemnye-programmy/antivirusy/antivirusnaya-programma-antivirus
2. Лучшие бесплатные антивирусы 2017. Режим доступа: https://www.anti-malware.ru/compare/free-antivirus-2017
3. Современные антивирусы: функции и возможности. Режим доступа: https://www.comss.ru/page.php?id=1094
4. Средства антивирусной защиты. Режим доступа: https://www.biont.ru/security/antivirus/
5. ФУНКЦИИ И ВОЗМОЖНОСТИ АНТИВИРУСНЫХ ПРОГРАММ. Режим доступа: https://www.mositservice.ru/articles/antivirus-features.html

Основные термины (генерируются автоматически): вирус, программа, эвристический анализ, антивирусная программа, компьютер, оперативная память, программный продукт.

Источник: moluch.ru

Программы обнаружения и защиты от вирусов

Дня обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.

Различают следующие виды антивирусных программ (рис. 11.11):

• · программы- детекторы;
• · программы-доктора или фаги;
• · программы-ревизоры;
• · программы-фильтры;
• · программы-вакцины или иммунизаторы.

Программы-детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Рис. 11.11 Виды антивирусных программ

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифагами являются программы Aidstest, Scan, Norton AntiVirus и Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

Программа-ревизор относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора.

Как правило, сравнение состояний производят сразу после загрузки операционой системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf фирмы «Диалог-Наука».

Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

• · попытки коррекции файлов с расширениями СОМ и ЕХЕ;
• · изменение атрибутов файлов;
• · прямая запись на диск по абсолютному адресу;
• · запись в загрузочные сектора диска;
• · загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение н предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не «лечат» файлы и диски.

Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит операционной системы MS DOS.

Вакцины или иммунизаторы — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Программа-полифаг Aidstest. Aidstest — это программа, которая умеет обнаруживать и уничтожать более 1300 компьютерных вирусов, получивших наиболее широкое распространение в России. Версии Aidstest регулярно обновляются и пополняются информацией о новых вирусах.

Для вызова Aidstest следует ввести команду: AIDSTEST [] где path — имя диска, полное имя или спецификация файла, маска группы файлов:

• · *- все разделы жесткого диска,
• · ** — все диски, включая сетевые и диски CD ROM;
• · options — любая комбинация следующих ключей:
• · /F — исправлять зараженные программы и стирать испорченные;
• · /G — проверять все файлы подряд (не только СОМ, ЕХЕ и SYS);
• · /S — медленная работа для поиска испорченных вирусов;
• · /X — стирать все файлы с нарушениями в структуре вируса;
• · /Q — спрашивать разрешение на удаление испорченных файлов;
• · /В — не предлагать обработку следующей дискеты.

Программа-полифаг Doctor Web. Эта программа предназначена прежде всего для борьбы с полиморфными вирусами, которые сравнительно недавно появились в компьютерном мире. Использование Dr. Web для проверки дисков и удаления обнаруженных вирусов в целом подобно программе Aidstest. При этом дублирования проверки практически не происходит, так как Aidstest и Dr.Web работают на разных наборах вирусов.

Программа Dr.Web может эффективно бороться со сложными вирусами-мутантами, которые оказываются не под силу программе Aidstest. В отличие от Aidstest программа Dr.Web способна обнаруживать изменения в собственном программном коде, эффективно определять файлы, зараженные новыми, неизвестными вирусами, проникая в зашифрованные и упакованные файлы, а также преодолевая «вакцинное прикрытие». Это достигается благодаря наличию достаточно мощного эвристического анализатора.

В режиме эвристического анализа программа Dr.Web исследует файлы и системные области дисков, пытаясь обнаружить новые или неизвестные ей вирусы по характерным для вирусов кодовым последовательностям. Если таковые будут найдены, то выводится предупреждение о том, что объект, возможно, инфицирован неизвестным вирусом.

Предусмотрены три уровня эвристического анализа. В режиме эвристического анализа возможны ложные срабатывания, т.е. детектирование файлов, не являющихся зараженными. Уровень «эвристики» подразумевает собой уровень анализа кода без наличия ложных срабатываний. Чем выше уровень «эвристики», тем выше процент наличия ошибок или ложных срабатываний. Рекомендуются первые два уровня работы эвристического анализатора.

Третий уровень эвристического анализа предусматривает дополнительную проверку файлов на «подозрительное» время их создания. Некоторые вирусы при заражении файлов устанавливают некорректное время создания, как признак зараженности данных файлов. Например, для зараженных файлов секунды могут иметь значение 62, а год создания может быть увеличен на 100 лет.

В комплект поставки антивирусной программы Dr.Web могут входить также файлы-дополнения к основной вирусной базе программы, расширяющие ее возможности.

Работать с программой Dr. Web можно в двух режимах:

• · в режиме полноэкранного интерфейса с использованием меню и диалоговых окон;
• · в режиме управления через командную строку.

Для разового нерегулярного применения более удобен первый режим, но для регулярного применения с целью систематического входного контроля дискет лучше применять второй режим. При использовании второго режима соответствующая команда запуска Dr. Web должна быть включена либо в меню пользователя операционной оболочки Norton Соmmander, либо в специальный командный файл.

Командная строка для запуска Dr. Web выглядит следующим образом: DrWeb [диск: [путь] ] [ключи] где диск:

• · Х: — логическое устройство жесткого диска или физическое устройство гибкого диска, например F: или А:,
• · *- все логические устройства на жестком диске,
• · путь — это путь или маска требуемых файлов.

Наиболее важные ключи:

• · /AL — диагностика всех файлов на заданном устройстве;
• · /CU[P] — «лечение» дисков и файлов, удаление найденных вирусов;
• · P — удаление вирусов с подтверждением пользователя;
• · /DL — удаление файлов, корректное лечение которых невозможно;
• · /НА[уровень] — эвристический анализ файлов и поиск в них неизвестных вирусов, где уровень может принимать значения О, 1, 2;
• · /RР[имя файла] — запись протокола работы в файл (по умолчанию в файл REPORT. WEB);
• · /CL — запуск программы в режиме командной строки, при тестировании файлов и системные областей не используется полноэкранный интерфейс;
• · /QU — выход в DOS сразу после тестирования;
• · /? — вывод на экран краткой справки.

Если в командной строке Dr.Web не указано ни одного ключа, то вся информация для текущего запуска будет считываться из файла конфигурации DRWEB.INI, расположенного в том же каталоге, что и файл DRWEB.EXE. Файл конфигурации создается в процессе работы с программой Dr.Web с помощью команды сохранения параметров, необходимых для тестирования.

Антивирус-ревизор диска ADinf. Ревизор ADinf позволяет обнаружить появление любого вируса, включая стелс-вирусы, вирусы-мутанты и неизвестные на сегодняшний день вирусы. Программа ADinf запоминает:

• · информацию о загрузочных секторах;
• · информацию о сбойных кластерах;
• · длину и контрольные суммы файлов;
• · дату и время создания файлов.

На протяжении всей работы компьютера программа ADinf следит за сохранностью этих характеристик. В режиме повседневного контроля ADinf запускается автоматически каждый день при первом включении компьютера. Особо отслеживаются вирусоподобные изменения, о которых немедленно выдается предупреждение. Кроме контроля за целостностью файлов ADinf следит за созданием и удалением подкаталогов, созданием, удалением, перемещением и переименованием файлов, появлением новых сбойных кластеров, сохранностью загрузочных секторов и за многим другим. Перекрываются все возможные места для внедрения вируса в систему.

Adinf проверяет диски, не используя DOS, читая их по секторам прямым обращением в BIOS. Благодаря такому способу проверки ADinf обнаруживает маскирующиеся стелс-вирусы и обеспечивает высокую скорость проверки диска.

Источник: studwood.net

Для чего нужен антивирус

Как известно гвозди можно забивать молотками, а вирусы ловить антивирусами. Но это мнение, распространенное среди пользователей, а так же (к большому сожалению) среди тех, кто составляет тендерную документацию на большие проекты. А что думают о назначении антивирусов их вендоры?

Статья задумывается не сильно большая и в общем-то продолжает тему, затронутую уже в мифах об антивирусах. Фактически это итог серии статей о назначении, возможностях и ограничения антивирусов. Так сказать конспект.

Прежде всего нужно сказать (и в комментариях к статьям серии это неоднократно подчеркивалось) о том, что единственного и уникального решения для всех ситуаций не существует и (наверно) существовать не может. Скажем если планшет используется для серфинга и работы с корпоративной почтой корпоративной почты, критично важных данных на нем нет или их можно быстро восстановить, то (если мы не рассматриваем необходимость защиты от утечки информации и/или ее подмены) в принципе можно ограничиться созданием резервных копий. Но если тот же планшет используется в командировках, то антивирус уже необходим, так как не в любо месте мира можно получить доступ к резервным копиям (хотя бы по причине качества связи).

Выбор того или иного решения зависит от уровня рисков — и в наибольшей степени это положение применимо к защите рабочих станций. В свое время на конференции Кода безопасности в Челябинске был проведен опрос — зачем устанавливают антивирус. Вариантов оказалось три: так как требуют регуляторы, поскольку все так делают и «а как иначе?». То есть по сути дела оценки необходимости защиты от вредоносных программ именно антивирусом не производится (за исключением необходимости защиты слабых машин, высоконагруженных машин и машин, выполняющих процедуры, критичные ко времени исполнения).

Во многом это связано с широко распространенным мнением, что антивирус должен ловить все вредоносное в момент попытки проникновения в защищаемую систему. На самом деле антивирус (антивирусное ядро, включая эвристические механизмы и поведенческие анализаторы всех типов) может ловить только известные типы вредоносных программ и их новые варианты. Если же вредоносная программа создавалась с учетом особенностей работы антивируса, тестировалась на его актуальной версии (а так и происходит для наиболее опасных вредоносных программ), то антивирус ее пропустит.

Соответственно для защиты от проникновения нужно использовать не только антивирус (оценки разнятся, но не менее 50 процентов вредоносных программ на входе он перехватит), но в первую очередь системы ограничения прав, белые списки запускаемых программ. Иначе знакомство с шифровальщиками или банковскими троянами вполне возможно произойдет не в ходе изучения логов. Ну и естественно резервирование данных — поскольку «случаи они разные бывают».

Роль же антивируса на рабочих станциях и файловых/терминальных серверах — удаление ранее проникших на защищаемую машину вредоносных программ. В этой роли антивирус может полностью заменяться резервным копированием — но только в том случае, если не критично время восстановления/прерывания бизнес-процессов.

Именно поэтому антивирус (в первую очередь антивирус для рабочих станций и файловых серверов) должен иметь самозащиту (никто не должен его снести до момента получения знаний о новом трояне), защищенные системы обновления и управления (обновление не должно быть перехвачено) и систему лечения активных заражений.

Количество установок антивируса на почтовые сервера куда меньше установок на рабочие станции. По простой причине — по мнению большинства наличие антиспама и антивируса на рабочих станциях делает ненужной аналогичную защиту на уровне почтового сервера. Рациональное зерно в этом мнении есть.

Действительно возможности предоставляемые продуктами от Microsoft, IBM, Kerio для антивирусных/антиспам плагинов не очень велики. А почтовые сервера на Linux, где возможности фильтрации в таких плагинах действительно очень мощные, встречаются не так часто, как хотелось бы. В результате аргумент продавцов, аргументирующих необходимость закупки антиспама для сервера уменьшением нагрузки на него — не работает.

На самом деле антивирус для почтовых серверов необходим по той же причине, что и для рабочих станций. Неизвестные вирусы — вот сейчас основная проблема. Установка антивируса на почтовый сервер обеспечивает возможность периодического сканирования почтовых ящиков на ранее неизвестные вредоносные программы — напомним, что для Exchange/Lotus/Kerio и тд — проверка почтовых баз файловым антивирусом невозможна.