Антивирусная программа должна выполнять три основные задачи: обнаружение вируса, удаление вируса, превентивная защита.
Чтобы предотвратить вирусную атаку, антивирусная программа реализует множество различных методов обнаружения. Различные антивирусные программы используют некоторые или все методы из следующей группы.
Сканирование цифровой сигнатуры используется для идентификации уникального цифрового кода вируса. Цифровая сигнатура представляет собой предварительно установленный шестнадцатеричный код, наличие которого в файле свидетельствует о его заражении вирусом. Сканирование цифровой сигнатуры представляет собой в высшей степени успешный метод идентификации вирусов. Он, однако, всецело зависит от поддержки базы данных с цифровыми сигнатурами вирусов и тонкостей механизма сканирования. Возможно ложное обнаружение вируса в неповрежденном файле.
Эвристический анализ (или сканирование по заданным правилам) выполняется быстрее, чем сканирование большинством традиционных методов. Этот метод использует набор правил для эффективного анализа файлов и быстро обнаруживает подозрительный вирусный код. Как отмечено в [9], все эвристические методы в той или иной форме выполняют эмулирование исполнения кода вируса. Поэтому, при наличии некоторого опыта, разработчик вируса может защитить свое «изделие» от обнаружения эвристическим анализом. Эвристический анализ склонен к ложным тревогам, и, к сожалению, зависит от корректности набора правил выявления вируса, которые все время изменяются.
Исследование памяти — еще один метод, обычно успешно применяемый для обнаруоеия вирусов. Он зависит от распознания местоположения известных вирусов и их кодов, когда они находятся в памяти. И хотя исследование памяти обычно приводит к успеху, использование такого метода может потребовать значительных ресурсов компьютера. Кроме того, он может вмешиваться в нормальный ход выполнения операций компьютера.
Мониторинг прерываний работает путем локализации и предотвращения вирусных атак, использующих вызовы прерываний. Вызовы прерываний представляют собой запросы различных функций через системные прерывания. Мониторинг прерываний, подобно исследованию памяти, также может отвлечь значительные системные ресурсы. Он может стать причиной проблем при легальных системных вызовах и замедлить работу системы. Из-за большого числа вирусов и легальных системных вызовов, мониторинг прерываний может испытывать трудности в локализации вирусов.
Контроль целостности (известный также как вычисление контрольных сумм) просматривает характеристики файлов программ и определяет, были ли они модифицированы вирусным кодом. Этот метод не нуждается в обновлении программного обеспечения, поскольку не зависит от цифровых подписей вирусов. Однако он требует от вас поддержания базы данных контрольных сумм файлов, свободных от вирусов. Контроль целостности не способен обнаруживать пассивные и активные вирусы-невидимки. Кроме того, он не может идентифицировать обнаруженные вирусыпоименам или типам.
Непрерывной контроль может быть неподходящим средством для домашнего использования, поскольку может привести к обработке слишком большого объема информации, а это замедляет работу компьютера. На клиентской машине предпочтительнее конфигурировать антивирусную программу на запуск в определенное время.
Например, она может запускаться при загрузке компьютера или считывании нового файла с гибкого диска. В некоторых пакетах (например, Norton AntiVirus и MacAfee VimsScan) используют метод, известный как сканирование по расписанию, для выполнения поиска вирусов на жестком диске в заданные периоды времени. Еще один метод заключается в использовании антивирусной программы в период простоя компьютера. Например, его можно использовать как часть программы экранной заставки.
Основные принципы компьютерной безопасности.
1. Обучите всех, кто пользуется вашим компьютером или сетью, основным принципам обеспечения компьютерной безопасности.
2. Установите антивирусную программу на компьютер. Установите на компьютер персональный брандмауэр.
3. Настройте почтовый клиент таким образом, чтобы он блокировал или помещал в отдельный каталог все потенциально опасные вложения.
4. Не пользуйтесь дисками, дискетами, флеш-картами, которыми Вы пользовались в заражённых ПК, не проверив их на наличие вирусов и не вылечив их.
5. Не поддавайтесь на сомнительные предложения в Интернете: просмотр интересного фильма или установка бесплатной программы и т.п.
6. Настройте свое антивирусное ПО таким образом, чтобы выполнялось регулярое обновление, как минимум раз в неделю.
7. Используйте авторитетные источники информации о компьютерных вирусах и «ложных тревогах».
8. Пользуйтесь программами для резервного копирования данных. Разработайте план восстановления системы на случай вирусной атаки.
Замечание: В РФ отношения производителей и распространителей вирусов с обществом регулируются статьей 273 Уголовного кодекса, гласящей следующее: «Создание программ для ЭВМ или внесение изменений в yже существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации или копированию информации, нарушению рабов ЭВМ, систем ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами наказывается лишением свободы на срок до 3-х лет со штрафом от 200 до 500 минимальных размеров оплаты труда…». Аналогичные законы приняты и в других странах.
Задания к работе:
1. Повторите теоретический материал темы:» Вирусы, Антивирусные программы, Защита информации».
Заполните таблицу
| Вопрос | Ответ |
| Компьютерный вирус — это | |
| Когда и где появился первый компьютерный вирус | |
| Признаки заражения – | |
| Пути проникновения компьютерных вирусов | |
| Основные меры по защите от компьютерных вирусов |
3. Создайте таблицу по образцу, заполнив пустые ячейки.
4. Ответить на вопросы:
— Какие три задачи должна выполнять антивирусная программа?
— Какие действия могут выполнять антивирусные программы?
5. Используя информацию сети Интернет привести примеры Антивирусного программного обеспечения (с краткой характеристикой)
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:
Источник: studopedia.ru
Тема 9. Антивирусные программы
Компьютерным вирусом называется специально написанная небольшая по размерам программа, которая способна внедряться и выполнять различные нежелательные действия в различных объектах/ресурсах компьютерных систем, сетей и т.д. без ведома пользователя. Компьютерный вирус может создавать свои копии, которые также сохраняют способность дальнейшего распространения.
Хотя вирусные атаки случаются не очень часто, общее число вирусов слишком велико, а ущерб от действий вируса в системе может оказаться значительным. Существуют вирусы, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, привести к серьезным сбоям в работе компьютера.
В результате этих действий Вы можете навсегда потерять данные, необходимые для работы и понести существенный моральный и материальный ущерб. «Эпидемия» компьютерного вируса в фирме (неважно – большой или маленькой) может полностью дестабилизировать ее работу. Основные симптомы вирусного поражения следующие: Некоторые программы перестают работать, начинают работать неправильно или медленнее.
Увеличение размеров файлов (особенно выполняемых). Появление не существовавших ранее «странных» файлов. Внезапно возникающие разнообразные видео- и звуковые эффекты.
Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика, такая как: создание копий файлов и системных областей дисков; разграничение доступа, предотвращающее несанкционированное использование информации. Нужно понимать также, что компьютерный вирус на вашем компьютере может появиться при установке в него зараженной программы, записанной на дискете, компакт-диске и т.д., полученной по сети.
Для борьбы с компьютерными вирусами разрабатываются антивирусные программы, с помощью которых рекомендуется проверять всю информацию, поступающую извне; производить проверку рабочей системы при «странных» эффектах в ее работе. Антивирусные программы помогают не только в обнаружении вирусов, но и в лечении зараженных файлов. В настоящее время наиболее мощными антивирусными программами являются «Dr Web» и «Kaspersky Anti-Virus». В России наиболее популярным является второй из перечисленных программный продукт. 93
Антивирусная программа «Kaspersky Anti-Virus» В состав антивирусных программ «Антивирус Касперского» входит несколько пакетов, каждый из которых предназначен для выполнения определенной функции. Названия программ с описанием их назначений приведены ниже.
Программа «Kaspersky Anti-Virus Control Centre» предназначена для уста- новки и обновления компонент пакета, формирования расписания для автоматического запуска задач, а также контроля результатов их выполнения. Антивирусный монитор «Kaspersky Anti-Virus Monitor» – это программа, которая постоянно находится в оперативной памяти компьютера и контролирует обращения к файлам.
Прежде чем монитор разрешает доступ к объекту, он проверяет его на наличие вируса и если вирус обнаружен, то предлагает вылечить зараженный объект либо удалить, либо заблокировать доступ к объекту (это зависит от выполненных настроек). «Kaspersky Anti-Virus Rescue Disk» – программа для подготовки дисков ава- рийного восстановления. Антивирусный сканер «Kaspersky Anti-Virus Scanner» – программа для проверки компьютера на присутствие вирусов по запросу пользователя и удаления вирусов в случае их обнаружения. «Kaspersky Anti-Virus Script Checker» – это антивирусная программа, кото- рая обеспечивает защиту Вашего компьютера от проникновения скрипт-вирусов и червей, которые функционируют непосредственно в памяти компьютера.
В процессе установки программного пакета «Kaspersky Anti-Virus Script Checker» автоматически встраивается в операционную систему и затем не требует запуска вручную. Программа обновления «Kaspersky Anti-Virus Updater» («Kaspersky AV Updater») предназначена для автоматизированного обновления антивирусных баз данных, которые содержат описания вирусов и методов их лечения, а также для обновления компонент пакета «Антивирус Касперского». «Kaspersky Inspector» – это антивирусная программа-ревизор диска, проверяющая диски на наличие изменений содержимого файлов и директорий. Программа может использоваться в качестве вспомогательной антивирусной программы или для контроля над изменениями на диске. Программа «Kaspersky Office Guard» предназначена для защиты документов Microsoft Office 97/2000 от макровирусов, как известных, так и неизвестных. «Kaspersky Virus List Generator» – программа создания списка известных вирусов, с помощью которой можно просмотреть список всех вирусов, известных программе «Антивирус Касперского» на настоящий момент. Подробнее рассмотрим программу «Kaspersky Anti-Virus Scanner». «Kaspersky Anti-Virus Scanner» В процессе работы антивирусный сканер выполняет следующие функции: 9 Обнаруживает и удаляет вирусы всех типов в файлах на указанных для проверки дисках, в загрузочных секторах, оперативной памяти, файлах, упакованных PKLITE, LZEXE, DIET, COM2EXE и другими утилитами сжатия. 94
9 Обнаруживает вирусы в архивированных файлах всех наиболее распространенных форматов (ZIP, ARJ, LHA, RAR и др.) и в локальных почтовых ящиках наиболее распространенных почтовых систем. Чтобы запустить антивирусный сканер, необходимо указать на основном экране Windows команды: «Пуск» «Программы» «Kaspersky Anti-Virus» «Kaspersky AntiVirus Scanner». Рис. 2.2.31.
Окно программы Kaspersky Anti-Virus Scanner Можно также воспользоваться программой «Kaspersky Anti-Virus Control Centre», создав специальную задачу, которая будет запускать программу-сканер в определенное время и с определенными настройками. После запуска программы на экране (рис.
2.2.31) откроется главное окно программы, предназначенное для изменения настроек сканирования, запуска/остановки сканирования и просмотра результатов. Можно закрыть главное окно, не выгружая программу из памяти. В верхней части главного окна расположено меню. Некоторые пункты меню продублированы комбинациями клавиш или кнопками в панели инструментов. Параметры в «Kaspersky AV Scanner» можно сохранять на диске в файлах настроек («Файл» – «Сохранить профиль»), чтобы впоследствии загружать их («Файл» – «Загрузить профиль») для выполнения программой некоторых действий. Так, можно сохранить набор под названием «Проверка сменных дисков», и загружать его для проверки нескольких дискет на вирус, набор «Полная провер- 95
ка всех дисков» – для избыточной проверки всех файлов в случае подозрения на проникновение вирусов в Ваш компьютер, и т.п. Можно также назначить один из файлов настройки загружаемым по умолчанию («Файл» – «Сохранить профиль по умолчанию»). Тогда всякий раз при запуске «Kaspersky AV Scanner» настройки будут загружаться из этого файла.
Проверка компьютера на присутствие вирусов и удаление их называется сканированием. Запустить, приостановить/продолжить или остановить процесс сканирования можно, используя одноименные команды в меню «Сканирование» или кнопки на панели инструментов 
, 
соответственно.
Чтобы просмотреть параметры сканирования в виде последовательного текста, нужно в меню «Сканирование» выбрать пункт «Просмотреть параметры сканирования» . Просматривать результаты работы программы можно, выбрав категорию «Статистика» , она становится активной также по окончании процесса сканирования. Отчет о сканировании представлен в виде таблицы, разделенной на две части: «Проверено» и «Найдено».
Верхняя часть (Проверено) содержит число проверенных секторов, файлов, папок, архивов и упакованных файлов. Нижняя часть (Найдено) – информацию о количестве найденных вирусов, вылеченных объектов, удаленных и т.д. Рабочая область главного окна состоит из двух частей. В левой части находится список категорий и соответствующих им значков.
В правой части отображается содержимое категорий. Существует четыре категории: «Объекты», «Параметры», «Настройка» и «Статистика». Категория «Объекты» рабочей области служит для выбора области сканирования и объектов, подлежащие сканированию. Выбор области и объектов осуществляется с помощью дерева настроек объектов.
Дерево настроек объектов можно просматривать в обычном режиме или режиме эксперта. Переход из обычного режима в режим эксперта осуществляется с помощью кнопок «Стандарт» и «Эксперт» главного окна. В обычном режиме дерево настроек объектов представляет собой две панели: левая – список дисков компьютера, и правая – дерево настроек выбранного в левом списке объекта.
В режиме эксперта появляется нижняя панель – список файлов, расположенных в выделенной папке. Чтобы программа сканировала область файловой системы, необходимо щелчком левой кнопки мыши включить в левой панели расположенный слева от ее названия флажок проверки ( 
– пропустить область).
В каждой из выбранных для сканирования областей проверки Вы задаете объекты с помощью дерева настроек правой панели, устанавливая флажки и переключатель напротив соответствующей опции. Категория «Параметры» содержит параметры записи результатов сканирования в файл, настройки переименования зараженных файлов и уровень приоритета сканирования, а категория «Настройка» – специальные настройки программы с помощью обычного дерева настроек. Как отмечалось выше для запуска программы обновления антивирусных баз используется программа «Kaspersky Anti-Virus Updater». Для выполнения данной задачи можно выбрать пункт «Обновить антивирусные базы» в меню «Сервис» или нажать кнопку 
на панели инструментов. 96
Источник: studfile.net
Как работает антивирусное программное обеспечение
А нтивирусные программы — это мощные части программного обеспечения, которые необходимы на компьютерах. Возможно, вы когда-нибудь задавались вопросом, как антивирусные программы обнаруживают вирусы, что они делают на вашем компьютере и нужно ли вам самостоятельно выполнять регулярное сканирование системы.
Антивирусная программа является неотъемлемой частью многоуровневой стратегии безопасности — даже если вы являетесь продвинутым пользователем компьютера, постоянный поток уязвимостей для браузеров, расширений и самой операционной системы делает антивирусную защиту важной.
Сканирование при доступе
Антивирусное программное обеспечение работает в фоновом режиме на вашем компьютере, проверяя каждый открываемый вами файл. Это обычно назвается как сканирование при доступе, фоновое сканирование, резидентное сканирование, защита в реальном времени или что-то еще, в зависимости от вашей антивирусной программы.
Когда вы дважды щелкаете EXE-файл, может показаться, что программа запускается немедленно, но это не так. Ваше антивирусное программное обеспечение сначала проверяет программу, сравнивая ее с известными вирусами, червями и другими типами вредоносных программ. Ваше антивирусное программное обеспечение также выполняет «эвристическую» проверку, проверяя программы на наличие типов плохого поведения, которые могут указывать на новый неизвестный вирус.
Антивирусные программы также сканируют другие типы файлов, которые могут содержать вирусы. Например, файл архива .zip может содержать сжатые вирусы, а документ Word может содержать вредоносный макрос. Файлы сканируются всякий раз, когда они используются — например, если вы загружаете EXE-файл, он будет сканироваться немедленно, еще до того, как вы его откроете.
Можно использовать антивирус без сканирования при доступе, но это, как правило, не очень хорошая идея — вирусы, которые используют дыры в безопасности программ, не будут обнаружены сканером. После того, как вирус заразил вашу систему, его гораздо сложнее удалить.
Полное сканирование системы
Из-за сканирования при доступе обычно нет необходимости запускать полное сканирование системы. Если вы загрузите вирус на свой компьютер, ваша антивирусная программа сразу же обнаружит это — вам не нужно предварительно запускать сканирование вручную.
Однако полное сканирование системы может быть полезно для некоторых вещей. Полное сканирование системы полезно, когда вы только что установили антивирусную программу — оно гарантирует, что на вашем компьютере нет бездействующих вирусов. Большинство антивирусных программ настраивают полное сканирование системы по расписанию, часто раз в неделю. Это гарантирует, что самые последние файлы определений вирусов будут использоваться для сканирования вашей системы на наличие спящих вирусов.
Эти полные сканирования диска также могут быть полезны при ремонте компьютера. Если вы хотите восстановить уже зараженный компьютер, полезно вставить его жесткий диск в другой компьютер и выполнить полное сканирование системы на наличие вирусов (если не выполнять полную переустановку Windows). Однако обычно вам не нужно запускать полное сканирование системы самостоятельно, когда антивирусная программа уже защищает вас — она всегда сканирует в фоновом режиме и выполняет свое собственное регулярное полное сканирование системы.
Определения вирусов
Ваше антивирусное программное обеспечение использует определения вирусов для обнаружения вредоносных программ. Вот почему он автоматически загружает новые обновленные файлы определений — раз в день или даже чаще. Файлы определений содержат сигнатуры вирусов и других вредоносных программ. Когда антивирусная программа сканирует файл и обнаруживает, что файл соответствует известной вредоносной программе, антивирусная программа останавливает запуск файла, помещая его в «карантин». В зависимости от настроек вашей антивирусной программы антивирусная программа может автоматически удалить файл, или вы все равно сможете разрешить запуск файла, если вы уверены, что это ложное срабатывание.
Антивирусные компании должны постоянно быть в курсе последних вредоносных программ, выпуская обновления определений, которые гарантируют, что вредоносное ПО будет перехвачено их программами. Антивирусные лаборатории используют различные инструменты для дизассемблирования вирусов, запуска их в песочницах и выпуска своевременных обновлений, обеспечивающих защиту пользователей от новых вредоносных программ.
Эвристика
Антивирусные программы также используют эвристику и машинное обучение. Модели машинного обучения создаются путем анализа сотен или тысяч единиц вредоносного ПО для поиска общих свойств или поведения. Эта комбинация позволяет антивирусной программе идентифицировать новые или измененные типы вредоносных программ даже без файлов определений вирусов. Например, если антивирусная программа замечает, что программа, работающая в вашей системе, пытается открыть каждый EXE-файл в вашей системе, заражая его, записывая в него копию исходной программы, антивирусная программа может обнаружить эту программу как новую, неизвестный тип вируса.
Ни одна антивирусная программа не идеальна. Слишком агрессивные эвристики или неправильно обученные модели машинного обучения могут случайно пометить совершенно безопасное программное обеспечение как вредоносное ПО.
Ложные срабатывания
Из-за большого количества программного обеспечения вполне возможно, что антивирусные программы могут иногда называть файл вирусом, хотя на самом деле это совершенно безопасный файл. Это известно как «ложноположительный результат». Иногда антивирусные компании даже допускают ошибки, например, идентифицируя системные файлы Windows, популярные сторонние программы или файлы собственных антивирусных программ как вирусы. Эти ложные срабатывания могут повредить системы пользователей — такие ошибки обычно попадают в новости, например, когда Microsoft Security Essentials идентифицировала Google Chrome как вирус, AVG повредила 64-разрядные версии Windows 7 или Sophos идентифицировала себя как вредоносное ПО.
Эвристика также может увеличить количество ложных срабатываний. Антивирус может заметить, что программа ведет себя аналогично вредоносной программе, и ошибочно идентифицировать ее как вирус.
Несмотря на это, ложные срабатывания довольно редки при обычном использовании. Если ваш антивирус говорит, что файл является вредоносным, вы, как правило, должны ему верить. Если вы не уверены, действительно ли файл является вирусом, вы можете попробовать загрузить его на VirusTotal (который теперь принадлежит Google). VirusTotal сканирует файл с помощью различных антивирусных продуктов и сообщает вам, что каждый из них говорит о нем.
Скорость обнаружения
Различные антивирусные программы имеют разную скорость обнаружения, и как определения вирусов, так и эвристики вносят свой вклад в расхождения. Некоторые антивирусные компании могут иметь более эффективную эвристику и выпускать больше определений вирусов, чем их конкуренты, что приводит к более высокому уровню обнаружения.
Некоторые организации проводят регулярные тесты антивирусных программ в сравнении друг с другом, сравнивая показатели их обнаружения в реальных условиях. AV-Comparitives регулярно публикует исследования, в которых сравниваются текущие показатели обнаружения вирусов. Показатели обнаружения имеют тенденцию колебаться со временем — нет лучшего продукта, который постоянно находится на вершине. Если вы действительно хотите узнать, насколько эффективна антивирусная программа и какие из них являются лучшими, обратите внимание на исследования уровня обнаружения.
Тестирование антивирусной программы
Если вы когда-нибудь захотите проверить, правильно ли работает антивирусная программа, вы можете использовать тестовый файл EICAR. Файл EICAR — это стандартный способ проверки антивирусных программ — на самом деле он не опасен, но антивирусные программы ведут себя так, как будто он опасен, идентифицируя его как вирус. Это позволяет протестировать реакцию антивирусной программы без использования живого вируса.
Источник: guidepc.ru