Antivírusové programy. Klasifikácia vírusov

Najpopulárnejšími a najúčinnejšími antivírusovými programami sú antivírusové skenery (detektory), skenery CRC (auditory). Existujú aj antivírusové blokátory a imunizátory.

Skenery... Princíp činnosti antivírusových skenerov je založený na skenovaní súborov, sektorov a systémová pamäť a ich hľadanie na známe a nové (pre skener neznáme) vírusy. Na vyhľadávanie známych vírusov sa používajú takzvané „masky“. Vírusová maska ​​je určitá konštantná sekvencia kódu špecifická pre konkrétny vírus. Ak vírus neobsahuje trvalú masku alebo dĺžka tejto masky nie je dostatočne dlhá, použijú sa iné metódy. Príkladom takejto metódy je algoritmický jazyk, ktorý popisuje všetky možné varianty kódu, s ktorými sa možno stretnúť pri infekcii týmto typom vírusu. Tento prístup používajú niektoré antivírusy na detekciu polymorfných vírusov.

Mnoho skenerov tiež používa algoritmy „heuristického skenovania“, to znamená analýzu postupnosti príkazov v skenovanom objekte, zhromažďovanie štatistík a rozhodovanie o každom skenovanom objekte. Pretože heuristické skenovanie je do značnej miery pravdepodobnou metódou vyhľadávania vírusov, uplatňuje sa naň mnoho zákonov teórie pravdepodobnosti. Napríklad čím vyššie je percento detegovaných vírusov, tým väčší je počet falošne pozitívnych výsledkov.

Skenery možno tiež rozdeliť do dvoch kategórií - „na všeobecné účely“ a „špecializované“. Univerzálne skenery sú navrhnuté tak, aby vyhľadávali a neutralizovali všetky typy vírusov bez ohľadu na to operačný systém skener je určený pre. Špecializované skenery sú navrhnuté tak, aby neutralizovali obmedzený počet vírusov alebo iba jednu ich triedu, napríklad makrovírusy.

Skenery sú tiež rozdelené na „rezidentné“ (monitory), ktoré skenujú „za behu“ a „nerezidentné“, ktoré poskytujú skenovanie systému iba na požiadanie. Skenery „s pamäťovou rezidenciou“ spravidla poskytujú spoľahlivejšiu ochranu systému, pretože okamžite reagujú na vírus, zatiaľ čo skenery „bez pamäte“ môžu rozpoznať vírus iba pri jeho nasledujúcom spustení.

Medzi výhody všetkých typov skenerov patrí ich univerzálnosť, nevýhodami sú veľkosť antivírusových databáz, ktoré musia skenery ukladať a dopĺňať, a relatívne nízka rýchlosť skenovania vírusov.

CRC skenery... Princíp činnosti CRC skenerov je založený na výpočte súčtov CRC (kontrolných súčtov) pre súbory / systémové sektory prítomné na disku. Tieto sumy CRC sa potom uložia do antivírusovej databázy a tiež niektoré ďalšie informácie: dĺžky súborov, dátum ich poslednej úpravy atď. Pri nasledujúcom spustení skenery CRC skontrolujú údaje obsiahnuté v databáze pomocou skutočne vypočítané hodnoty ... Ak sa informácie o súbore zaznamenanom v databáze nezhodujú so skutočnými hodnotami, potom skenery CRC signalizujú, že súbor bol upravený alebo infikovaný vírusom.

CRC skenery používajúce algoritmy proti utajeniu reagujú na takmer 100% vírusov hneď, ako sa v počítači objavia zmeny. Charakteristickou nevýhodou týchto antivírusov je nemožnosť detekcie vírusu od jeho vzniku až do vykonania zmien v počítači. Skenery CRC nedokážu detekovať vírus v nových súboroch (vo formáte e-mail, na disketách, v obnoviteľných súboroch alebo pri rozbaľovaní súborov z archívu), pretože ich databázy neobsahujú informácie o týchto súboroch.

Detekčné programy vyhľadajte podpisovú charakteristiku konkrétneho vírusu v Náhodný vstup do pamäťe a v súboroch a po zistení vydajú zodpovedajúcu správu. Nevýhodou takýchto antivirusový softvér spočíva v tom, že môžu nájsť iba vírusy, ktoré sú známe vývojárom takýchto programov.

Blokátory... Antivírusové blokátory sú programy rezidentné v pamäti, ktoré zachytávajú situácie „nebezpečné pre vírusy“ a upozorňujú na to používateľa. Hovory náchylné na vírusy zahŕňajú hovory na otvorenie na zápis do spustiteľných súborov, zápis do zavádzacieho sektora disku atď., Ktoré sú typické pre vírusy v čase ich množenia.

Medzi výhody blokátorov patrí ich schopnosť detekovať a blokovať vírus v najskoršom štádiu jeho reprodukcie, čo je mimochodom veľmi užitočné v prípadoch, keď sa známy vírus neustále aktivuje.

Imunizátory... Imunizátory sú rozdelené do dvoch typov: imunizátory, ktoré hlásia infekciu, a imunizátory, ktoré blokujú infekciu akýmkoľvek typom vírusu.

Doktorské programy alebo fágy a očkovacie programy nielen nájsť súbory napadnuté vírusmi, ale ich aj „vyliečiť“, t.j. odstráňte telo vírusového programu zo súboru a vráťte súbory do priečinka počiatočný stav... Na začiatku svojej práce fágy hľadajú vírusy v pamäti RAM, ničia ich a až potom pokračujú v „liečení“ súborov. Medzi fágmi sa rozlišujú polyfágy, t.j. Doktorské programy určené na vyhľadávanie a ničenie veľkého počtu vírusov. Najslávnejšie z nich: Aidstest, Scan, Norton AntiVirus, Doktor Web.

Vzhľadom na to, že sa neustále objavujú nové vírusy, detektorové programy a lekárske programy rýchlo zastarávajú a je to potrebné pravidelná aktualizácia verzie.

Audítorské programy patria medzi najspoľahlivejšie prostriedky ochrany pred vírusmi. Audítori si pamätajú počiatočný stav programov, adresárov a systémových oblastí disku, keď počítač nie je infikovaný vírusom, a potom pravidelne alebo na žiadosť používateľa porovnávajú aktuálny stav s pôvodným. Zistené zmeny sa zobrazia na obrazovke monitora. Štáty sa spravidla porovnávajú bezprostredne po načítaní operačného systému. Pri porovnávaní sa kontroluje dĺžka súboru, cyklický riadiaci kód (kontrolný súčet súboru), dátum a čas zmeny a ďalšie parametre. Programy pre audítorov majú pomerne pokročilé algoritmy, detekujú nenápadné vírusy a môžu dokonca vyčistiť zmeny vo verzii programu, ktorý sa má skenovať, od zmien zavedených vírusom. Program Adinf, ktorý je v Rusku široko používaný, je jedným z programov audítorov.

Filtre alebo „Strážca“ sú malé rezidentné programy určené na zisťovanie podozrivých akcií počas prevádzky počítača, typických pre vírusy. Takéto akcie môžu byť:

Pokusy o opravu súborov s príponami COM, EXE

Zmena atribútov súboru

Priamy zápis na disk na absolútnej adrese

· Vstup v zavádzacie sektory disk

Keď sa akýkoľvek program pokúsi vykonať uvedené akcie, „strážca“ pošle používateľovi správu a ponúkne mu príslušnú akciu zakázať alebo povoliť. Filtre sú užitočné, pretože dokážu odhaliť vírus v najskoršom štádiu jeho existencie, skôr ako sa premnoží. „Nevyliečia“ však súbory a disky. Na zničenie vírusov musíte použiť iné programy, napríklad fágy. Medzi nevýhody programov watchdog patrí ich „dotieravosť“ (napríklad neustále vydávajú varovanie pred akýmkoľvek pokusom o kopírovanie spustiteľného súboru), ako aj možné konflikty s iným softvérom. Príkladom filtračného programu je program Vsafe, ktorý je súčasťou balíka nástrojov MS Windows.

Vakcíny alebo imunizátory sú programy TSR, ktoré predchádzajú infekcii súborov. Očkovacie látky sa používajú, ak neexistujú žiadne lekárske programy, ktoré by „liečili“ tento vírus. Očkovanie je možné iba proti známym vírusom. Vakcína upraví program alebo disk takým spôsobom, že neovplyvní ich prácu a vírus ich bude vnímať ako infikovaných, a preto nebude zavedený. Očkovacie programy majú v súčasnosti obmedzené využitie.

Včasná detekcia súborov a diskov infikovaných vírusom, úplná eliminácia zistených vírusov na každom počítači pomôže zabrániť šíreniu vírusu do iných počítačov.

Skenery (iné názvy: fágy, polyfágy)

Princíp činnosti antivírusových skenerov je založený na skenovaní súborov, sektorov a systémovej pamäte a ich vyhľadávaní známych a nových (skeneru neznámych) vírusov. Na vyhľadávanie známych vírusov sa používajú takzvané „masky“. Vírusová maska ​​je konštantná sekvencia kódu špecifického pre daný vírus. Ak vírus neobsahuje trvalú masku alebo dĺžka tejto masky nie je dostatočne dlhá, použijú sa iné metódy. Príkladom takejto metódy je algoritmický jazyk, ktorý popisuje všetky možné varianty kódu, s ktorými sa možno stretnúť pri infekcii týmto typom vírusu. Tento prístup používajú niektoré antivírusy na detekciu polymorfných vírusov.

Mnoho skenerov používa aj algoritmy „heuristického skenovania“; analyzovanie postupnosti príkazov v kontrolovanom objekte, zhromažďovanie štatistík a rozhodovanie pre každý kontrolovaný objekt.

Skenery možno tiež rozdeliť do dvoch kategórií - „na všeobecné účely“ a „špecializované“. Univerzálne skenery sú navrhnuté tak, aby vyhľadávali a neutralizovali všetky typy vírusov bez ohľadu na operačný systém, v ktorom je skener navrhnutý. Špecializované skenery sú navrhnuté tak, aby neutralizovali obmedzený počet vírusov alebo iba jednu ich triedu, napríklad makrovírusy.

Skenery sú tiež rozdelené na „rezidentné“ (monitory), ktoré vykonávajú skenovanie „za behu“ a „nerezidentné“, ktoré poskytujú skenovanie systému iba na požiadanie. Skenery „s rezidentnou pamäťou“ spravidla poskytujú spoľahlivejšiu ochranu systému, pretože okamžite reagujú na výskyt vírusu, zatiaľ čo skener „bez pamäte“ dokáže rozpoznať vírus iba pri nasledujúcom spustení.

CRC skenery

Princíp činnosti CRC skenerov je založený na výpočte súčtov CRC (kontrolných súčtov) pre súbory / systémové sektory prítomné na disku. Tieto sumy CRC sú potom uložené do antivírusovej databázy a tiež niektoré ďalšie informácie: dĺžky súborov, dátumy ich posledných úprav atď. Pri nasledujúcom spustení porovnajú CRC skenery údaje obsiahnuté v databáze so skutočne vypočítanými hodnotami. Ak sa informácie o súbore zaznamenanom v databáze nezhodujú so skutočnými hodnotami, potom skenery CRC signalizujú, že súbor bol upravený alebo infikovaný vírusom.

CRC skenery nie sú schopné zachytiť vírus v okamihu, keď sa objaví v systéme, ale robia to až po určitom čase, keď sa vírus rozšíril cez počítač. Skenery CRC nedokážu detekovať vírus v nových súboroch (v e-mailoch, na disketách, v súboroch obnovených zo zálohy alebo pri rozbaľovaní súborov z archívu), pretože ich databázy o týchto súboroch nemajú informácie. Okrem toho sa pravidelne vyskytujú vírusy, ktoré túto „slabosť“ skenerov CRC používajú iba znova vygenerované súbory a zostanú tak pre nich neviditeľní.

Blokátory

Antivírusové blokátory sú programy rezidentné v pamäti, ktoré zachytávajú situácie „nebezpečné pre vírusy“ a upozorňujú na to používateľa. Medzi hovory nebezpečné pre vírusy patria hovory na otvorenie na zápis do spustiteľných súborov, zápis do zavádzacích sektorov diskov alebo MBR pevného disku, pokusy programov zostať rezidentné atď. To znamená hovory, ktoré sú charakteristické pre vírusy v čase replikácia.

Medzi výhody blokátorov patrí ich schopnosť detekovať a zastaviť vírus v najskoršom štádiu jeho reprodukcie. Medzi nevýhody patrí existencia spôsobov, ako obísť ochranu blokátorov, a veľký počet falošných poplachov.

Imunizátory

Imunizátory sú rozdelené do dvoch typov: imunizátory, ktoré hlásia infekciu, a imunizátory, ktoré blokujú infekciu. Prvé z nich sú zvyčajne zapísané na koniec súborov (napríklad súborový vírus) a pri každom spustení súboru sa kontrolujú zmeny. Existuje iba jedna nevýhoda takýchto imunizátorov, ktorá je však smrteľná: absolútna neschopnosť nahlásiť infekciu skrytým vírusom. Preto sa také imunizátory, ako aj blokátory, v súčasnosti prakticky nepoužívajú.

Druhý typ imunizácie chráni systém pred infekciou konkrétnym typom vírusu. Súbory na diskoch sú upravené tak, aby ich vírus považoval za už infikované. Na ochranu pred rezidentným vírusom sa do pamäte počítača zadá program, ktorý napodobňuje kópiu vírusu. Vírus po spustení narazí na to, že je systém už infikovaný.

Tento typ imunizácie nemôže byť univerzálny, pretože súbory nie je možné imunizovať proti všetkým známym vírusom.

^ Klasifikácia antivírusov na základe ich variability v čase

Podľa Valeryho Konyavského Antivírusové nástroje možno rozdeliť do dvoch veľkých skupín - analýza údajov a analýza procesov.

^ Analýza údajov

Analýza údajov zahŕňa „audítorov“ a „polyfágy“. „Audítori“ analyzujú dôsledky činností počítačové vírusy a ďalšie malware... Dôsledky sa prejavujú pri zmenách údajov, ktoré by sa nemali meniť. Práve skutočnosť, že sa údaje zmenili, je znakom činnosti škodlivých programov z pohľadu „audítora“. Inými slovami, „audítori“ kontrolujú integritu údajov a pri porušení integrity rozhodujú o prítomnosti škodlivých programov v počítačovom prostredí.

„Polyfágy“ pôsobia odlišne. Na základe analýzy údajov izolujú fragmenty škodlivého kódu (napríklad jeho podpisom) a na základe toho vyvodia záver o prítomnosti škodlivých programov. Odstránenie alebo „vyliečenie“ údajov infikovaných vírusom pomáha predchádzať negatívnym dôsledkom vykonávania škodlivých programov. Na základe analýzy „v statike“ sa teda zabráni následkom, ktoré vznikajú „v dynamike“.

Schéma práce „audítorov“ a „polyfágov“ je prakticky rovnaká - porovnať údaje (alebo ich kontrolný súčet) s jednou alebo niekoľkými referenčnými vzorkami. Údaje sa porovnávajú s údajmi. Aby ste teda vo svojom počítači našli vírus, potrebujete, aby „fungoval“, aby sa objavili dôsledky jeho činnosti. Táto metóda môže nájsť iba známe vírusy, pre ktoré boli predtým popísané fragmenty kódu alebo podpisy. Je nepravdepodobné, že by takú ochranu bolo možné nazvať spoľahlivou.


^ Procesná analýza

Antivírusové nástroje založené na procesnej analýze fungujú trochu iným spôsobom. „Heuristické analyzátory“, ako sú opísané vyššie, analyzujú údaje (na disku, v kanáli, v pamäti atď.). Zásadný rozdiel spočíva v tom, že analýza sa vykonáva za predpokladu, že analyzovaný kód nie sú údaje, ale príkazy (v počítačoch s von Neumannovou architektúrou nie sú údaje a príkazy na rozlíšenie, v tomto ohľade počas analýzy jeden alebo druhý predpoklad má treba predložiť.)

„Heuristický analyzátor“ identifikuje postupnosť operácií, každému z nich priradí určité „nebezpečenstvo“ a na základe súhrnu „nebezpečenstva“ rozhodne, či je táto postupnosť operácií súčasťou škodlivého kódu. Samotný kód sa nevykoná.

Ďalším typom procesne založeného antivírusu sú „blokátory správania“. V tomto prípade sa podozrivý kód spustí po etapách, kým sa sada akcií iniciovaných kódom vyhodnotí ako „nebezpečné“ (alebo „bezpečné“) správanie. V tomto prípade je kód čiastočne spustený, pretože dokončenie škodlivého kódu je možné detekovať viac jednoduché metódy analýza dát.

Technológie detekcie vírusov

Technológie používané v antivírusovom softvéri je možné rozdeliť do dvoch skupín:


  • Technológie analýzy podpisu

  • Technológie pravdepodobnostnej analýzy

Technológie analýzy podpisu

Analýza podpisov je metóda detekcie vírusov, ktorá kontroluje prítomnosť vírusových podpisov v súboroch. Analýza podpisov je najznámejšou metódou na zisťovanie vírusov a používa sa takmer vo všetkých moderných antivírusoch. Na vykonanie kontroly potrebuje antivírus sadu vírusových podpisov, ktoré sú uložené v antivírusovej databáze.

Pretože analýza podpisov zahŕňa kontrolu vírusových podpisov v súboroch, antivírusovú databázu je potrebné pravidelne aktualizovať, aby bola antivírusová aktualizácia aktuálna. Samotný princíp činnosti analýzy podpisov definuje aj hranice jej funkčnosti - schopnosť detekovať iba už známe vírusy - skener podpisov je proti novým vírusom bezmocný.

Na druhej strane prítomnosť vírusových podpisov znamená schopnosť vyliečiť infikované súbory zistené pomocou analýzy podpisov. Nie všetky vírusy sa však dajú vyliečiť - trójske kone a väčšinu červov nemožno vyliečiť kvôli ich konštrukčným vlastnostiam, pretože ide o integrálne moduly navrhnuté tak, aby spôsobovali škody.

Kompetentná implementácia vírusového podpisu vám umožňuje stopercentne odhaliť známe vírusy.

Technológie pravdepodobnostnej analýzy

Technológie pravdepodobnostnej analýzy sú zase rozdelené do troch kategórií:

  • Heuristická analýza

  • Behaviorálna analýza

  • Analýza kontrolného súčtu

Heuristická analýza

Heuristická analýza je technológia založená na pravdepodobnostných algoritmoch, ktorej výsledkom je identifikácia podozrivých predmetov. V procese heuristickej analýzy sa kontroluje štruktúra súboru a jeho súlad s vírusovými vzormi. Najpopulárnejšou heuristickou technológiou je kontrola obsahu súboru, či neobsahuje úpravy už známych vírusových podpisov a ich kombinácií. Pomáha to identifikovať hybridy a nové verzie predtým známych vírusov bez dodatočná aktualizácia antivírusová databáza.

Heuristická analýza sa používa na detekciu neznámych vírusov a v dôsledku toho nezahŕňa vyliečenie. Táto technológia nie je 100% schopná určiť, či je vírus pred ním alebo nie, a ako každý pravdepodobnostný algoritmus trpí falošne pozitívnymi výsledkami.

^ Behaviorálna analýza

Behaviorálna analýza je technológia, pri ktorej sa rozhoduje o povahe kontrolovaného objektu na základe analýzy operácií, ktoré vykonáva. Behaviorálna analýza je v praxi veľmi úzko uplatniteľná, pretože väčšinu akcií typických pre vírusy je možné vykonať a konvenčné aplikácie... Najslávnejšie sú analyzátory správania pre skripty a makrá, pretože zodpovedajúce vírusy takmer vždy vykonávajú množstvo podobných akcií.

Ochrany zabudované v systéme BIOS možno tiež klasifikovať ako analyzátory správania. Keď sa pokúsite vykonať zmeny v MBR počítača, analyzátor zablokuje akciu a zobrazí zodpovedajúce upozornenie pre používateľa.

Analyzátory správania môžu okrem toho sledovať pokusy o priamy prístup k súborom a vykonávať v nich zmeny bootovací záznam diskety, formátovanie pevné disky atď.

Behaviorálne analyzátory nepoužívajú na svoju činnosť ďalšie objekty, ako sú vírusové databázy, a v dôsledku toho nedokážu rozlíšiť známe a neznáme vírusy - všetky podozrivé programy sú a priori považované za neznáme vírusy. Podobne správanie nástrojov, ktoré implementujú technológie analýzy správania, nezahŕňa liečbu.

^ Analýza kontrolného súčtu

Analýza kontrolného súčtu je spôsob sledovania zmien v objektoch v počítačovom systéme. Na základe analýzy povahy zmien - simultánnosť, masívnosť, identické zmeny v dĺžkach súborov - môžeme usúdiť, že systém je infikovaný. Analyzátory kontrolného súčtu (nazývané tiež „audítori zmien“), podobne ako analyzátory správania, nepoužívajú pri svojej práci ďalšie objekty a vydávajú verdikt o prítomnosti vírusu v systéme výlučne metódou odborného posúdenia. Podobné technológie sa používajú v skeneroch pri prístupe - pri prvej kontrole sa kontrolný súčet odstráni zo súboru a umiestni sa do vyrovnávacej pamäte, pred ďalšou kontrolou toho istého súboru sa suma znova odstráni, porovná a ak nedôjde k žiadnym zmenám , súbor sa považuje za neinfikovaný.

^ Antivírusové komplexy

Antivírusový komplex - sada antivírusov, ktoré používajú rovnaké antivírusové jadro alebo jadrá, určené na riešenie praktických problémov pri zabezpečení antivírusovej bezpečnosti. počítačové systémy... Antivírusový komplex nevyhnutne obsahuje aj nástroje na aktualizáciu antivírusových databáz.

Antivírusový komplex môže navyše obsahovať analyzátory správania a audity zmien, ktoré nepoužívajú antivírusový modul.

Rozlišujú sa nasledujúce typy antivírusových komplexov:

  • Antivírusový komplex na ochranu pracovných staníc

  • Antivírusový balík na ochranu súborových serverov

  • Antivírusový komplex na ochranu poštových systémov

  • Antivírusový komplex na ochranu brán.

Antivírusová ochrana je najbežnejším opatrením na zaistenie informačnej bezpečnosti IT infraštruktúry v podnikovom sektore. Podľa štúdie spoločnosti Kaspersky Lab v spolupráci s analytickou spoločnosťou B2B International (jeseň 2013) však na ochranu používa iba 74% ruských spoločností antivírusové riešenia.

Správa tiež uvádza, že uprostred prudkého nárastu kybernetických hrozieb, pred ktorými sú spoločnosti chránené jednoduchými antivírusmi, ruské podniky stále častejšie používajú komplexné nástroje ochrany. Z tohto dôvodu sa používanie nástrojov na šifrovanie údajov na vymeniteľných médiách zvýšilo o 7% (24%). Spoločnosti navyše začali byť ochotnejšie vymedziť bezpečnostné politiky pre vymeniteľné zariadenia. Zvýšila sa aj diferenciácia úrovne prístupu k rôznym častiam IT infraštruktúry (49%). Malé a stredné firmy zároveň venujú väčšiu pozornosť kontrole vymeniteľných zariadení (35%) a kontrole aplikácií (31%).

Vedci tiež zistili, že napriek neustálemu objavovaniu nových zraniteľností v softvéri ruské spoločnosti stále nevenujú dostatočnú pozornosť pravidelným aktualizáciám softvéru. A čo viac, počet organizácií, ktoré používajú opravy, sa oproti minulému roku znížil na iba 59%.

Moderné antivírusové programy sú schopné efektívne detegovať škodlivé objekty v súboroch programu a dokumentov. V niektorých prípadoch môže antivírus odstrániť telo škodlivého objektu z infikovaného súboru obnovením samotného súboru. Antivírus je vo väčšine prípadov schopný odstrániť objekt škodlivého programu nielen zo súboru programu, ale aj zo súboru kancelárskych dokumentov bez narušenia jeho integrity. Používanie antivírusových programov nevyžaduje vysokú kvalifikáciu a je k dispozícii takmer každému používateľovi počítača.

Väčšina antivírusových programov kombinuje funkcie ochrany v reálnom čase (antivírusový monitor) a ochranné funkcie na požiadanie (antivírusový skener).

Hodnotenie antivírusu

2019: Dve tretiny antivírusov pre Android sa ukázali ako zbytočné

V marci 2019 rakúske testovacie laboratórium antivírusového softvéru AV-Comparatives zverejnilo štúdiu, ktorá ukázala, že väčšina týchto programov je pre Android nepoužiteľná.

Iba 23 antivírusov umiestnených v oficiálnom katalógu Obchodu Google Play presne detekuje škodlivé programy v 100% prípadov. Zvyšok softvéru buď nereaguje na mobilné hrozby, alebo pre ne používa úplne bezpečné aplikácie.

Odborníci študovali 250 antivírusov a uviedli, že iba 80% z nich dokáže detekovať viac ako 30% škodlivého softvéru. V teste teda neprešlo 170 aplikácií. Produkty, ktoré prešli testami, obsahovali predovšetkým riešenia od významných výrobcov, vrátane spoločností Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro a Trustwave.

V rámci experimentu vedci nainštalovali každú antivírusovú aplikáciu na samostatné zariadenie (bez emulátora) a zautomatizovali zariadenia, aby spustili prehliadač, stiahli a potom nainštalovali škodlivý softvér. V roku 2018 bolo na každom zariadení testovaných 2 000 najbežnejších vírusov Android.

Podľa AV-Comparatives je väčšina antivírusových riešení pre Android falošná. Desiatky aplikácií majú takmer totožné rozhranie a ich tvorcov zjavne viac zaujíma zobrazovanie reklám než písanie fungujúceho antivírusového skenera.

Niektoré antivírusy „vidia“ hrozbu v akejkoľvek aplikácii, ktorá nie je zahrnutá v ich „bielom zozname“. Z tohto dôvodu v mnohých veľmi neoficiálnych prípadoch vyvolali poplach kvôli svojim vlastným súborom, pretože ich vývojári zabudli spomenúť v „bielom zozname“.

2017: Microsoft Security Essentials je uznávaný ako jeden z najhorších antivírusov

V októbri 2017 zverejnilo výsledky nemecké antivírusové laboratórium AV-Test komplexné testovanie antivirusový softvér. Podľa štúdie značkové softvér Microsoft, ktorý je navrhnutý tak, aby chránil pred škodlivými aktivitami, je na tom pri výkone svojej práce takmer najhoršie.

Podľa výsledkov testov vykonaných v júli až auguste 2017 zavolali experti na AV-Test najlepší antivírus pre Windows 7 Kaspersky Internet Security, ktorý získal 18 bodov za hodnotenie úrovne ochrany, výkonu a použiteľnosti.

Medzi tri najlepšie patria programy Trend Micro internetová bezpečnosť a Bitdefender Internet Security, ktoré získali po 17,5 bodu. Stav produktov iných antivírusových spoločností, ktoré boli zahrnuté do štúdie, nájdete na nasledujúcich obrázkoch:

Mnoho skenerov používa aj heuristické skenovacie algoritmy, t.j. analyzovanie postupnosti príkazov v kontrolovanom objekte, zhromažďovanie štatistík a rozhodovanie pre každý kontrolovaný objekt.

Skenery možno tiež rozdeliť do dvoch kategórií - na všeobecné a špecializované. Univerzálne skenery sú navrhnuté tak, aby vyhľadávali a neutralizovali všetky typy vírusov bez ohľadu na operačný systém, v ktorom je skener navrhnutý. Špecializované skenery sú navrhnuté tak, aby neutralizovali obmedzený počet vírusov alebo iba jednu ich triedu, napríklad makrovírusy.

Skenery sú tiež rozdelené na rezidentné (monitory), ktoré skenujú za behu, a nerezidentské, ktoré poskytujú skenovanie systému iba na požiadanie. Rezidentné skenery spravidla poskytujú spoľahlivejšiu ochranu systému, pretože okamžite reagujú na vírus, zatiaľ čo nerezidentný skener dokáže rozpoznať vírus iba pri jeho nasledujúcom spustení.

CRC skenery

Princíp činnosti CRC skenerov je založený na výpočte súčtov CRC (kontrolných súčtov) pre súbory / systémové sektory prítomné na disku. Tieto sumy CRC sú potom uložené do antivírusovej databázy a tiež niektoré ďalšie informácie: dĺžky súborov, dátumy ich posledných úprav atď. Pri nasledujúcom spustení porovnajú CRC skenery údaje obsiahnuté v databáze so skutočne vypočítanými hodnotami. Ak sa informácie o súbore zaznamenanom v databáze nezhodujú so skutočnými hodnotami, potom skenery CRC signalizujú, že súbor bol upravený alebo infikovaný vírusom.

CRC skenery nie sú schopné zachytiť vírus v okamihu, keď sa objaví v systéme, ale robia to až po určitom čase, keď sa vírus rozšíril cez počítač. Skenery CRC nedokážu detekovať vírus v nových súboroch (v e-mailoch, na disketách, v súboroch obnovených zo zálohy alebo pri rozbaľovaní súborov z archívu), pretože ich databázy o týchto súboroch nemajú informácie. Okrem toho sa pravidelne vyskytujú vírusy, ktoré využívajú túto slabosť skenerov CRC, infikujú iba novo vytvorené súbory a zostávajú pre nich teda neviditeľné.

Blokátory

Antivírusové blokátory sú programy rezidentné v pamäti, ktoré zachytávajú nebezpečné situácie a upozorňujú na to používateľa. Medzi hovory ohrozujúce vírusy patria hovory na otvorenie na zápis do spustiteľných súborov, zápis do zavádzacích sektorov diskov alebo MBR pevného disku, pokusy programov zostať rezidentné atď. To znamená hovory, ktoré sú typické pre vírusy v čase replikácia.

Medzi výhody blokátorov patrí ich schopnosť detekovať a zastaviť vírus v najskoršom štádiu jeho reprodukcie. Medzi nevýhody patrí existencia spôsobov, ako obísť ochranu blokátorov, a veľký počet falošných poplachov.

Imunizátory

Imunizátory sú rozdelené do dvoch typov: imunizátory, ktoré hlásia infekciu, a imunizátory, ktoré blokujú infekciu. Prvé z nich sú zvyčajne zapísané na koniec súborov (napríklad súborový vírus) a pri každom spustení súboru sa kontrolujú zmeny. Existuje iba jedna nevýhoda takýchto imunizátorov, ktorá je však smrteľná: absolútna neschopnosť nahlásiť infekciu skrytým vírusom. Preto sa také imunizátory, ako aj blokátory, v súčasnosti prakticky nepoužívajú.

Druhý typ imunizácie chráni systém pred infekciou konkrétnym typom vírusu. Súbory na diskoch sú upravené tak, aby ich vírus považoval za už infikované. Na ochranu pred rezidentným vírusom sa do pamäte počítača zadá program, ktorý napodobňuje kópiu vírusu. Vírus po spustení narazí na to, že je systém už infikovaný.

Tento typ imunizácie nemôže byť univerzálny, pretože súbory nie je možné imunizovať proti všetkým známym vírusom.

Klasifikácia antivírusov na základe ich variability v čase

Podľa Valeryho Konyavského možno antivírusové nástroje rozdeliť do dvoch veľkých skupín - na analýzu údajov a na analýzu procesov.

Analýza dát

Analýza údajov zahŕňa audítorov a polyfágy. Audítori analyzujú dôsledky činnosti počítačových vírusov a iných škodlivých programov. Dôsledky sa prejavujú pri zmenách údajov, ktoré by sa nemali meniť. Práve skutočnosť, že sa údaje zmenili, je z pohľadu audítora znakom činnosti škodlivých programov. Inými slovami, audítori kontrolujú integritu údajov a pri porušení integrity rozhodujú o prítomnosti škodlivých programov v počítačovom prostredí.

Polyfágy pôsobia odlišne. Na základe analýzy údajov izolujú fragmenty škodlivého kódu (napríklad jeho podpisom) a na základe toho vyvodia záver o prítomnosti škodlivých programov. Odstránenie alebo dezinfekcia údajov infikovaných vírusom pomáha predchádzať negatívnym dôsledkom vykonávania škodlivých programov. Na základe analýzy v statike sa teda zabráni dôsledkom vyplývajúcim z dynamiky.

Schéma práce audítorov aj polyfágov je prakticky rovnaká - porovnať údaje (alebo ich kontrolný súčet) s jednou alebo viacerými referenčnými vzorkami. Údaje sa porovnávajú s údajmi. Aby ste teda vo svojom počítači našli vírus, potrebujete ho, aby fungoval, aby sa objavili dôsledky jeho činnosti. Táto metóda môže nájsť iba známe vírusy, pre ktoré boli predtým popísané fragmenty kódu alebo podpisy. Je nepravdepodobné, že by takú ochranu bolo možné nazvať spoľahlivou.

Procesná analýza

Antivírusové nástroje založené na procesnej analýze fungujú trochu iným spôsobom. Heuristické analyzátory, ako sú opísané vyššie, analyzujú údaje (na disku, v kanáli, v pamäti atď.). Zásadný rozdiel spočíva v tom, že analýza sa vykonáva za predpokladu, že analyzovaný kód nie sú údaje, ale príkazy (v počítačoch s von Neumannovou architektúrou nie sú údaje a príkazy na rozlíšenie, v tomto ohľade počas analýzy jeden alebo je potrebné predložiť ďalší predpoklad.)

Heuristický analyzátor identifikuje postupnosť operácií, každému z nich priradí určité hodnotenie nebezpečnosti a na základe celkového nebezpečenstva rozhodne, či je táto postupnosť operácií súčasťou škodlivého kódu. Samotný kód sa nevykoná.

Ďalším typom antivírusu založeného na procesoch sú blokátory správania. V tomto prípade sa podozrivý kód spustí po etapách, kým sa sada akcií iniciovaných kódom vyhodnotí ako nebezpečné (alebo bezpečné) správanie. Súčasne je kód čiastočne spustený, pretože dokončenie škodlivého kódu je možné zistiť jednoduchšími metódami analýzy údajov.

Technológie detekcie vírusov

Technológie používané v antivírusovom softvéri je možné rozdeliť do dvoch skupín:

  • Technológie analýzy podpisu
  • Technológie pravdepodobnostnej analýzy

Technológie analýzy podpisu

Analýza podpisov je metóda detekcie vírusov, ktorá kontroluje prítomnosť vírusových podpisov v súboroch. Analýza podpisov je najznámejšou metódou na zisťovanie vírusov a používa sa takmer vo všetkých moderných antivírusoch. Na vykonanie kontroly potrebuje antivírus sadu vírusových podpisov, ktoré sú uložené v antivírusovej databáze.

Pretože analýza podpisov zahŕňa kontrolu vírusových podpisov v súboroch, antivírusovú databázu je potrebné pravidelne aktualizovať, aby bola antivírusová aktualizácia aktuálna. Samotný princíp činnosti analýzy podpisov definuje aj hranice jej funkčnosti - schopnosť detekovať iba už známe vírusy - skener podpisov je proti novým vírusom bezmocný.

Na druhej strane prítomnosť vírusových podpisov znamená schopnosť vyliečiť infikované súbory zistené pomocou analýzy podpisov. Nie všetky vírusy sa však dajú vyliečiť - trójske kone a väčšinu červov nemožno vyliečiť kvôli ich konštrukčným vlastnostiam, pretože ide o integrálne moduly navrhnuté tak, aby spôsobovali škody.

Kompetentná implementácia vírusového podpisu vám umožňuje stopercentne odhaliť známe vírusy.

Technológie pravdepodobnostnej analýzy

Technológie pravdepodobnostnej analýzy sú zase rozdelené do troch kategórií:

  • Heuristická analýza
  • Behaviorálna analýza
  • Analýza kontrolného súčtu

Heuristická analýza

Heuristická analýza je technológia založená na pravdepodobnostných algoritmoch, ktorej výsledkom je identifikácia podozrivých predmetov. V procese heuristickej analýzy sa kontroluje štruktúra súboru a jeho súlad s vírusovými vzormi. Najpopulárnejšou heuristickou technológiou je kontrola obsahu súboru, či neobsahuje úpravy už známych vírusových podpisov a ich kombinácií. Pomáha to odhaliť hybridy a nové verzie predtým známych vírusov bez dodatočnej aktualizácie antivírusovej databázy.

Heuristická analýza sa používa na detekciu neznámych vírusov a v dôsledku toho nezahŕňa vyliečenie. Táto technológia nie je 100% schopná určiť, či je vírus pred ním alebo nie, a ako každý pravdepodobnostný algoritmus trpí falošne pozitívnymi výsledkami.

Behaviorálna analýza

Behaviorálna analýza je technológia, pri ktorej sa rozhoduje o povahe kontrolovaného objektu na základe analýzy operácií, ktoré vykonáva. Behaviorálna analýza je v praxi veľmi úzko uplatniteľná, pretože väčšinu akcií typických pre vírusy je možné vykonávať bežnými aplikáciami. Najslávnejšie sú analyzátory správania pre skripty a makrá, pretože zodpovedajúce vírusy takmer vždy vykonávajú množstvo podobných akcií.

Ochrany zabudované v systéme BIOS možno tiež klasifikovať ako analyzátory správania. Keď sa pokúsite vykonať zmeny v MBR počítača, analyzátor zablokuje akciu a zobrazí zodpovedajúce upozornenie pre používateľa.

Analyzátory správania môžu okrem toho sledovať pokusy o priamy prístup k súborom, zmeny zavádzacieho záznamu z diskiet, formátovanie pevných diskov atď.

Behaviorálne analyzátory nepoužívajú na svoju činnosť ďalšie objekty, ako sú vírusové databázy, a v dôsledku toho nedokážu rozlíšiť známe a neznáme vírusy - všetky podozrivé programy sú a priori považované za neznáme vírusy. Podobne správanie nástrojov, ktoré implementujú technológie analýzy správania, nezahŕňa liečbu.

Analýza kontrolného súčtu

Analýza kontrolného súčtu je spôsob sledovania zmien v objektoch v počítačovom systéme. Na základe analýzy povahy zmien - simultánnosť, masívnosť, identické zmeny v dĺžkach súborov - môžeme usúdiť, že systém je infikovaný. Analyzátory kontrolného súčtu (nazývané tiež audítori zmien), podobne ako behaviorálne analyzátory, nepoužívajú pri svojej práci ďalšie objekty a vydávajú verdikt o prítomnosti vírusu v systéme výlučne metódou odborného posúdenia. Podobné technológie sa používajú v skeneroch pri prístupe - pri prvej kontrole sa kontrolný súčet odstráni zo súboru a umiestni sa do vyrovnávacej pamäte, pred ďalšou kontrolou toho istého súboru sa suma znova odstráni, porovná a ak nedôjde k žiadnym zmenám , súbor sa považuje za neinfikovaný.

Antivírusové komplexy

Antivírusový komplex je sada antivírusov, ktoré používajú rovnaké antivírusové jadro alebo jadrá, určené na riešenie praktických problémov pri zabezpečení antivírusovej bezpečnosti počítačových systémov. Antivírusový komplex nevyhnutne obsahuje aj nástroje na aktualizáciu antivírusových databáz.

Antivírusový komplex môže navyše obsahovať analyzátory správania a audity zmien, ktoré nepoužívajú antivírusový modul.

Rozlišujú sa nasledujúce typy antivírusových komplexov:

  • Antivírusový komplex na ochranu pracovných staníc
  • Antivírusový balík na ochranu súborových serverov
  • Antivírusový komplex na ochranu poštových systémov
  • Antivírusový komplex na ochranu brán.

Cloud Antivirus vs. tradičný antivírus pre stolné počítače: Ktorý by ste si mali vybrať?

(Na základe materiálov zo zdroja Webroot.com)

Moderný trh s antivírusovými produktmi je predovšetkým tradičnými riešeniami pre stolné systémy, v ktorých sú ochranné mechanizmy postavené na základe metód založených na podpisoch. Alternatívny spôsob antivírusová ochrana - aplikácia heuristickej analýzy.

Problémy s tradičným antivírusovým softvérom

Tradičné antivírusové technológie sú v poslednej dobe stále menej účinné a kvôli mnohým faktorom rýchlo zastarávajú. Počet vírusových hrozieb rozpoznaných podpismi je už taký veľký, že je často nerealistické zabezpečiť včasnú 100% aktualizáciu podpisových základní na používateľských počítačoch. Hackeri a kyberzločinci stále častejšie používajú botnety a ďalšie technológie na urýchlenie šírenia vírusových hrozieb nultého dňa. Pri cielených útokoch navyše nie sú generované podpisy zodpovedajúcich vírusov. Nakoniec sú proti antivírusovej detekcii použité nové technológie: šifrovanie škodlivého softvéru, vytváranie polymorfných vírusov na strane servera, predbežné testovanie kvality vírusového útoku.

Tradičná antivírusová ochrana je najčastejšie postavená na architektúre „silného klienta“. To znamená, že na klientskom počítači je nainštalované veľké množstvo kódu. Kontroluje prichádzajúce údaje a zisťuje prítomnosť vírusových hrozieb.

Tento prístup má niekoľko nevýhod. Po prvé, skenovanie škodlivého softvéru a porovnávanie podpisov si vyžaduje značné výpočtové zaťaženie, ktoré je odobraté používateľovi. V dôsledku toho klesá produktivita počítača a práca antivírusu niekedy narúša vykonávanie úloh paralelných aplikácií. Niekedy je zaťaženie používateľského systému také výrazné, že používatelia deaktivujú antivírusové programy, čím odstránia bariéru pred potenciálnym vírusovým útokom.

Za druhé, každá aktualizácia na počítači používateľa vyžaduje odoslanie tisícok nových podpisov. Množstvo prenesených dát sa obvykle pohybuje rádovo 5 MB za deň na jeden počítač. Prenos údajov spomaľuje sieť, odvádza ďalšie systémové prostriedky, vyžaduje zapojenie správcov systému do riadenia prevádzky.

Po tretie, užívatelia roamingu alebo mimo pevného pracoviska sú zraniteľní voči útokom nultého dňa. Aby získali aktualizovanú časť podpisov, musia sa pripojiť k sieti VPN, ktorá pre nich nie je vzdialene dostupná.

Antivírusová ochrana z cloudu

Pri prechode na antivírusovú ochranu z cloudu sa architektúra riešenia výrazne zmení. Na počítači používateľa je nainštalovaný „ľahký“ klient, ktorého hlavnou funkciou je vyhľadávanie nových súborov, výpočet hodnôt hash a odosielanie údajov na cloudový server. V cloude sa vykonáva rozsiahle porovnanie s rozsiahlou databázou zozbieraných podpisov. Táto databáza je neustále a včas aktualizovaná kvôli údajom prenášaným antivírusovými spoločnosťami. Klient dostane správu s výsledkami kontroly.

Cloudová architektúra antivírusovej ochrany má teda niekoľko výhod:

  • množstvo výpočtov na počítači používateľa je v porovnaní s hrubým klientom zanedbateľné, a preto sa produktivita používateľa neznižuje;
  • neexistuje žiadny katastrofický účinok antivírusovej prevádzky na šírku pásma siete: majú sa odoslať kompaktné údaje, ktoré obsahujú iba niekoľko desiatok hodnôt hash, priemerný denný objem prevádzky nepresahuje 120 kB;
  • cloudové úložisko obsahuje obrovské množiny podpisov, oveľa väčšie ako tie, ktoré sú uložené v užívateľských počítačoch;
  • Algoritmy porovnávania podpisov používané v cloude sú výrazne inteligentnejšie ako zjednodušené modely používané na úrovni miestnych staníc a kvôli vyššiemu výkonu porovnanie údajov trvá kratšie;
  • cloudové antivírusové služby pracujú so skutočnými údajmi získanými od antivírusových laboratórií, vývojárov zabezpečenia, firemných a súkromných používateľov; hrozby nultého dňa sú blokované súčasne s ich rozpoznaním bez oneskorenia spôsobeného potrebou získať prístup k počítačom používateľov;
  • užívatelia, ktorí sú v roamingu alebo ktorí nemajú prístup na svoje hlavné pracoviská, dostávajú ochranu pred útokmi nultého dňa súčasne s prístupom na internet;
  • pracovné zaťaženie správcov systému je znížené: nepotrebujú tráviť čas inštaláciou antivírusového softvéru na počítače používateľov a aktualizáciou podpisových databáz.

Prečo tradičné antivírusy zlyhávajú

Moderný škodlivý kód môže:

  • Vynechajte pasce antivírusov vytvorením špeciálneho cieľového vírusu pre spoločnosť
  • Predtým, ako antivírus vytvorí podpis, bude sa vyhýbať polymorfizmu, transkódovaniu pomocou dynamických DNS a adries URL
  • Cielená tvorba pre spoločnosť
  • Polymorfizmus
  • Kód zatiaľ nikto nepozná - žiadny podpis

Ťažko sa brániť

Vysokorýchlostné antivírusy z roku 2011

Ruské nezávislé informačné a analytické centrum Anti-Malware.ru zverejnilo v máji 2011 výsledky ďalšieho porovnávacieho testu 20 najobľúbenejších antivírusov na výkon a spotrebu systémových zdrojov.

Cieľom tohto testu je ukázať, ktoré osobné antivírusy majú najmenší vplyv na používateľa vykonávajúceho typické operácie s počítačom, menej spomaľovať jeho prácu a spotrebovávať minimálne množstvo systémových zdrojov.

Spomedzi antivírusových monitorov (skenery v reálnom čase) preukázala veľmi vysoký výkon celá skupina produktov, medzi nimi: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro a Dr.Web. S týmito antivírusmi na palube bolo spomalenie pri kopírovaní testovacej zbierky v porovnaní s referenciou menšie ako 20%. Antivírusové monitory BitDefender, PC Tools, Outpost, F-Secure, Norton a Emsisoft tiež ukázali vysoké výsledkyčo sa týka rýchlosti, v rozmedzí 30-50%. Antivírusové monitory BitDefender, PC Tools, Outpost, F-Secure, Norton a Emsisoft tiež fungovali dobre v rozmedzí 30-50%.

Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost a PC Tools v reálnych podmienkach zároveň môžu byť vďaka svojej optimalizácii následných skenov oveľa rýchlejšie.

Antivírus Avira vykazoval najlepšiu rýchlosť skenovania na požiadanie. Trochu za ním boli Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus a Outpost. Pokiaľ ide o rýchlosť prvého skenovania, tieto antivírusy sú len o málo nižšie ako vedúci, zároveň majú všetky vo svojom arzenáli výkonné technológie na optimalizáciu opakovaných skenov.

Ďalšou dôležitou charakteristikou rýchlosti antivírusu je jeho vplyv na prevádzku aplikačných programov, s ktorými používateľ často pracuje. Na test bolo vybraných päť z nich: internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe akrobatČitateľ a Adobe Photoshop... Najmenšie spomalenie ich spustenia kancelárske programy ukázal antivírus Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost a G Data.

ÚVOD

Žijeme na prelome dvoch tisícročí, keď ľudstvo vstúpilo do éry novej vedeckej a technologickej revolúcie.

Do konca dvadsiateho storočia ľudia zvládli mnohé z tajomstiev transformácie hmoty a energie a dokázali tieto znalosti využiť na zlepšenie svojho života. Ale okrem hmoty a energie hrá v ľudskom živote obrovskú úlohu aj ďalšia zložka - informácie. Ide o najrozmanitejšie informácie, správy, správy, znalosti, schopnosti.

V polovici nášho storočia sa objavili špeciálne zariadenia - počítače zamerané na ukladanie a transformáciu informácií a došlo k počítačovej revolúcii.

Dnes sa, bohužiaľ, ukázalo, že masívne používanie osobných počítačov je spojené so vznikom samoreplikujúcich sa vírusov, ktoré predchádzajú normálna práca počítač, pričom sa zničí štruktúra súborov diskov a poškodia sa informácie uložené v počítači.

Napriek zákonom o boji proti počítačovým zločinom prijatým v mnohých krajinách a vývoju špeciálnych softvérových nástrojov na ochranu pred vírusmi počet nových softvérových vírusov neustále rastie. To vyžaduje, aby používateľ osobného počítača vedel o povahe vírusov, o tom, ako sa môžu nakaziť a chrániť pred nimi. Toto bolo podnetom pre výber témy mojej práce.

Práve o tom hovorím vo svojej eseji. Ukazujem hlavné typy vírusov, zvažujem schémy ich fungovania, dôvody ich vzhľadu a spôsoby ich prieniku do počítača a tiež navrhujem opatrenia na ochranu a prevenciu.

Cieľom práce je zoznámiť užívateľa so základmi počítačovej virológie, naučiť sa detekovať vírusy a bojovať proti nim. Metóda práce je analýza tlačených publikácií na danú tému. Stál som pred ťažkou úlohou - povedať o tom, čo bolo veľmi málo študované a ako to dopadlo - je na vás, aby ste to posúdili.

1. POČÍTAČOVÉ VÍRUSY, ICH VLASTNOSTI A KLASIFIKÁCIA

1.1. Vlastnosti počítačových vírusov

Teraz aplikované osobné počítače, v ktorom má užívateľ voľný prístup ku všetkým prostriedkom zariadenia. Práve to otvorilo možnosť nebezpečenstva, ktoré sa nazýva počítačový vírus.

Čo je to počítačový vírus? Formálna definícia tohto konceptu ešte nebola vynájdená a existujú vážne pochybnosti, či ho možno vôbec poskytnúť. Početné pokusy o „modernú“ definíciu vírusu neboli úspešné. Ak chcete pochopiť zložitosť problému, skúste napríklad definovať editora. Buď prídete s niečím veľmi všeobecným, alebo začnete uvádzať zoznam všetkých známych typov editorov. Obe možno len ťažko považovať za prijateľné. Preto sa obmedzíme na zváženie niektorých vlastností počítačových vírusov, ktoré nám umožňujú hovoriť o nich ako o určitej triede programov.

V prvom rade je vírus program. Také jednoduché vyhlásenie samo o sebe môže vyvrátiť mnohé legendy o mimoriadnych schopnostiach počítačových vírusov. Vírus môže prevrátiť obrázok na vašom monitore, ale nemôže prevrátiť samotný monitor. Legendy o vražedných vírusoch „zabíjajúcich operátorov zobrazovaním smrtiaceho farebného gamutu v 25. rámci“ by sa tiež nemali brať vážne. Niektoré renomované publikácie bohužiaľ z času na čas uverejnia „najnovšie správy z počítačových frontov“, ktoré sa pri bližšom skúmaní ukážu byť výsledkom nie celkom jasného porozumenia tejto záležitosti.

Vírus je program, ktorý sa dokáže reprodukovať sám. Táto schopnosť je jediná spoločná pre všetky typy vírusov. Ale nielen vírusy sú schopné vlastnej replikácie. Akýkoľvek operačný systém a mnoho ďalších programov je schopných vytvárať vlastné kópie. Kópie vírusu sa nielenže nemusia úplne zhodovať s originálom, ale nemusia sa s ním vôbec zhodovať!

Vírus nemôže existovať v „úplnej izolácii“: dnes si nemožno predstaviť vírus, ktorý nepoužíva kód iných programov, informácie o štruktúre súborov alebo dokonca iba názvy iných programov. Dôvod je jasný: vírus musí nejakým spôsobom zabezpečiť prenos kontroly na seba.

1.2. Klasifikácia vírusov

V súčasnosti je známych viac ako 5 000 softvérových vírusov, ktoré je možné klasifikovať podľa nasledujúcich kritérií:

At biotop

¨ spôsob kontaminácie biotopu

vystavenie

¨ vlastnosti algoritmu

V závislosti od biotopu možno vírusy rozdeliť na sieťové, súborové, zavádzacie a zavádzacie. Sieťové vírusy distribuované rôznym počítačové siete. Vírusy súborov sú vložené hlavne do spustiteľných modulov, to znamená do súborov s príponami COM a EXE. Vírusy súborov môžu byť vložené do iných typov súborov, ale spravidla do týchto súborov zapísané nikdy nezískajú kontrolu, a preto stratia schopnosť reprodukovať. Spúšťajte vírusy sú vložené do zavádzacieho sektora disku (bootovací sektor) alebo do sektora obsahujúceho zavádzací program systémový disk(Master Boot Re-

šnúra). Zavádzanie súborov vírusy infikujú súbory aj zavádzacie sektory diskov.

Podľa spôsobu infekcie sa vírusy delia na rezidentné a nerezidentské. Vírus rezidentný v pamäti Keď je počítač infikovaný (infikovaný), opustí svoju rezidentnú časť v pamäti RAM, ktorá potom zachytí prístup operačného systému k objektom infekcie (súbory, zavádzacie sektory diskov atď.) A je v nich vložený. Rezidentné vírusy sa nachádzajú v pamäti a zostanú aktívne, kým sa počítač nevypne alebo nereštartuje. Vírusy bez pamäte neinfikujte pamäť počítača a sú aktívne len obmedzený čas.

Podľa stupňa expozície možno vírusy rozdeliť na nasledujúce typy:

¨ nie je nebezpečný ktoré nezasahujú do činnosti počítača, ale znižujú množstvo voľnej pamäte RAM a pamäte na diskoch, akcie takýchto vírusov sa prejavujú akýmikoľvek grafickými alebo zvukovými efektmi

¨ nebezpečné vírusy, ktoré môžu viesť k rôznym narušeniam činnosti počítača

¨ veľmi nebezpečné, ktorých vplyv môže viesť k strate programov, zničeniu údajov, vymazaniu informácií v systémových oblastiach disku.

2. HLAVNÉ TYPY VÍRUSOV A SCHÉMY ICH FUNKCIE

Medzi celou škálou vírusov možno rozlíšiť tieto hlavné skupiny:

Able bootovateľné

¨ súbor

¨ zavedenie súboru

Teraz podrobnejšie o každej z týchto skupín.

2.1. Spúšťajte vírusy

Uvažujme o fungovaní veľmi jednoduchého zavádzacieho vírusu, ktorý nakazí diskety. Zámerne obídeme všetky početné jemnosti, s ktorými sa pri dôslednej analýze algoritmu jeho fungovania nevyhnutne stretneme.

Čo sa stane, keď zapnete počítač? V prvom rade sa prenáša kontrola program bootstrap ktorý je uložený v pamäti iba na čítanie (ROM), t.j. PNZ ROM.

Tento program testuje hardvér a ak sú kontroly úspešné, pokúsi sa nájsť disketu na jednotke A:

Každá disketa je označená tzv. sektorov a tratí. Sektory sú zlúčené do klastrov, ale to je pre nás nepodstatné.

Medzi sektormi existuje niekoľko sektorov služieb, ktoré operačný systém používa pre svoje vlastné potreby (tieto sektory nedokážu spracovať vaše údaje). Medzi sektormi služieb nás stále zaujíma jeden - tzv. boot sektor(boot-sektor).

Zavádzací sektor ukladá informácie o diskete- počet povrchov, počet stôp, počet sektorov atď. Teraz nás však tieto informácie nezaujímajú, ale malé bootstrap program(PNZ), ktorý musí načítať samotný operačný systém a preniesť doň riadenie.

Bežná schéma bootstrapu je teda nasledovná:

PNZ (ROM) - PNZ (disk) - SYSTÉM

Teraz sa pozrime na vírus. Pri boot vírusoch sa rozlišujú dve časti - tzv. hlava atď. chvost... Chvost, všeobecne povedané, môže byť prázdny.

Predpokladajme, že máte prázdnu disketu a infikovaný počítač, čo znamená počítač s aktívnym rezidentným vírusom. Hneď ako tento vírus zistí, že sa na disku objavila vhodná obeť - v našom prípade nepopísaná a ešte nenakazená disketa, pokračuje v infikovaní. Vírus, ktorý nakazí disketu, vykoná nasledujúce akcie:

Prideľuje určitú oblasť disku a označuje ju ako neprístupnú pre operačný systém, dá sa to rôznymi spôsobmi, v najjednoduchšom a tradičnom prípade sú sektory obsadené vírusom označené ako zlé.

Skopíruje jeho chvost a pôvodný (zdravý) boot sektor do vybranej oblasti disku

Antivírusové programy sú rozdelené na čisté antivírusy a antivírusy s dvojakým použitím.

Obr. Schéma klasifikácie antivírusov

Čisté antivírusy sa vyznačujú prítomnosťou antivírusového motora, ktorý plní funkciu skenovania vzoriek. V tomto prípade platí zásada, že liečba je možná, ak je vírus známy. Čisté antivírusy sú zase rozdelené do dvoch kategórií podľa typu prístupu k súborom: kontrola pri prístupe alebo kontrola na požiadanie. Produkty pre prístup sa zvyčajne nazývajú monitory a výrobky na požiadanie sa nazývajú skenery.

Produkt na požiadanie funguje podľa nasledujúcej schémy: používateľ chce niečo skontrolovať a vydá požiadavku (dopyt), po ktorej sa kontrola vykoná. Produkt on access je rezidentný program, ktorý monitoruje prístup a kontroluje ho v čase prístupu.

Antivírusové programy, podobne ako vírusy, možno navyše rozdeliť v závislosti od platformy, na ktorej je antivírus spustený. V tomto zmysle platformy spolu s Windows alebo Linux zahŕňajú Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Dvojúčelové programy sú programy používané v antivírusovom aj antivírusovom softvéri. Napríklad CRC -checker - kontrolór zmien založený na kontrolnom súčte - sa dá použiť nielen na chytanie vírusov. Blokátory správania sú rôzne programy s dvojakým použitím, ktoré analyzujú správanie iných programov a zablokujú ich, keď sa zistia podozrivé akcie. Behaviorálne blokátory sa líšia od klasického antivírusu s antivírusovým jadrom, ktoré rozpoznáva a lieči vírusy, ktoré boli analyzované v laboratóriu a pre ktoré bol predpísaný liečebný algoritmus, v tom, že nevedia vyliečiť vírusy, pretože o ničom nevedia ich. Táto vlastnosť blokátorov im umožňuje pracovať s akýmikoľvek vírusmi, vrátane neznámych. To je dnes obzvlášť dôležité, pretože distribútori vírusov a antivírusov používajú rovnaké kanály prenosu údajov, tj internet. Antivírusová spoločnosť zároveň vždy potrebuje čas na získanie samotného vírusu, jeho analýzu a napísanie príslušných modulov na liečbu. Programy zo skupiny dvojakého použitia vám umožňujú zablokovať šírenie vírusu, kým spoločnosť nenapíše modul ošetrenia.

Antivirusový softvér

Na detekciu, odstránenie a ochranu pred počítačovými vírusmi bolo vyvinutých niekoľko typov špeciálnych programov, ktoré vám umožňujú detegovať a ničiť vírusy. Takéto programy sa nazývajú antivírusové programy. Existujú nasledujúce typy antivírusových programov:

Detekčné programy

· Programy-lekári alebo fágy

Audítorské programy

Filtračné programy

· Vakcinačné programy alebo imunizátory.

Detekčné programy vyhľadávajú v RAM a v súboroch charakteristiku podpisu konkrétneho vírusu a v prípade zistenia vydajú zodpovedajúcu správu. Nevýhodou takýchto antivírusových programov je, že môžu nájsť iba vírusy, ktoré sú známe vývojárom takýchto programov.

Programy-lekári alebo fágy, ako aj programy-vakcíny nielen nájdu súbory napadnuté vírusmi, ale ich aj „vyliečia“, t.j. odstráňte telo vírusového programu zo súboru a vráťte súbory do pôvodného stavu. Na začiatku svojej práce fágy hľadajú vírusy v pamäti RAM, ničia ich a až potom pokračujú v „liečení“ súborov. Medzi fágmi sa rozlišujú polyfágy, t.j. Doktorské programy určené na vyhľadávanie a ničenie veľkého počtu vírusov. Najslávnejšie z nich: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Vzhľadom na to, že sa neustále objavujú nové vírusy, detektorové programy a doktorské programy rýchlo zastarávajú a vyžadujú sa pravidelné aktualizácie verzií.

Audítorské programy patria medzi najspoľahlivejšie prostriedky ochrany pred vírusmi. Audítori si pamätajú počiatočný stav programov, adresárov a systémových oblastí disku, keď počítač nie je infikovaný vírusom, a potom pravidelne alebo na žiadosť používateľa porovnávajú aktuálny stav s pôvodným. Zistené zmeny sa zobrazia na obrazovke monitora. Štáty sa spravidla porovnávajú bezprostredne po načítaní operačného systému. Pri porovnávaní sa kontroluje dĺžka súboru, cyklický riadiaci kód (kontrolný súčet súboru), dátum a čas zmeny a ďalšie parametre. Programy pre audítorov majú pomerne pokročilé algoritmy, detekujú nenápadné vírusy a môžu dokonca vyčistiť zmeny vo verzii programu, ktorý sa má skenovať, od zmien zavedených vírusom. Program Adinf, ktorý je v Rusku široko používaný, je jedným z programov audítorov.

Filtre alebo „strážne psy“ sú malé rezidentné programy určené na detekciu podozrivých akcií, ktoré sú typické pre vírusy počas prevádzky počítača. Takéto akcie môžu byť:

Pokusy o opravu súborov s príponami COM, EXE

Zmena atribútov súboru

Priamy zápis na disk na absolútnej adrese

Zápis do zavádzacích sektorov disku

Keď sa akýkoľvek program pokúsi vykonať uvedené akcie, „strážca“ pošle používateľovi správu a ponúkne mu príslušnú akciu zakázať alebo povoliť. Filtre sú užitočné, pretože dokážu odhaliť vírus v najskoršom štádiu jeho existencie, skôr ako sa premnoží. „Nevyliečia“ však súbory a disky. Na zničenie vírusov musíte použiť iné programy, napríklad fágy.

Očkovacie látky alebo imunizátory sú programy TSR, ktoré zabraňujú infekcii súborov. Očkovacie látky sa používajú, ak neexistujú žiadne lekárske programy, ktoré by „liečili“ tento vírus. Očkovanie je možné iba proti známym vírusom. Vakcína upraví program alebo disk takým spôsobom, že neovplyvní ich prácu a vírus ich bude vnímať ako infikovaných, a preto nebude zavedený. Očkovacie programy majú v súčasnosti obmedzené využitie.

Včasná detekcia súborov a diskov infikovaných vírusom, úplná eliminácia zistených vírusov na každom počítači pomôže zabrániť šíreniu vírusu do iných počítačov.

Antivírusový softvér je hlavnou zbraňou v boji proti vírusom. Umožňujú nielen detekovať vírusy, vrátane vírusov, ktoré používajú rôzne metódy skrývania, ale tiež ich odstrániť z počítača. Posledná operácia môže byť dosť komplikovaná a môže trvať nejaký čas.