Antivirüs programları. Virüs sınıflandırması

En popüler ve etkili antivirüs programları, antivirüs tarayıcıları (dedektörler), CRC tarayıcıları (denetçiler). Ayrıca antivirüs engelleyiciler ve bağışıklayıcılar da vardır.

tarayıcılar... Virüsten koruma tarayıcılarının çalışma prensibi, dosyaların, sektörlerin ve Sistem belleği ve bunlarda bilinen ve yeni (tarayıcı tarafından bilinmeyen) virüsleri arayın. Sözde "maskeler" bilinen virüsleri aramak için kullanılır. Bir virüs maskesi, söz konusu virüse özgü sabit bir kod dizisidir. Virüs kalıcı bir maske içermiyorsa veya bu maskenin uzunluğu yeterince uzun değilse başka yöntemlere başvurulur. Böyle bir yöntemin bir örneği, bu tür bir virüs bulaştığında karşılaşılabilecek tüm olası kod türevlerini tanımlayan algoritmik bir dildir. Bu yaklaşım, bazı antivirüsler tarafından polimorfik virüsleri tespit etmek için kullanılır.

Birçok tarayıcı aynı zamanda "sezgisel tarama" algoritmaları kullanır, yani taranan nesnedeki komut dizisinin analizi, bazı istatistikler toplanır ve taranan her nesne için bir karar verilir. Sezgisel tarama, büyük ölçüde virüsleri aramak için olasılıksal bir yöntem olduğundan, buna birçok olasılık teorisi kanunu uygulanır. Örneğin, tespit edilen virüslerin yüzdesi ne kadar yüksek olursa, yanlış pozitiflerin sayısı da o kadar fazla olur.

Tarayıcılar ayrıca iki kategoriye ayrılabilir - "genel amaçlı" ve "uzman". Evrensel tarayıcılar, ne olursa olsun her türlü virüsü aramak ve etkisiz hale getirmek için tasarlanmıştır. işletim sistemi tarayıcı için tasarlanmıştır. Özel tarayıcılar, sınırlı sayıda virüsü veya yalnızca bir sınıfını, örneğin makro virüsleri etkisiz hale getirmek için tasarlanmıştır.

Tarayıcılar ayrıca, "anında" tarama yapan "yerleşik" (monitörler) ve yalnızca talep üzerine sistem taraması sağlayan "yerleşik olmayan" olarak ikiye ayrılır. Kural olarak, "bellekte yerleşik" tarayıcılar, bir virüsün görünümüne anında tepki verdikleri için daha güvenilir sistem koruması sağlarken, "bellekte yerleşik olmayan" bir tarayıcı, bir virüsü yalnızca bir sonraki başlatma sırasında tanıyabilir.

Tüm tarayıcı türlerinin avantajları çok yönlülüklerini içerir, dezavantajları ise tarayıcıların depolaması ve yenilemesi gereken virüsten koruma veritabanlarının boyutu ve virüslere karşı nispeten düşük tarama hızıdır.

CRC tarayıcılar... CRC tarayıcılarının çalışma prensibi, diskte bulunan dosyalar / sistem sektörleri için CRC toplamlarının (sağlama toplamları) hesaplanmasına dayanır. Bu CRC-toplamları daha sonra anti-virüs veritabanına ve diğer bazı bilgilere kaydedilir: dosya uzunlukları, son değişiklik tarihleri, vb. Bir sonraki başlatmada, CRC tarayıcıları veritabanında bulunan verileri gerçek hesaplanan değerler... Veritabanına kaydedilen bir dosya hakkındaki bilgiler gerçek değerlerle eşleşmiyorsa, CRC tarayıcıları dosyanın değiştirildiğini veya bir virüs bulaştığını bildirir.

Gizliliğe karşı algoritmalar kullanan CRC tarayıcıları, bilgisayarda değişiklikler göründüğü anda virüslerin neredeyse %100'üne tepki verir. Bu antivirüslerin karakteristik bir dezavantajı, bir virüsün ortaya çıktığı andan ve bilgisayarda değişiklikler yapılana kadar tespit edilememesidir. CRC tarayıcıları yeni dosyalarda ( e-posta, disketlerde, kurtarılabilir dosyalarda veya bir arşivden dosyaları açarken), veritabanları bu dosyalar hakkında bilgi içermediğinden.

dedektör programları belirli bir virüsün imza özelliğini arayın rasgele erişim belleği ve dosyalarda ve tespit edildiğinde ilgili bir mesaj yayınlarlar. Böyle bir dezavantaj antivirüs yazılımı sadece bu tür programların geliştiricileri tarafından bilinen virüsleri bulabilmeleridir.

Engelleyiciler... Virüsten koruma engelleyicileri, "virüse açık" durumları engelleyen ve kullanıcıyı bu konuda bilgilendiren bellekte yerleşik programlardır. Yürütülebilir dosyalara yazmak, diskin önyükleme sektörüne yazmak vb. için açma çağrıları, virüslerin çoğalma sırasında tipik olan çağrıları, "virüs açısından tehlikeli" çağrılar olarak adlandırılır.

Engelleyicilerin avantajları, bir virüsü üremesinin en erken aşamasında tespit etme ve bloke etme yeteneklerini içerir; bu arada, iyi bilinen bir virüsün sürekli olarak etkinleştirildiği durumlarda çok faydalıdır.

bağışıklayıcılar... Bağışıklayıcılar iki türe ayrılır: enfeksiyon bildiren bağışıklayıcılar ve herhangi bir virüs türüyle enfeksiyonu engelleyen bağışıklayıcılar.

Doktor programları veya fajlar, ve aşı programları sadece virüs bulaşmış dosyaları bulmakla kalmaz, aynı zamanda onları "iyileştirir", yani. virüs programının gövdesini dosyadan kaldırın, dosyaları ilk durum... Fajlar, çalışmalarının başında RAM'de virüs arar, onları yok eder ve ancak bundan sonra dosyaları "tedavi etmeye" devam eder. Fajlar arasında polifajlar ayırt edilir, yani. Çok sayıda virüsü aramak ve yok etmek için tasarlanmış doktor programları. Bunların en ünlüsü: Aidstest, Scan, Norton virüs koruyucu, Doktor Web.

Sürekli yeni virüslerin ortaya çıktığı düşünülürse dedektör programları ve doktor programları hızla eskimekte ve zorunlu hale gelmektedir. düzenli güncelleme sürümler.

Denetçi programları virüslere karşı en güvenilir koruma araçları arasındadır. Denetçiler, bilgisayara virüs bulaşmadığında diskin programlarının, dizinlerinin ve sistem alanlarının ilk durumunu hatırlar ve ardından periyodik olarak veya kullanıcının isteği üzerine mevcut durumu ilk durumla karşılaştırır. Algılanan değişiklikler monitör ekranında görüntülenir. Kural olarak, işletim sistemi yüklendikten hemen sonra durumlar karşılaştırılır. Karşılaştırılırken dosya uzunluğu, döngüsel kontrol kodu (dosya sağlama toplamı), değişiklik tarihi ve saati ve diğer parametreler kontrol edilir. Denetçi programları oldukça gelişmiş algoritmalara sahiptir, gizli virüsleri algılar ve hatta taranan programın sürümündeki değişiklikleri virüsün getirdiği değişikliklerden temizleyebilir. Rusya'da yaygın olarak kullanılan Adinf programı denetçi programlarından biridir.

Filtreler veya "bekçi" bilgisayar çalışması sırasında tipik virüsler olan şüpheli eylemleri algılamak için tasarlanmış küçük yerleşik programlardır. Bu tür eylemler şunlar olabilir:

COM, EXE uzantılı dosyaları düzeltme girişimleri

Dosya özniteliklerini değiştirme

Mutlak adreste diske doğrudan yazma

· giriş önyükleme sektörleri disk

Herhangi bir program belirtilen eylemleri gerçekleştirmeye çalıştığında, "bekçi" kullanıcıya bir mesaj gönderir ve ilgili eylemi yasaklamayı veya izin vermeyi teklif eder. Filtreler çok kullanışlıdır çünkü bir virüsü çoğalmadan önce varlığının çok erken bir aşamasında tespit edebilirler. Ancak, dosyaları ve diskleri "düzeltmezler". Virüsleri yok etmek için fajlar gibi diğer programları kullanmanız gerekir. Bekçi programlarının dezavantajları arasında "müdahaleciliği" (örneğin, yürütülebilir bir dosyayı kopyalamaya yönelik herhangi bir girişim hakkında sürekli bir uyarı yayınlarlar) ve diğer yazılımlarla olası çakışmalar bulunur. Filtre programına bir örnek, MS Windows yardımcı program paketinde bulunan Vsafe programıdır.

Aşılar veya bağışıklayıcılar dosya enfeksiyonlarını önleyen TSR programlarıdır. Bu virüsü "tedavi eden" bir doktor programı yoksa aşılar kullanılır. Aşılama sadece bilinen virüslere karşı mümkündür. Aşı, programı veya diski, çalışmalarını etkilemeyecek şekilde değiştirir ve virüs onları enfekte olarak algılar ve bu nedenle devreye girmez. Aşı programları şu anda sınırlı kullanımdadır.

Virüs bulaşmış dosya ve disklerin zamanında tespiti, her bilgisayarda tespit edilen virüslerin tamamen ortadan kaldırılması, virüs salgınının diğer bilgisayarlara yayılmasını önlemeye yardımcı olur.

tarayıcılar (diğer isimler: fajlar, polifajlar)

Virüsten koruma tarayıcılarının çalışma prensibi, dosyaları, sektörleri ve sistem belleğini taramaya ve bunlarda bilinen ve yeni (tarayıcı tarafından bilinmeyen) virüsleri aramaya dayanır. Sözde "maskeler" bilinen virüsleri aramak için kullanılır. Bir virüs maskesi, söz konusu virüse özgü sabit bir kod dizisidir. Virüs kalıcı bir maske içermiyorsa veya bu maskenin uzunluğu yeterince uzun değilse başka yöntemlere başvurulur. Böyle bir yöntemin bir örneği, bu tür bir virüs bulaştığında karşılaşılabilecek tüm olası kod türevlerini tanımlayan algoritmik bir dildir. Bu yaklaşım, bazı antivirüsler tarafından polimorfik virüsleri tespit etmek için kullanılır.

Birçok tarayıcı "sezgisel tarama" algoritmaları da kullanır. kontrol edilen nesnedeki komut dizisini analiz etmek, bazı istatistikleri toplamak ve kontrol edilen her nesne için bir karar vermek.

Tarayıcılar ayrıca iki kategoriye ayrılabilir - "genel amaçlı" ve "uzmanlaşmış". Evrensel tarayıcılar, tarayıcının çalışmak üzere tasarlandığı işletim sisteminden bağımsız olarak her türlü virüsü aramak ve etkisiz hale getirmek için tasarlanmıştır. Özel tarayıcılar, sınırlı sayıda virüsü veya yalnızca bir sınıfını, örneğin makro virüsleri etkisiz hale getirmek için tasarlanmıştır.

Tarayıcılar ayrıca, taramaları "anında" gerçekleştiren "yerleşik" (monitörler) ve yalnızca talep üzerine sistem taraması sağlayan "yerleşik olmayan" olarak ikiye ayrılır. Kural olarak, "bellekte yerleşik" tarayıcılar, bir virüs görünümüne anında tepki verdikleri için daha güvenilir sistem koruması sağlarken, "bellekte yerleşik olmayan" bir tarayıcı, bir virüsü yalnızca bir sonraki başlatma sırasında tanıyabilir.

CRC tarayıcılar

CRC tarayıcılarının çalışma prensibi, diskte bulunan dosyalar / sistem sektörleri için CRC toplamlarının (sağlama toplamları) hesaplanmasına dayanır. Bu CRC-toplamları daha sonra virüsten koruma veritabanına ve diğer bazı bilgilere kaydedilir: dosya uzunlukları, son değişiklik tarihleri ​​vb. Bir sonraki başlatmada, CRC tarayıcıları veritabanında bulunan verileri gerçek hesaplanmış değerlerle kontrol eder. Veritabanına kaydedilen bir dosya hakkındaki bilgiler gerçek değerlerle eşleşmiyorsa, CRC tarayıcıları dosyanın değiştirildiğini veya bir virüs bulaştığını bildirir.

CRC tarayıcıları bir virüsü sistemde göründüğü anda yakalayamazlar, ancak bunu ancak bir süre sonra, virüs bilgisayara yayıldıktan sonra yaparlar. CRC tarayıcıları yeni dosyalarda (e-postada, disketlerde, bir yedekten geri yüklenen dosyalarda veya bir arşivden dosyaları açarken) bir virüsü tespit edemezler çünkü veritabanlarında bu dosyalar hakkında bilgi yoktur. Ayrıca, periyodik olarak, CRC tarayıcılarının bu "zayıflığını" kullanan virüsler vardır, sadece tekrar enfekte olurlar. oluşturulan dosyalar ve böylece onlar için görünmez kalır.

Engelleyiciler

Virüsten koruma engelleyicileri, "virüs açısından tehlikeli" durumları engelleyen ve kullanıcıyı bu konuda bilgilendiren bellekte yerleşik programlardır. Virüs tehdidi çağrıları, yürütülebilir dosyalara yazmak, disklerin önyükleme sektörlerine veya bir sabit sürücünün MBR'sine yazmak için açma çağrılarını, programların yerleşik kalma girişimlerini vb., yani çoğaltma zamanlarında virüsler için tipik olan çağrıları içerir. .

Engelleyicilerin avantajları, bir virüsü üremesinin en erken aşamasında tespit etme ve durdurma yeteneklerini içerir. Dezavantajlar, engelleyicilerin korumasını atlamanın yollarının varlığını ve çok sayıda yanlış pozitifliği içerir.

bağışıklayıcılar

Bağışıklayıcılar iki türe ayrılır: enfeksiyon bildiren bağışıklayıcılar ve enfeksiyonu engelleyen bağışıklayıcılar. İlki genellikle dosyaların sonuna yazılır (bir dosya virüsü gibi) ve dosya her çalıştırıldığında değişiklik olup olmadığı kontrol edilir. Bu tür bağışıklayıcıların tek bir dezavantajı vardır, ancak öldürücüdür: gizli virüs ile enfeksiyonun bildirilmemesi. Bu nedenle, bu tür bağışıklayıcılar ve ayrıca blokerler, şu anda pratik olarak kullanılmamaktadır.

İkinci tip bağışıklama, sistemi belirli bir virüs türü tarafından enfekte olmaktan korur. Disklerdeki dosyalar, virüs onları zaten bulaşmış gibi alacak şekilde değiştirilir. Yerleşik bir virüse karşı korunmak için, bilgisayarın belleğine virüsün bir kopyasını taklit eden bir program girilir. Başlatıldığında, virüs ona rastlar ve sisteme zaten bulaşmış olduğuna inanır.

Dosyalar bilinen tüm virüslere karşı aşılanamadığından, bu tür bağışıklama evrensel olamaz.

^ Antivirüslerin zaman içindeki değişkenliklerine göre sınıflandırılması

Valery Konyavsky'ye göre , anti-virüs araçları iki büyük gruba ayrılabilir - verileri analiz etme ve süreçleri analiz etme.

^ Veri analizi

Veri analizi "denetçiler" ve "polifajları" içerir. "Denetçiler" faaliyetlerin sonuçlarını analiz eder bilgisayar virüsleri ve diğerleri kötü amaçlı yazılım... Sonuçlar, değiştirilmemesi gereken veri değişikliklerinde kendini gösterir. "Denetçi" açısından kötü niyetli programların faaliyetinin bir işareti olan verilerin değişmesi gerçeğidir. Başka bir deyişle, "denetçiler" verilerin bütünlüğünü kontrol eder ve bütünlüğün ihlali durumunda bilgisayar ortamında kötü amaçlı programların varlığına karar verir.

"Polifajlar" farklı davranır. Veri analizi temelinde, kötü amaçlı kod parçalarını (örneğin imzasıyla) izole ederler ve bu temelde kötü amaçlı programların varlığı hakkında bir sonuca varırlar. Virüs bulaşmış verileri kaldırmak veya "tedavi etmek", kötü amaçlı programların yürütülmesinin olumsuz sonuçlarını önlemeye yardımcı olur. Böylece "statikte" analize dayalı olarak "dinamikte" ortaya çıkan sonuçların önüne geçilmiş olur.

Hem "denetçilerin" hem de "polifajların" çalışma şeması pratik olarak aynıdır - verileri (veya sağlama toplamlarını) bir veya birkaç referans numuneyle karşılaştırmak. Veriler, verilerle karşılaştırılır. Bu nedenle, bilgisayarınızda bir virüs bulmak için, etkinliğinin sonuçlarının ortaya çıkması için "çalışması" gerekir. Bu yöntem, yalnızca kod parçaları veya imzaları daha önce tanımlanmış olan bilinen virüsleri bulabilir. Böyle bir korumanın güvenilir olarak adlandırılması olası değildir.


^ Süreç analizi

Süreç analizine dayalı virüsten koruma araçları biraz farklı bir şekilde çalışır. "Sezgisel çözümleyiciler", yukarıda açıklananlar gibi verileri analiz eder (diskte, kanalda, bellekte vb.). Temel fark analizin, analiz edilen kodun veri olmadığı, komutlar olduğu varsayımı altında gerçekleştirilmesi gerçeğinden oluşur (von Neumann mimarisine sahip bilgisayarlarda, veriler ve komutlar ayırt edilemez, bu bağlamda, analiz sırasında bir veya başka bir varsayım vardır). ileri sürülecek.)

"Sezgisel çözümleyici" bir işlem dizisini tanımlar, her birine belirli bir "tehlike" atar ve "tehlike"nin toplamına dayanarak bu işlem dizisinin kötü amaçlı bir kodun parçası olup olmadığına karar verir. Kodun kendisi yürütülmez.

Başka bir süreç tabanlı antivirüs türü de "davranışsal engelleyicilerdir". Bu durumda, şüpheli kod, kod tarafından başlatılan eylemler dizisi "tehlikeli" (veya "güvenli") davranış olarak değerlendirilinceye kadar aşamalı olarak yürütülür. Bu durumda, kötü amaçlı kodun tamamlanması daha fazla tespit edilebildiğinden, kod kısmen yürütülür. basit yöntemler veri analizi.

Virüs algılama teknolojileri

Antivirüs yazılımlarında kullanılan teknolojiler iki gruba ayrılabilir:


  • İmza analiz teknolojileri

  • Olasılıksal Analiz Teknolojileri

İmza analiz teknolojileri

İmza analizi, dosyalardaki virüs imzalarını kontrol eden bir virüs algılama yöntemidir. İmza analizi, virüsleri tespit etmek için en iyi bilinen yöntemdir ve neredeyse tüm modern antivirüslerde kullanılır. Bir tarama yapmak için, virüsten koruma yazılımının, virüsten koruma veritabanında depolanan bir dizi virüs imzasına ihtiyacı vardır.

İmza analizi, dosyaları virüs imzaları için taramayı içerdiğinden, virüsten koruma yazılımını güncel tutmak için virüsten koruma veritabanının periyodik olarak güncellenmesi gerekir. İmza analizinin çalışma prensibi aynı zamanda işlevselliğinin sınırlarını da tanımlar - sadece bilinen virüsleri tespit etme yeteneği - bir imza tarayıcı yeni virüslere karşı güçsüzdür.

Öte yandan, virüs imzalarının varlığı, imza analizi kullanılarak tespit edilen virüslü dosyaları iyileştirme yeteneği anlamına gelir. Ancak, tüm virüsler tedavi edilemez - Truva atları ve çoğu solucan, hasar vermek üzere tasarlanmış entegre modüller olduklarından tasarım özellikleri nedeniyle iyileştirilemez.

Virüs imzasının yetkin bir şekilde uygulanması, bilinen virüsleri yüzde yüz olasılıkla tespit etmenizi sağlar.

Olasılıksal Analiz Teknolojileri

Olasılıksal analiz teknolojileri sırayla üç kategoriye ayrılır:

  • sezgisel analiz

  • Davranış Analizi

  • sağlama toplamı analizi

sezgisel analiz

Sezgisel analiz, sonucu şüpheli nesnelerin tanımlanması olan olasılıksal algoritmalara dayanan bir teknolojidir. Sezgisel analiz sürecinde dosyanın yapısı ve virüs kalıplarına uygunluğu kontrol edilir. En popüler buluşsal teknoloji, bir dosyanın içeriğini zaten bilinen virüs imzalarında ve bunların kombinasyonlarında değişiklik olup olmadığını kontrol etmektir. Bu, önceden bilinen virüslerin hibritlerini ve yeni sürümlerini tanımlamaya yardımcı olur. ek güncelleme anti-virüs veritabanı.

Sezgisel analiz, bilinmeyen virüsleri tespit etmek için kullanılır ve sonuç olarak bir tedavi içermez. Bu teknoloji, bir virüsün önünde olup olmadığını %100 belirleme yeteneğine sahip değildir ve herhangi bir olasılık algoritması gibi, yanlış pozitiflerden muzdariptir.

^ Davranış Analizi

Davranış analizi, gerçekleştirdiği işlemlerin analizine dayanarak, kontrol edilen nesnenin doğası hakkında bir kararın verildiği bir teknolojidir. Davranış analizi, virüslere özgü eylemlerin çoğu gerçekleştirilebildiğinden ve pratikte çok dar bir şekilde uygulanabilir. geleneksel uygulamalar... En ünlüsü, ilgili virüsler neredeyse her zaman bir dizi benzer eylem gerçekleştirdiğinden, komut dosyalarının ve makroların davranışsal analizörleridir.

BIOS'ta yerleşik korumalar, davranışsal analizörler olarak da sınıflandırılabilir. Bir bilgisayarın MBR'sinde değişiklik yapılmaya çalışıldığında, çözümleyici eylemi engeller ve kullanıcıya karşılık gelen bir bildirim görüntüler.

Ek olarak, davranışsal analizciler dosyalara doğrudan erişme girişimlerini izleyebilir, dosyalar üzerinde değişiklik yapabilir. önyükleme kaydı disketler, biçimlendirme sabit sürücüler vesaire.

Davranış çözümleyicileri, çalışmak için virüs veritabanları gibi ek nesneler kullanmazlar ve sonuç olarak, bilinen ve bilinmeyen virüsleri ayırt edemezler - tüm şüpheli programlar, önceden bilinmeyen virüsler olarak kabul edilir. Benzer şekilde, davranışsal analiz teknolojilerini uygulayan araçların davranışı, tedaviyi içermez.

^ sağlama toplamı analizi

Sağlama toplamı analizi, bir bilgisayar sistemindeki nesnelerdeki değişiklikleri izlemenin bir yoludur. Değişikliklerin doğasının analizine dayanarak - eşzamanlılık, kitlesellik, dosya uzunluklarındaki özdeş değişiklikler - sistemin virüslü olduğu sonucuna varabiliriz. Sağlama toplamı analizörleri ("değişim denetçileri" olarak da adlandırılır), davranış analizörleri gibi, çalışmalarında ek nesneler kullanmazlar ve yalnızca uzman kararı yöntemiyle sistemde bir virüsün varlığına ilişkin bir karar verirler. Erişimde tarayıcılarda benzer teknolojiler kullanılır - ilk kontrol sırasında, sağlama toplamı dosyadan çıkarılır ve önbelleğe yerleştirilir, aynı dosyanın bir sonraki kontrolünden önce toplam tekrar kaldırılır, karşılaştırılır ve herhangi bir değişiklik olmazsa , dosya etkilenmemiş olarak kabul edilir.

^ Antivirüs kompleksleri

Antivirüs kompleksi - antivirüs güvenliğini sağlamada pratik sorunları çözmek için tasarlanmış aynı antivirüs çekirdeğini veya çekirdeklerini kullanan bir dizi antivirüs bilgisayar sistemleri... Anti-virüs kompleksi ayrıca mutlaka anti-virüs veritabanlarını güncellemek için araçlar içerir.

Ayrıca, virüsten koruma paketi ayrıca davranış çözümleyicileri ve virüsten koruma motorunu kullanmayan değişim denetçilerini içerebilir.

Aşağıdaki antivirüs kompleksleri türleri ayırt edilir:

  • İş istasyonlarını korumak için antivirüs kompleksi

  • Dosya sunucularını korumak için antivirüs kompleksi

  • Posta sistemlerini korumak için antivirüs kompleksi

  • Ağ geçitlerinin korunması için anti-virüs kompleksi.

Antivirüs koruması, kurumsal sektörde BT altyapısının bilgi güvenliğini sağlamak için en yaygın önlemdir. Ancak Kaspersky Lab tarafından analitik şirket B2B International ile birlikte yürütülen bir araştırmaya göre, Rus şirketlerinin yalnızca %74'ü koruma için anti-virüs çözümleri kullanıyor (sonbahar 2013).

Raporda ayrıca, şirketlerin basit antivirüsler tarafından korunduğu siber tehditlerin hızla artmasının ortasında, Rus işletmelerinin giderek daha fazla karmaşık koruma araçları kullandığı belirtiliyor. Büyük ölçüde bu nedenle, çıkarılabilir ortamlarda veri şifreleme araçlarının kullanımı %7 (%24) arttı. Ayrıca şirketler, çıkarılabilir cihazlar için güvenlik politikaları belirleme konusunda daha istekli hale geldi. BT altyapısının çeşitli bölümlerine erişim düzeyinin farklılaşması da arttı (%49). Aynı zamanda küçük ve orta ölçekli şirketler, çıkarılabilir cihazların kontrolüne (%35) ve uygulamaların kontrolüne (%31) daha fazla önem veriyor.

Araştırmacılar ayrıca, yazılımdaki yeni güvenlik açıklarının sürekli olarak keşfedilmesine rağmen, Rus şirketlerinin düzenli yazılım güncellemelerine hala yeterince dikkat etmediğini buldu. Dahası, yamaları dağıtan kuruluşların sayısı geçen yıla göre sadece %59'a düştü.

Modern antivirüs programları, program ve belge dosyaları içindeki kötü amaçlı nesneleri verimli bir şekilde tespit etme yeteneğine sahiptir. Bazı durumlarda antivirüs, dosyayı geri yükleyerek kötü amaçlı nesnenin gövdesini virüslü dosyadan silebilir. Çoğu durumda, virüsten koruma, kötü amaçlı bir program nesnesini yalnızca bir program dosyasından değil, aynı zamanda bütünlüğünü ihlal etmeden bir ofis belge dosyasından da kaldırabilir. Anti-virüs programlarının kullanımı yüksek nitelikler gerektirmez ve hemen hemen her bilgisayar kullanıcısı tarafından kullanılabilir.

Çoğu antivirüs programı, gerçek zamanlı koruma işlevlerini (antivirüs monitörü) ve isteğe bağlı koruma işlevlerini (antivirüs tarayıcısı) birleştirir.

Antivirüs derecesi

2019: Android için antivirüslerin üçte ikisi işe yaramaz hale geldi

Mart 2019'da Avusturyalı bir antivirüs yazılımı test laboratuvarı olan AV-Comparatives, bu programların çoğunun Android için işe yaramaz olduğunu gösteren bir çalışma yayınladı.

Resmi Google Play Store kataloğunda bulunan yalnızca 23 antivirüs, vakaların %100'ünde kötü amaçlı programları doğru şekilde tespit eder. Yazılımın geri kalanı ya mobil tehditlere yanıt vermiyor ya da onlar için kesinlikle güvenli uygulamalar kullanıyor.

Uzmanlar 250 antivirüs üzerinde çalıştı ve bunların yalnızca %80'inin kötü amaçlı yazılımların %30'dan fazlasını algılayabildiğini bildirdi. Böylece 170 uygulama testi geçemedi. Testleri geçen ürünler çoğunlukla Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro ve Trustwave gibi büyük üreticilerin çözümleriydi.

Deneyin bir parçası olarak, araştırmacılar her bir anti-virüs uygulamasını ayrı bir cihaza (emülatör olmadan) kurdular ve cihazları otomatik hale getirerek tarayıcıyı başlattı, indirdi ve ardından kötü amaçlı yazılım kurdu. Her cihaz 2018'de en yaygın 2 bin Android virüsü kullanılarak test edildi.

AV-Comparatives'e göre çoğu Android antivirüs çözümü sahte. Düzinelerce uygulama hemen hemen aynı arayüze sahiptir ve yaratıcıları, çalışan bir antivirüs tarayıcısı yazmaktan çok reklamları görüntülemekle ilgilenmektedir.

Bazı antivirüsler, "beyaz listelerinde" yer almayan herhangi bir uygulamada bir tehdit "görür". Bu nedenle, çok sayıda anekdot vakasında, geliştiriciler "beyaz listede" bahsetmeyi unuttukları için kendi dosyaları nedeniyle alarmı yükselttiler.

2017: Microsoft Security Essentials, en kötü antivirüslerden biri olarak kabul edildi

Ekim 2017'de Alman antivirüs laboratuvarı AV-Test sonuçları yayınladı kapsamlı test antivirüs yazılımı. Araştırmaya göre, markalı yazılım Kötü niyetli etkinliklere karşı koruma sağlamak için tasarlanan Microsoft, işini en kötü şekilde yapan neredeyse.

Temmuz-Ağustos 2017'de yapılan testlerin sonuçlarına göre AV-Test uzmanları aradı. en iyi antivirüs koruma, performans ve kullanılabilirlik düzeyini değerlendirmede 18 puan alan Windows 7 Kaspersky Internet Security için.

İlk üçü Trend Micro programlarını içerir internet güvenliği ve her biri 17,5 puan kazanan Bitdefender Internet Security. Çalışmaya dahil olan diğer antivirüs firmalarının ürünlerinin durumu aşağıdaki resimlerde yer almaktadır:

Birçok tarayıcı aynı zamanda buluşsal tarama algoritmaları kullanır, yani. kontrol edilen nesnedeki komut dizisini analiz etmek, bazı istatistikleri toplamak ve kontrol edilen her nesne için bir karar vermek.

Tarayıcılar ayrıca iki kategoriye ayrılabilir - genel amaçlı ve özel. Evrensel tarayıcılar, tarayıcının çalışmak üzere tasarlandığı işletim sisteminden bağımsız olarak her türlü virüsü aramak ve etkisiz hale getirmek için tasarlanmıştır. Özel tarayıcılar, sınırlı sayıda virüsü veya yalnızca bir sınıfını, örneğin makro virüsleri etkisiz hale getirmek için tasarlanmıştır.

Tarayıcılar ayrıca anında tarama yapan yerleşik (monitörler) ve yalnızca talep üzerine sistem taraması sağlayan yerleşik olmayanlar olarak ikiye ayrılır. Kural olarak, yerleşik tarayıcılar bir virüse anında tepki verdikleri için daha güvenilir sistem koruması sağlarken yerleşik olmayan bir tarayıcı bir virüsü yalnızca bir sonraki başlatma sırasında tanıyabilir.

CRC tarayıcılar

CRC tarayıcılarının çalışma prensibi, diskte bulunan dosyalar / sistem sektörleri için CRC toplamlarının (sağlama toplamları) hesaplanmasına dayanır. Bu CRC-toplamları daha sonra virüsten koruma veritabanına ve diğer bazı bilgilere kaydedilir: dosya uzunlukları, son değişiklik tarihleri ​​vb. Bir sonraki başlatmada, CRC tarayıcıları veritabanında bulunan verileri gerçek hesaplanmış değerlerle kontrol eder. Veritabanına kaydedilen bir dosya hakkındaki bilgiler gerçek değerlerle eşleşmiyorsa, CRC tarayıcıları dosyanın değiştirildiğini veya bir virüs bulaştığını bildirir.

CRC tarayıcıları bir virüsü sistemde göründüğü anda yakalayamazlar, ancak bunu ancak bir süre sonra, virüs bilgisayara yayıldıktan sonra yaparlar. CRC tarayıcıları yeni dosyalarda (e-postada, disketlerde, bir yedekten geri yüklenen dosyalarda veya bir arşivden dosyaları açarken) bir virüsü tespit edemezler çünkü veritabanlarında bu dosyalar hakkında bilgi yoktur. Ayrıca, periyodik olarak, CRC tarayıcılarının bu zayıflığından yararlanan, yalnızca yeni oluşturulan dosyalara bulaşan ve bu nedenle onlar için görünmez kalan virüsler vardır.

Engelleyiciler

Virüsten koruma engelleyicileri, tehlikeli durumları yakalayan ve kullanıcıyı bu konuda bilgilendiren bellekte yerleşik programlardır. Virüs tehdidi çağrıları arasında yürütülebilir dosyalara yazmak, disklerin önyükleme sektörlerine veya bir sabit sürücünün MBR'sine yazmak için açma çağrıları, programların yerleşik kalma girişimleri vb. çoğaltma.

Engelleyicilerin avantajları, bir virüsü üremesinin en erken aşamasında tespit etme ve durdurma yeteneklerini içerir. Dezavantajlar, engelleyicilerin korumasını atlamanın yollarının varlığını ve çok sayıda yanlış pozitifliği içerir.

bağışıklayıcılar

Bağışıklayıcılar iki türe ayrılır: enfeksiyon bildiren bağışıklayıcılar ve enfeksiyonu engelleyen bağışıklayıcılar. İlki genellikle dosyaların sonuna yazılır (bir dosya virüsü gibi) ve dosya her çalıştırıldığında değişiklik olup olmadığı kontrol edilir. Bu tür bağışıklayıcıların tek bir dezavantajı vardır, ancak öldürücüdür: gizli virüs ile enfeksiyonun bildirilmemesi. Bu nedenle, bu tür bağışıklayıcılar ve ayrıca blokerler, şu anda pratik olarak kullanılmamaktadır.

İkinci tip bağışıklama, sistemi belirli bir virüs türü tarafından enfekte olmaktan korur. Disklerdeki dosyalar, virüs onları zaten bulaşmış gibi alacak şekilde değiştirilir. Yerleşik bir virüse karşı korunmak için, bilgisayarın belleğine virüsün bir kopyasını taklit eden bir program girilir. Başlatıldığında, virüs ona rastlar ve sisteme zaten bulaşmış olduğuna inanır.

Dosyalar bilinen tüm virüslere karşı aşılanamadığından, bu tür bağışıklama evrensel olamaz.

Antivirüslerin zaman içindeki değişkenliklerine göre sınıflandırılması

Valery Konyavsky'ye göre, anti-virüs araçları iki büyük gruba ayrılabilir - verileri analiz etme ve süreçleri analiz etme.

Veri analizi

Veri analizi denetçileri ve polifajları içerir. Denetçiler, bilgisayar virüslerinin ve diğer kötü amaçlı programların faaliyetlerinin sonuçlarını analiz eder. Sonuçlar, değiştirilmemesi gereken veri değişikliklerinde kendini gösterir. Denetçinin bakış açısından kötü niyetli programların faaliyetinin bir işareti olan verilerin değişmesi gerçeğidir. Başka bir deyişle denetçiler, verilerin bütünlüğünü kontrol eder ve bütünlüğün ihlali durumunda bilgisayar ortamında kötü niyetli programların varlığına karar verir.

Polifajlar farklı davranır. Veri analizi temelinde, kötü amaçlı kod parçalarını (örneğin imzasıyla) izole ederler ve bu temelde kötü amaçlı programların varlığı hakkında bir sonuca varırlar. Virüs bulaşmış verileri kaldırmak veya dezenfekte etmek, kötü amaçlı programların yürütülmesinin olumsuz sonuçlarını önlemeye yardımcı olur. Böylece statikte analize dayalı olarak dinamikte ortaya çıkan sonuçların önüne geçilmiş olur.

Hem denetçilerin hem de polifajların çalışma şeması pratik olarak aynıdır - verileri (veya sağlama toplamlarını) bir veya daha fazla referans örnekle karşılaştırmak. Veriler, verilerle karşılaştırılır. Bu nedenle, bilgisayarınızda bir virüs bulmak için, çalışmasının sonuçlarının ortaya çıkması için çalışması gerekir. Bu yöntem, yalnızca kod parçaları veya imzaları daha önce tanımlanmış olan bilinen virüsleri bulabilir. Böyle bir korumanın güvenilir olarak adlandırılması olası değildir.

Süreç analizi

Süreç analizine dayalı virüsten koruma araçları biraz farklı bir şekilde çalışır. Sezgisel çözümleyiciler, yukarıda açıklananlar gibi verileri analiz eder (diskte, kanalda, bellekte vb.). Temel fark, analizin, analiz edilen kodun veri olmadığı, komutlar olduğu varsayımı altında gerçekleştirilmesi gerçeğinde yatmaktadır (von Neumann mimarisine sahip bilgisayarlarda, veriler ve komutlar ayırt edilemez, bu bağlamda, analiz sırasında bir veya başka bir varsayım öne sürülmelidir.)

Sezgisel çözümleyici, bir işlem dizisini tanımlar, her birine belirli bir tehlike derecesi atar ve tehlikenin toplamına dayalı olarak, bu işlem dizisinin kötü amaçlı kodun bir parçası olup olmadığına karar verir. Kodun kendisi yürütülmez.

Başka bir süreç tabanlı antivirüs türü davranışsal engelleyicilerdir. Bu durumda, şüpheli kod, kod tarafından başlatılan eylemler dizisi tehlikeli (veya güvenli) davranış olarak değerlendirilinceye kadar aşamalı olarak yürütülür. Aynı zamanda, kötü amaçlı kodun tamamlanması daha basit veri analizi yöntemleriyle tespit edilebildiğinden, kod kısmen yürütülür.

Virüs algılama teknolojileri

Antivirüs yazılımlarında kullanılan teknolojiler iki gruba ayrılabilir:

  • İmza analiz teknolojileri
  • Olasılıksal Analiz Teknolojileri

İmza analiz teknolojileri

İmza analizi, dosyalardaki virüs imzalarını kontrol eden bir virüs algılama yöntemidir. İmza analizi, virüsleri tespit etmek için en iyi bilinen yöntemdir ve neredeyse tüm modern antivirüslerde kullanılır. Bir tarama yapmak için, virüsten koruma yazılımının, virüsten koruma veritabanında depolanan bir dizi virüs imzasına ihtiyacı vardır.

İmza analizi, dosyaları virüs imzaları için taramayı içerdiğinden, virüsten koruma yazılımını güncel tutmak için virüsten koruma veritabanının periyodik olarak güncellenmesi gerekir. İmza analizinin çalışma prensibi aynı zamanda işlevselliğinin sınırlarını da tanımlar - sadece bilinen virüsleri tespit etme yeteneği - bir imza tarayıcı yeni virüslere karşı güçsüzdür.

Öte yandan, virüs imzalarının varlığı, imza analizi kullanılarak tespit edilen virüslü dosyaları iyileştirme yeteneği anlamına gelir. Ancak, tüm virüsler tedavi edilemez - Truva atları ve çoğu solucan, hasar vermek üzere tasarlanmış entegre modüller olduklarından tasarım özellikleri nedeniyle iyileştirilemez.

Virüs imzasının yetkin bir şekilde uygulanması, bilinen virüsleri yüzde yüz olasılıkla tespit etmenizi sağlar.

Olasılıksal Analiz Teknolojileri

Olasılıksal analiz teknolojileri sırayla üç kategoriye ayrılır:

  • sezgisel analiz
  • Davranış Analizi
  • sağlama toplamı analizi

sezgisel analiz

Sezgisel analiz, sonucu şüpheli nesnelerin tanımlanması olan olasılıksal algoritmalara dayanan bir teknolojidir. Sezgisel analiz sürecinde dosyanın yapısı ve virüs kalıplarına uygunluğu kontrol edilir. En popüler buluşsal teknoloji, bir dosyanın içeriğini zaten bilinen virüs imzalarında ve bunların kombinasyonlarında değişiklik olup olmadığını kontrol etmektir. Bu, daha önce bilinen virüslerin hibritlerinin ve yeni sürümlerinin, virüsten koruma veritabanının ek güncellenmesine gerek kalmadan tespit edilmesine yardımcı olur.

Sezgisel analiz, bilinmeyen virüsleri tespit etmek için kullanılır ve sonuç olarak bir tedavi içermez. Bu teknoloji, bir virüsün önünde olup olmadığını %100 belirleme yeteneğine sahip değildir ve herhangi bir olasılık algoritması gibi, yanlış pozitiflerden muzdariptir.

Davranış Analizi

Davranış analizi, gerçekleştirdiği işlemlerin analizine dayanarak, kontrol edilen nesnenin doğası hakkında bir kararın verildiği bir teknolojidir. Davranışsal analiz, pratikte çok dar bir şekilde uygulanabilir, çünkü virüslere özgü eylemlerin çoğu sıradan uygulamalar tarafından gerçekleştirilebilir. En ünlüsü, ilgili virüsler neredeyse her zaman bir dizi benzer eylem gerçekleştirdiğinden, komut dosyalarının ve makroların davranışsal analizörleridir.

BIOS'ta yerleşik korumalar, davranışsal analizörler olarak da sınıflandırılabilir. Bir bilgisayarın MBR'sinde değişiklik yapılmaya çalışıldığında, çözümleyici eylemi engeller ve kullanıcıya karşılık gelen bir bildirim görüntüler.

Ayrıca, davranış çözümleyicileri dosyalara doğrudan erişim girişimlerini, disketlerin önyükleme kaydındaki değişiklikleri, sabit sürücülerin biçimlendirilmesini vb. izleyebilir.

Davranış çözümleyicileri, çalışmak için virüs veritabanları gibi ek nesneler kullanmazlar ve sonuç olarak, bilinen ve bilinmeyen virüsleri ayırt edemezler - tüm şüpheli programlar, önceden bilinmeyen virüsler olarak kabul edilir. Benzer şekilde, davranışsal analiz teknolojilerini uygulayan araçların davranışı, tedaviyi içermez.

sağlama toplamı analizi

Sağlama toplamı analizi, bir bilgisayar sistemindeki nesnelerdeki değişiklikleri izlemenin bir yoludur. Değişikliklerin doğasının analizine dayanarak - eşzamanlılık, kitlesellik, dosya uzunluklarındaki özdeş değişiklikler - sistemin virüslü olduğu sonucuna varabiliriz. Sağlama toplamı analizörleri (değişim denetçileri olarak da adlandırılır), davranış analizörleri gibi, çalışmalarında ek nesneler kullanmazlar ve yalnızca uzman kararı yöntemiyle sistemde bir virüsün varlığına ilişkin bir karar verirler. Erişimde tarayıcılarda benzer teknolojiler kullanılır - ilk kontrol sırasında, sağlama toplamı dosyadan çıkarılır ve önbelleğe yerleştirilir, aynı dosyanın bir sonraki kontrolünden önce toplam tekrar kaldırılır, karşılaştırılır ve herhangi bir değişiklik olmazsa , dosya etkilenmemiş olarak kabul edilir.

Antivirüs kompleksleri

Antivirüs kompleksi, bilgisayar sistemlerinin antivirüs güvenliğini sağlamada pratik sorunları çözmek için tasarlanmış, aynı antivirüs çekirdeğini veya çekirdeklerini kullanan bir dizi antivirüsdür. Anti-virüs kompleksi ayrıca mutlaka anti-virüs veritabanlarını güncellemek için araçlar içerir.

Ayrıca, virüsten koruma paketi ayrıca davranış çözümleyicileri ve virüsten koruma motorunu kullanmayan değişim denetçilerini içerebilir.

Aşağıdaki antivirüs kompleksleri türleri ayırt edilir:

  • İş istasyonlarını korumak için antivirüs kompleksi
  • Dosya sunucularını korumak için antivirüs kompleksi
  • Posta sistemlerini korumak için antivirüs kompleksi
  • Ağ geçitlerinin korunması için anti-virüs kompleksi.

Bulut ve geleneksel masaüstü antivirüsü: hangisini seçmeli?

(Webroot.com kaynağındaki materyallere dayanmaktadır)

Antivirüs ürünleri için modern pazar, öncelikle koruma mekanizmalarının imza tabanlı yöntemler temelinde oluşturulduğu masaüstü sistemleri için geleneksel çözümlerdir. Alternatif yol anti-virüs koruması - buluşsal analiz uygulaması.

Geleneksel virüsten koruma yazılımıyla ilgili sorunlar

Son zamanlarda, geleneksel antivirüs teknolojileri giderek daha az etkili hale geldi ve bir dizi faktörden dolayı hızla eski hale geliyor. İmzalar tarafından tanınan virüs tehditlerinin sayısı zaten o kadar fazladır ki, kullanıcı bilgisayarlarında imza tabanlarının zamanında %100 güncellenmesini sağlamak çoğu zaman gerçekçi olmayan bir görevdir. Bilgisayar korsanları ve siber suçlular, sıfır gün virüs tehditlerinin yayılmasını hızlandırmak için botnet'leri ve diğer teknolojileri giderek daha fazla kullanıyor. Ayrıca, hedeflenen saldırılar sırasında ilgili virüslerin imzaları oluşturulmaz. Son olarak, anti-virüs tespitine karşı koymak için yeni teknolojiler kullanılır: kötü amaçlı yazılım şifrelemesi, sunucu tarafında polimorfik virüslerin oluşturulması, bir virüs saldırısının kalitesinin ön testi.

Geleneksel anti-virüs koruması çoğunlukla "kalın istemci" mimarisi üzerine kuruludur. Bu, istemcinin bilgisayarına büyük miktarda kodun yüklendiği anlamına gelir. Gelen verileri kontrol eder ve virüs tehditlerinin varlığını tespit eder.

Bu yaklaşımın birkaç dezavantajı vardır. İlk olarak, kötü amaçlı yazılım taraması yapmak ve imzaları karşılaştırmak, kullanıcıdan alınan önemli bir hesaplama yükü gerektirir. Sonuç olarak, bilgisayarın verimliliği azalır ve antivirüsün çalışması bazen paralel uygulama görevlerinin yürütülmesine müdahale eder. Bazen kullanıcının sistemindeki yük o kadar belirgindir ki, kullanıcılar virüsten koruma programlarını devre dışı bırakır ve böylece olası bir virüs saldırısına karşı engeli kaldırır.

İkincisi, kullanıcının makinesindeki her güncelleme, gönderilecek binlerce yeni imza gerektirir. Aktarılan veri miktarı genellikle makine başına günde 5 MB civarındadır. Veri aktarımı ağı yavaşlatır, ek sistem kaynaklarını yönlendirir, trafiği kontrol etmek için sistem yöneticilerinin katılımını gerektirir.

Üçüncüsü, sabit bir iş yerinden dolaşan veya uzaktaki kullanıcılar sıfır gün saldırılarına karşı savunmasızdır. İmzaların güncellenmiş kısmını almak için, uzaktan erişemeyecekleri bir VPN ağına bağlanmaları gerekir.

Buluttan antivirüs koruması

Buluttan antivirüs korumasına geçildiğinde, çözüm mimarisi önemli ölçüde değişir. Kullanıcının bilgisayarına, ana işlevi yeni dosyalar aramak, karma değerleri hesaplamak ve bulut sunucusuna veri göndermek olan "hafif" bir istemci kurulur. Bulutta, toplanan imzalardan oluşan geniş bir veritabanı üzerinden tam ölçekli bir karşılaştırma gerçekleştirilir. Bu veritabanı, anti-virüs şirketleri tarafından iletilen veriler nedeniyle sürekli ve zamanında güncellenmektedir. Müşteri, kontrolün sonuçlarını içeren bir rapor alır.

Bu nedenle, antivirüs korumasının bulut mimarisinin bir takım avantajları vardır:

  • kullanıcının bilgisayarındaki hesaplama miktarı, kalın bir istemciye kıyasla ihmal edilebilir düzeydedir, bu nedenle kullanıcının verimliliği azalmaz;
  • anti-virüs trafiğinin ağ bant genişliği üzerinde yıkıcı bir etkisi yoktur: sadece birkaç düzine hash değeri içeren kompakt bir veri parçası gönderilecek, ortalama günlük trafik hacmi 120 Kbyte'ı geçmiyor;
  • bulut depolama, kullanıcı bilgisayarlarında depolananlardan çok daha büyük, çok sayıda imza içerir;
  • Bulutta kullanılan imza karşılaştırma algoritmaları, yerel istasyon düzeyinde kullanılan basitleştirilmiş modellerden önemli ölçüde daha akıllıdır ve daha yüksek performans nedeniyle veri karşılaştırması daha az zaman alır;
  • bulut anti-virüs hizmetleri, anti-virüs laboratuvarlarından, güvenlik geliştiricilerinden, kurumsal ve özel kullanıcılardan alınan gerçek verilerle çalışır; sıfır gün tehditleri, kullanıcı bilgisayarlarına erişim sağlama ihtiyacından kaynaklanan gecikme olmaksızın, tanınmalarıyla aynı anda engellenir;
  • dolaşımda olan veya ana iş yerlerine erişimi olmayan kullanıcılar, İnternet erişimiyle eş zamanlı olarak sıfır gün saldırılarına karşı koruma alırlar;
  • sistem yöneticilerinin iş yükü azalır: Kullanıcıların bilgisayarlarına virüsten koruma yazılımı yüklemek ve imza veritabanlarını güncellemek için zaman harcamak zorunda kalmazlar.

Geleneksel Antivirüsler Neden Başarısız?

Modern kötü amaçlı kod şunları yapabilir:

  • Şirket için özel bir hedef virüs oluşturarak antivirüs tuzaklarını atlayın
  • Antivirüs bir imza oluşturmadan önce, dinamik DNS ve URL'ler kullanarak kod dönüştürme, polimorfizm kullanmaktan kaçınacaktır.
  • Bir şirket için hedeflenen oluşturma
  • polimorfizm
  • Henüz kimse tarafından bilinmeyen kod - imza yok

Savunması zor

2011'in yüksek hızlı antivirüsleri

Rus bağımsız bilgi ve analitik merkezi Anti-Malware.ru, Mayıs 2011'de, performans ve sistem kaynaklarının tüketimi için en popüler 20 antivirüsün bir sonraki karşılaştırmalı testinin sonuçlarını yayınladı.

Bu testin amacı, bilgisayarda tipik işlemleri gerçekleştiren kullanıcı üzerinde en az etkiye sahip olan, işini daha az yavaşlatan ve minimum miktarda sistem kaynağı tüketen kişisel antivirüslerin hangileri olduğunu göstermektir.

Anti-virüs monitörleri (gerçek zamanlı tarayıcılar) arasında, aralarında Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro ve Dr.Web'in de bulunduğu tüm bir ürün grubu çok yüksek performans göstermiştir. Bu antivirüsler gemideyken, test koleksiyonunun kopyalanmasındaki yavaşlama referansa kıyasla %20'den azdı. Antivirüs monitörleri BitDefender, PC Tools, Outpost, F-Secure, Norton ve Emsisoft da gösterdi yüksek sonuçlar hız açısından %30-50 aralığında. Antivirüs monitörleri BitDefender, PC Tools, Outpost, F-Secure, Norton ve Emsisoft da %30-50 aralığında iyi performans gösterdi.

Aynı zamanda Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost ve PC Tools, sonraki taramaların optimizasyonu sayesinde gerçek koşullarda çok daha hızlı olabilir.

Avira antivirüs, talep üzerine en iyi tarama hızını gösterdi. Biraz arkasında Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus ve Outpost vardı. İlk taramanın hızı açısından, bu antivirüsler liderlerinden sadece biraz daha düşüktür, aynı zamanda cephanelerinde tekrarlanan taramaları optimize etmek için güçlü teknolojilere sahiptirler.

Virüsten koruma yazılımının hızının bir diğer önemli özelliği, kullanıcının sıklıkla çalıştığı uygulama programlarının çalışması üzerindeki etkisidir. Test için beş kişi seçildi: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat okuyucu ve Adobe photoshop... Bunların lansmanındaki en küçük yavaşlama ofis programları gösterdi antivirüs Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost ve G Data.

GİRİŞ

İnsanlığın yeni bir bilimsel ve teknolojik devrim çağına girdiği iki bin yılın başında yaşıyoruz.

Yirminci yüzyılın sonuna gelindiğinde, insanlar madde ve enerjinin dönüşümünün sırlarının birçoğunda ustalaştılar ve bu bilgiyi hayatlarını iyileştirmek için kullanabildiler. Ancak madde ve enerjiye ek olarak, başka bir bileşen insan yaşamında büyük bir rol oynar - bilgi. Bu çok çeşitli bilgi, mesaj, haber, bilgi, beceridir.

Yüzyılımızın ortasında, özel cihazlar ortaya çıktı - bilgi depolamaya ve dönüştürmeye odaklanan bilgisayarlar ve bilgisayar devrimi gerçekleşti.

Bugün, kişisel bilgisayarların kitlesel kullanımı, ne yazık ki, kendini kopyalayan virüslerin ortaya çıkmasıyla ilişkili olduğu ortaya çıktı. normal iş disklerin dosya yapısını bozmakta ve bilgisayarda depolanan bilgilere zarar vermektedir.

Birçok ülkede kabul edilen bilgisayar suçlarıyla mücadele yasalarına ve virüslerden korunmak için özel yazılım araçlarının geliştirilmesine rağmen, yeni yazılım virüslerinin sayısı sürekli artıyor. Bu, kişisel bilgisayar kullanıcısının virüslerin doğası, nasıl bulaşabilecekleri ve bunlara karşı nasıl korunabilecekleri hakkında bilgi sahibi olmasını gerektirir. Bu, çalışmamın konusunu seçmem için bir teşvik görevi gördü.

Yazımda bahsettiğim şey bu. Ana virüs türlerini gösteriyorum, işleyiş şemalarını, ortaya çıkma nedenlerini ve bilgisayara girme yollarını dikkate alıyorum ve ayrıca koruma ve önleme için önlemler öneriyorum.

Çalışmanın amacı, kullanıcıyı bilgisayar virolojisinin temelleri ile tanıştırmak, virüsleri nasıl tespit edip onlarla savaşacağını öğretmektir. Çalışma yöntemi, belirli bir konudaki basılı yayınların analizidir. Zor bir görevle karşı karşıya kaldım - çok az araştırılanı ve nasıl ortaya çıktığını anlatmak - yargılamak size kalmış.

1. BİLGİSAYAR VİRÜSLERİ, ÖZELLİKLERİ VE SINIFLANDIRMA

1.1. Bilgisayar virüslerinin özellikleri

Şimdi uygulandı kişisel bilgisayarlar, kullanıcının makinenin tüm kaynaklarına ücretsiz erişimi olduğu. Bilgisayar virüsü olarak adlandırılan tehlike olasılığını açan da buydu.

Bir bilgisayar virüsü nedir? Bu kavramın resmi bir tanımı henüz icat edilmedi ve bunun verilip veremeyeceği konusunda ciddi şüpheler var. Virüsün "modern" bir tanımını vermek için yapılan çok sayıda girişim başarılı olmadı. Problemin karmaşıklığını anlamak için, örneğin bir editör tanımlamayı deneyin. Ya çok genel bir şey bulursunuz ya da bilinen tüm editör türlerini listelemeye başlarsınız. Her ikisi de pek kabul edilebilir sayılmaz. Bu nedenle, kendimizi bilgisayar virüslerinin belirli bir program sınıfı olarak konuşmamıza izin veren bazı özelliklerini dikkate almakla sınırlayacağız.

Her şeyden önce, bir virüs bir programdır. Bu kadar basit bir ifade, bilgisayar virüslerinin olağanüstü yetenekleri hakkında birçok efsaneyi ortadan kaldırabilir. Virüs, monitörünüzdeki görüntüyü çevirebilir, ancak monitörün kendisini çeviremez. Öldürücü virüslerin “25. karede ölümcül bir renk gamı ​​göstererek operatörleri öldürdüğü” efsaneleri de ciddiye alınmamalıdır. Ne yazık ki, bazı saygın yayınlar zaman zaman "bilgisayar cephelerinden en son haberler" yayınlıyor, daha yakından incelendiğinde, konunun tam olarak net bir şekilde anlaşılmadığı ortaya çıkıyor.

Virüs, kendini yeniden üretme yeteneğine sahip bir programdır. Bu yetenek, tüm virüs türleri için ortak olan tek yetenektir. Ancak sadece virüsler kendi kendini kopyalama yeteneğine sahip değildir. Herhangi bir işletim sistemi ve daha birçok program kendi kopyalarını oluşturabilir. Virüsün kopyaları sadece orijinaliyle tamamen örtüşmek zorunda değil, aynı zamanda onunla hiç örtüşmeyebilir!

Bir virüs "tam izolasyon" içinde var olamaz: bugün diğer programların kodunu, dosya yapısı hakkında bilgileri ve hatta sadece diğer programların adlarını kullanmayan bir virüs hayal etmek imkansızdır. Nedeni açık: Virüs bir şekilde kontrolün kendisine geçmesini sağlamalıdır.

1.2. Virüs sınıflandırması

Şu anda 5000'den fazla yazılım virüsü bilinmektedir, bunlar aşağıdaki kriterlere göre sınıflandırılabilir:

yetişme ortamı

¨ habitatı kirletmenin yolu

teşhir

¨ algoritmanın özellikleri

Habitatına bağlı olarak, virüsler ağ, dosya, önyükleme ve dosya önyüklemesi olarak ayrılabilir. ağ virüsleriçeşitli dağıtılmış bilgisayar ağları. Dosya virüsleri esas olarak yürütülebilir modüllerde, yani COM ve EXE uzantılı dosyalarda gömülüdür. Dosya virüsleri diğer dosya türlerine gömülebilir, ancak kural olarak bu tür dosyalara yazıldığında hiçbir zaman kontrol sahibi olmazlar ve bu nedenle çoğaltma yeteneklerini kaybederler. Önyükleme virüsleri diskin önyükleme sektörüne (Önyükleme sektörü) veya önyükleme programını içeren sektöre gömülüdür sistem diski(Ana Önyükleme Yeniden

kordon). Dosya önyüklemesi virüsler hem dosyalara hem de disklerin önyükleme sektörlerine bulaşır.

Enfeksiyon yöntemiyle, virüsler yerleşik ve yerleşik olmayan olarak ayrılır. Bellekte yerleşik virüs Bir bilgisayara virüs bulaştığında (bulaştığında), yerleşik kısmını RAM'de bırakır ve bu daha sonra işletim sisteminin virüs bulaşan nesnelere (dosyalar, disklerin önyükleme sektörleri vb.) erişimini engeller ve bunlara gömülür. Yerleşik virüsler bellekte bulunur ve bilgisayar kapatılana veya yeniden başlatılana kadar etkin kalır. Bellekte yerleşik olmayan virüsler bilgisayar belleğine bulaşmaz ve sınırlı bir süre için etkindir.

Maruz kalma derecesine göre, virüsler aşağıdaki türlere ayrılabilir:

¨ tehlikesiz bilgisayarın çalışmasına müdahale etmeyen, ancak disklerdeki boş RAM ve bellek miktarını azaltan, bu tür virüslerin eylemleri herhangi bir grafik veya ses efektinde kendini gösterir.

¨ tehlikeli bilgisayarın çalışmasında çeşitli kesintilere yol açabilen virüsler

¨ çok tehlikeli, etkisi programların kaybına, verilerin yok edilmesine, diskin sistem alanlarındaki bilgilerin silinmesine neden olabilir.

2. ANA VİRÜS TÜRLERİ VE ÇALIŞMA ŞEMALARI

Tüm virüs çeşitleri arasında aşağıdaki ana gruplar ayırt edilebilir:

¨ önyüklenebilir

dosya

¨ dosya önyüklemesi

Şimdi bu grupların her biri hakkında daha ayrıntılı olarak.

2.1. Önyükleme virüsleri

Disketlere bulaşan çok basit bir önyükleme virüsünün çalışmasını ele alalım. Çalışma algoritmasının titiz bir analizinde kaçınılmaz olarak karşılaşılacak olan tüm sayısız incelikleri kasıtlı olarak atlayacağız.

Bilgisayarınızı açtığınızda ne olur? Her şeyden önce, kontrol aktarılır program önyükleme salt okunur bellekte (ROM) depolanan, yani. PNZ ROM'u.

Bu program donanımı test eder ve başarılı olursa A sürücüsünde bir disket bulmaya çalışır:

Her disket bir sözde ile etiketlenir. sektörler ve izler. Sektörler kümeler halinde birleştirilir, ancak bu bizi ilgilendirmez.

Sektörler arasında işletim sistemi tarafından kendi ihtiyaçları için kullanılan birkaç hizmet sektörü vardır (bu sektörler verilerinizi barındıramaz). Hizmet sektörleri arasında hala sözde olanla ilgileniyoruz. önyükleme sektörü(önyükleme sektörü).

Önyükleme sektörü depoları disket bilgileri- yüzey sayısı, iz sayısı, sektör sayısı vb. Ama şimdi bu bilgi ile ilgilenmiyoruz, ancak küçük önyükleme programı(PNZ), işletim sisteminin kendisini yüklemesi ve kontrolü ona aktarması gerekir.

Yani normal önyükleme şeması aşağıdaki gibidir:

PNZ (ROM) - PNZ (disk) - SİSTEM

Şimdi virüse bakalım. Önyükleme virüslerinde iki kısım ayırt edilir - sözde. kafa vesaire. kuyruk... Genel olarak konuşursak, kuyruk boş olabilir.

Boş bir disketiniz ve virüslü bir bilgisayarınız olduğunu varsayalım; bununla, etkin bir yerleşik virüs içeren bir bilgisayarı kastediyoruz. Bu virüs sürücüde uygun bir kurbanın ortaya çıktığını tespit eder etmez - bizim durumumuzda, yazılmamış ve henüz virüs bulaşmamış bir disket, bulaşmaya devam eder. Bir diskete bulaşan virüs aşağıdaki eylemleri gerçekleştirir:

Diskin belirli bir alanını tahsis eder ve işletim sistemine erişilemez olarak işaretler, bu farklı şekillerde yapılabilir, en basit ve geleneksel durumda, virüsün işgal ettiği sektörler kötü olarak işaretlenir.

Kuyruk ve orijinal (sağlıklı) önyükleme kesimini diskin seçilen alanına kopyalar

Antivirüs programları saf antivirüsler ve çift kullanımlı antivirüsler olarak sınıflandırılır.

14. Antivirüs sınıflandırma şeması

Saf antivirüsler, örneklerle tarama işlevini yerine getiren bir antivirüs motorunun varlığı ile ayırt edilir. Bu durumda prensip, virüsün bilinmesi durumunda tedavinin mümkün olmasıdır. Saf antivirüsler ise dosya erişim türüne göre iki kategoriye ayrılır: erişim kontrolü veya isteğe bağlı kontrol. Genellikle erişime açık ürünlere monitör, isteğe bağlı ürünlere tarayıcı denir.

İsteğe bağlı ürün aşağıdaki şemaya göre çalışır: kullanıcı bir şeyi kontrol etmek ister ve bir istek (talep) gönderir, ardından kontrol gerçekleştirilir. Erişime açık ürün, erişimi izleyen ve erişim sırasında kontrol eden yerleşik bir programdır.

Ayrıca virüsler gibi antivirüs programları, antivirüsün çalıştığı platforma bağlı olarak bölünebilir. Bu anlamda platformlar Windows veya Linux ile birlikte Microsoft Exchange Server, Microsoft Office, Lotus Notes içerebilir.

Çift kullanımlı programlar, hem antivirüs hem de antivirüs olmayan yazılımlarda kullanılan programlardır. Örneğin, sağlama toplamına dayalı bir değişiklik denetçisi olan CRC-checker, virüsleri yakalamaktan daha fazlası için kullanılabilir. Çeşitli çift kullanımlı programlar, diğer programların davranışını analiz eden ve şüpheli eylemler algılandığında onları engelleyen davranışsal engelleyicilerdir. Davranış engelleyiciler, laboratuvarda analiz edilen ve bir tedavi algoritması öngörülen virüsleri tanıyan ve iyileştiren bir antivirüs çekirdeğine sahip klasik antivirüsten farklıdır, çünkü onlar hakkında hiçbir şey bilmedikleri için virüsleri tedavi edemezler. Engelleyicilerin bu özelliği, bilinmeyenler de dahil olmak üzere herhangi bir virüsle çalışmasına izin verir. Bu, virüs ve antivirüs dağıtıcıları aynı veri iletim kanallarını, yani İnternet'i kullandığından, bugün özellikle önemlidir. Aynı zamanda bir antivirüs şirketinin virüsün kendisini elde etmesi, analiz etmesi ve uygun tedavi modüllerini yazması için her zaman zamana ihtiyacı vardır. Çift kullanımlı gruptan programlar, şirket bir tedavi modülü yazana kadar virüsün yayılmasını engellemeye izin verir.

Antivirüs yazılımı

Bilgisayar virüslerini tespit etmek, kaldırmak ve bunlara karşı korunmak için, virüsleri tespit etmenize ve yok etmenize izin veren çeşitli türlerde özel programlar geliştirilmiştir. Bu tür programlara antivirüs programları denir. Aşağıdaki virüsten koruma programı türleri vardır:

dedektör programları

· Programlar-doktorlar veya fajlar

Denetçi programları

Filtre programları

· Aşı programları veya bağışıklayıcılar.

Algılama programları, RAM'de ve dosyalarda belirli bir virüsün imza özelliğini arar ve tespit edilirse ilgili bir mesaj verir. Bu tür virüsten koruma programlarının dezavantajı, yalnızca bu tür programların geliştiricileri tarafından bilinen virüsleri bulabilmeleridir.

Programlar-doktorlar veya fajlar ve ayrıca programlar-aşılar sadece virüs bulaşmış dosyaları bulmakla kalmaz, aynı zamanda onları "tedavi eder", yani. dosyaları orijinal durumlarına döndürerek virüs programının gövdesini dosyadan kaldırın. Fajlar, çalışmalarının başında RAM'de virüs arar, onları yok eder ve ancak bundan sonra dosyaları "tedavi etmeye" devam eder. Fajlar arasında polifajlar ayırt edilir, yani. Çok sayıda virüsü aramak ve yok etmek için tasarlanmış doktor programları. Bunların en ünlüsü: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Sürekli yeni virüslerin ortaya çıktığı düşünüldüğünde dedektör programları ve doktor programları hızla eskimekte ve düzenli sürüm güncellemeleri gerekmektedir.

Denetçi programları, virüslere karşı en güvenilir korunma araçları arasındadır. Denetçiler, bilgisayara virüs bulaşmadığında diskin programlarının, dizinlerinin ve sistem alanlarının ilk durumunu hatırlar ve ardından periyodik olarak veya kullanıcının isteği üzerine mevcut durumu ilk durumla karşılaştırır. Algılanan değişiklikler monitör ekranında görüntülenir. Kural olarak, işletim sistemi yüklendikten hemen sonra durumlar karşılaştırılır. Karşılaştırılırken dosya uzunluğu, döngüsel kontrol kodu (dosya sağlama toplamı), değişiklik tarihi ve saati ve diğer parametreler kontrol edilir. Denetçi programları oldukça gelişmiş algoritmalara sahiptir, gizli virüsleri algılar ve hatta taranan programın sürümündeki değişiklikleri virüsün getirdiği değişikliklerden temizleyebilir. Rusya'da yaygın olarak kullanılan Adinf programı denetçi programlarından biridir.

Filtreler veya "bekçi köpekleri", bilgisayar çalışması sırasında tipik olarak virüs olan şüpheli eylemleri algılamak için tasarlanmış küçük yerleşik programlardır. Bu tür eylemler şunlar olabilir:

COM, EXE uzantılı dosyaları düzeltme girişimleri

Dosya özniteliklerini değiştirme

Mutlak adreste diske doğrudan yazma

Diskin önyükleme sektörlerine yazma

Herhangi bir program belirtilen eylemleri gerçekleştirmeye çalıştığında, "bekçi" kullanıcıya bir mesaj gönderir ve ilgili eylemi yasaklamayı veya izin vermeyi teklif eder. Filtreler çok kullanışlıdır çünkü bir virüsü çoğalmadan önce varlığının çok erken bir aşamasında tespit edebilirler. Ancak, dosyaları ve diskleri "düzeltmezler". Virüsleri yok etmek için fajlar gibi diğer programları kullanmanız gerekir.

Aşılar veya bağışıklayıcılar, dosyaların bulaşmasını önleyen TSR programlarıdır. Bu virüsü "tedavi eden" bir doktor programı yoksa aşılar kullanılır. Aşılama sadece bilinen virüslere karşı mümkündür. Aşı, programı veya diski, çalışmalarını etkilemeyecek şekilde değiştirir ve virüs onları enfekte olarak algılar ve bu nedenle devreye girmez. Aşı programları şu anda sınırlı kullanımdadır.

Virüs bulaşmış dosya ve disklerin zamanında tespiti, her bilgisayarda tespit edilen virüslerin tamamen ortadan kaldırılması, virüs salgınının diğer bilgisayarlara yayılmasını önlemeye yardımcı olur.

Antivirüs yazılımı, virüslere karşı mücadelede ana silahtır. Çeşitli gizleme yöntemleri kullanan virüsler de dahil olmak üzere yalnızca virüsleri algılamaya değil, aynı zamanda bilgisayardan kaldırmaya da izin verirler. Son işlem oldukça karmaşık olabilir ve biraz zaman alabilir.