Meniul
AcasăWindows 10

Detectoare antivirus. Programele antivirus sunt utilitare computerizate pentru detectarea și eliminarea virușilor. Protectie de la Dr. Web

Produsele de securitate Windows PC de astăzi sunt aplicații complexe. Numărul de caracteristici specializate oferite poate fi confuz pentru utilizatorul final. Fiecare furnizor de software tinde să-și folosească propriul nume pentru aceeași caracteristică, care poate apărea în alte produse sub un nume diferit. Confuzia crește atunci când devine clar că două opțiuni diferite au adesea același nume în produsele de la diferiți furnizori.

Această serie de articole este concepută pentru a explica elementele de bază și funcționalitatea reală a celor mai comune opțiuni din suitele moderne de securitate Windows. Vom descrie la ce vă puteți aștepta de la o anumită soluție, fie că este vorba de instrumente anti-malware, navigarea securizată pe web sau prevenirea intruziunilor nedorite. Folosind informațiile colectate în articole, puteți compara seturile de caracteristici propuse de produse de la diferiți furnizori și puteți înțelege mai bine cum funcționează pachetele de securitate.

În prima parte a acestei serii de articole, vom discuta despre cele mai de bază componente: motorul antivirus și firewall-ul.
-
-
-
-


-
-
-
-
-

Motor antivirus

Numit si: protecție antivirus în timp real, protecție în timp real, monitorizare fișiere, protecție împotriva malware

Motorul antivirus este o componentă de bază inclusă în majoritatea pachetelor de securitate de pe piață. Rolul principal al motorului este de a scana stocarea de date, acesta pătrunde în computer pentru a detecta și elimina malware. Codul rău intenționat poate fi stocat în fișiere de pe hard disk, unități USB portabile, RAM computer, drivere de rețea, sector de pornire a discului sau primit ca parte a traficului de rețea.

Metode de determinare

Motorul antivirus folosește un număr mare de metode pentru a detecta malware. Programele antivirus conțin o bază de date extinsă cu mostre de viruși care trebuie detectate în timpul scanării. Fiecare probă poate fie identifica un cod rău intenționat, fie, mai frecvent, poate descrie o întreagă familie de viruși. Principala caracteristică a identificării virușilor prin comparație cu mostre este că un program antivirus poate identifica doar un virus binecunoscut, în timp ce noile amenințări pot să nu fie detectate.

Metoda analizei euristice(detecție bazată pe euristică) servește la detectarea chiar și a acelor viruși pentru care nu există mostre în baza de date a programului antivirus. Există multe metode diferite de analiză euristică. Principiul de bază este identificarea codului de program care este extrem de nedorit pentru produsele software securizate. Cu toate acestea, această metodă este inexactă și poate provoca multe alarme false. O analiză euristică bună este bine echilibrată și produce un număr minim de alarme false, menținând în același timp o rată ridicată de detectare a malware. Sensibilitatea euristicii poate fi configurată.

Virtualizare(crearea unui mediu virtual, Virtualizare) sau sandboxing sunt metode mai avansate de identificare a amenințărilor. Pentru un anumit timp, mostrele de cod sunt executate într-o mașină virtuală sau alt mediu sigur, de unde mostrele scanate nu pot scăpa și dăunează sistemului de operare. Se monitorizează și se analizează comportamentul probei de testat în cutia de nisip. Această metodă este utilă atunci când malware-ul este împachetat cu un algoritm necunoscut (acesta este o modalitate obișnuită de a fi rezistent la detectarea virușilor) și nu poate fi despachetat de sistemul antivirus. În mediul virtual, virusul se despachetează ca și cum ar rula pe un sistem real, iar motorul antivirus poate scana codul și datele despachetate.

Una dintre cele mai recente realizări în instrumentele antivirus este scanare în nor(scanare în nor). Această metodă se bazează pe faptul că PC-urile sunt limitate în capabilitățile lor de calcul, în timp ce furnizorii de antivirus au capacitatea de a crea sisteme mari cu performanțe enorme. Puterea de calcul este necesară pentru a efectua analize euristice complexe, precum și analize folosind mașini virtuale. Serverele furnizorului pot lucra cu baze de date mult mai mari de mostre de viruși în comparație cu computerele în timp real. Când efectuați scanarea în cloud, singura cerință este o conexiune la Internet rapidă și stabilă. Când o mașină client trebuie să scaneze un fișier, fișierul este trimis la serverul furnizorului printr-o conexiune la rețea și se așteaptă un răspuns. Între timp, mașina client își poate efectua propria scanare.

Tipuri și setări de scanare

Din perspectiva unui utilizator, există mai multe tipuri de scanare antivirus, care depind de evenimentele care au declanșat procesul de scanare:

- Scanare la acces(Scanare la acces) – scanare care are loc atunci când o resursă devine disponibilă. De exemplu, atunci când un fișier este copiat pe hard disk sau când este lansat un fișier executabil (executarea procesului de scanare în acest caz este uneori numită scanare de pornire). Doar resursa care este accesată este scanată în acest caz.

- Scanează la cerere(Scanarea la cerere) este declanșată de utilizatorul final - de exemplu, atunci când utilizatorul invocă scanarea utilizând comanda de meniu corespunzătoare din Windows Explorer. Acest tip de scanare se mai numește și scanare manuală. Numai folderele și fișierele selectate sunt scanate folosind această metodă.

- Scanare programată Scanarea programată este o acțiune de obicei repetabilă care verifică în mod continuu sistemul pentru malware. Utilizatorul poate configura timpul și frecvența de scanare. Această scanare este de obicei utilizată pentru o scanare completă a sistemului.

- Scanează la pornire(Scanare la pornire) – scanare inițiată de programul antivirus la pornirea sistemului de operare. Această scanare are loc rapid și afectează folderul de pornire, procesele de pornire, memoria sistemului, serviciile de sistem și sectorul de pornire.

Majoritatea produselor permit utilizatorilor să configureze fiecare tip de scanare separat. Mai jos sunt câțiva dintre cei mai de bază parametri de scanare antivirus:

Extensii de fișiere pentru scanare – scanați toate fișierele sau numai pe cele executabile (.exe, .dll, .vbs, .cmd și altele.);
- Dimensiunea maximă a fișierului – fișierele mai mari decât acest parametru nu sunt scanate;
- Scanarea fișierelor din arhive – dacă să scanați fișiere din arhive precum .zip, .rar, .7z și altele;
- Utilizarea analizei euristice – setarea utilizării euristicii și, opțional, setarea sensibilității;
- Tipuri de programe de raportat prin alarmă – Există multe programe care pot fi identificate în mod incorect ca fiind rău intenționate. De obicei, furnizorii folosesc termeni precum software sau program potențial nedorit, cu un anumit risc de amenințare;
- Tipuri de medii de scanat - dacă să scaneze fișiere de pe stocarea în rețea sau dispozitive portabile de stocare;
- Acțiune de luat atunci când este detectată o amenințare - încercați să dezinfectați proba dacă este posibil, ștergeți proba, carantina (un folder special din care codul rău intenționat nu poate fi executat, dar poate fi trimis direct vânzătorului pentru investigații suplimentare), blocarea accesului sau întrebați despre acțiunea utilizatorului.

Mulți dintre acești parametri pot afecta viteza de scanare. Un set de reguli de scanare automată pentru o scanare rapidă, dar în același timp eficientă, se numește Scanare inteligentă sau Scanare rapidă. În caz contrar, scanarea se numește Scanare completă sau Scanare profundă. Putem găsi, de asemenea, scanarea dispozitivelor portabile, care este folosită pentru a verifica discuri optice, unități de dischetă, unități USB, carduri flash și dispozitive similare. Scanarea personalizată este, de asemenea, disponibilă și este complet personalizabilă de către utilizatorul final.

Scanere specializate

Scanare rootkit(sau scanarea anti-rootkit) este o opțiune pe care unii furnizori de antivirus o oferă în produsele lor deoarece... Rootkit-urile au devenit extrem de comune în ultimul deceniu. Un rootkit este un tip special de malware care folosește trucuri inteligente pentru a rămâne invizibil pentru utilizator și metode de bază de detectare a virușilor. Utilizează mecanisme interne ale sistemului de operare pentru a se face inaccesibil. Lupta împotriva rootkit-urilor necesită dezvoltatorilor de software antivirus să creeze metode speciale de detectare. Scanarea rootkit încearcă să găsească discrepanțe în funcționarea sistemului de operare care pot servi ca dovadă a prezenței unui rootkit în sistem. Unele implementări ale verificărilor rootkit se bazează pe monitorizarea continuă a sistemului, în timp ce alte implementări ale instrumentelor anti-rootkit pot fi invocate la cerere.

Scanați fișierele Microsoft Office(sau scanarea pentru viruși macro) este o opțiune care protejează utilizatorul de codurile rău intenționate din documentele de birou. Principiile interne ale scanării sunt similare cu metodele generale de scanare, ele pur și simplu sunt specializate în căutarea de viruși în macrocomenzi. Opțiunea de scanare poate fi furnizată ca plugin pentru Microsoft Office.

Opțiuni suplimentare legate

Motorul antivirus este de obicei strâns cuplat cu restul suitei de securitate. Unele produse oferă caracteristici suplimentare ca parte a motorului antivirus, altele le afișează separat. Controlul web este o opțiune care este un reprezentant tipic al celui de-al doilea grup. Vom discuta separat despre această opțiune.

Firewall

Numit si: firewall personal, firewall, firewall avansat, firewall bidirecțional.

Rolul principal al firewall-ului este de a controla accesul la PC din rețeaua externă, adică. traficul de intrare și, dimpotrivă, controlați accesul de la PC la rețea, adică trafic de ieșire.

Filtrarea traficului de rețea poate avea loc la mai multe niveluri. Majoritatea firewall-urilor incluse în suitele de securitate pentru PC au un set de reguli pentru cel puțin două straturi - un strat inferior de Internet controlat de regulile IP și un strat de aplicație superior. Vorbind despre nivelul superior, un firewall conține un set de reguli care să permită sau să interzică accesul la o anumită aplicație din rețea. Termeni precum Reguli de rețea, Reguli de experți sau Setare reguli IP sunt utilizați la nivelul inferior al regulilor. La nivelul superior întâlnim termenii Controlul programului(Controlul programului) sau reguli de aplicare(Reguli de aplicare).

Rețele

Multe produse moderne permit utilizatorului să configureze nivelul de încredere în toate rețelele conectate la computer. Chiar dacă există o singură conexiune fizică, computerul poate fi conectat la mai multe rețele - de exemplu, atunci când computerul este conectat la o rețea locală care are gateway-uri la Internet. Complexul antivirus va gestiona separat traficul local și pe internet. Fiecare dintre rețelele detectate poate fi de încredere sau neîncredere, iar diverse servicii de sistem, cum ar fi partajarea fișierelor sau a imprimantei, pot fi permise sau refuzate. În mod implicit, numai computerele din rețele de încredere pot avea acces la computerul protejat. Conexiunile înregistrate din rețele de încredere sunt de obicei blocate, cu excepția cazului în care opțiunea corespunzătoare permite accesul. Acesta este motivul pentru care o conexiune la Internet este de obicei marcată ca nefiind de încredere. Cu toate acestea, unele produse nu fac diferența între rețelele din aceeași interfață cu utilizatorul și setările de rețea de încredere/neîncredere pot fi specificate separat pentru fiecare interfață. Termenul de zonă de rețea sau pur și simplu de zonă este folosit de obicei în locul unei rețele logice.

Pentru rețelele care nu sunt de încredere, este posibil să configurați modul stealth. Acest mod vă permite să schimbați comportamentul sistemului ca și cum adresa sa nu ar fi accesibilă rețelei. Această măsură poate deruta hackerii care găsesc mai întâi ținte de atacat. Comportamentul implicit al sistemului este de a răspunde la toate mesajele, chiar și la cele trimise din porturile închise. Modul Stealth (cunoscut și ca porturi stealth) împiedică detectarea computerului în timpul scanării portului.

Detectarea/Prevenirea intruziunilor

Numit si: Detectare atacuri, sistem de detectare a intruziunilor, blocare IP, porturi rău intenționate.

Deși termenii de mai sus nu sunt echivalenti, ei se referă la un set de proprietăți care pot preveni sau detecta tipuri specifice de atacuri de la computere la distanță. Acestea includ opțiuni precum detectarea portului de scanare, detectarea IP-ului falsificat, blocarea accesului la porturile malware cunoscute utilizate de programele de administrare la distanță, cai troieni și clienții botnet. Unii termeni includ mecanisme de protecție împotriva atacurilor ARP (address protocol spoofing attacks) - această opțiune poate fi numită protecție APR, protecție cache ARP etc. Principala capacitate a acestui tip de protecție este blocarea automată a mașinii de atac. Această opțiune poate fi legată direct de următoarea funcție.

Lista neagră de IP

Utilizarea acestei opțiuni simple este de a conține în produsul antivirus o bază de date cu adrese de rețea pe care computerul protejat nu ar trebui să le contacteze. Această bază de date poate fi completată fie de către utilizator însuși atunci când sunt detectați viruși (vezi Detectarea și prevenirea intruziunilor), fie actualizată automat din lista extinsă de sisteme și rețele periculoase a furnizorului de antivirus.

Blocați tot traficul

În cazul unei infecții bruște a sistemului, unele soluții antivirus sugerează „apăsarea butonului de frână de urgență”, adică. blocați tot traficul de intrare și de ieșire. Această opțiune poate apărea ca un buton roșu mare, fie ca parte a setărilor politicii de securitate ale paravanului de protecție, fie ca pictogramă în meniul de sistem. Se presupune că această funcție este utilizată atunci când utilizatorul află că computerul este infectat și dorește să prevină utilizarea nedorită a computerului de către programe malware: furtul datelor personale și descărcarea de viruși suplimentari pe Internet. Blocarea traficului de rețea poate fi combinată cu terminarea tuturor proceselor de sistem necunoscute. Această opțiune trebuie utilizată cu prudență.

Controlul programului

Numit si: control aplicatie, inspector aplicatie

Filtrarea traficului de rețea la nivel de software permite programelor de securitate să controleze separat accesul la rețea pentru fiecare aplicație de pe PC. Produsul antivirus conține o bază de date cu proprietățile aplicației, care determină dacă rețeaua este accesibilă programului sau nu. Aceste proprietăți diferă între programele client care inițiază conexiuni de la mașina locală la servere la distanță (direcția de ieșire) și programele server care scanează portul de rețea și acceptă conexiuni de la computere la distanță (direcția de intrare). Soluțiile antivirus moderne permit utilizatorului să definească reguli detaliate pentru fiecare aplicație specifică.

În general, comportamentul de control al aplicației depinde de politica de firewall selectată în firewall și poate include următoarele moduri de comportament:

- Mod silențios(mod automat) funcționează fără intervenția utilizatorului. Toate deciziile sunt luate automat folosind baza de date a produselor antivirus. Dacă nu există o regulă explicită pentru un program care dorește să obțină acces la rețea, acest acces poate fi fie întotdeauna permis (mod Allow All), fie întotdeauna blocat (mod Block All), fie se folosește o analiză euristică specială pentru a determina în continuare acțiune. Algoritmul pentru dezvoltarea unei soluții poate fi foarte complex și poate depinde de condiții suplimentare, cum ar fi recomandări din partea comunității online. Cu toate acestea, unele produse folosesc termenul de modul complet de permis/blocare pentru a ocoli seturile de reguli existente în baza de date și pur și simplu să permită sau să blocheze accesul la orice aplicație din sistem.

- Modul personalizat(Modul avansat, modul personalizat) este destinat utilizatorilor avansați care doresc să controleze fiecare acțiune. În acest mod, produsul gestionează automat doar acele situații pentru care există reguli de excepție în baza de date. În cazul oricăror alte acțiuni, utilizatorului i se solicită să ia o decizie. Unele soluții antivirus oferă definirea unei politici de comportament atunci când este imposibil să întrebați utilizatorul - de exemplu, la pornirea unui computer, închiderea când interfața grafică a programului nu este disponibilă sau în condiții speciale - pornirea unui joc pe ecran complet când utilizatorul nu dorește să fie distras (uneori numit modul Gaming mode). De obicei, există doar două opțiuni disponibile în aceste cazuri: modul de activare completă și modul blocare completă.

- Mod normal(mod sigur - modul normal, modul sigur) permite produsului antivirus să facă față singur la majoritatea situațiilor. Chiar și atunci când nu există reguli explicite în baza de date, programul este permis să funcționeze dacă programul este considerat sigur. Similar modului automat, decizia poate fi luată pe baza analizei euristice. În cazul în care programul de securitate nu poate determina dacă o aplicație este sigură sau nu, afișează o alertă ca în modul utilizator.

- Modul de antrenament(modul de antrenament, modul de instalare - modul de învățare, modul de antrenament, modul de instalare) este utilizat în principal imediat după instalarea unui produs antivirus sau în cazurile în care utilizatorul instalează software nou pe computer. În acest mod, produsul antivirus permite toate acțiunile pentru care nu există intrări în baza de date a setului de reguli și adaugă reguli noi care vor permite acțiunile corespunzătoare în viitor după schimbarea modului de securitate. Utilizarea modului de antrenament vă permite să reduceți numărul de alarme după instalarea unui nou software.

Controlul aplicației conține de obicei setări care pot ajuta produsul să rezolve situații controversate, indiferent de modul de operare activat. Această caracteristică este cunoscută sub numele de Creare automată a regulilor. O opțiune tipică în acest caz permite orice acțiuni ale aplicațiilor semnate digital de la furnizori de încredere, chiar dacă nu există nicio intrare corespunzătoare în baza de date. Această opțiune poate fi extinsă cu o altă funcție care permite aplicațiilor fără semnătură digitală, dar familiare produsului antivirus, să efectueze orice acțiuni. Controlul aplicației este de obicei strâns legat de alte funcții pe care le vom acoperi mai târziu, în special opțiunea de control comportamental.

Un program antivirus (antivirus) este inițial un program de calculator conceput pentru a neutraliza virușii și diferitele tipuri de malware pentru a proteja datele și a asigura funcționarea optimă a computerului personal.

Software-ul antivirus nu a trebuit să aștepte mult; a apărut imediat după apariția primului malware. În acest moment, corporații întregi conduse de mii de oameni lucrează la dezvoltarea de programe antivirus, care „chic găuri” în mod constant, astfel încât lumea noastră informațională să fie mai curată și mai sigură.

Programele antivirus (antivirusuri) folosesc două principii specifice de funcționare (eliminare) malware:

· Scanarea computerului și compararea unui virus existent cu o bază de date de pe un server de la un anumit producător.

· Scanați și detectați programele care se comportă suspect și pot fi, prin definiție, malware.

De asemenea, puteți defini o clasificare a modulelor antivirus care sunt incluse în diferite programe antivirus (antivirus):

1. Scanere - un modul antivirus care funcționează pe baza potrivirii. Cu alte cuvinte, antivirusul caută prezența unui virus folosind o bază de date de semnături. Calitatea scanării depinde de data actualizării bazei de date și de analiza euristică.

2. Modulul de audit - reține starea sistemului de fișiere, care ulterior face posibilă compararea diferențelor și compararea rezultatelor. Dacă există o diferență, virusul este prins.

3. Monitoarele sunt programe speciale de asistență care, în cazul în care sunt detectate programe malware potențial periculoase (fișierele EXE sunt cele mai frecvente), oferă utilizatorului posibilitatea de a alege între mai multe operațiuni, care include în mod obligatoriu funcția „Ștergere”.

4. Vaccinuri - principiul de funcționare al acestui modul ne poate aminti de o „vaccinare” obișnuită. Cu alte cuvinte, atunci când un virus vrea să pătrundă și să infecteze un program, rolul vaccinului este de a arăta virusului că programul este deja infectat. Din păcate, în momentul de față, când numărul de viruși din rețeaua globală este măsurat în milioane, această metodă este deja depășită.

Protejează-ți computerul de acasă și de la serviciu de viruși

1. PC de acasă - de regulă, PC-urile de acasă nu sunt atât de susceptibile la atacuri de viruși. De obicei, dezvoltatorii de software antivirus se concentrează pe următoarele componente:

· Antivirus

· Firewall

· Anti-rootkit

· Anti spam

2. În ceea ce privește stațiile de lucru, situația este puțin mai complicată, deoarece majoritatea structurilor funcționează cu servere. În consecință, nivelul de securitate aici ar trebui să fie mai ridicat. De regulă, administratorii folosesc antivirusuri bune de server și aplicații pentru ei (cele client).

Există un număr mare de corporații diferite în lume care dezvoltă din ce în ce mai multe antivirusuri noi și acumulează baze de date pentru ei. Pe site-ul nostru găsiți doar cele mai mari și mai de succes companii, ale căror antivirusuri au câștigat de mai multe ori diverse teste și concursuri (Buletin Virus) etc.

Și nu uitați, prin achiziționarea unui produs licențiat, nu numai că aveți acces la noile și cele mai recente actualizări ale semnăturilor, dar beneficiați și de asistență specializată în cazul problemelor întâlnite în timpul lucrului cu software antivirus.

Programele antivirus vă protejează computerul de viruși și alte programe malware, cum ar fi viermi și cai troieni. Programele antivirus trebuie actualizate regulat pe Internet. Pentru a primi actualizări, trebuie să vă abonați la serviciul de actualizare a bazei de date antivirus al producătorului programului antivirus. Înainte de a vă conecta la Internet, trebuie să rulați un program antivirus!

Principalele sarcini ale antivirusurilor:

· Scanați fișiere și programe în timp real.

· Scanați computerul la cerere.

· Scanarea traficului de internet.

· Scanare e-mail.

· Protecție împotriva atacurilor de la site-uri web ostile.

· Recuperarea fișierelor deteriorate (tratament).

Răspândirea virușilor prin e-mail ar putea fi prevenită ieftin și eficient fără instalarea de programe antivirus dacă s-ar elimina defectele programelor de e-mail, care echivalează cu executarea codului executabil conținut în scrisori fără știrea sau permisiunea utilizatorului.

· Formarea utilizatorilor poate fi un plus eficient la software-ul antivirus. Simpla educare a utilizatorilor cu privire la utilizarea în siguranță a computerului (cum ar fi nedescărcarea sau rularea de programe necunoscute de pe Internet) ar reduce probabilitatea de răspândire a virușilor și ar elimina necesitatea multor programe antivirus.

· Utilizatorii de computere nu ar trebui să lucreze cu drepturi de administrator tot timpul. Dacă ar folosi modul obișnuit de acces al utilizatorului, atunci unele tipuri de viruși nu s-ar putea răspândi (sau cel puțin daunele cauzate de viruși ar fi mai mici). Acesta este unul dintre motivele pentru care virușii sunt relativ rari pe sisteme asemănătoare Unix.

· Diverse tehnici de criptare și de ambalare a programelor malware fac chiar și virușii cunoscuți nedetectabili de software-ul antivirus. Detectarea acestor viruși „deghizați” necesită un motor puternic de decompresie care poate decripta fișierele înainte de a le scana. Din păcate, multe programe antivirus nu au această caracteristică și, ca urmare, este adesea imposibil să detectezi viruși criptați.

· Apariția constantă de noi viruși oferă o bună perspectivă financiară pentru dezvoltatorii de software antivirus.

· Unele programe antivirus pot reduce semnificativ performanța. Utilizatorii pot dezactiva protecția antivirus pentru a preveni pierderea performanței, crescând, la rândul său, riscul de infectare cu virus. Pentru securitate maximă, software-ul antivirus ar trebui să fie întotdeauna conectat, în ciuda pierderii de performanță. Unele programe antivirus nu afectează foarte mult performanța.

· Uneori trebuie să dezactivați protecția antivirus atunci când instalați actualizări de program, cum ar fi pachetele de servicii Windows. Un program antivirus care rulează în timpul instalării actualizărilor poate determina instalarea incorectă a modificărilor sau poate anula complet instalarea modificărilor. Înainte de a face upgrade de la Windows 98, Windows 98 Second Edition sau Windows ME la Windows XP (Home sau Professional), este mai bine să dezactivați protecția împotriva virușilor, altfel procesul de actualizare poate eșua.

· Unele programe antivirus sunt de fapt spyware mascandu-se ca ele. Cel mai bine este să verificați din nou dacă programul antivirus pe care îl descărcați este de fapt unul. Este și mai bine să utilizați software de la producători cunoscuți și să descărcați distribuții numai de pe site-ul web al dezvoltatorului.

· Unele dintre produse folosesc mai multe nuclee pentru a căuta și elimina viruși și programe spion. De exemplu, în dezvoltarea software-ului NuWave, sunt utilizate 4 nuclee (două pentru scanarea virușilor și două pentru scanarea programelor spion)

Programele antivirus sunt de obicei împărțite în antivirusuri curateȘi antivirusuri cu dublu scop. Antivirusurile pure se disting prin prezența unui nucleu antivirus, care îndeplinește funcția de scanare a probelor. Principiul în acest caz este că tratamentul este posibil dacă virusul este cunoscut. Antivirusurile pure, la rândul lor, sunt împărțite în două categorii în funcție de tipul de acces la fișiere: cele care exercită controlul prin acces (la acces) sau după cererea utilizatorului (la cerere). De obicei, produsele de acces sunt numite monitoareși produse la cerere - scanere. În plus, programele antivirus, precum virușii, pot fi împărțite în funcție de platforma în care funcționează antivirusul. În acest sens, alături de Windows sau Linux, platformele pot include Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Programele cu dublă utilizare sunt programe utilizate atât în ​​antivirus, cât și în software care nu este un antivirus. O varietate de programe cu dublă utilizare sunt blocante comportamentale, care analizează comportamentul altor programe și le blochează atunci când sunt detectate acțiuni suspecte.

Atunci când alegeți un program antivirus, este necesar să luați în considerare nu numai procentul de detectare a virușilor, ci și capacitatea de a detecta noi viruși, numărul de viruși din baza de date antivirus, frecvența actualizărilor acestuia și prezența unor viruși suplimentari. funcții.

Programele antivirus, clasificarea lor și principiile de funcționare

Cele mai populare și eficiente programe antivirus sunt scanere antivirus(alte denumiri: medici, fagi, polifagi). Ele sunt urmate în termeni de eficacitate și popularitate de Scanere CRC(de asemenea: auditor, verificator, verificator de integritate). Adesea, ambele metode sunt combinate într-un singur program antivirus universal, ceea ce îi crește semnificativ puterea. De asemenea, sunt folosite diferite tipuri monitoare(filtre, blocante) și imunizatoare(detectoare).

Scanere. Principiul de funcționare al scanerelor antivirus se bazează pe verificarea fișierelor, sectoarelor și memoriei de sistem și căutarea acestora pentru viruși cunoscuți și noi (necunoscuți de scaner). Scanerele pot fi, de asemenea, împărțite în două categorii - „universale” și „specializate”. Scanerele universale sunt concepute pentru a căuta și neutraliza toate tipurile de viruși, indiferent de sistemul de operare în care este proiectat să funcționeze scanerul. Scanerele specializate sunt concepute pentru a neutraliza un număr limitat de viruși sau o singură clasă de viruși, de exemplu macrovirusuri. Scanerele specializate concepute numai pentru macrovirusuri se dovedesc adesea a fi cea mai convenabilă și fiabilă soluție pentru protejarea sistemelor de gestionare a documentelor în MS Word și MS Excel. Scanerele sunt, de asemenea, împărțite în „rezident”, care scanează din mers și „nerezident”, care scanează sistemul doar la cerere.

După cum știe toată lumea, internetul este o parte integrantă a societății în zilele noastre. Cu ajutorul lui, oamenii află informațiile necesare, comunică, vizionează videoclipuri și așa mai departe. S-ar părea că totul este în siguranță în acest „spațiu impecabil”. In orice caz .

Fiecare utilizator care intră pe World Wide Web așteaptă așa-zișii „viruși” creați de atacatori cu scopul de a provoca prejudicii (a face bani din oamenii obișnuiți, a fura informații etc.).

Pentru a asigura securitatea pe internet, multe companii au dezvoltat programe antivirus.

În articolul nostru dorim să vă spunem despre tipurile acestor „programe antivirus”. Dar mai întâi, merită să înțelegeți ce este un program antivirus.

Un antivirus (program antivirus) este orice program care poate detecta viruși și programe malware, poate vindeca obiectele (fișierele) infectate de aceștia și, de asemenea, poate împiedica codul rău intenționat să infecteze sistemul de operare al computerului și modificările acestuia.

Principalele tipuri de programe antivirus.

Antivirusurile existente pot fi împărțite în funcție de mai multe criterii:

Cum să vă protejați dispozitivul de viruși:

  1. Programele - vaccinuri (programe - medici, fagi) - sunt create pentru a căuta dosare/fișiere infectate și pentru a le „vindeca”. Acestea includ programe antivirus de renume mondial precum: Doctor Web, Norton AntiVirus și Kaspersky Antivirus.
  2. Programele - filtre sau „paznici” - sunt concepute pentru a detecta virușii într-un stadiu incipient al infecției.
  3. Programele - scanere (detectoare) - sunt folosite pentru a detecta viruși pe unitățile externe și în RAM PC-ului.
  4. Firewall-uri (programe - monitoare) - își încep activitatea când sistemul de operare al computerului pornește. Fiind în permanență în memoria dispozitivului, toate fișierele sunt verificate.
  5. „Auditorii” sunt unul dintre cele mai eficiente tipuri de programe antivirus. Ei sunt capabili să-și amintească toți parametrii inițiali ai sistemului înainte de infectare și să efectueze o analiză comparativă după.

După funcționalitate:

  1. Combinate. Acestea protejează sistemul de operare de malware, filtrează spam-ul și fac copii de rezervă ale fișierelor.
  2. Regulat. Acestea vă protejează doar computerul împotriva infecțiilor.

Desigur, acestea nu sunt toate tipurile de programe antivirus, dar pentru un utilizator obișnuit care dorește să-și protejeze dispozitivul de malware, informațiile descrise mai sus sunt destul de suficiente.

Lupta împotriva virușilor informatici se realizează folosind programe antivirus, care în prezent trebuie să aibă o marjă de „putere” foarte semnificativă împotriva diverselor trucuri ale creatorilor de viruși informatici. Inițial, cea mai comună modalitate de a detecta virușii informatici a fost „căutarea cu masca”, adică. identificarea secvențelor de caractere specifice fiecărui virus în fișiere. De-a lungul timpului, aceste secvențe au început să fie combinate în special baze de date antivirus, care au devenit un atribut integral al programelor antivirus moderne. Cu cât setul de șabloane similare din baza de date a programului antivirus este mai mare, cu atât poate lupta cu mai mulți viruși. O bază de date antivirus mare este cheia pentru restabilirea cu succes a unui obiect infectat la forma sa originală. Acest lucru necesită o abordare individuală a fiecărui virus și o analiză atentă a acestuia. Nu este un secret pentru nimeni că diferiți viruși folosesc aceleași metode de infectare a obiectelor, dar nu trebuie să uităm că fiecare virus este la fel de individual ca și persoana care l-a creat, chiar dacă sunt viruși din aceeași familie.

Vorbind despre tendințele de creștere a numărului de viruși informatici, nu se poate să nu menționăm că sunt din ce în ce mai întâlniți viruși complecși, capabili nu doar să ocolească protecția tradițională și să folosească propriile mecanisme de infecție și camuflaj, ci și direcționați împotriva unor produse antivirus specifice.

Mai pot fi adăugate două caracteristici distinctive ale programelor antivirus moderne: puternic mecanism euristic pentru a combate virusurile încă necunoscute programului și un mecanism de combatere viruși cu auto-criptare. Fără a intra în detalii despre funcționarea acestor mecanisme software complexe, observăm că pe baza secțiunilor de cod caracteristice virușilor, se poate afirma, cu un anumit grad de probabilitate, prezența unui virus necunoscut programului într-un obiect. Testele realizate de publicații independente (de exemplu, revista engleză „Virus Bulletin”) și experiența vastă de lucru cu utilizatori din întreaga lume sugerează că, în 80 de cazuri din 100, atunci când un obiect este infectat cu un virus necunoscut, programul va suspecta că obiectul este infectat. Mecanismul euristic vă permite să presupuneți (prevedeți) prezența unui virus a cărui mască nu se află în prezent în baza de date a programului antivirus. Încorporarea unui mecanism euristic în programele antivirus vă permite să extindeți capacitățile acestora, deoarece face posibilă lupta împotriva virușilor încă „necunoscuți”. Orice mecanism care funcționează pe un principiu euristic poate da rezultate false pozitive. Cu toate acestea, după cum a arătat experiența pe termen lung, procentul lor este nesemnificativ și, în orice caz, în astfel de chestiuni este mai bine să fii puțin în siguranță.

O trăsătură caracteristică așa-numitului virusuri polimorfe este capacitatea de a-și muta semnificativ codul, motiv pentru care unele programe (cum ar fi Aidstest, care era foarte popular la vremea sa) sunt fundamental incapabile să identifice (și, prin urmare, să neutralizeze) astfel de viruși. Pentru a combate virușii polimorfi, ar trebui să utilizați antivirusuri de nouă generație (de exemplu, DrWeb), care, datorită sistemului încorporat emulator de procesor recunosc virușii sub diferite criptoare și pachete și, datorită unității sale de analiză euristică, detectează și mulți (peste 80%) viruși necunoscuți. Emulatorul procesorului creează o imitație a funcționării pe termen lung a programelor de calculator, ceea ce provoacă mutarea virușilor polimorfi și, în consecință, modificarea programelor testate.

Caracteristicile distinctive ale programelor antivirus moderne sunt noile capabilități pe care le conțin:

§ examinare de arhivăȘi bătătorit dosare;

§ scanare redundantă,în care, în căutarea unui virus, un obiect este „dezasamblat” octet cu octet și se efectuează o analiză amănunțită a posibilității de a efectua o acțiune distructivă. Acest lucru încetinește oarecum procesul de scanare, dar crește fiabilitatea detectării și eliminării corpurilor de viruși din fișierele computerului;

§ Disponibilitate enciclopedia virusului cu o descriere detaliată a virușilor care pot fi detectați de un anumit program.

În Rusia, programele antivirus sunt dezvoltate în mod activ de următoarele companii:

§ a organizat recent Kaspersky Lab CJSC (numit anterior KAMI), unde ideologul dezvoltării instrumentelor antivirus de la bun început este E.V. Kaspersky;

§ „Dialog-Science”, în care D.N. a fost anterior dezvoltator principal. Lozinsky, iar apoi echipa a fost completată de I.A. Danilov, datorită căruia a apărut Laboratorul Danilov.

Pe lângă programele antivirus produse pe plan intern, dezvoltările de la companii străine precum Symantec, McAfee, Elashim, Avil Software, S&S International și Sophos sunt utilizate pe scară largă în țara noastră.

Programele antivirus pot fi clasificate după diverse criterii (Fig. 6.3).

De natura actiunii programele antivirus sunt împărțite în următoarele tipuri: polifagi, auditori, vaccinuri.

Polifage sunt concepute pentru a detecta viruși și a vindeca fișierele de la aceștia. Polifagele includ AidsTest (D.N. Lozinsky), DrWeb (I.A. Danilov), AVP (E.V. Kaspersky), Norton Antivirus (Symantec).

Orez. 6.3. Clasificarea programelor antivirus

Auditorii(numite uneori „scanere CRC”) servesc pentru a informa utilizatorul despre toate modificările în structura și conținutul fișierelor de la ultima scanare a computerului. De regulă, astfel de programe sunt incluse în pachetul de pornire și verifică modificările în sistemul de fișiere al computerului în comparație cu lansarea anterioară. Programele din această categorie nu testează fișierele pentru viruși și nu elimină virușii din fișiere. Sarcina lor este doar de a înregistra toate modificările, care sunt afișate sub formă de tabel. Este sarcina utilizatorului să decidă ce a cauzat modificările. Un exemplu de program de auditor este ADINF, creat la un moment dat de D.N. Lozinsky.

Vaccinuri(un alt nume este imunizatori) sunt concepute pentru a proteja fișierele împotriva infecțiilor, de obicei cu un anumit virus. De exemplu, programul WebWinWord (dezvoltat de I.A. Danilov) a fost creat pentru a proteja programul MS Word de infectarea cu virusul WinWord.Concept. Microsoft Corporation a creat un program de imunizare care împiedică virusul W32 să infecteze sistemele de operare. Blaster. Vierme.

De metoda de verificare Programele antivirus sunt clasificate în două categorii:

§ programe lansare forțată. Pentru a căuta și elimina viruși, astfel de programe (AidsTest, DrWeb pentru DOS) trebuie lansate special. În ciuda capacității multor programe antivirus de a monitoriza absența virușilor, uneori sunt utilizate în modul de lansare forțată pentru a scana medii de stocare individuale (dischete, discuri);

§ programe care implementează supraveghere constantă pentru situatia virusului. Astfel de programe (AVP, DrWeb pentru Windows, NAV), atunci când sunt lansate rezidente, monitorizează în mod constant absența virușilor. În funcție de parametrii setați, atunci când apare o situație periculoasă, programele întreprind acțiunile necesare sau generează un mesaj către utilizator. Programele de urmărire monitorizează apariția virușilor și elimină corpurile virușilor din fișiere fără a întrerupe funcționarea normală a computerului.

De metoda de setare programele pot fi grupate în două grupe:

§ lot(AidsTest, Cleaner), ai căror parametri de funcționare sunt setați pe linia de comandă la pornirea programului;

§ ambalaje(marea majoritate a programelor moderne pentru Windows) cu o interfață dezvoltată. Configurarea parametrilor de funcționare se realizează într-un mod special de setare a parametrilor.


Informații conexe.