Trình phát hiện chống vi-rút. Chương trình chống vi-rút là các tiện ích máy tính để phát hiện và loại bỏ vi-rút. Bảo vệ khỏi Dr. Web

Các sản phẩm bảo mật PC Windows ngày nay là những ứng dụng phức tạp. Số lượng các tính năng chuyên biệt được cung cấp có thể gây nhầm lẫn cho người dùng cuối. Mỗi nhà cung cấp phần mềm có xu hướng sử dụng tên riêng của mình cho cùng một tính năng, tính năng này có thể xuất hiện trong các sản phẩm khác dưới một tên khác. Sự nhầm lẫn càng gia tăng khi rõ ràng là hai lựa chọn khác nhau thường có cùng tên trong các sản phẩm từ các nhà cung cấp khác nhau.

Chuỗi bài viết này được thiết kế để giải thích những điều cơ bản và chức năng thực tế của các tùy chọn phổ biến nhất trong bộ bảo mật Windows hiện đại. Chúng tôi sẽ mô tả những gì bạn có thể mong đợi từ một giải pháp cụ thể, cho dù đó là công cụ chống phần mềm độc hại, lướt web an toàn hay ngăn chặn sự xâm nhập không mong muốn. Sử dụng thông tin được thu thập trong các bài viết, bạn có thể so sánh bộ tính năng được đề xuất của các sản phẩm từ các nhà cung cấp khác nhau và hiểu rõ hơn về cách hoạt động của các gói bảo mật.

Trong phần đầu của loạt bài viết này, chúng ta sẽ thảo luận về các thành phần cơ bản nhất: công cụ chống virus và tường lửa.
-
-
-
-

-
-
-
-
-

Công cụ chống vi-rút

Còn được gọi là: bảo vệ chống virus theo thời gian thực, bảo vệ theo thời gian thực, giám sát tập tin, bảo vệ khỏi phần mềm độc hại

Công cụ chống vi-rút là thành phần cốt lõi có trong hầu hết các gói bảo mật trên thị trường. Vai trò chính của công cụ này là quét kho lưu trữ dữ liệu, nó xâm nhập vào máy tính để phát hiện và loại bỏ phần mềm độc hại. Mã độc hại có thể được lưu trữ trong các tệp trên ổ cứng, ổ USB di động, RAM máy tính, trình điều khiển mạng, khu vực khởi động đĩa hoặc được nhận như một phần của lưu lượng mạng.

Phương pháp xác định

Công cụ chống vi-rút sử dụng một số lượng lớn các phương pháp để phát hiện phần mềm độc hại. Các chương trình chống vi-rút chứa cơ sở dữ liệu phong phú về các mẫu vi-rút cần được phát hiện trong quá trình quét. Mỗi mẫu có thể xác định mã độc duy nhất hoặc phổ biến hơn là mô tả toàn bộ họ vi-rút. Đặc điểm chính của việc xác định vi-rút bằng cách so sánh với các mẫu là chương trình chống vi-rút chỉ có thể xác định một loại vi-rút phổ biến, trong khi các mối đe dọa mới có thể không được phát hiện.

Phương pháp phân tích heuristic(phát hiện dựa trên kinh nghiệm) dùng để phát hiện ngay cả những loại vi-rút không có mẫu trong cơ sở dữ liệu chương trình chống vi-rút. Có nhiều phương pháp phân tích heuristic khác nhau. Nguyên tắc cơ bản là xác định mã chương trình không được mong muốn đối với các sản phẩm phần mềm bảo mật. Tuy nhiên, phương pháp này không chính xác và có thể gây ra nhiều báo động sai. Phân tích heuristic tốt sẽ được cân bằng tốt và tạo ra số lượng cảnh báo sai tối thiểu trong khi vẫn duy trì tỷ lệ phát hiện phần mềm độc hại cao. Độ nhạy của heuristic có thể được cấu hình.

Ảo hóa(tạo môi trường ảo, Ảo hóa) hoặc hộp cát là những phương pháp nâng cao hơn để xác định các mối đe dọa. Trong một thời gian nhất định, các mẫu mã được thực thi trong máy ảo hoặc môi trường an toàn khác, từ đó các mẫu được quét không thể thoát ra ngoài và gây hại cho hệ điều hành. Hoạt động của mẫu thử trong hộp cát được theo dõi và phân tích. Phương pháp này hữu ích khi phần mềm độc hại được đóng gói bằng một thuật toán không xác định (đây là cách phổ biến để chống lại sự phát hiện của vi-rút) và hệ thống chống vi-rút không thể giải nén được. Bên trong môi trường ảo, vi-rút tự giải nén như thể đang chạy trên hệ thống thực và công cụ chống vi-rút có thể quét mã và dữ liệu được giải nén.

Một trong những thành tựu mới nhất của các công cụ chống virus là quét đám mây(quét trên đám mây). Phương pháp này dựa trên thực tế là PC bị hạn chế về khả năng tính toán, trong khi các nhà cung cấp phần mềm chống vi-rút có khả năng tạo ra các hệ thống lớn với hiệu suất vượt trội. Cần có sức mạnh tính toán để thực hiện phân tích heuristic phức tạp cũng như phân tích bằng máy ảo. Máy chủ của nhà cung cấp có thể hoạt động với cơ sở dữ liệu mẫu vi-rút lớn hơn nhiều so với PC trong thời gian thực. Khi thực hiện quét đám mây, yêu cầu duy nhất là kết nối Internet nhanh và ổn định. Khi máy khách cần quét một tệp, tệp đó sẽ được gửi đến máy chủ của nhà cung cấp qua kết nối mạng và sẽ chờ phản hồi. Trong thời gian chờ đợi, máy khách có thể thực hiện quá trình quét của riêng mình.

Các loại quét và cài đặt

Từ quan điểm của người dùng, có một số kiểu quét chống vi-rút, tùy thuộc vào các sự kiện đã kích hoạt quá trình quét:

- Quét khi truy cập(Khi quét truy cập) – quá trình quét xảy ra khi tài nguyên có sẵn. Ví dụ: khi một tệp được sao chép vào ổ cứng hoặc khi một tệp thực thi được khởi chạy (chạy quá trình quét trong trường hợp này đôi khi được gọi là quét khởi động). Chỉ tài nguyên đang được truy cập mới được quét trong trường hợp này.

- Quét theo yêu cầu(Quét theo yêu cầu) được kích hoạt bởi người dùng cuối - ví dụ: khi người dùng gọi chức năng quét bằng lệnh menu tương ứng trong Windows Explorer. Kiểu quét này còn được gọi là quét thủ công. Chỉ các thư mục và tệp đã chọn mới được quét bằng phương pháp này.

- Quét theo lịch trình Quét theo lịch trình là một hành động thường lặp lại để liên tục kiểm tra hệ thống để phát hiện phần mềm độc hại. Người dùng có thể cấu hình thời gian và tần suất quét. Quá trình quét này thường được sử dụng để quét toàn bộ hệ thống.

- Quét khi khởi động(Quét khởi động) – quá trình quét do chương trình chống vi-rút bắt đầu khi hệ điều hành khởi động. Quá trình quét này diễn ra nhanh chóng và ảnh hưởng đến thư mục khởi động, quá trình khởi động, bộ nhớ hệ thống, dịch vụ hệ thống và khu vực khởi động.

Hầu hết các sản phẩm đều cho phép người dùng cấu hình từng kiểu quét riêng biệt. Dưới đây là một số thông số quét virus cơ bản nhất:

Phần mở rộng tệp để quét – quét tất cả các tệp hoặc chỉ những tệp thực thi (.exe, .dll, .vbs, .cmd và các tệp khác.);
- Kích thước tệp tối đa – các tệp lớn hơn tham số này sẽ không được quét;
- Quét tệp trong kho lưu trữ – có quét tệp trong kho lưu trữ như .zip, .rar, .7z và các tệp khác hay không;
- Sử dụng phân tích heuristic – thiết lập việc sử dụng heuristic và, tùy chọn, thiết lập độ nhạy;
- Các loại chương trình được báo cáo bằng cảnh báo – Có nhiều chương trình có thể bị xác định không chính xác là độc hại. Thông thường, các nhà cung cấp sử dụng các thuật ngữ như Phần mềm hoặc chương trình có thể không mong muốn có một số nguy cơ bị đe dọa;
- Các loại phương tiện cần quét - quét tệp trên bộ lưu trữ mạng hay thiết bị lưu trữ di động;
- Hành động cần thực hiện khi phát hiện mối đe dọa - cố gắng khử trùng mẫu nếu có thể, xóa mẫu, cách ly (một thư mục đặc biệt mà mã độc không thể được thực thi nhưng có thể được gửi trực tiếp đến nhà cung cấp để điều tra thêm), chặn quyền truy cập hoặc hỏi về hành động của người dùng.

Nhiều tham số trong số này có thể ảnh hưởng đến tốc độ quét. Một bộ quy tắc quét tự động để quét nhanh nhưng đồng thời hiệu quả được gọi là Quét thông minh hoặc Quét nhanh. Nếu không, quá trình quét được gọi là Quét toàn bộ hoặc Quét sâu. Chúng tôi cũng có thể tìm thấy tính năng quét thiết bị di động, được sử dụng để kiểm tra đĩa quang, ổ đĩa mềm, ổ USB, thẻ flash và các thiết bị tương tự. Quét tùy chỉnh cũng có sẵn và người dùng cuối có thể tùy chỉnh hoàn toàn.

Máy quét chuyên dụng

Quét rootkit(hoặc quét chống rootkit) là một tùy chọn mà một số nhà cung cấp phần mềm chống vi-rút cung cấp trong sản phẩm của họ vì... Rootkit đã trở nên cực kỳ phổ biến trong thập kỷ qua. Rootkit là một loại phần mềm độc hại đặc biệt sử dụng các thủ thuật thông minh để ẩn đối với người dùng và các phương pháp phát hiện vi-rút cơ bản. Nó sử dụng các cơ chế hệ điều hành nội bộ để khiến nó không thể truy cập được. Cuộc chiến chống lại rootkit đòi hỏi các nhà phát triển phần mềm chống vi-rút phải tạo ra các phương pháp phát hiện đặc biệt. Quét rootkit cố gắng tìm ra những khác biệt trong hoạt động của hệ điều hành có thể dùng làm bằng chứng về sự hiện diện của rootkit trong hệ thống. Một số triển khai kiểm tra rootkit dựa vào việc giám sát liên tục hệ thống, trong khi các triển khai khác của các công cụ chống rootkit có thể được thực hiện theo yêu cầu.

Quét các tập tin Microsoft Office(hoặc quét virus macro) là tùy chọn bảo vệ người dùng khỏi mã độc bên trong các tài liệu văn phòng. Nguyên tắc quét bên trong tương tự như các phương pháp quét thông thường; chúng chỉ chuyên về tìm kiếm vi-rút bên trong macro. Tùy chọn quét có thể được cung cấp dưới dạng plugin cho Microsoft Office.

Các tùy chọn liên quan bổ sung

Công cụ chống vi-rút thường được kết hợp chặt chẽ với phần còn lại của bộ bảo mật. Một số sản phẩm cung cấp các tính năng bổ sung như một phần của công cụ chống vi-rút, một số khác hiển thị chúng riêng biệt. Kiểm soát web là một lựa chọn đại diện điển hình cho nhóm thứ hai. Chúng tôi sẽ thảo luận riêng về tùy chọn này.

Bức tường lửa

Còn được gọi là: tường lửa cá nhân, tường lửa, tường lửa nâng cao, tường lửa hai chiều.

Vai trò chính của tường lửa là kiểm soát quyền truy cập vào PC từ mạng bên ngoài, tức là. lưu lượng truy cập đến và ngược lại, kiểm soát quyền truy cập từ PC vào mạng, tức là. lưu lượng đi ra.

Việc lọc lưu lượng mạng có thể xảy ra ở nhiều cấp độ. Hầu hết các tường lửa có trong bộ bảo mật PC đều có bộ quy tắc cho ít nhất hai lớp - lớp Internet thấp hơn được kiểm soát bởi các quy tắc IP và lớp ứng dụng trên cùng. Nói về cấp cao nhất, tường lửa chứa một bộ quy tắc để cho phép hoặc từ chối quyền truy cập vào một ứng dụng cụ thể trên mạng. Các thuật ngữ như Quy tắc mạng, Quy tắc chuyên gia hoặc Cài đặt quy tắc IP được sử dụng ở cấp quy tắc thấp hơn. Ở cấp độ cao nhất, chúng tôi gặp phải các điều khoản Kiểm soát chương trình(Điều khiển chương trình) hoặc Các luật áp dụng(Các luật áp dụng).

Mạng

Nhiều sản phẩm hiện đại cho phép người dùng định cấu hình mức độ tin cậy trong tất cả các mạng được kết nối với máy tính. Ngay cả khi chỉ có một kết nối vật lý, PC vẫn có thể được kết nối với nhiều mạng - ví dụ: khi PC được kết nối với mạng cục bộ có cổng vào Internet. Tổ hợp chống vi-rút sẽ quản lý riêng lưu lượng truy cập cục bộ và Internet. Mỗi mạng được phát hiện có thể được tin cậy hoặc không đáng tin cậy và các dịch vụ hệ thống khác nhau, chẳng hạn như chia sẻ tệp hoặc máy in, có thể được cho phép hoặc từ chối. Theo mặc định, chỉ những máy tính từ mạng đáng tin cậy mới có thể truy cập vào máy tính được bảo vệ. Các kết nối được đăng ký từ mạng không đáng tin cậy thường bị chặn trừ khi tùy chọn tương ứng cho phép truy cập. Đây là lý do tại sao kết nối Internet thường được đánh dấu là không đáng tin cậy. Tuy nhiên, một số sản phẩm không phân biệt giữa các mạng trong cùng một giao diện người dùng và cài đặt mạng đáng tin cậy/không đáng tin cậy có thể được chỉ định riêng cho từng giao diện. Thuật ngữ Network Zone hay gọi đơn giản là Zone thường được sử dụng thay cho mạng logic.

Đối với các mạng không đáng tin cậy, có thể định cấu hình chế độ ẩn. Chế độ này cho phép bạn thay đổi hành vi của hệ thống như thể mạng không thể truy cập địa chỉ của nó. Biện pháp này có thể gây nhầm lẫn cho những hacker lần đầu tiên tìm ra mục tiêu để tấn công. Hành vi mặc định của hệ thống là phản hồi tất cả các tin nhắn, ngay cả những tin nhắn được gửi từ các cổng đã đóng. Chế độ ẩn (còn được gọi là cổng ẩn) ngăn không cho PC bị phát hiện trong quá trình quét cổng.

Phát hiện/Ngăn chặn xâm nhập

Còn được gọi là: Phát hiện tấn công, Hệ thống phát hiện xâm nhập, chặn IP, cổng độc hại.

Mặc dù các thuật ngữ trên không tương đương nhưng chúng đề cập đến một tập hợp thuộc tính có thể ngăn chặn hoặc phát hiện các loại tấn công cụ thể từ máy tính từ xa. Chúng bao gồm các tùy chọn như quét cổng, phát hiện IP giả mạo, chặn quyền truy cập vào các cổng phần mềm độc hại phổ biến được sử dụng bởi các chương trình quản trị từ xa, ngựa Trojan và máy khách botnet. Một số thuật ngữ bao gồm các cơ chế bảo vệ chống lại các cuộc tấn công ARP (tấn công giả mạo giao thức địa chỉ) - tùy chọn này có thể được gọi là bảo vệ APR, bảo vệ bộ đệm ARP, v.v. Khả năng chính của loại bảo vệ này là tự động chặn máy tấn công. Tùy chọn này có thể được liên kết trực tiếp với chức năng sau.

Danh sách đen IP

Việc sử dụng tùy chọn đơn giản này là chứa trong sản phẩm chống vi-rút cơ sở dữ liệu về các địa chỉ mạng mà máy tính được bảo vệ không nên liên hệ. Cơ sở dữ liệu này có thể được người dùng tự bổ sung khi phát hiện thấy vi-rút (xem Phát hiện và ngăn chặn sự xâm nhập) hoặc tự động cập nhật từ danh sách mở rộng các hệ thống và mạng nguy hiểm của nhà cung cấp phần mềm chống vi-rút.

Chặn tất cả lưu lượng truy cập

Trong trường hợp hệ thống bị nhiễm trùng đột ngột, một số giải pháp chống vi-rút đề xuất “nhấn nút phanh khẩn cấp”, tức là. chặn tất cả lưu lượng truy cập vào và ra. Tùy chọn này có thể xuất hiện dưới dạng nút lớn màu đỏ, như một phần của cài đặt chính sách bảo mật của tường lửa hoặc dưới dạng biểu tượng trong menu hệ thống. Người ta cho rằng chức năng này được sử dụng khi người dùng phát hiện ra rằng PC bị nhiễm và muốn ngăn chặn việc sử dụng máy tính không mong muốn bởi phần mềm độc hại: đánh cắp dữ liệu cá nhân và tải thêm vi-rút qua Internet. Việc chặn lưu lượng truy cập mạng có thể được kết hợp với việc chấm dứt tất cả các quy trình hệ thống không xác định. Tùy chọn này nên được sử dụng một cách thận trọng.

Kiểm soát chương trình

Còn được gọi là: kiểm soát ứng dụng, thanh tra ứng dụng

Lọc lưu lượng mạng ở cấp độ phần mềm cho phép các chương trình bảo mật kiểm soát riêng quyền truy cập mạng cho từng ứng dụng trên PC. Sản phẩm chống vi-rút chứa cơ sở dữ liệu về các thuộc tính ứng dụng, xác định xem chương trình có thể truy cập mạng hay không. Các thuộc tính này khác nhau giữa các chương trình máy khách khởi tạo kết nối từ máy cục bộ đến máy chủ từ xa (hướng đi) và các chương trình máy chủ quét cổng mạng và chấp nhận kết nối từ máy tính từ xa (hướng đi). Các giải pháp chống vi-rút hiện đại cho phép người dùng xác định các quy tắc chi tiết cho từng ứng dụng cụ thể.

Nói chung, hành vi kiểm soát ứng dụng phụ thuộc vào Chính sách tường lửa được chọn trong tường lửa và có thể bao gồm các chế độ hành vi sau:

- Chế độ yên lặng(chế độ tự động) hoạt động mà không cần sự can thiệp của người dùng. Tất cả các quyết định được đưa ra tự động bằng cách sử dụng cơ sở dữ liệu sản phẩm chống vi-rút. Nếu không có quy tắc rõ ràng nào cho chương trình muốn có quyền truy cập vào mạng thì quyền truy cập này có thể luôn được cho phép (chế độ Cho phép tất cả) hoặc luôn bị chặn (chế độ Chặn tất cả) hoặc phân tích heuristic đặc biệt được sử dụng để xác định thêm hoạt động. Thuật toán phát triển giải pháp có thể rất phức tạp và có thể phụ thuộc vào các điều kiện bổ sung, chẳng hạn như đề xuất từ cộng đồng trực tuyến. Tuy nhiên, một số sản phẩm sử dụng thuật ngữ chế độ cho phép/chặn hoàn toàn để bỏ qua các bộ quy tắc hiện có trong cơ sở dữ liệu và chỉ cho phép hoặc chặn quyền truy cập vào bất kỳ ứng dụng nào trên hệ thống.

- Chế độ tùy chỉnh(Chế độ nâng cao, Chế độ tùy chỉnh) dành cho người dùng nâng cao muốn kiểm soát mọi hành động. Ở chế độ này, sản phẩm chỉ tự động xử lý những tình huống có quy tắc ngoại lệ trong cơ sở dữ liệu. Trong trường hợp có bất kỳ hành động nào khác, người dùng sẽ được nhắc đưa ra quyết định. Một số giải pháp chống vi-rút đề xuất xác định chính sách hành vi khi không thể yêu cầu người dùng - ví dụ: khi khởi động máy tính, tắt khi giao diện đồ họa của chương trình không khả dụng hoặc trong các điều kiện đặc biệt - bắt đầu trò chơi ở chế độ toàn màn hình khi người dùng không muốn bị phân tâm (đôi khi còn gọi là chế độ Gaming mode). Thông thường chỉ có hai tùy chọn trong những trường hợp này: chế độ kích hoạt đầy đủ và chế độ khối đầy đủ.

- Chế độ bình thường(Chế độ an toàn - Chế độ bình thường, Chế độ an toàn) cho phép sản phẩm chống vi-rút tự mình đối phó với hầu hết các tình huống. Ngay cả khi không có quy tắc rõ ràng trong cơ sở dữ liệu, chương trình vẫn được phép hoạt động nếu chương trình được coi là an toàn. Tương tự như chế độ tự động, quyết định có thể được đưa ra dựa trên phân tích heuristic. Trong trường hợp chương trình bảo mật không thể xác định liệu ứng dụng có an toàn hay không, nó sẽ hiển thị cảnh báo như ở chế độ người dùng.

- Chế độ đào tạo(chế độ đào tạo, chế độ cài đặt - Chế độ học tập, Chế độ đào tạo, Chế độ cài đặt) chủ yếu được sử dụng ngay sau khi cài đặt sản phẩm chống vi-rút hoặc trong trường hợp người dùng cài đặt phần mềm mới trên máy tính. Ở chế độ này, sản phẩm chống vi-rút cho phép tất cả các hành động không có mục nào trong cơ sở dữ liệu bộ quy tắc và thêm các quy tắc mới sẽ cho phép các hành động tương ứng trong tương lai sau khi thay đổi chế độ bảo mật. Sử dụng chế độ học tập cho phép bạn giảm số lượng cảnh báo sau khi cài đặt phần mềm mới.

Kiểm soát ứng dụng thường chứa các cài đặt có thể giúp sản phẩm giải quyết các tình huống gây tranh cãi, bất kể chế độ hoạt động được bật. Tính năng này được gọi là tạo quy tắc tự động. Một tùy chọn điển hình trong trường hợp này cho phép mọi hành động của ứng dụng được ký điện tử từ các nhà cung cấp đáng tin cậy, ngay cả khi không có mục nhập tương ứng trong cơ sở dữ liệu. Tùy chọn này có thể được mở rộng bằng một chức năng khác cho phép các ứng dụng không có chữ ký số nhưng quen thuộc với sản phẩm chống vi-rút thực hiện bất kỳ hành động nào. Kiểm soát ứng dụng thường liên quan chặt chẽ đến các chức năng khác mà chúng tôi sẽ đề cập sau, đặc biệt là tùy chọn kiểm soát hành vi.

Chương trình chống vi-rút (anti-virus) ban đầu là một chương trình máy tính được thiết kế để vô hiệu hóa vi-rút và các loại phần mềm độc hại khác nhau nhằm bảo vệ dữ liệu và đảm bảo máy tính cá nhân của bạn hoạt động tối ưu.

Phần mềm diệt virus không phải đợi lâu; nó xuất hiện ngay sau khi phần mềm độc hại đầu tiên xuất hiện. Hiện tại, toàn bộ tập đoàn, do hàng nghìn người đứng đầu, đang nỗ lực phát triển các chương trình chống vi-rút, những chương trình này không ngừng “vá lỗ hổng” để thế giới thông tin của chúng ta sạch hơn và an toàn hơn.

Các chương trình chống vi-rút (chống vi-rút) sử dụng hai nguyên tắc cụ thể để hoạt động (loại bỏ) phần mềm độc hại:

· Quét máy tính của bạn và so sánh virus hiện có với cơ sở dữ liệu trên máy chủ của một nhà sản xuất cụ thể.

· Quét và phát hiện các chương trình hoạt động đáng ngờ và theo định nghĩa có thể là phần mềm độc hại.

Bạn cũng có thể xác định một số phân loại mô-đun chống vi-rút được bao gồm trong các chương trình chống vi-rút (phần mềm chống vi-rút) khác nhau:

1. Máy quét - một mô-đun chống vi-rút hoạt động dựa trên việc so khớp. Nói cách khác, phần mềm chống vi-rút tìm kiếm sự hiện diện của vi-rút bằng cơ sở dữ liệu chữ ký. Chất lượng quét phụ thuộc vào ngày cập nhật cơ sở dữ liệu và phân tích heuristic.

2. Mô-đun kiểm tra - ghi nhớ trạng thái của hệ thống tệp, sau đó giúp so sánh sự khác biệt và so sánh kết quả. Nếu có sự khác biệt, virus sẽ bị phát hiện.

3. Màn hình là các chương trình trợ lý đặc biệt, nếu phát hiện thấy phần mềm độc hại tiềm ẩn nguy hiểm (thường tìm thấy các tệp EXE), sẽ cung cấp cho người dùng lựa chọn một số thao tác, trong đó nhất thiết phải bao gồm chức năng "xóa".

4. Vắc-xin - nguyên lý hoạt động của mô-đun này có thể khiến chúng ta nhớ đến việc “tiêm chủng” thông thường. Nói cách khác, khi vi-rút muốn xâm nhập và lây nhiễm vào một chương trình, vai trò của vắc-xin là cho vi-rút thấy rằng chương trình đó đã bị nhiễm. Thật không may, hiện tại, khi số lượng vi-rút trên mạng toàn cầu được tính bằng hàng triệu thì phương pháp này đã lỗi thời.

Bảo vệ PC ở nhà và nơi làm việc của bạn khỏi virus

1. PC gia đình - theo quy luật, PC gia đình không dễ bị vi rút tấn công. Thông thường, các nhà phát triển phần mềm chống vi-rút tập trung vào các thành phần sau:

· Chống virus

· Bức tường lửa

· Chống rootkit

· Chống thư rác

2. Đối với máy trạm, tình hình phức tạp hơn một chút vì hầu hết các cấu trúc đều hoạt động với máy chủ. Theo đó, mức độ bảo mật ở đây phải cao hơn. Theo quy định, quản trị viên sử dụng các ứng dụng và phần mềm chống vi-rút máy chủ tốt cho họ (máy khách).

Có một số lượng lớn các tập đoàn khác nhau trên thế giới đang ngày càng phát triển nhiều phần mềm chống vi-rút mới và tích lũy cơ sở dữ liệu cho chúng. Trên trang web của chúng tôi, bạn chỉ có thể tìm thấy những công ty lớn nhất và thành công nhất, những công ty có phần mềm chống vi-rút đã nhiều lần giành chiến thắng trong các cuộc kiểm tra và cuộc thi khác nhau (Bản tin vi-rút), v.v.

Và hãy nhớ rằng, bằng cách mua một sản phẩm được cấp phép, bạn không chỉ có quyền truy cập vào các bản cập nhật chữ ký mới và mới nhất mà còn nhận được sự hỗ trợ chuyên biệt trong trường hợp gặp sự cố khi làm việc với phần mềm chống vi-rút.

Các chương trình chống vi-rút bảo vệ máy tính của bạn khỏi vi-rút và phần mềm độc hại khác, chẳng hạn như sâu và ngựa Trojan. Các chương trình chống vi-rút cần được cập nhật thường xuyên trên Internet. Để nhận bản cập nhật, bạn phải đăng ký dịch vụ cập nhật cơ sở dữ liệu chống vi-rút của nhà sản xuất chương trình chống vi-rút. Trước khi kết nối Internet, bạn phải chạy chương trình chống vi-rút!

Nhiệm vụ chính của phần mềm chống vi-rút:

· Quét các tập tin và chương trình trong thời gian thực.

· Quét máy tính theo yêu cầu.

· Quét lưu lượng truy cập Internet.

· Quét email.

· Bảo vệ chống lại các cuộc tấn công từ các trang web thù địch.

· Phục hồi các tập tin bị hư hỏng (điều trị).

Sự lây lan của vi-rút qua e-mail có thể được ngăn chặn một cách hiệu quả và ít tốn kém mà không cần cài đặt các chương trình chống vi-rút nếu các khiếm khuyết trong chương trình e-mail, dẫn đến việc thực thi mã thực thi có trong các bức thư mà người dùng không biết hoặc không được phép, đã được loại bỏ.

· Đào tạo người dùng có thể là một sự bổ sung hiệu quả cho phần mềm chống vi-rút. Chỉ cần giáo dục người dùng về cách sử dụng máy tính an toàn (chẳng hạn như không tải xuống hoặc chạy các chương trình không xác định từ Internet) sẽ làm giảm khả năng lây lan vi-rút và loại bỏ nhu cầu sử dụng nhiều chương trình chống vi-rút.

· Người dùng máy tính không nên lúc nào cũng làm việc với quyền quản trị viên. Nếu họ sử dụng chế độ truy cập thông thường của người dùng thì một số loại vi-rút sẽ không thể lây lan (hoặc ít nhất thiệt hại từ vi-rút sẽ ít hơn). Đây là một lý do tại sao virus tương đối hiếm trên các hệ thống giống Unix.

· Các kỹ thuật mã hóa và đóng gói phần mềm độc hại khác nhau làm cho phần mềm chống vi-rút thậm chí không thể phát hiện được các vi-rút đã biết. Việc phát hiện những virus "ngụy trang" này cần đến một công cụ giải nén mạnh mẽ có thể giải mã các tập tin trước khi quét chúng. Thật không may, nhiều chương trình chống vi-rút không có tính năng này và do đó thường không thể phát hiện được vi-rút được mã hóa.

· Sự xuất hiện liên tục của các loại virus mới mang lại cho các nhà phát triển phần mềm chống vi-rút một triển vọng tài chính tốt.

· Một số chương trình chống virus có thể làm giảm hiệu suất đáng kể. Người dùng có thể vô hiệu hóa tính năng bảo vệ chống vi-rút để ngăn ngừa tình trạng giảm hiệu suất, từ đó làm tăng nguy cơ lây nhiễm vi-rút. Để bảo mật tối đa, phần mềm chống vi-rút phải luôn được kết nối, bất chấp hiệu suất bị giảm. Một số chương trình chống vi-rút không ảnh hưởng nhiều đến hiệu suất.

· Đôi khi bạn phải tắt tính năng bảo vệ chống vi-rút khi cài đặt các bản cập nhật chương trình, chẳng hạn như Gói dịch vụ Windows. Một chương trình chống vi-rút chạy trong quá trình cài đặt các bản cập nhật có thể khiến các sửa đổi cài đặt không chính xác hoặc hủy hoàn toàn quá trình cài đặt các sửa đổi. Trước khi nâng cấp từ Windows 98, Windows 98 Second Edition hoặc Windows ME lên Windows XP (Home hoặc Professional), tốt hơn hết bạn nên tắt tính năng bảo vệ chống vi-rút, nếu không quá trình nâng cấp có thể không thành công.

· Một số chương trình chống virus thực chất là phần mềm gián điệp giả dạng chúng. Tốt nhất bạn nên kiểm tra kỹ xem chương trình chống vi-rút bạn đang tải xuống có thực sự là chương trình đó hay không. Sẽ tốt hơn nữa nếu bạn sử dụng phần mềm từ các nhà sản xuất nổi tiếng và chỉ tải xuống các bản phân phối từ trang web của nhà phát triển.

· Một số sản phẩm sử dụng nhiều lõi để tìm kiếm và loại bỏ vi-rút và phần mềm gián điệp. Ví dụ: trong quá trình phát triển Phần mềm NuWave, 4 lõi được sử dụng (hai lõi để quét vi-rút và hai lõi để quét phần mềm gián điệp)

Các chương trình diệt virus thường được chia thành diệt virus sạch Và phần mềm diệt virus có mục đích kép. Các phần mềm chống vi-rút thuần túy được phân biệt bởi sự hiện diện của lõi chống vi-rút, thực hiện chức năng quét mẫu. Nguyên tắc trong trường hợp này là có thể điều trị được nếu biết được virus. Ngược lại, các phần mềm chống vi-rút thuần túy được chia thành hai loại dựa trên loại quyền truy cập vào tệp: những loại thực hiện kiểm soát theo quyền truy cập (theo quyền truy cập) hoặc theo yêu cầu của người dùng (theo yêu cầu). Thông thường các sản phẩm trên access được gọi là màn hình và các sản phẩm theo yêu cầu - máy quét. Ngoài ra, các chương trình chống vi-rút, như vi-rút, có thể được phân chia tùy thuộc vào nền tảng mà phần mềm chống vi-rút hoạt động. Theo nghĩa này, cùng với Windows hoặc Linux, các nền tảng có thể bao gồm Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Chương trình sử dụng kép là các chương trình được sử dụng cả trong phần mềm chống vi-rút và phần mềm không phải là phần mềm chống vi-rút. Một loạt các chương trình sử dụng kép được chặn hành vi, phân tích hành vi của các chương trình khác và chặn chúng khi phát hiện thấy các hành động đáng ngờ.

Khi chọn một chương trình chống vi-rút, cần phải tính đến không chỉ tỷ lệ phát hiện vi-rút mà còn cả khả năng phát hiện vi-rút mới, số lượng vi-rút trong cơ sở dữ liệu chống vi-rút, tần suất cập nhật và sự hiện diện của các phần mềm bổ sung. chức năng.

Các chương trình chống vi-rút, phân loại và nguyên tắc hoạt động của chúng

Các chương trình diệt virus phổ biến và hiệu quả nhất là máy quét virus(tên gọi khác: bác sĩ, thể thực khuẩn, thể thực khuẩn). Chúng được theo sau về mặt hiệu quả và mức độ phổ biến bởi máy quét CRC(từ khác: người kiểm tra, người kiểm tra, người kiểm tra tính toàn vẹn). Thông thường cả hai phương pháp này đều được kết hợp thành một chương trình chống vi-rút phổ quát, điều này làm tăng đáng kể sức mạnh của nó. Nhiều loại khác nhau cũng được sử dụng màn hình(bộ lọc, trình chặn) và chất miễn dịch(máy dò).

Máy quét. Nguyên lý hoạt động của máy quét chống vi-rút dựa trên việc kiểm tra các tệp, cung và bộ nhớ hệ thống và tìm kiếm chúng để tìm vi-rút đã biết và mới (máy quét chưa xác định). Máy quét cũng có thể được chia thành hai loại - "phổ quát" và "chuyên dụng". Máy quét đa năng được thiết kế để tìm kiếm và vô hiệu hóa tất cả các loại vi-rút, bất kể hệ điều hành mà máy quét được thiết kế để hoạt động. Các máy quét chuyên dụng được thiết kế để vô hiệu hóa một số lượng vi-rút hạn chế hoặc chỉ một loại vi-rút, ví dụ như vi-rút macro. Các máy quét chuyên dụng được thiết kế dành riêng cho vi-rút macro thường trở thành giải pháp tiện lợi và đáng tin cậy nhất để bảo vệ hệ thống quản lý tài liệu trong MS Word và MS Excel. Máy quét cũng được chia thành "cư trú", quét nhanh và "không thường trú", chỉ quét hệ thống theo yêu cầu.

Như mọi người đều biết, Internet là một phần không thể thiếu của xã hội ngày nay. Với sự trợ giúp của nó, mọi người tìm hiểu thông tin cần thiết, giao tiếp, xem video, v.v. Dường như mọi thứ đều an toàn trong “không gian hoàn hảo” này. Tuy nhiên .

Mọi người dùng truy cập World Wide Web đều đang chờ đợi cái gọi là “vi-rút” do những kẻ tấn công tạo ra với mục đích gây hại (kiếm tiền từ người bình thường, đánh cắp thông tin, v.v.).

Để đảm bảo an ninh Internet, nhiều công ty đã phát triển các chương trình chống vi-rút.

Trong bài viết của chúng tôi, chúng tôi muốn cho bạn biết về các loại “chương trình chống vi-rút” này. Nhưng trước tiên, cần hiểu chương trình chống vi-rút là gì.

Phần mềm chống vi-rút (chương trình chống vi-rút) là bất kỳ chương trình nào có thể phát hiện vi-rút và phần mềm độc hại máy tính, chữa các đối tượng (tệp) bị chúng lây nhiễm, đồng thời ngăn chặn mã độc lây nhiễm vào hệ điều hành máy tính và các sửa đổi của nó.

Các loại chương trình chống vi-rút chính.

Các chương trình Antivirus hiện có có thể được phân chia theo một số tiêu chí:

Cách bảo vệ thiết bị của bạn khỏi virus:

Các chương trình - vắc xin (chương trình - bác sĩ, phage) - được tạo ra để tìm kiếm các thư mục/tệp bị nhiễm và "chữa" chúng. Chúng bao gồm các chương trình chống vi-rút nổi tiếng thế giới như: Doctor Web, Norton AntiVirus và Kaspersky Antivirus.
Các chương trình - bộ lọc hoặc "người canh gác" - được thiết kế để phát hiện vi-rút ở giai đoạn đầu lây nhiễm.
Các chương trình - máy quét (máy dò) - được sử dụng để phát hiện vi-rút trên ổ đĩa ngoài và trong RAM PC.
Tường lửa (chương trình - màn hình) - bắt đầu hoạt động khi hệ điều hành máy tính khởi động. Luôn ở trong bộ nhớ của thiết bị, tất cả các tập tin đều được kiểm tra.
“Kiểm toán viên” là một trong những loại chương trình chống vi-rút hiệu quả nhất. Họ có thể ghi nhớ tất cả các thông số ban đầu của hệ thống trước khi bị lây nhiễm và tiến hành phân tích so sánh sau đó.

Theo chức năng:

Kết hợp. Chúng bảo vệ hệ điều hành khỏi phần mềm độc hại, lọc thư rác và sao lưu tệp.
Thường xuyên. Họ chỉ bảo vệ máy tính của bạn khỏi bị nhiễm trùng.

Tất nhiên, đây không phải là tất cả các loại chương trình chống vi-rút, nhưng đối với người dùng bình thường muốn bảo vệ thiết bị của họ khỏi phần mềm độc hại thì thông tin được mô tả ở trên là khá đủ.

Cuộc chiến chống lại virus máy tính được thực hiện bằng cách sử dụng chương trình chống virus, mà hiện tại phải có một “sức mạnh” rất đáng kể trước các thủ đoạn khác nhau của những kẻ tạo ra virus máy tính. Ban đầu, cách phổ biến nhất để phát hiện virus máy tính là “tìm kiếm mặt nạ”, tức là. xác định các chuỗi ký tự đặc trưng cho từng loại virus trong tập tin. Theo thời gian, những trình tự này bắt đầu được kết hợp thành các chuỗi chuyên biệt cơ sở dữ liệu chống virus,đã trở thành một thuộc tính không thể thiếu của các chương trình chống vi-rút hiện đại. Tập hợp các mẫu tương tự trong cơ sở dữ liệu của chương trình chống vi-rút càng lớn thì nó càng có thể chống lại nhiều vi-rút hơn. Cơ sở dữ liệu chống vi-rút lớn là chìa khóa để khôi phục thành công đối tượng bị nhiễm về dạng ban đầu. Điều này đòi hỏi một cách tiếp cận riêng đối với từng loại virus và phân tích cẩn thận. Không có gì bí mật khi các loại vi-rút khác nhau sử dụng cùng một phương pháp lây nhiễm vào các đối tượng, nhưng chúng ta không nên quên rằng mỗi loại vi-rút đều mang tính cá thể như người tạo ra nó, ngay cả khi chúng là vi-rút cùng họ.

Nói về xu hướng gia tăng số lượng vi-rút máy tính, người ta không thể không nhắc đến rằng các loại vi-rút phức tạp ngày càng gặp phải, không chỉ có khả năng vượt qua biện pháp bảo vệ truyền thống và sử dụng cơ chế lây nhiễm và ngụy trang của riêng chúng mà còn nhắm vào các sản phẩm chống vi-rút cụ thể.

Có thể thêm hai tính năng đặc biệt nữa của các chương trình chống vi-rút hiện đại: mạnh mẽ cơ chế heuristicđể chống lại virus mà chương trình vẫn chưa biết đến và cơ chế chống lại virus tự mã hóa. Không đi sâu vào chi tiết hoạt động của các cơ chế phần mềm phức tạp này, chúng tôi lưu ý rằng dựa trên các phần đặc điểm mã của vi-rút, với một mức độ xác suất nhất định, người ta có thể khẳng định sự hiện diện của vi-rút mà chương trình chưa biết trong một đối tượng. Thử nghiệm của các ấn phẩm độc lập (ví dụ: tạp chí "Bản tin vi-rút" của Anh) và kinh nghiệm sâu rộng khi làm việc với người dùng trên toàn thế giới cho thấy rằng trong 80 trường hợp trong số 100 trường hợp, khi một đối tượng bị nhiễm một loại vi-rút không xác định, chương trình sẽ nghi ngờ rằng đối tượng bị nhiễm bệnh. Cơ chế heuristic cho phép bạn giả định (dự đoán) sự hiện diện của vi-rút có mặt nạ hiện không có trong cơ sở dữ liệu chương trình chống vi-rút. Việc nhúng cơ chế heuristic vào các chương trình chống vi-rút cho phép bạn mở rộng khả năng của chúng, vì nó giúp bạn có thể chống lại các loại vi-rút "chưa được biết đến". Bất kỳ cơ chế nào hoạt động theo nguyên tắc heuristic đều có thể cho kết quả dương tính giả. Tuy nhiên, như kinh nghiệm làm việc lâu năm đã cho thấy, tỷ lệ phần trăm của họ là không đáng kể, và trong mọi trường hợp, trong những vấn đề như vậy, tốt hơn hết bạn nên chơi an toàn một chút.

Một tính năng đặc trưng của cái gọi là virus đa hình là khả năng biến đổi đáng kể mã của nó, đó là lý do tại sao một số chương trình (chẳng hạn như Aidstest, rất phổ biến vào thời đó) về cơ bản không thể xác định (và do đó vô hiệu hóa) những loại virus như vậy. Để chống lại vi-rút đa hình, bạn nên sử dụng các phần mềm chống vi-rút thế hệ mới (ví dụ: DrWeb), nhờ có tính năng tích hợp sẵn trình mô phỏng bộ xử lý nhận dạng vi-rút dưới nhiều bộ mã hóa và trình đóng gói khác nhau, đồng thời nhờ đơn vị phân tích heuristic của nó, chúng cũng phát hiện được nhiều (trên 80%) vi-rút chưa xác định. Trình mô phỏng bộ xử lý tạo ra sự mô phỏng hoạt động lâu dài của các chương trình máy tính, điều này kích thích các vi-rút đa hình biến đổi và do đó, thay đổi các chương trình được thử nghiệm.

Đặc điểm nổi bật của các chương trình chống vi-rút hiện đại là những khả năng mới mà chúng chứa:

§ bài kiểm tra kho lưu trữ Và đóng gói các tập tin;

§ quét dư thừa, trong đó, để tìm kiếm vi-rút, một đối tượng được “tháo rời” từng byte và tiến hành phân tích kỹ lưỡng về khả năng thực hiện hành động phá hoại. Điều này phần nào làm chậm quá trình quét nhưng lại tăng độ tin cậy trong việc phát hiện và loại bỏ các phần mềm virus khỏi các tập tin máy tính;

§ Khả dụng bách khoa toàn thư về virus với mô tả chi tiết về các loại virus có thể được phát hiện bởi một chương trình cụ thể.

Ở Nga, các chương trình chống vi-rút được các công ty sau tích cực phát triển:

§ Kaspersky Lab CJSC được tổ chức gần đây (trước đây gọi là KAMI), nơi nhà tư tưởng phát triển các công cụ chống vi-rút ngay từ đầu là E.V. Kaspersky;

§ "Đối thoại-Khoa học", trong đó D.N. trước đây là nhà phát triển chính. Lozinsky, và sau đó nhóm được bổ sung bởi I.A. Danilov, nhờ đó mà Phòng thí nghiệm Danilov xuất hiện.

Ngoài các chương trình diệt virus sản xuất trong nước, sự phát triển của các công ty nước ngoài như Symantec, McAfee, Elashim, Avil Software, S&S International, Sophos cũng được sử dụng rộng rãi ở nước ta.

Các chương trình chống vi-rút có thể được phân loại theo nhiều tiêu chí khác nhau (Hình 6.3).

Qua bản chất của hành động Các chương trình chống vi-rút được chia thành các loại sau: polyphages, kiểm toán viên, vắc-xin.

Đa thực bàođược thiết kế để phát hiện virus và chữa các tập tin khỏi chúng. Polyphages bao gồm AidsTest (D.N. Lozinsky), DrWeb (I.A. Danilov), AVP (E.V. Kaspersky), Norton Antivirus (Symantec).

Cơm. 6.3. Phân loại chương trình diệt virus

Kiểm toán viên(đôi khi được gọi là "máy quét CRC") dùng để thông báo cho người dùng về tất cả những thay đổi trong cấu trúc và nội dung của tệp kể từ lần cuối cùng máy tính được quét. Theo quy định, các chương trình như vậy được bao gồm trong gói khởi động và kiểm tra các thay đổi trong hệ thống tệp của máy tính so với lần khởi chạy trước. Các chương trình trong danh mục này không kiểm tra tệp để tìm vi-rút và không loại bỏ vi-rút khỏi tệp; nhiệm vụ của chúng chỉ là ghi lại tất cả các thay đổi được hiển thị dưới dạng bảng. Công việc của người dùng là quyết định nguyên nhân gây ra thay đổi. Một ví dụ về chương trình kiểm toán là ADINF, được D.N. Lozinsky.

Vắc-xin(tên gọi khác là trình miễn dịch) được thiết kế để bảo vệ các tập tin khỏi bị lây nhiễm, thường là do một loại vi-rút cụ thể. Ví dụ: chương trình WebWinWord (do I.A. Danilov phát triển) được tạo ra để bảo vệ chương trình MS Word khỏi bị nhiễm vi-rút WinWord.Concept. Tập đoàn Microsoft đã tạo ra một chương trình tiêm chủng nhằm ngăn chặn virus W32 lây nhiễm vào hệ điều hành. Blaster. Sâu.

Qua phương thức xác minh Các chương trình chống vi-rút được phân thành hai loại:

§ chương trình buộc phải khởi động.Để tìm kiếm và loại bỏ vi-rút, các chương trình như vậy (AidsTest, DrWeb for DOS) phải được khởi chạy cụ thể. Mặc dù nhiều chương trình chống vi-rút có khả năng giám sát sự vắng mặt của vi-rút, đôi khi chúng được sử dụng ở chế độ khởi chạy cưỡng bức để quét phương tiện lưu trữ riêng lẻ (đĩa mềm, đĩa);

§ chương trình thực hiện giám sát liên tục cho tình hình virus. Các chương trình như vậy (AVP, DrWeb cho Windows, NAV), khi được khởi chạy thường xuyên, sẽ liên tục theo dõi xem có vi-rút hay không. Tùy thuộc vào các thông số đã thiết lập, khi xảy ra tình huống nguy hiểm, các chương trình sẽ thực hiện các hành động cần thiết hoặc tạo thông báo cho người dùng. Các chương trình theo dõi giám sát sự xuất hiện của vi-rút và loại bỏ các phần vi-rút khỏi tệp mà không làm gián đoạn hoạt động bình thường của máy tính.

Qua phương pháp cài đặt chương trình có thể được nhóm thành hai nhóm:

§ lô hàng(AidsTest, Cleaner), các tham số vận hành được đặt trên dòng lệnh khi khởi động chương trình;

§ giấy gói(phần lớn các chương trình hiện đại dành cho Windows) với giao diện được phát triển. Việc thiết lập các thông số vận hành được thực hiện ở chế độ cài đặt thông số đặc biệt.

Thông tin liên quan.