Klasifikacija antivirusnog softvera sa primjerima. Klasifikacija, karakteristike, primjeri. Softverski proizvodi bazirani na Bitdefender tehnologijama

Osnovne metode za otkrivanje virusa

antivirusni programi su se razvijali paralelno sa evolucijom virusa. Kako su se pojavile nove tehnologije za stvaranje virusa, matematički aparat koji je korišten u razvoju antivirusa postajao je sve složeniji.

Prvi antivirusni algoritmi izgrađeni su na osnovu poređenja sa standardom. Govorimo o programima u kojima je virus određen klasičnim kernelom pomoću neke maske. Smisao algoritma je korištenje statističkih metoda. Maska bi, s jedne strane, trebala biti mala kako bi veličina datoteke bila prihvatljiva, a s druge strane dovoljno velika da se izbjegnu lažni pozitivni rezultati (kada se "prijatelj" percipira kao "vanzemaljac", i obrnuto).

Prvi antivirusni programi izgrađeni na ovom principu (tzv. skeneri polifaga) poznavali su određeni broj virusa i mogli su ih liječiti. Ovi programi su kreirani na sljedeći način: programer, nakon što je primio virusni kod (šifra virusa je u početku bio statičan), sastavio je jedinstvenu masku iz ovog koda (niz od 10-15 bajtova) i unio je u bazu podataka antivirusnog programa. -virusni program. Antivirusni program je skenirao datoteke i, ako je pronašao ovaj niz bajtova, zaključio je da je datoteka zaražena. Ova sekvenca (potpis) je odabrana na takav način da je jedinstvena i da se ne pojavljuje u redovnom skupu podataka.

Opisani pristupi većina antivirusnih programa koristila se sve do sredine 90-ih, kada su se pojavili prvi polimorfni virusi koji su mijenjali svoje tijelo prema unaprijed nepredvidivim algoritmima. U to vrijeme metoda potpisivanja je dopunjena takozvanim emulatorom procesora, koji je omogućio pronalaženje šifriranih i polimorfnih virusa koji nisu eksplicitno imali trajni potpis.

Princip emulacije procesora prikazan je na Sl. jedan . Ako se obično uslovni lanac sastoji od tri glavna elementa: CPU®OS®Programa, onda kada se emulira procesor, u takav lanac se dodaje emulator. Emulator, takoreći, reprodukuje rad programa u nekom virtuelnom prostoru i rekonstruiše njegov originalni sadržaj. Emulator je uvijek u mogućnosti da prekine izvršavanje programa, kontrolira njegove radnje ne dopuštajući da se bilo šta pokvari i poziva antivirusni mehanizam za skeniranje.

Drugi mehanizam, koji se pojavio sredinom 1990-ih i koji koriste svi antivirusi, je heuristička analiza. Činjenica je da aparat za emulaciju procesora, koji vam omogućava da dobijete sažetak radnji koje analizira program, ne omogućava uvijek traženje ovih radnji, već vam omogućava da izvršite neku analizu i iznesete hipotezu poput “virus ili ne virus?”.

U ovom slučaju, odlučivanje se zasniva na statističkim pristupima. A odgovarajući program se zove heuristički analizator.

Da bi se reprodukovao, virus mora izvršiti neke specifične radnje: kopiranje u memoriju, pisanje u sektore itd. Heuristički analizator (dio je antivirusnog motora) sadrži listu takvih radnji, pregledava programski kod koji se izvršava, utvrđuje šta radi i na osnovu toga odlučuje da li ovaj program virus ili ne.

Istovremeno, postotak preskakanja virusa, čak i nepoznat antivirusnom programu, vrlo je mali. Ova tehnologija se sada široko koristi u svim antivirusnim programima.

Klasifikacija antivirusnih programa

antivirusni programi su klasifikovani na čiste antiviruse i antiviruse dvostruke namjene (slika 2).

Čiste antiviruse odlikuje prisutnost antivirusnog mehanizma koji obavlja funkciju skeniranja po obrascima. Osnovna stvar u ovom slučaju je da je liječenje moguće ako je virus poznat. Čisti antivirusi se, pak, dijele u dvije kategorije prema vrsti pristupa datotekama: oni koji kontroliraju pristup (na pristup) ili na zahtjev (na zahtjev). Obično se proizvodi na pristup nazivaju monitori, a proizvodi na zahtjev se nazivaju skeneri.

Proizvod na zahtjev radi prema sljedećoj shemi: korisnik želi nešto provjeriti i izdaje zahtjev (zahtjev), nakon čega se vrši provjera. Proizvod na pristupu je rezidentni program koji nadgleda pristup i vrši provjeru u trenutku pristupa.

Osim toga, antivirusni programi, poput virusa, mogu se podijeliti ovisno o platformi unutar koje se nalazi ovaj antivirus radi. U tom smislu, uz Windows ili Linux, platforme mogu uključivati ​​Microsoft Exchange Server, Microsoft office, Lotus Notes.

Programi dvostruke namjene su programi koji se koriste u antivirusnom i neantivirusnom softveru. Na primjer, CRC-checker - inspektor promjena zasnovan na kontrolnoj sumi - može se koristiti ne samo za hvatanje virusa. Različiti programi dvostruke namjene su blokatori ponašanja koji analiziraju ponašanje drugih programa i, ako se otkriju sumnjive radnje, blokiraju ih. Bihevioralni blokatori se razlikuju od klasičnog antivirusa sa antivirusnom jezgrom koja prepoznaje i liječi viruse koji su laboratorijski analizirani i za koje je propisan algoritam liječenja, bihevioralni blokatori ne znaju kako liječiti viruse, jer ne znaju ništa o njima. Ovo svojstvo blokatora omogućava im rad sa svim virusima, uključujući i nepoznate. Ovo je danas od posebnog značaja, jer distributeri virusa i antivirusa koriste iste kanale za prenos podataka, odnosno Internet. Istovremeno, antivirusnoj kompaniji uvijek treba vremena da preuzme sam virus, analizira ga i napiše odgovarajuće module za liječenje. Programi iz grupe dvostruke namjene samo vam omogućavaju da blokirate širenje virusa dok kompanija ne napiše modul za liječenje.

Pregled najpopularnijih ličnih antivirusa

Recenzija uključuje najpopularnije antiviruse za ličnu upotrebu od pet poznatih programera. Treba napomenuti da neke od kompanija o kojima se govori u nastavku nude nekoliko verzija ličnih programa koji se razlikuju po funkcionalnosti i, shodno tome, cijeni. U našoj recenziji smo pogledali po jedan proizvod svake kompanije, birajući najfunkcionalniju verziju, koja se u pravilu zove Personal Pro. Ostale lične antivirusne opcije možete pronaći na odgovarajućim web stranicama.

Kaspersky Anti-Virus

Personal Prov. 4.0

Programer: Kaspersky Lab. Sajt: http://www.kaspersky.ru/ . Cijena $69 (licenca na 1 godinu).

Kaspersky Anti-Virus Personal Pro (slika 3) je jedno od najpopularnijih rješenja na ruskom tržištu i sadrži niz jedinstvenih tehnologija.

Blokator ponašanja Modul Office Guard kontroliše izvršavanje makroa, sprečavajući sve sumnjive radnje. Prisustvo Office Guard modula pruža 100% zaštitu od makro virusa.

Inspektor prati sve promjene na vašem računalu i, ako se otkriju neovlaštene promjene u datotekama ili u sistemski registar omogućava vam da vratite sadržaj diska i uklonite zlonamjerne kodove. Inspector ne zahtijeva ažuriranje antivirusne baze podataka: kontrola integriteta se vrši na osnovu uzimanja originalnih otisaka fajlova (CRC-suma) i njihovog naknadnog poređenja sa modifikovanim fajlovima. Za razliku od drugih revizora, Inspector podržava sve najpopularnije formate izvršnih datoteka.

Heuristički analizator omogućava zaštitu vašeg računara čak i od nepoznatih virusa.

Monitor pozadinski presretač virusa, koji je trajno prisutan u memoriji računara, vrši antivirusno skeniranje svih fajlova u trenutku kada su pokrenuti, kreirani ili kopirani, što vam omogućava da kontrolišete sve operacije sa datotekama i sprečite infekciju čak i od tehnološki najnaprednijih virusi.

Antivirusno filtriranje e-pošte sprečava viruse da uđu na vaš računar. Dodatak za provjeru pošte ne samo da uklanja viruse iz tijela e-pošte, već i potpuno vraća originalni sadržaj e-pošte. Sveobuhvatno skeniranje prepiske pošte sprječava da se virus sakrije u bilo kojem elementu e-pošte skeniranjem svih dijelova dolaznih i odlaznih poruka, uključujući priložene datoteke (uključujući arhivirane i upakovane) i druge poruke bilo kojeg nivoa ugniježđenja.

Antivirus Scanner omogućava da se izvrši skeniranje celog sadržaja lokalnih i mrežnih diskova na zahtev.

Presretač Script Checker pruža antivirusne provjere svih pokrenutih skripti prije nego što se izvrše.

Podrška za arhivirane i komprimirane datoteke pruža mogućnost uklanjanja zlonamjernog koda iz zaražene komprimirane datoteke.

Izolacija zaraženih objekata omogućava izolaciju zaraženih i sumnjivih objekata sa njihovim naknadnim prijenosom u posebno organizirani direktorij za dalju analizu i oporavak.

Automatizacija antivirusne zaštite omogućava vam da kreirate raspored i redosled komponenti programa; automatsko preuzimanje i povezivanje novih ažuriranja antivirusnih baza podataka putem Interneta; slati upozorenja o otkrivenim virusnim napadima na e-mail itd.

Norton AntiVirus 2003 Professional Edition

Programer: Symantec. Web stranica: http://www.symantec.ru/ .

Cijena je 89,95 eura.

Program radi ispod Windows kontrola 95/98/Me/NT4.0/2000 Pro/XP.

Cijena 39,95 $

Program radi pod Windows 95/98/Me/NT4.0/2000 Pro/XP.

Antivirusni program (antivirus) - program za otkrivanje i uklanjanje računalnih virusa i drugih zlonamjernih programa, sprječavanje njihovog širenja, kao i vraćanje programa zaraženih njima.

Glavni zadaci modernih antivirusnih programa:

• -- Skenirajte datoteke i programe u realnom vremenu.
• -- Skeniranje računara na zahtjev.
• -- Skeniranje internet saobraćaja.
• -- Skeniranje e-pošte.
• -- Zaštita od napada opasnih web stranica.
• -- Oporavak oštećenih fajlova (tretman).

Klasifikacija antivirusnih programa:

• · detektorski programi pružaju pretragu i otkrivanje virusa u ram memorija i na vanjskim medijima, a nakon detekcije, izdaju odgovarajuću poruku. Postoje detektori:
  • 1. univerzalni - koriste u svom radu za provjeru nepromjenjivosti datoteka prebrojavanjem i poređenjem sa standardom kontrolne sume
  • 2. specijalizovana- traženje poznatih virusa po njihovom potpisu (odjeljak koda koji se ponavlja). Nedostatak ovakvih detektora je što nisu u stanju otkriti sve poznate viruse.

Detektor koji može otkriti nekoliko virusa naziva se polidetektor. Nedostatak takvih antivirusnih programa je što mogu pronaći samo viruse koji su poznati programerima takvih programa.

• · Programi doktora (fagi) ne samo da pronađu datoteke zaražene virusom, već ih i "liječe", tj. uklonite tijelo virusnog programa iz datoteke, vraćajući datoteke u prvobitno stanje. Na početku svog rada, fagi traže viruse u RAM-u, uništavaju ih, a tek onda prelaze na "liječenje" datoteka. Među fagima se razlikuju polifagi, tj. doktorski programi dizajnirani da pronađu i unište veliki broj virusa. S obzirom na to da se novi virusi stalno pojavljuju, programi za detekciju i doktorski programi brzo zastarevaju i potrebno je redovno ažuriranje njihovih verzija.
• · Programi revizora spadaju među najpouzdanija sredstva zaštite od virusa. Revizori pamte početno stanje programa, direktorija i sistemskih područja diska kada računar nije zaražen virusom, a zatim povremeno ili na zahtjev korisnika upoređuju trenutno stanje sa originalnim. Otkrivene promjene se prikazuju na ekranu monitora. Po pravilu se poređenje stanja vrši odmah nakon učitavanja operativni sistem. Prilikom poređenja provjerava se dužina datoteke, ciklički kontrolni kod (kontrolna suma datoteke), datum i vrijeme izmjene i drugi parametri.
• · Filtriraj programe (pas čuvar) su mali rezidentni programi dizajnirani da otkriju sumnjivu kompjutersku aktivnost koja je karakteristična za viruse. Takve radnje mogu biti:
  • 1. pokušava ispraviti datoteke sa COM i EXE ekstenzijama;
  • 2. promjena atributa datoteke;
  • 3. direktno upisivanje na disk na apsolutnoj adresi;
  • 4. upisivanje u boot sektore diska;

Programi vakcinacije (imunizatori) su rezidentni programi koji sprečavaju infekciju datoteka. Vakcine se koriste ako ne postoje doktorski programi koji "liječe" ovaj virus. Vakcinacija je moguća samo protiv poznatih virusa. Vakcina modificira program ili disk na takav način da ne utječe na njihov rad, a virus će ih doživjeti kao zaražene i stoga se neće ukorijeniti. Značajan nedostatak ovakvih programa je njihova ograničena sposobnost sprječavanja infekcije velikim brojem različitih virusa.

Funkcije antivirusnih programa

Zaštita od virusa u realnom vremenu

Većina antivirusnih programa nudi zaštitu u realnom vremenu. To znači da antivirusni program svake sekunde štiti vaš računar od svih dolaznih prijetnji. Stoga, čak i ako virus nije zarazio vaš računar, trebalo bi da razmislite o instaliranju antivirusnog programa sa zaštitom u realnom vremenu kako biste sprečili dalje širenje infekcije.

Otkrivanje prijetnje

Antivirusni programi mogu skenirati cijeli vaš računar na viruse. Prije svega, skeniraju se najranjivija područja, sistemske mape i RAM. Također možete sami odabrati sektore skeniranja ili odabrati, na primjer, da provjerite određene tvrdi disk. Međutim, nisu svi antivirusni programi isti u svojim algoritmima, a neki antivirusni programi imaju veće stope otkrivanja od drugih.

Automatska ažuriranja

Novi virusi se stvaraju i pojavljuju svaki dan. Stoga je izuzetno važno da antivirusni programi mogu ažurirati antivirusne baze podataka (lista svih poznatih virusa, kako starih tako i novih). Automatsko ažuriranje je neophodno jer zastarjeli antivirusni program ne može otkriti nove viruse i prijetnje. Takođe, ako antivirusni program nudi samo ručna ažuriranja, možda ćete zaboraviti ažurirati antivirusne definicije i vaš računar se može zaraziti novim virusom. Pokušajte odabrati antivirusni program sa automatskim ažuriranjima.

Alerts

Antivirus će vas upozoriti kada bilo koji program pokuša da pristupi vašem računaru. Internet aplikacije su primjer. Mnogi programi koji pokušavaju da pristupe vašem računaru su bezopasni ili ste ih sami preuzeli, pa vam antivirusni programi daju mogućnost da sami odlučite da li ćete dozvoliti ili blokirati njihovu instalaciju ili rad.

Antivirusna zaštita je najčešća mjera za osiguranje informacione sigurnosti IT infrastrukture u korporativnom sektoru. Međutim, samo 74% ruskih kompanija koristi antivirusna rješenja za zaštitu, pokazala je studija koju je sprovela Kaspersky Lab zajedno sa analitičkom kompanijom B2B International (jesen 2013.).

U izvještaju se također navodi da usred eksplozije sajber prijetnji od kojih su kompanije zaštićene jednostavnim antivirusima, ruske kompanije sve više koriste složene alate za zaštitu. Uglavnom iz tog razloga, upotreba alata za enkripciju podataka na prenosivim medijima porasla je za 7% (24%). Osim toga, kompanije su postale spremnije da razgraniče sigurnosne politike za uklonjive uređaje. Povećana je i diferencijacija nivoa pristupa različitim dijelovima IT infrastrukture (49%). Istovremeno, mala i srednja preduzeća više pažnje posvećuju kontroli prenosivih uređaja (35%) i kontroli aplikacija (31%).

Istraživači su također otkrili da uprkos stalnom otkrivanju novih ranjivosti u softveru, ruske kompanije i dalje ne obraćajući dovoljno pažnje na redovno ažuriranje softvera. Štaviše, broj organizacija za zakrpe je smanjen u odnosu na prošlu godinu na samo 59%.

Moderni antivirusni programi su u stanju da efikasno otkriju zlonamerne objekte unutar programskih datoteka i dokumenata. U nekim slučajevima, antivirus može ukloniti tijelo zlonamjernog objekta iz zaražene datoteke, vraćajući samu datoteku. U većini slučajeva, antivirusni program može ukloniti zlonamjerni programski objekt ne samo iz programske datoteke, već i iz datoteke. kancelarijski dokument bez narušavanja njenog integriteta. Upotreba antivirusnih programa ne zahtijeva visoke kvalifikacije i dostupna je gotovo svakom korisniku računara.

Većina antivirusnih softvera kombinuje zaštitu u realnom vremenu (antivirusni monitor) i zaštitu na zahtev (antivirusni skener).

Antivirusni rejting

2019: Dvije trećine antivirusa za Android bilo je beskorisno

U martu 2019. godine, AV-Comparatives, austrijska laboratorija specijalizovana za testiranje antivirusnog softvera, objavila je rezultate studije koja je pokazala beskorisnost većine takvih programa za Android.

Samo 23 antivirusa koja se nalaze u službenom katalogu Google Play Store-a precizno prepoznaju zlonamjerni softver u 100% slučajeva. Ostatak softvera ili ne reaguje na mobilne prijetnje, ili za njih uzima apsolutno sigurne aplikacije.

Stručnjaci su proučavali 250 antivirusa i izvijestili da samo 80% njih može otkriti više od 30% zlonamjernog softvera. Tako je 170 aplikacija palo na testu. Proizvodi koji su prošli testove uglavnom su bila rješenja velikih proizvođača, uključujući Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro i Trustwave.

Kao dio eksperimenta, istraživači su instalirali svaku antivirusnu aplikaciju na poseban uređaj (bez emulatora) i automatizirali uređaje za pokretanje pretraživača, preuzimanje i zatim instaliranje zlonamjernog softvera. Svaki uređaj je testiran na 2.000 najzastupljenijih Android virusa u 2018.

Prema proračunima AV-Comparatives, većina Android antivirusnih rješenja je falsifikat. Deseci aplikacija imaju gotovo identično sučelje, a njihove kreatore očito više zanima prikazivanje reklama nego pisanje funkcionalnog skenera za viruse.

Neki antivirusi "vide" prijetnju u bilo kojoj aplikaciji koja nije uključena u njihovu "bijelu listu". Zbog toga su, u nizu vrlo anegdotnih slučajeva, digli uzbunu zbog vlastitih fajlova, budući da su programeri zaboravili da ih navedu na "bijeloj listi".

2017: Microsoft Security Essentials je prepoznat kao jedan od najgorih antivirusa

U oktobru 2017. godine, njemački antivirusni laboratorij AV-Test objavio je rezultate sveobuhvatnog antivirusnog testiranja. Prema studiji, Microsoftov vlasnički softver dizajniran za zaštitu od zlonamjernih aktivnosti gotovo je najgori u obavljanju svog posla.

Prema rezultatima testova sprovedenih u julu-avgustu 2017. godine, stručnjaci AV-Test-a proglasili su Kaspersky Internet Security najboljim antivirusom za Windows 7, koji je dobio 18 poena pri ocjeni nivoa zaštite, performansi i jednostavnosti korišćenja.

Među prva tri su bili Trend Micro Internet Security i Bitdefender Internet Security, koji su osvojili po 17,5 bodova. Položaj proizvoda drugih antivirusnih kompanija koje su bile uključene u studiju možete pronaći na ilustracijama u nastavku:

Mnogi skeneri također koriste heurističke algoritme skeniranja, tj. analiza redoslijeda naredbi u provjerenom objektu, prikupljanje neke statistike i donošenje odluka za svaki provjereni objekt.

Skeneri se također mogu podijeliti u dvije kategorije - univerzalne i specijalizirane. Univerzalni skeneri su dizajnirani da traže i neutrališu sve vrste virusa, bez obzira na operativni sistem na kojem je skener dizajniran da radi. Specijalizirani skeneri su dizajnirani da neutraliziraju ograničen broj virusa ili samo jednu klasu njih, kao što su makro virusi.

Skeneri se također dijele na rezidentne (monitori), koji skeniraju u hodu, i nerezidentne, koji provjeravaju sistem samo na zahtjev. Po pravilu, rezidentni skeneri pružaju pouzdaniju zaštitu sistema, jer odmah reaguju na pojavu virusa, dok je nerezidentni skener u stanju da identifikuje virus tek prilikom njegovog sledećeg pokretanja.

CRC skeneri

Princip rada CRC skenera zasniva se na izračunavanju CRC suma (kontrolnih suma) za fajlove/sistemske sektore prisutne na disku. Ovi CRC sumi se zatim pohranjuju u antivirusnu bazu podataka, kao i neke druge informacije: dužine datoteka, datumi njihove posljednje izmjene itd. Sljedeći put kada se pokrenu CRC skeneri, oni provjeravaju podatke sadržane u bazi podataka sa stvarnim izbrojanim vrijednostima. Ako informacije o datoteci zabilježene u bazi podataka ne odgovaraju stvarnim vrijednostima, onda CRC skeneri signaliziraju da je datoteka izmijenjena ili zaražena virusom.

CRC skeneri nisu u stanju da uhvate virus u trenutku njegovog pojavljivanja u sistemu, već to rade tek nakon nekog vremena, nakon što se virus proširi po računaru. CRC skeneri ne mogu otkriti virus u novim datotekama (u e-pošti, na disketama, u datotekama vraćenim iz sigurnosne kopije ili prilikom raspakivanja datoteka iz arhive), jer njihove baze podataka nemaju informacije o tim datotekama. Štaviše, periodično se pojavljuju virusi koji koriste ovu slabost CRC skenera, inficiraju samo novostvorene datoteke i tako im ostaju nevidljivi.

Blokatori

Antivirusni blokatori su rezidentni programi koji presreću situacije opasne od virusa i o tome obavještavaju korisnika. Pozivi opasni za viruse uključuju pozive za otvaranje radi upisivanja u izvršne datoteke, pisanje u sektore za pokretanje diskova ili MBR tvrdog diska, pokušaje programa da ostanu rezidentni, itd., odnosno pozive koji su tipični za viruse na vrijeme reprodukcije.

Prednosti blokatora uključuju njihovu sposobnost da otkriju i zaustave virus u najranijoj fazi njegove reprodukcije. Nedostaci uključuju postojanje načina da se zaobiđe zaštita blokatora i veliki broj lažnih pozitivnih rezultata.

Imunizatori

Imunizatori su podijeljeni u dvije vrste: imunizatori koji prijavljuju infekciju i imunizatori koji blokiraju infekciju. Prvi se obično pišu na kraj fajlova (po principu fajl virusa) i svaki put kada se fajl pokrene, provjerava se ima li promjena. Nedostatak takvih imunizatora je samo jedan, ali je smrtonosan: apsolutna nemogućnost prijavljivanja infekcije skrivenim virusom. Stoga se takvi imunizatori, kao i blokatori, trenutno praktički ne koriste.

Drugi tip imunizacije štiti sistem od napada određene vrste virusa. Datoteke na diskovima se modificiraju na način da ih virus smatra već zaraženim. Radi zaštite od rezidentnog virusa, program koji imitira kopiju virusa unosi se u memoriju računara. Kada se pokrene, virus naiđe na njega i vjeruje da je sistem već zaražen.

Ova vrsta imunizacije ne može biti univerzalna, jer je nemoguće imunizirati fajlove protiv svih poznatih virusa.

Klasifikacija antivirusa na osnovu vremenske varijabilnosti

Prema Valeryju Konyavskyju, antivirusni alati se mogu podijeliti u dvije velike grupe - analizu podataka i analizu procesa.

Analiza podataka

Analiza podataka uključuje revizore i polifage. Revizori analiziraju posljedice djelovanja kompjuterskih virusa i drugih zlonamjernih programa. Posljedice se pokazuju u promjeni podataka koji se ne bi trebali mijenjati. Upravo činjenica promjene podataka je znak aktivnosti zlonamjernih programa sa stanovišta revizora. Drugim riječima, revizori kontrolišu integritet podataka i nakon kršenja integriteta donose odluku o prisutnosti malvera u računarskom okruženju.

Polifagi djeluju drugačije. Na osnovu analize podataka identificiraju fragmente zlonamjernog koda (na primjer, po njegovom potpisu) i na osnovu toga donose zaključak o prisutnosti zlonamjernih programa. Brisanje ili dezinfekcija podataka zaraženih virusom pomaže u sprječavanju negativnih posljedica izvršenja zlonamjernog softvera. Tako se na osnovu analize u statici sprječavaju posljedice koje nastaju u dinamici.

Šema rada i revizora i polifaga je skoro ista - da se uporede podaci (ili njihov kontrolni zbir) sa jednim ili više referentnih uzoraka. Podaci se porede sa podacima. Dakle, da biste pronašli virus u vašem računaru, potrebno je da je već proradio kako bi se pojavile posljedice njegove aktivnosti. Ova metoda može pronaći samo poznate viruse za koje su fragmenti koda ili potpisi prethodno opisani. Malo je vjerovatno da se takva zaštita može nazvati pouzdanom.

Analiza procesa

Antivirusni alati zasnovani na analizi procesa rade nešto drugačije. Heuristički analizatori, poput onih koji su gore opisani, analiziraju podatke (na disku, u kanalu, u memoriji, itd.). Osnovna razlika je u tome što se analiza provodi pod pretpostavkom da kod koji se analizira nisu podaci, već naredbe (kod računala s von Neumannovom arhitekturom podaci i komande se ne mogu razlikovati, pa se stoga mora iznijeti jedna ili ona pretpostavka tokom analize.)

Heuristički analizator bira niz operacija, svakoj od njih dodeljuje određenu ocenu opasnosti i, na osnovu ukupne opasnosti, odlučuje da li je ovaj niz operacija deo zlonamernog koda. Sam kod se ne izvršava.

Druga vrsta antivirusnih alata zasnovanih na analizi procesa su blokatori ponašanja. U ovom slučaju, sumnjivi kod se izvršava korak po korak sve dok se skup akcija koje je pokrenuo kod ne procijeni kao opasno (ili sigurno) ponašanje. U ovom slučaju, kod se djelomično izvršava, jer se završetak zlonamjernog koda može otkriti jednostavnijim metodama analize podataka.

Tehnologije za otkrivanje virusa

Tehnologije koje se koriste u antivirusnim programima mogu se podijeliti u dvije grupe:

• Tehnologije analize potpisa
• Tehnologije vjerovatnoće analize

Tehnologije analize potpisa

Analiza potpisa je metoda otkrivanja virusa koja provjerava prisutnost virusnih potpisa u datotekama. Analiza potpisa je najpoznatija metoda otkrivanja virusa i koristi se u gotovo svim modernim antivirusima. Da bi izvršio skeniranje, antivirusu je potreban skup virusnih potpisa, koji je pohranjen u antivirusnoj bazi podataka.

Zbog činjenice da analiza potpisa uključuje provjeru datoteka za virusne potpise, antivirusnu bazu podataka treba periodično ažurirati kako bi antivirusni program bio ažuran. Sam princip analize potpisa definiše i granice njegove funkcionalnosti - mogućnost otkrivanja samo poznatih virusa - skener potpisa je nemoćan protiv novih virusa.

S druge strane, prisustvo potpisa virusa implicira mogućnost liječenja zaraženih datoteka otkrivenih analizom potpisa. Međutim, ne mogu se svi virusi izliječiti – trojanci i većina crva ne mogu se izliječiti zbog svojih dizajnerskih karakteristika, jer su to integralni moduli stvoreni da uzrokuju štetu.

Kompetentna implementacija virusnog potpisa omogućava otkrivanje poznatih virusa sa 100% sigurnošću.

Tehnologije vjerovatnoće analize

Tehnologije vjerovatnoće analize, zauzvrat, podijeljene su u tri kategorije:

• Heuristička analiza
• Analiza ponašanja
• Checksum Analysis

Heuristička analiza

Heuristička analiza je tehnologija zasnovana na probabilističkim algoritmima, čiji je rezultat identifikacija sumnjivih objekata. Heuristička analiza provjerava strukturu datoteke i njenu usklađenost s predlošcima virusa. Najpopularnija heuristička tehnika je provjera sadržaja datoteke da li postoje modifikacije već poznatih virusnih potpisa i njihovih kombinacija. Ovo pomaže u otkrivanju hibrida i novih verzija ranije poznatih virusa bez dodatnog ažuriranja antivirusne baze podataka.

Heuristička analiza se koristi za otkrivanje nepoznatih virusa i, kao rezultat, ne uključuje liječenje. Ova tehnologija nije u stanju 100% odrediti virus ispred sebe ili ne, a kao i svaki probabilistički algoritam griješi lažno pozitivnim rezultatima.

Analiza ponašanja

Analiza ponašanja je tehnologija u kojoj se odluka o prirodi objekta koji se provjerava donosi na osnovu analize operacija koje obavlja. Analiza ponašanja ima vrlo usku praktičnu primjenu, budući da se većina radnji tipičnih za viruse može izvesti običnim aplikacijama. Bihevioralni analizatori skripti i makroa su najpoznatiji, budući da odgovarajući virusi gotovo uvijek izvode niz sličnih radnji.

Sigurnosne funkcije ugrađene u BIOS se također mogu klasificirati kao analizatori ponašanja. Kada se pokuša izvršiti promjena MBR-a računala, analizator blokira radnju i prikazuje odgovarajuće obavještenje korisniku.

Osim toga, analizatori ponašanja mogu pratiti pokušaje direktnog pristupa datotekama, promjene u zapisu pokretanja disketa, formatiranje tvrdi diskovi itd.

Analizatori ponašanja ne koriste dodatne objekte kao što su baze podataka virusa za svoj rad i, kao rezultat toga, nisu u stanju da razlikuju poznate i nepoznate viruse – svi sumnjivi programi se a priori smatraju nepoznatim virusima. Slično tome, karakteristike rada alata koji implementiraju tehnologije bihevioralne analize ne podrazumijevaju tretman.

Checksum Analysis

Analiza kontrolne sume je način da se prate promene u objektima računarskog sistema. Na osnovu analize prirode promjena – istovremenost, masovnost, identične promjene dužine fajlova – može se zaključiti da je sistem zaražen. Analizatori kontrolne sume (koji se nazivaju i revizori promjena), poput analizatora ponašanja, ne koriste dodatne objekte u svom radu i donose presudu o prisutnosti virusa u sistemu isključivo putem recenzije. Slične tehnologije se koriste i u pristupnim skenerima - prilikom prve provjere iz datoteke se uzima kontrolna suma i stavlja u keš memoriju, prije sljedeće provjere iste datoteke ponovo se uzima kontrolna suma, upoređuje i ako nema promjena, datoteka se smatra nezaraženom.

Antivirusni kompleksi

Antivirusni kompleks - skup antivirusnih programa koji koriste isti antivirusni mehanizam ili motore, dizajniran za rješavanje praktičnih problema u osiguravanju antivirusne sigurnosti računalnih sistema. Antivirusni kompleks uključuje i alate za ažuriranje antivirusnih baza podataka.

Osim toga, antivirusni kompleks može dodatno uključivati ​​analizatore ponašanja i revizore promjena koji ne koriste antivirusni mehanizam.

Postoje sljedeće vrste antivirusnih kompleksa:

• Antivirusni kompleks za zaštitu radnih stanica
• Antivirusni kompleks za zaštitu servera datoteka
• Antivirusni kompleks za zaštitu mail sistema
• Antivirusni kompleks za zaštitu gateway-a.

Cloud naspram tradicionalnog antivirusnog programa za desktop računare: koji biste trebali odabrati?

(Prema izvoru Webroot.com)

Moderno tržište antivirusnih alata je prvenstveno tradicionalna rješenja za desktop sisteme, čiji su mehanizmi zaštite izgrađeni na osnovu metoda zasnovanih na potpisu. Alternativna metoda antivirusne zaštite je korištenje heurističke analize.

Problemi sa tradicionalnim antivirusnim softverom

Posljednjih godina tradicionalne antivirusne tehnologije postaju sve manje efikasne i brzo zastarjevaju, zbog niza faktora. Broj virusnih prijetnji identificiranih potpisima je već toliko velik da je često nerealan zadatak osigurati pravovremeno 100% ažuriranje baza podataka potpisa na korisničkim računarima. Hakeri i cyber kriminalci sve više koriste botnete i druge tehnologije kako bi ubrzali širenje virusnih prijetnji nultog dana. Osim toga, potpisi odgovarajućih virusa se ne kreiraju tokom ciljanih napada. Konačno, primjenjuju se nove tehnologije za detekciju virusa: šifriranje zlonamjernog softvera, kreiranje polimorfnih virusa na strani servera, preliminarno testiranje kvalitete virusnog napada.

Tradicionalna antivirusna zaštita se najčešće gradi u arhitekturi "debelog klijenta". To znači da je na računaru klijenta instalirano mnogo programskog koda. Provjerava dolazne podatke i otkriva prisutnost virusnih prijetnji.

Ovaj pristup ima niz nedostataka. Prvo, skeniranje u potrazi za zlonamjernim softverom i podudaranje potpisa zahtijeva značajno računarsko opterećenje, koje je „oduzeto“ korisniku. Kao rezultat, produktivnost računara se smanjuje, a rad antivirusa ponekad ometa paralelno izvršavanje primijenjenih zadataka. Ponekad je opterećenje na korisnikovom sistemu toliko uočljivo da korisnici isključuju antivirusne programe i na taj način uklanjaju barijeru potencijalnom napadu virusa.

Drugo, svako ažuriranje na mašini korisnika zahteva prenos hiljada novih potpisa. Količina prenesenih podataka je obično reda veličine 5 MB dnevno po mašini. Prijenos podataka usporava mrežu, preusmjerava dodatne sistemske resurse, zahtijeva uključivanje sistemskih administratora za kontrolu prometa.

Treće, korisnici koji su u romingu ili su udaljeni od svog fiksnog mjesta rada podložni su napadima nultog dana. Da bi primili ažurirani dio potpisa, moraju se povezati na VPN mrežu koja im nije dostupna daljinski.

Antivirusna zaštita iz oblaka

Prilikom prelaska na antivirusnu zaštitu iz oblaka, arhitektura rješenja se značajno mijenja. Na računaru korisnika je instaliran "lagani" klijent čija je glavna funkcija traženje novih datoteka, izračunavanje hash vrijednosti i slanje podataka na cloud server. U oblaku se vrši poređenje u punom obimu na velikoj bazi podataka prikupljenih potpisa. Ova baza podataka se stalno i pravovremeno ažurira podacima koje prenose antivirusne kompanije. Klijent dobija izvještaj sa rezultatima revizije.

Dakle, arhitektura oblaka antivirusne zaštite ima niz prednosti:

• obim proračuna na korisničkom računaru je zanemariv u poređenju sa debelim klijentom, stoga se produktivnost korisnika ne smanjuje;
• nema katastrofalnog uticaja antivirusnog saobraćaja na propusni opseg mreže: šalje se kompaktan deo podataka koji sadrži samo nekoliko desetina heš vrednosti, prosečan dnevni saobraćaj ne prelazi 120 KB;
• skladište u oblaku sadrži ogromne nizove potpisa, mnogo veće od onih pohranjenih na korisničkim računarima;
• algoritmi za poređenje potpisa koji se koriste u oblaku su znatno inteligentniji od pojednostavljenih modela koji se koriste na nivou lokalne stanice, a zbog većih performansi, poređenje podataka traje manje vremena;
• antivirusne usluge zasnovane na oblaku rade sa stvarnim podacima primljenim od antivirusnih laboratorija, sigurnosnih programera, korporativnih i privatnih korisnika; zero-day prijetnje se blokiraju istovremeno sa njihovim prepoznavanjem, bez odlaganja uzrokovanog potrebom za pristupom korisničkim računarima;
• korisnici koji su u romingu ili nemaju pristup svojim glavnim radnim mjestima dobijaju zaštitu od napada nultog dana u isto vrijeme kada pristupaju internetu;
• opterećenje sistemskih administratora je smanjeno: ne moraju trošiti vrijeme na instaliranje antivirusnog softvera na računare korisnika, kao i na ažuriranje baza podataka potpisa.

Zašto tradicionalni antivirusi ne uspijevaju

Savremeni zlonamjerni kod može:

• Zaobiđite antivirusne zamke kreiranjem posebnog ciljanog virusa za kompaniju
• Prije nego što antivirus kreira potpis, izbjeći će korištenjem polimorfizma, transkodiranja koristeći dinamički DNS i URL

• Kreiranje cilja za kompaniju
• Polimorfizam
• Šifra nepoznata nikome - bez potpisa

Teško za odbranu

Brzi antivirusi iz 2011

Ruski nezavisni informativno-analitički centar Anti-Malware.ru objavio je u maju 2011. rezultate još jednog uporednog testa 20 najpopularnijih antivirusa za performanse i potrošnju sistemskih resursa.

Svrha ovog testa je da pokaže koji lični antivirusi imaju najmanji uticaj na tipične radnje korisnika na računaru, manje „usporavaju“ njegov rad i troše minimalnu količinu sistemskih resursa.

Među antivirusnim monitorima (skenerima u realnom vremenu), cijela grupa proizvoda je pokazala vrlo visoke performanse, među njima: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro i Dr.Web. Sa ovim antivirusima, usporavanje kopiranja test kolekcije bilo je manje od 20% u poređenju sa benchmarkom. Antivirusni monitori BitDefender, PC Tools, Outpost, F-Secure, Norton i Emsisoft također su pokazali visoke rezultate u pogledu performansi, koji su pali u rasponu od 30-50%. Antivirusni monitori BitDefender, PC Tools, Outpost, F-Secure, Norton i Emsisoft također su pokazali visoke rezultate u pogledu performansi, koji su pali u rasponu od 30-50%.

Istovremeno, Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost i PC Tools mogu biti znatno brži u stvarnim uvjetima zahvaljujući njihovoj optimizaciji nakon provjere.

Avira antivirus pokazao je najbolju brzinu skeniranja na zahtjev. Malo iza njega bili su Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus i Outpost. Što se tiče brzine prvog skeniranja, ovi antivirusi su tek neznatno inferiorni od vodećih, a istovremeno svi imaju u svom arsenalu moćne tehnologije za optimizaciju ponovljenih skeniranja.

Još jedna važna karakteristika brzine antivirusa je njegov utjecaj na rad aplikacija s kojima korisnik često radi. Za test je izabrano njih pet: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader i Adobe Photoshop. Najmanje usporavanje u lansiranju ovih kancelarijski programi pokazao antiviruse Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost i G Data.

UVOD

Živimo na prijelazu dva milenijuma, kada je čovječanstvo ušlo u eru nove naučne i tehnološke revolucije.

Do kraja dvadesetog veka, ljudi su savladali mnoge tajne transformacije materije i energije i mogli su da koriste ovo znanje da poboljšaju svoje živote. Ali pored materije i energije, još jedna komponenta igra ogromnu ulogu u ljudskom životu - informacija. To je širok izbor informacija, poruka, vijesti, znanja, vještina.

Sredinom našeg stoljeća pojavili su se posebni uređaji - kompjuteri usmjereni na pohranjivanje i pretvaranje informacija i dogodila se kompjuterska revolucija.

Danas široka upotreba personalni računari, nažalost, pokazalo se da je povezano s pojavom samoreproducirajućih virusnih programa koji sprječavaju normalan rad računala, uništavaju strukturu datoteka diskova i oštećuju informacije pohranjene u računalu.

Uprkos zakonima usvojenim u mnogim zemljama za borbu protiv kompjuterskog kriminala i razvoj specijal softverski alati zaštite od virusa, broj novih softverskih virusa stalno raste. Ovo zahtijeva od korisnika osobnog računala da bude upućen u prirodu virusa, kako da zarazi i zaštiti od virusa. To je bio podsticaj za odabir teme mog rada.

To je ono o čemu govorim u svom eseju. Prikazujem glavne vrste virusa, razmatram šeme njihovog funkcionisanja, razloge njihovog pojavljivanja i načine prodiranja u kompjuter, a takođe predlažem mere za zaštitu i prevenciju.

Svrha rada je upoznati korisnika sa osnovama kompjuterske virologije, naučiti kako da otkrije viruse i bori se protiv njih. Metoda rada je analiza štampanih publikacija na ovu temu. Bio sam pred teškim zadatkom - pričati o onome što je vrlo malo proučavano i kako se to dogodilo - ti budi sudija.

1. KOMPJUTERSKI VIRUSI I NJIHOVA SVOJSTVA I KLASIFIKACIJA

1.1. Svojstva kompjuterskih virusa

Sada se koriste personalni računari u kojima korisnik ima slobodan pristup svim resursima mašine. To je ono što je otvorilo mogućnost opasnosti koja je postala poznata kao kompjuterski virus.

Šta je kompjuterski virus? Formalna definicija ovog pojma još nije izmišljena, a postoje ozbiljne sumnje da se ona uopće može dati. Brojni pokušaji da se da "moderna" definicija virusa nisu bili uspješni. Da biste osjetili složenost problema, pokušajte, na primjer, definirati pojam "urednika". Ili smislite nešto vrlo uopšteno, ili počnete sve nabrajati. poznate vrste urednici. I jedno i drugo se teško može smatrati prihvatljivim. Stoga ćemo se ograničiti na razmatranje nekih svojstava kompjuterskih virusa koja nam omogućavaju da o njima govorimo kao o određenoj specifičnoj klasi programa.

Prije svega, virus je program. Sama takva jednostavna izjava može razbiti mnoge legende o izvanrednim sposobnostima kompjuterskih virusa. Virus može okrenuti sliku na vašem monitoru, ali ne može okrenuti sam monitor. Legende o virusima ubicama „koji uništavaju operatere prikazujući smrtonosnu šemu boja na 25. kadru“ takođe ne treba uzimati ozbiljno. Nažalost, neke autoritativne publikacije s vremena na vrijeme objavljuju "najnovije vijesti sa kompjuterskog fronta", za koje se, pomnijim razmatranjem, ispostavi da su rezultat ne sasvim jasnog razumijevanja teme.

Virus je program koji ima sposobnost da se sam reproducira. Ova sposobnost je jedino sredstvo svojstveno svim vrstama virusa. Ali nisu samo virusi sposobni za samoreplikaciju. Svaki operativni sistem i mnogi drugi programi mogu kreirati sopstvene kopije. Kopije istog virusa ne samo da ne moraju u potpunosti odgovarati originalu, već mu se možda uopće ne poklapaju!

Virus ne može postojati u "potpunoj izolaciji": danas se ne može zamisliti virus koji ne koristi kod drugih programa, informacije o strukturi datoteka ili čak samo imena drugih programa. Razlog je jasan: virus mora nekako osigurati prijenos kontrole na sebe.

1.2. Klasifikacija virusa

Trenutno je poznato više od 5.000 softverskih virusa, koji se mogu klasificirati prema sljedećim kriterijima:

¨ stanište

¨ način kontaminacije životne sredine

¨ uticaj

¨ karakteristike algoritma

Ovisno o staništu, virusi se mogu podijeliti na mrežne, datoteke, boot i file-boot. Mrežni virusi distribuiraju preko raznih kompjuterskih mreža. Datotečni virusi se uvode uglavnom u izvršne module, odnosno u datoteke sa COM i EXE ekstenzijama. File virusi mogu biti ugrađeni u druge vrste datoteka, ali, po pravilu, napisani u takvim datotekama, nikada ne dobijaju kontrolu i stoga gube sposobnost reprodukcije. Boot virusi ugrađeni su u sektor za pokretanje diska (sektor za pokretanje) ili u sektor koji sadrži program za pokretanje sistemskog diska (Master Boot Re-

kabl). File-boot virusi inficiraju i datoteke i sektore za pokretanje diska.

Prema načinu zaraze virusi se dijele na rezidentne i nerezidentne. Stalni virus kada inficira (inficira) računar, ostavlja svoj rezidentni dio u RAM-u, koji tada presreće pristup operativnom sistemu objektima zaraze (fajlovi, diskovi za pokretanje sektora itd.) i upada u njih. Rezidentni virusi se nalaze u memoriji i ostaju aktivni sve dok se računar ne isključi ili ponovo pokrene. Nerezidentni virusi ne inficiraju memoriju računara i aktivni su ograničeno vrijeme.

Prema stepenu uticaja, virusi se mogu podeliti na sledeće tipove:

¨ neopasan, koji ne ometaju rad računara, ali smanjuju količinu slobodnog RAM-a i prostora na disku, djelovanje takvih virusa se očituje u bilo kojim grafičkim ili zvučnim efektima

¨ opasno viruse koji mogu uzrokovati razne probleme na vašem računaru

¨ veoma opasno, čiji uticaj može dovesti do gubitka programa, uništavanja podataka, brisanja informacija u sistemskim oblastima diska.

2. GLAVNE VRSTE VIRUSA I SHEME NJIHOVOG FUNKCIONISANJA

Među raznolikošću virusa mogu se razlikovati sljedeće glavne grupe:

¨ boot

¨ fajl

¨ file-boot

Sada detaljnije o svakoj od ovih grupa.

2.1. Boot virusi

Razmotrite rad vrlo jednostavnog virusa za pokretanje koji inficira diskete. Namjerno zaobilazimo sve brojne suptilnosti koje bi se neizbježno susrele u rigoroznoj analizi algoritma za njegovo funkcioniranje.

Šta se dešava kada uključite računar? Prvo, kontrola se prenosi bootstrap program, koji je pohranjen u memoriji samo za čitanje (ROM) tj. PNZ ROM.

Ovaj program testira hardver i, ako testovi prođu, pokušava pronaći disketu u pogonu A:

Svaka disketa je označena na tzv. sektora i staza. Sektori su kombinovani u klastere, ali to za nas nije bitno.

Među sektorima postoji nekoliko uslužnih koje operativni sistem koristi za svoje potrebe (vaši podaci se ne mogu smjestiti u ove sektore). Među uslužnim sektorima i dalje nas zanima jedan - tzv. bootstrap sektor(sektor za pokretanje).

Bootstrap sektor trgovine informacije o disketi- broj površina, broj kolosijeka, broj sektora itd. Ali sada nas ne zanimaju ove informacije, već male bootstrap program(PNZ), koji bi trebao učitati sam operativni sistem i prenijeti kontrolu na njega.

Dakle, uobičajeni obrazac za pokretanje je sljedeći:

Sada razmislite o virusu. Kod boot virusa razlikuju se dva dijela - tzv. glava itd. rep. Rep, generalno govoreći, može biti prazan.

Pretpostavimo da imate praznu disketu i zaraženi računar, pod kojim mislimo na računar sa aktivnim rezidentnim virusom. Čim ovaj virus otkrije da se u drajvu pojavila odgovarajuća žrtva - u našem slučaju disketa koja nije zaštićena od pisanja i još nije zaražena, nastavlja sa zarazom. Kada zarazi disketu, virus izvodi sljedeće radnje:

Dodjeljuje određeno područje diska i označava ga kao nedostupnu operativnom sistemu, to se može učiniti na različite načine, u najjednostavnijem i tradicionalnom slučaju, sektori koje zauzima virus označeni su kao loši (loši)

Kopira svoj rep i originalni (zdravi) sektor za pokretanje na odabrano područje diska

Zamjenjuje bootstrap program u (stvarnom) boot sektoru svojom glavom

Organizuje lanac prijenosa kontrole prema šemi.

Dakle, glava virusa sada prva preuzima kontrolu, virus se instalira u memoriju i prenosi kontrolu na originalni sektor za pokretanje. U lancu

PNZ (ROM) - PNZ (disk) - SISTEM

pojavljuje se novi link:

PNZ (ROM) - VIRUS - PNZ (disk) - SISTEM

Moral je jasan: nikada (slučajno) ne ostavljajte diskete u drajvu A.

Ispitali smo rad jednostavnog butovy virusa koji živi u boot sektorima disketa. Po pravilu, virusi mogu zaraziti ne samo sektore za pokretanje disketa, već i sektore za pokretanje tvrdih diskova. U ovom slučaju, za razliku od disketa, tvrdi disk ima dva tipa sektora za pokretanje koji sadrže programe za pokretanje koji primaju kontrolu. Kada pokrećete računar sa čvrstog diska, program za pokretanje u MBR-u (Master Boot Record - Master Boot Record) prvi preuzima kontrolu. Ako tvoj HDD je podijeljen na nekoliko sekcija, tada je samo jedan od njih označen kao pokretački (boot). Bootstrap program u MBR-u pronalazi particiju za pokretanje čvrstog diska i prenosi kontrolu na pokretač ove particije. Kod potonjeg je isti kao kod programa za pokretanje koji se nalazi na običnim disketama, a odgovarajući sektori za pokretanje razlikuju se samo u tabelama parametara. Dakle, postoje dva objekta napada virusa za pokretanje na hard disku - bootstrap program u MBR I osnovno preuzimanja u boot sektoru disk za pokretanje.

2.2. File virusi

Razmotrimo sada kako radi jednostavan virus datoteka. Za razliku od virusa za pokretanje, koji su gotovo uvijek rezidentni, fajl virusi nisu nužno rezidentni. Razmotrimo shemu funkcioniranja nerezidentnog virusa datoteka. Pretpostavimo da imamo zaraženu izvršnu datoteku. Kada se takav fajl pokrene, virus preuzima kontrolu, izvodi neke radnje i prenosi kontrolu na "mastera" (iako se još uvijek ne zna ko je u takvoj situaciji gospodar).

Koje radnje vrši virus? Traži novi objekat za zarazu - datoteku odgovarajućeg tipa koja još nije zaražena (u slučaju da je virus „pristojan“, inače postoje oni koji se zaraze odmah bez provjere). Inficiranjem datoteke, virus se ubacuje u njen kod kako bi dobio kontrolu kada se datoteka pokrene. Osim svoje glavne funkcije - reprodukcije, virus može učiniti nešto zamršeno (recimo, pitati, igrati) - to već ovisi o mašti autora virusa. Ako je fajl virus rezidentan, on će se instalirati u memoriju i dobiti mogućnost da inficira datoteke i prikaže druge sposobnosti ne samo dok je zaražena datoteka pokrenuta. Inficiranjem izvršne datoteke, virus uvijek mijenja svoj kod - stoga se uvijek može otkriti infekcija izvršne datoteke. Ali promjenom koda datoteke virus ne mora nužno napraviti druge promjene:

à nije u obavezi da menja dužinu fajla

à neiskorišteni dijelovi koda

à nije potrebno za promjenu početka datoteke

Konačno, virusi datoteka često uključuju viruse koji "imaju neke veze sa datotekama", ali nisu obavezni da upadaju u njihov kod. Razmotrimo kao primjer shemu funkcionisanja virusa poznate porodice Dir-II. Mora se priznati da su, pojavivši se 1991. godine, ovi virusi izazvali pravu epidemiju kuge u Rusiji. Razmotrite model koji jasno pokazuje osnovnu ideju virusa. Informacije o datotekama se pohranjuju u direktorije. Svaki unos u direktorij uključuje naziv datoteke, datum i vrijeme kreiranja, neke dodatne informacije, broj prvog klastera fajl itd. rezervni bajtovi. Potonji su ostavljeni "u rezervi" i sam MS-DOS se ne koristi.

Prilikom pokretanja izvršnih datoteka, sistem čita prvi klaster datoteke iz unosa direktorija, a zatim sve ostale klastere. Virusi porodice Dir-II proizvode sljedeću "reorganizaciju" sistem podataka: virus se sam upisuje u neke slobodne sektore diska, koje označava kao loše. Osim toga, on pohranjuje informacije o prvim klasterima izvršnih datoteka u rezervnim bitovima i zapisuje reference na sebe umjesto tih informacija.

Dakle, kada se bilo koja datoteka pokrene, virus prima kontrolu (operativni sistem ga sam pokreće), nalazi se u memoriji i prenosi kontrolu na pozvanu datoteku.

2.3. Virusi sa datotekama za pokretanje

Nećemo razmatrati model virusa boot-file, jer u ovom slučaju nećete saznati nikakve nove informacije. Ali evo prilike da ukratko razgovaramo o nedavno izuzetno "popularnom" virusu OneHalf boot-file koji inficira glavni sektor za pokretanje (MBR) i izvršne datoteke. Glavna destruktivna akcija je šifriranje sektora tvrdog diska. Svaki put kada se pokrene, virus šifrira još jedan dio sektora, a nakon šifriranja polovine tvrdog diska, to sa zadovoljstvom najavljuje. Glavni problem u liječenju ovog virusa je taj što nije dovoljno samo ukloniti virus iz MBR-a i datoteka, već je potrebno dešifrirati informacije koje su njime šifrirane. "Najsmrtonosnija" akcija je jednostavno prepisivanje novog zdravog MBR-a. Glavna stvar - nemojte paničariti. Sve mirno odmjerite, posavjetujte se sa stručnjacima.

2.4. Polimorfni virusi

Većina pitanja se odnosi na pojam "polimorfni virus". Ova vrsta kompjuterskog virusa je daleko najopasnija. Hajde da objasnimo šta je to.

Polimorfni virusi su virusi koji modificiraju svoj kod u zaraženim programima na takav način da se dvije instance istog virusa možda ne podudaraju u jednom bitu.

Takvi virusi ne samo da šifriraju svoj kod koristeći različite puteve enkripcije, već sadrže i kod generiranja enkriptora i dekriptora, što ih razlikuje od običnih virusa za šifriranje, koji također mogu šifrirati dijelove svog koda, ali istovremeno imaju konstantan kod. enkriptora i dešifratora.

Polimorfni virusi su virusi sa samo-modificirajućim dekoderima. Svrha takve enkripcije je da ako imate zaraženu i originalnu datoteku, i dalje nećete moći analizirati njen kod korištenjem konvencionalnog rastavljanja. Ovaj kod je šifriran i predstavlja besmislen skup naredbi. Dešifriranje vrši sam virus u toku rada. Istovremeno, moguće su opcije: može se dešifrirati odjednom, ili može izvršiti takvo dešifriranje "u pokretu", može ponovo šifrirati već razrađene dijelove. Sve je to učinjeno kako bi se otežala analiza virusnog koda.

3. ISTORIJA KOMPJUTERSKE VIROLOGIJE I UZROCI VIRUSA

Čini se da je historija kompjuterske virologije danas stalna "trka za lidera", a uprkos punoj snazi ​​modernih antivirusnih programa, upravo su virusi lideri. Među hiljadama virusa, samo nekoliko desetina su originalni razvoji koji koriste zaista fundamentalno nove ideje. Sve ostale su "varijacije na temu". Ali svaki originalni razvoj tjera kreatore antivirusa da se prilagode novim uvjetima, da sustignu virusnu tehnologiju. Ovo poslednje se može osporiti. Na primjer, 1989. godine jedan američki student uspio je stvoriti virus koji je onesposobio oko 6.000 kompjutera američkog Ministarstva odbrane. Ili epidemija poznatog virusa Dir-II koja je izbila 1991. godine. Virus je koristio zaista originalnu, fundamentalno novu tehnologiju i u početku se uspio široko proširiti zbog nesavršenosti tradicionalnih antivirusnih alata.

Ili izbijanje kompjuterskih virusa u Velikoj Britaniji: Christopher Pine je uspio stvoriti viruse Pathogen i Queeq, kao i virus Smeg. Upravo je ovaj drugi bio najopasniji, mogao se primijeniti na prva dva virusa i zbog toga su nakon svakog pokretanja programa mijenjali konfiguraciju. Stoga ih je bilo nemoguće uništiti. Da bi širio viruse, Pine je kopirao kompjuterske igrice i programe, zarazio ih, a zatim ih vratio na mrežu. Korisnici su preuzimali zaražene programe na svoje računare i zaražene diskove. Situaciju je pogoršala činjenica da je Pine uspio unijeti viruse u program koji se protiv njih bori. Pokretanjem, korisnici su umjesto uništavanja virusa dobili još jedan. Kao rezultat toga, dosijei mnogih kompanija su uništeni, gubici su iznosili milione funti.

Američki programer Moris nadaleko je poznat. Poznat je kao kreator virusa koji je u novembru 1988. godine zarazio oko 7.000 personalnih računara povezanih na internet.

Razlozi nastanka i širenja kompjuterskih virusa, s jedne strane, kriju se u psihologiji ljudske ličnosti i njenim sjenčanim stranama (zavist, osveta, sujeta nepriznatih kreatora, nemogućnost konstruktivne primjene svojih sposobnosti), s druge strane. sa druge strane, zbog nedostatka hardverske zaštite i protivdejstva iz operacijske sale.sistemi personalnih računara.

4. NAČINI PRODANJA VIRUSA U RAČUNAR I MEHANIZAM DISTRIBUCIJE VIRUSNIH PROGRAMA

Glavni načini da virusi uđu u računar su prenosivi diskovi (disketa i laser), kao i kompjuterske mreže. Do infekcije tvrdog diska virusima može doći kada se program učita sa diskete koja sadrži virus. Takva infekcija može biti i slučajna, na primjer, ako disketa nije uklonjena iz pogona A i računar je ponovo pokrenut, a disketa možda nije sistemska. Mnogo je lakše zaraziti disketu. Virus može doći do njega čak i ako se disketa jednostavno ubaci u disk jedinicu zaraženog računara i, na primjer, pročita njen sadržaj.

Virus se po pravilu unosi u radni program na način da se prilikom pokretanja kontrola prvo prenosi na njega i tek nakon izvršenja svih njegovih naredbi ponovo se vraća u radni program. Dobivši pristup kontroli, virus se prije svega prepisuje u drugi radni program i inficira ga. Nakon pokretanja programa koji sadrži virus, postaje moguće zaraziti druge datoteke. Najčešće su virusom zaraženi sektor za pokretanje diska i izvršne datoteke s ekstenzijama EXE, COM, SYS, BAT. Tekstualne datoteke su izuzetno rijetko zaražene.

Nakon zaraze programa, virus može izvršiti neku vrstu sabotaže, ne previše ozbiljne kako ne bi privukao pažnju. I na kraju, ne zaboravite da vratite kontrolu programu iz kojeg je pokrenuta. Svako izvršavanje zaraženog programa prenosi virus na sljedeći. Tako će sav softver biti zaražen.

Za ilustraciju procesa infekcije kompjuterski program kao virus, ima smisla uporediti skladište na disku sa staromodnom arhivom sa fasciklama na traci. Fascikle sadrže programe, a redoslijed operacija za unošenje virusa u ovom slučaju će izgledati ovako (vidi Dodatak 1)

5. ZNAKOVI VIRUSA

Kada je računar zaražen virusom, važno je da ga otkrijete. Da biste to učinili, trebali biste znati o glavnim znakovima manifestacije virusa. To uključuje sljedeće:

¨ prestanak rada ili nepravilan rad prethodno uspješno funkcionisanih programa

¨ spore performanse računara

¨ nemogućnost pokretanja operativnog sistema

¨ nestanak datoteka i direktorija ili izobličenje njihovog sadržaja

¨ promijeniti datum i vrijeme izmjene datoteka

¨ promjena veličine datoteke

¨ neočekivano veliko povećanje broja datoteka na disku

¨ značajno smanjenje veličine slobodnog RAM-a

¨ prikazivanje neočekivanih poruka ili slika na ekranu

¨ davanje nepredviđenih zvučnih signala

¨ česta zamrzavanja i rušenja računara

Treba napomenuti da gore navedeni fenomeni nisu nužno uzrokovani prisustvom virusa, već mogu biti uzrokovani drugim uzrocima. Stoga je uvijek teško ispravno dijagnosticirati stanje računara.

6. OTKRIVANJE VIRUSA I MJERE ZAŠTITE I PREVENCIJE

6.1. Kako otkriti virus ? Tradicionalni pristup

Dakle, određeni pisac virusa kreira virus i lansira ga u "život". Neko vrijeme može slobodno hodati, ali prije ili kasnije "lafa" će završiti. Neko će posumnjati da nešto nije u redu. Po pravilu, viruse otkrivaju obični korisnici koji primjećuju određene anomalije u ponašanju računala. Oni, u većini slučajeva, nisu u stanju sami da se izbore sa infekcijom, ali to se od njih ne zahteva.

Potrebno je samo da virus što prije dođe u ruke specijalista. Profesionalci će ga proučiti, saznati "šta radi", "kako radi", "kada radi" itd. U procesu takvog rada prikupljaju se sve potrebne informacije o ovom virusu, a posebno virusni potpis je istaknut - niz bajtova koji ga prilično jasno definira. Za izgradnju potpisa obično se uzimaju najvažniji i karakteristični dijelovi koda virusa. U isto vrijeme postaju jasni mehanizmi kako virus funkcionira, na primjer, u slučaju boot virusa, važno je znati gdje skriva svoj rep, gdje se nalazi originalni sektor za pokretanje, a u slučaju jedan fajl, kako je fajl zaražen. Dobivene informacije nam omogućavaju da saznamo:

Kako otkriti virus, za to su navedene metode za traženje potpisa u potencijalnim objektima virusnog napada - datoteke i / ili sektori za pokretanje

kako neutralizirati virus, ako je moguće, razvijaju se algoritmi za uklanjanje virusnog koda sa zahvaćenih objekata

6.2. Programi za otkrivanje i zaštitu od virusa

Za otkrivanje, uklanjanje i zaštitu od kompjuterskih virusa razvijeno je nekoliko vrsta posebnih programa koji vam omogućavaju otkrivanje i uništavanje virusa. Takvi programi se nazivaju antivirusno . Postoje sljedeće vrste antivirusnih programa:

programi-detektori

programi-liječnici ili fagi

revizori programa

filter programe

vakcinalni programi ili imunizatori

Programi-detektori izvršite pretragu karakteristike potpisa određenog virusa u RAM-u i u datotekama i, ako se otkrije, izdajte odgovarajuću poruku. Nedostatak takvih antivirusnih programa je što mogu pronaći samo viruse koji su poznati programerima takvih programa.

Doctor Programs ili fagi, kao i programe vakcinacije ne samo da pronađu datoteke zaražene virusom, već ih i „liječe“, tj. tijelo virusnog programa se uklanja iz datoteke, vraćajući datoteke u prvobitno stanje. Na početku svog rada, fagi traže viruse u RAM-u, uništavaju ih, a tek onda prelaze na "tretman" datoteka. Među fagima se razlikuju polifagi, tj. doktorski programi dizajnirani da pronađu i unište veliki broj virusa. Najpoznatiji od njih su: Aidstest, Scan, Norton AntiVirus, Doctor Web.

S obzirom na to da se novi virusi stalno pojavljuju, programi za otkrivanje i doktorski programi brzo zastarevaju, te su potrebna redovna ažuriranja.

Programi revizora spadaju među najpouzdanija sredstva zaštite od virusa. Revizori pamte početno stanje programa, direktorija i sistemskih područja diska kada računar nije zaražen virusom, a zatim povremeno ili na zahtjev korisnika upoređuju trenutno stanje sa originalnim. Otkrivene promjene se prikazuju na ekranu monitora. Po pravilu, stanja se porede odmah nakon učitavanja operativnog sistema. Prilikom poređenja provjerava se dužina datoteke, ciklički kontrolni kod (kontrolna suma datoteke), datum i vrijeme izmjene i drugi parametri. Programi za revizore imaju prilično napredne algoritme, otkrivaju skrivene viruse i čak mogu očistiti promjene u verziji programa koja se provjerava od promjena koje je napravio virus. Među programima-revizorima je i program Adinf koji se široko koristi u Rusiji.

Filtrirajte programe ili "čuvar" su mali rezidentni programi dizajnirani da otkriju sumnjivu kompjutersku aktivnost koja je karakteristična za viruse. Takve radnje mogu biti:

Pokušaji ispravljanja datoteka sa COM, EXE ekstenzijama

promjena atributa datoteke

Direktno upisivanje na disk na apsolutnoj adresi

Upisivanje u sektore za pokretanje diska

Kada bilo koji program pokuša izvršiti navedene radnje, "čuvar" šalje poruku korisniku i nudi mu da zabrani ili dozvoli odgovarajuću radnju. Programi za filtriranje su vrlo korisni, jer su u stanju da otkriju virus u najranijoj fazi njegovog postojanja prije reprodukcije. Međutim, oni ne "liječe" datoteke i diskove. Da biste uništili viruse, morate koristiti druge programe, kao što su fagi. Nedostaci watchdog programa uključuju njihovu "smetanost" (na primjer, stalno izdaju upozorenje o svakom pokušaju kopiranja izvršne datoteke), kao i moguće sukobe s drugim softverom. Primjer programa za filtriranje je Vsafe program, koji je dio MS DOS uslužnog paketa.

Vakcine ili imunizatori su rezidentni programi koji sprečavaju infekciju datoteka. Vakcine se koriste ako ne postoje doktorski programi koji "liječe" ovaj virus. Vakcinacija je moguća samo protiv poznatih virusa. Vakcina modificira program ili disk na takav način da ne utječe na njihov rad, a virus će ih doživjeti kao zaražene i stoga se neće ukorijeniti. Programi vakcinacije su trenutno u ograničenoj upotrebi.

Pravovremeno otkrivanje virusom zaraženih fajlova i diskova, potpuno uništavanje otkrivenih virusa na svakom računaru pomaže da se izbegne širenje epidemije virusa na druge računare.

6.3. Osnovne mjere zaštite od virusa

Kako ne biste izložili svoje računalo virusima i osigurali pouzdano skladištenje informacija na diskovima, morate slijediti sljedeća pravila:

¨ Opremite svoj računar najnovijim antivirusnim programima, kao što su Aidstest, Doctor Web, i stalno ažurirajte njihove verzije

¨ prije čitanja informacija pohranjenih na drugim računarima sa disketa, uvijek provjerite ove diskete na viruse pokretanjem antivirusnih programa na vašem računalu

¨ kada prenosite arhivirane datoteke na vaš računar, provjerite ih odmah nakon što ih raspakujete na tvrdom disku, ograničavajući područje za provjeru samo na novosnimljene datoteke

¨ periodično proveravajte da li postoje virusi tvrdi diskovi računar pokretanjem antivirusnih programa za testiranje datoteka, memorije i sistemskih područja diskova sa diskete zaštićene od pisanja, nakon učitavanja operativnog sistema sa sistemske diskete zaštićene od pisanja

¨ uvijek zaštitite svoje diskete od pisanja kada radite na drugim računarima ako na njih neće biti zapisane informacije

¨ obavezno napravite arhivske kopije na disketama vrijednih informacija za vas

¨ ne ostavljajte diskete u džepu disk jedinice A prilikom uključivanja ili ponovnog pokretanja operativnog sistema kako biste spriječili infekciju računara virusima za pokretanje

¨ koristiti antivirusne programe za kontrolu unosa svih izvršnih datoteka primljenih iz računarskih mreža

¨ kako bi se osigurala veća sigurnost, korištenje Aidstest-a i Doctor Web-a mora se kombinirati sa svakodnevnim korištenjem Adinf disk revizora

ZAKLJUČAK

Dakle, možemo navesti mnoštvo činjenica koje ukazuju na to da je ugroženost informacionog resursa svakim danom sve veća, što dovodi u paniku odgovorne osobe u bankama, preduzećima i kompanijama širom svijeta. A ova prijetnja dolazi od kompjuterskih virusa koji iskrivljuju ili uništavaju vitalne, vrijedne informacije, što može dovesti ne samo do finansijskih gubitaka, već i do ljudskih žrtava.

Kompjuterski virus - posebno napisan program koji može spontano da se pripaja drugim programima, stvara svoje kopije i ugrađuje ih u fajlove, oblasti računarskog sistema i računarske mreže kako bi poremetio programe, pokvario datoteke i direktorijume i stvorio sve vrste smetnji u radu računara.

Trenutno je poznato više od 5.000 softverskih virusa, čiji broj stalno raste. Poznati su slučajevi kada studijski vodiči za pomoć pri pisanju virusa.

Glavne vrste virusa: boot, file, file-boot. Najopasniji tip virusa je polimorfan.

Iz istorije kompjuterske virologije jasno je da svaki originalni razvoj računara tera kreatore antivirusa da se prilagode novim tehnologijama, da stalno poboljšavaju antivirusne programe.

Razlozi za pojavu i širenje virusa kriju se s jedne strane u ljudskoj psihologiji, s druge strane, u nedostatku zaštite u operativnom sistemu.

Glavni načini prodiranja virusa su prenosivi diskovi i računarske mreže. Da se to ne dogodi, poduzmite mjere opreza. Takođe, razvijeno je nekoliko vrsta specijalnih programa koji se nazivaju antivirusni programi za otkrivanje, uklanjanje i zaštitu od kompjuterskih virusa. Ako i dalje pronađete virus u svom kompjuteru, onda je, prema tradicionalnom pristupu, bolje pozvati profesionalca kako bi on to mogao dalje shvatiti.

Ali neka svojstva virusa zbunjuju čak i stručnjake. Do nedavno, bilo je teško zamisliti da virus može preživjeti hladno ponovno pokretanje ili se širiti kroz datoteke dokumenata. U takvim uslovima nemoguće je ne pridati važnost barem početnoj antivirusnoj edukaciji korisnika. Uprkos ozbiljnosti problema, nijedan virus nije sposoban nanijeti toliko štete kao izbijeljeni korisnik drhtavih ruku!

dakle, zdravlje vaših računara, sigurnost vaših podataka - u vašim rukama!

Bibliografska lista

1. Informatika: Udžbenik / ur. Prof. N.V. Makarova. - M.: Finansije i statistika, 1997.

2. Enciklopedija tajni i senzacija / Pripremljen. tekst Yu.N. Petrov. - Minsk: Književnost, 1996.

3. Bezrukov N.N. Kompjuterski virusi. - M.: Nauka, 1991.

4. Mostovoy D.Yu. Moderne tehnologije za borbu protiv virusa // PC World. - Ne. 8. - 1993.

Klasifikacija.

Antivirusni proizvodi se mogu klasificirati prema nekoliko kriterija odjednom, kao što su korištene tehnologije zaštite od virusa, funkcionalnost proizvoda i ciljne platforme.

Korištene antivirusne zaštitne tehnologije:

• Klasični antivirusni proizvodi (proizvodi koji koriste samo metodu otkrivanja zasnovanu na potpisu)
• Proizvodi za proaktivnu antivirusnu zaštitu (proizvodi koji koriste samo tehnologije proaktivne antivirusne zaštite);
• Kombinirani proizvodi (proizvodi koji koriste i klasične metode zaštite zasnovane na potpisu i proaktivne)

Funkcionalnost proizvoda:

• Antivirusni proizvodi (proizvodi koji pružaju samo antivirusnu zaštitu)
• Kombinirani proizvodi (proizvodi koji pružaju ne samo zaštitu od zlonamjernog softvera, već i filtriranje neželjene pošte, enkripciju i sigurnosnu kopiju podataka i druge funkcije)

Po ciljnim platformama:

• Antivirusni proizvodi za porodicu Windows OS
• Antivirusni proizvodi za operativne sisteme *NIX porodice (ova porodica uključuje OS BSD, Linux, itd.)
• Antivirusni proizvodi za OS porodicu MacOS
• Antivirusni proizvodi za mobilne platforme (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7, itd.)

Antivirusni proizvodi za korporativne korisnike mogu se klasificirati i prema objektima zaštite:

• Antivirusni proizvodi za zaštitu radnih stanica
• Antivirusni proizvodi za zaštitu fajl i terminal servera
• Antivirusni proizvodi za zaštitu pošte i Internet pristupnika
• Antivirusni proizvodi za zaštitu virtualizacijskih servera
• itd.

Karakteristike antivirusnih programa.

Antivirusni programi se dijele na: detektorske, doktorske, revizorske, filterske, vakcinalne.

Detektorski programi omogućavaju pretragu i otkrivanje virusa u RAM-u i na eksternim medijima, a nakon otkrivanja izdaju odgovarajuću poruku. Postoje univerzalni i specijalizovani detektori.

Univerzalni detektori u svom radu koriste provjeru nepromjenjivosti datoteka prebrojavanjem i poređenjem sa standardom kontrolne sume. Nedostatak univerzalnih detektora je nemogućnost utvrđivanja uzroka oštećenja datoteke.

Specijalizirani detektori traže poznate viruse prema njihovom potpisu (ponavljajući dio koda). Nedostatak ovakvih detektora je što nisu u stanju otkriti sve poznate viruse.

Detektor koji može otkriti nekoliko virusa naziva se polidetektor.

Nedostatak takvih antivirusnih programa je što mogu pronaći samo viruse koji su poznati programerima takvih programa.

Doktorski programi (fagi) ne samo da pronalaze fajlove zaražene virusima, već ih i "liječe", tj. uklonite tijelo virusnog programa iz datoteke, vraćajući datoteke u prvobitno stanje. Na početku svog rada, fagi traže viruse u RAM-u, uništavaju ih, a tek onda prelaze na "liječenje" datoteka. Među fagima se razlikuju polifagi, tj. doktorski programi dizajnirani da pronađu i unište veliki broj virusa.

S obzirom na to da se novi virusi stalno pojavljuju, programi za detekciju i doktorski programi brzo zastarevaju i potrebno je redovno ažuriranje njihovih verzija.

Auditorski programi su među najpouzdanijim sredstvima zaštite od virusa. Revizori pamte početno stanje programa, direktorija i sistemskih područja diska kada računar nije zaražen virusom, a zatim povremeno ili na zahtjev korisnika upoređuju trenutno stanje sa originalnim. Otkrivene promjene se prikazuju na ekranu video monitora. Po pravilu, stanja se porede odmah nakon učitavanja operativnog sistema. Prilikom poređenja provjerava se dužina datoteke, ciklički kontrolni kod (kontrolna suma datoteke), datum i vrijeme izmjene i drugi parametri.

Programi revizora imaju prilično napredne algoritme, otkrivaju skrivene viruse, pa čak mogu razlikovati promjene u verziji programa koja se provjerava i promjenama koje je napravio virus.

Programi za filtriranje (watchmen) su mali rezidentni programi dizajnirani da otkriju sumnjive radnje tokom rada računara koje su karakteristične za viruse. Takve radnje mogu biti:

Pokušaji ispravljanja datoteka sa COM i EXE ekstenzijama;

Promjena atributa datoteke;

Direktno upisivanje na disk na apsolutnoj adresi;

Kada bilo koji program pokuša izvršiti navedene radnje, "čuvar" šalje poruku korisniku i nudi mu da zabrani ili dozvoli odgovarajuću radnju. Programi za filtriranje su vrlo korisni, jer su u stanju da otkriju virus u najranijoj fazi njegovog postojanja prije reprodukcije. Međutim, oni ne "liječe" datoteke i diskove. Da biste uništili viruse, morate koristiti druge programe, kao što su fagi. Nedostaci watchdog programa uključuju njihovu "smetanost" (na primjer, stalno izdaju upozorenje o svakom pokušaju kopiranja izvršne datoteke), kao i moguće sukobe s drugim softverom.

Vakcine (imunizatori) su stalni programi koji sprečavaju infekciju datoteka. Vakcine se koriste ako ne postoje doktorski programi koji "liječe" ovaj virus. Vakcinacija je moguća samo protiv poznatih virusa. Vakcina modificira program ili disk na takav način da ne utječe na njihov rad, a virus će ih doživjeti kao zaražene i stoga se neće ukorijeniti. Programi vakcinacije su trenutno u ograničenoj upotrebi.

Značajan nedostatak ovakvih programa je njihova ograničena sposobnost sprječavanja infekcije velikim brojem različitih virusa.

Primjeri antivirusnih programa

Prilikom odabira antivirusnog programa potrebno je uzeti u obzir ne samo postotak otkrivanja virusa, već i mogućnost otkrivanja novih virusa, broj virusa u antivirusnoj bazi, učestalost njenih ažuriranja i dostupnost dodatnih funkcija.

Trenutno, ozbiljan antivirus mora biti u stanju da prepozna najmanje 25.000 virusa. To ne znači da su svi oni "slobodni". U stvari, većina njih je ili prestala da postoji ili se nalazi u laboratorijama i ne distribuira se. U stvarnosti, možete sresti 200-300 virusa, a samo nekoliko desetina njih je opasno.

Postoji mnogo antivirusnih programa. Razmotrite najpoznatije od njih.

Norton AntiVirus 4.0 i 5.0 (Proizvođač: Symantec).

Jedan od najpoznatijih i najpopularnijih antivirusnih programa. Stopa prepoznavanja virusa je vrlo visoka (blizu 100%). Program koristi mehanizam koji vam omogućava da prepoznate nove nepoznate viruse.

Interfejs Norton AntiVirus uključuje funkciju LiveUpdate koja vam omogućava da ažurirate i program i virusne definicije postavljene putem Weba pritiskom na jedno dugme. Čarobnjak za kontrolu virusa daje vam detaljne informacije o otkrivenom virusu, a također vam daje izbor da uklonite virus automatski ili pažljivije, kroz postupak korak po korak koji vam omogućava da vidite svaku od radnji izvršenih tokom uklanjanja proces.

Antivirusne baze podataka se ažuriraju vrlo često (ponekad se ažuriranja pojavljuju nekoliko puta sedmično). Postoji stalni monitor.

Nedostatak ovog programa je složenost postavki (iako osnovna podešavanja gotovo da nema potrebe za mijenjanjem).

Dr Solomon's AntiVirus (proizvođač: Dr Solomon's Software).

Smatra se jednim od najboljih antivirusa (Eugene Kaspersky je jednom rekao da je ovo jedini konkurent njegovom AVP-u). Detektira gotovo 100% poznatih i novih virusa. Veliki broj funkcija, skener, monitor, heuristika i sve što vam je potrebno za uspješan otpor virusima.

McAfee skeniranje virusa (proizvođač: McAfee Associates).

Ovo je jedan od najpoznatijih antivirusnih paketa. Vrlo dobro uklanja viruse, ali VirusScan je lošiji od drugih paketa kada je u pitanju otkrivanje novih vrsta virusa datoteka. Lako je i brzo instalirati koristeći zadane postavke, ali ga možete i prilagoditi po svom ukusu. Možete skenirati sve datoteke ili samo programske datoteke, distribuirati ili ne distribuirati proceduru skeniranja na komprimirane datoteke. Ima mnogo funkcija za rad sa Internetom.

.Dr.Web (proizvođač: Dialog Science)

Popularni domaći antivirus. Dobro prepoznaje viruse, ali ih u svojoj bazi podataka ima mnogo manje od ostalih antivirusnih programa.

Antivirusni Toolkit Pro (proizvođač: Kaspersky Lab).

Ovaj antivirus je u svijetu priznat kao jedan od najpouzdanijih. Uprkos jednostavnosti upotrebe, ima sav potreban arsenal za borbu protiv virusa. Heuristički mehanizam, redundantno skeniranje, skeniranje arhiva i upakovanih datoteka - ovo nije potpuna lista njegovih mogućnosti.

Kaspersky Lab pažljivo prati pojavu novih virusa i blagovremeno objavljuje ažuriranja antivirusnih baza podataka. Postoji stalni monitor za kontrolu izvršnih datoteka.