Virustorjuntaohjelmien arviointi. Virustentorjuntaohjelmistojen vertailu uusimpia haittaohjelmia vastaan suojautumisen tehokkuuden perusteella. Tietokonevirusten vertaileva analyysi
Johdanto
1. Teoreettinen osa
1.1 Tietoturvan käsite
1.2 Uhkien tyypit
1.3 Tietoturvamenetelmät
2. Suunnitteluosa
2.1 Tietokonevirusten luokitus
2.2 Viruksentorjuntaohjelman käsite
2.3 Virustorjuntatuotteiden tyypit
2.4 Virustorjuntapakettien vertailu
Johtopäätös
Luettelo käytetystä kirjallisuudesta
Sovellus
Johdanto
Uuden kehittäminen tietotekniikat ja yleinen tietokoneistaminen ovat johtaneet siihen, että tietoturvasta ei tule ainoastaan pakollista, vaan se on myös yksi tietojärjestelmien ominaisuuksista. Tietojenkäsittelyjärjestelmiä on melko suuri luokka, jonka kehityksessä turvallisuustekijällä on ensisijainen rooli.
Henkilökohtaisten tietokoneiden massiiviseen käyttöön liittyy itsestään replikoituvien virusohjelmien synty, jotka estävät normaali operaatio tietokoneita, jotka tuhoavat tiedostorakenne levyt ja tietokoneeseen tallennetut vahingolliset tiedot.
Huolimatta monissa maissa annetuista laeista tietokonerikosten torjumiseksi ja kehitykseen erityisiä ohjelmia Uusien virustorjuntatyökalujen avulla uusien ohjelmistovirusten määrä kasvaa jatkuvasti. Tämä vaatii käyttäjältä henkilökohtainen tietokone tietoa virusten luonteesta, virustartuntamenetelmistä ja suojautumisesta niitä vastaan.
Virukset kehittyvät päivä päivältä, mikä johtaa merkittävään muutokseen uhkaprofiilissa. Mutta myös virustorjuntamarkkinat ohjelmisto ei seiso paikallaan ja tarjoaa monia tuotteita. Niiden käyttäjät, jotka esittävät ongelman vain yleisellä tasolla, jäävät usein huomaamatta tärkeitä vivahteita ja päätyvät illuusion suojaamisesta itse suojan sijaan.
Tämän kurssityön tarkoituksena on suorittaa virustorjuntapakettien vertaileva analyysi.
Tämän tavoitteen saavuttamiseksi työssä ratkaistaan seuraavat tehtävät:
Opi käsitteitä tietoturva, tietokonevirukset ja virustentorjuntatuotteet;
Selvitä tietoturvaan kohdistuvien uhkien tyypit, suojausmenetelmät;
Tutkia tietokonevirusten ja virustentorjuntaohjelmien luokittelua;
Suorita virustorjuntapakettien vertaileva analyysi;
Luo virustorjuntaohjelma.
Työn käytännön merkitys.
Saatuja tuloksia ja kurssityömateriaalia voidaan käyttää pohjana itsenäiselle virustorjuntaohjelmien vertailulle.
Kurssityön rakenne.
Tämä kurssityö koostuu johdannosta, kahdesta osasta, johtopäätöksestä ja lähdeluettelosta.
tietokonevirusten suojausvirustorjunta
1. Teoreettinen osa
Virustorjuntapakettien vertailevan analyysin aikana on tarpeen määritellä seuraavat käsitteet:
1 Tietoturva.
2 Uhkien tyypit.
3 Tietoturvamenetelmät.
Siirrytään näiden käsitteiden yksityiskohtaiseen tarkasteluun:
1.1 Tietoturvan käsite
Huolimatta lisääntyvistä ponnisteluista tietosuojateknologioiden luomiseksi, niiden haavoittuvuus on nykyaikaiset olosuhteet ei vain vähene, vaan myös kasvaa jatkuvasti. Tietosuojaan liittyvien ongelmien merkitys kasvaa siksi yhä enemmän.
Tietoturvaongelma on monitahoinen ja monimutkainen ja kattaa useita tärkeitä tehtäviä. Esimerkiksi tietojen luottamuksellisuus, joka varmistetaan erilaisin menetelmin ja keinoin. Listaa vastaavista tietoturvatehtävistä voidaan jatkaa. Nykyaikaisen tietotekniikan intensiivinen kehittäminen ja erityisesti verkkoteknologiat, luo tähän kaikki edellytykset.
Tietosuoja on toimenpidekokonaisuus, jolla pyritään varmistamaan tietojen syöttämiseen, tallentamiseen, käsittelyyn ja siirtoon käytettävien tietojen ja resurssien eheys, saatavuus ja tarvittaessa luottamuksellisuus.
Tietosuojalle on tähän mennessä muotoiltu kaksi perusperiaatetta:
1 tietojen eheys – suojaus tietojen katoamiseen johtavilta vikoja vastaan sekä suojaus tietojen luvattomalta luomiselta tai tuhoamiselta;
2 tietojen luottamuksellisuus.
Tietojen menettämiseen johtavia vikoja vastaan suojaudutaan siten, että lisätään yksittäisten elementtien ja järjestelmien luotettavuutta, jotka syöttävät, tallentavat, käsittelevät ja lähettävät tietoja, kopioivat ja redundoivat yksittäisiä elementtejä ja järjestelmiä käyttämällä erilaisia, mukaan lukien autonomisia, virtalähteitä, käyttäjien pätevyyden tason lisääminen, suojaaminen tahattomalta ja tahalliselta toimilta, jotka johtavat laitevikaan, ohjelmistojen ja suojattujen tietojen tuhoutumiseen tai muuttamiseen (muutoksiin).
Tietojen luvatonta luomista tai tuhoamista vastaan on suojattu fyysistä suojaa tiedot, suojatun tiedon osien rajaaminen ja pääsyn rajoittaminen, suojattujen tietojen sulkeminen sen suoran käsittelyn aikana, ohjelmistojen ja laitteistojen, laitteiden ja erikoisohjelmistojen kehittäminen suojattujen tietojen luvattoman pääsyn estämiseksi.
Tietojen luottamuksellisuus varmistetaan pääsyn kohteiden tunnistamisella ja todennuksella kirjautuessaan järjestelmään tunnisteella ja salasanalla, tunnistaminen ulkoisia laitteita fyysisten osoitteiden perusteella, ohjelmien, taltioiden, hakemistojen, tiedostojen tunnistaminen nimen perusteella, tiedon salaus ja salauksen purku, niihin pääsyn rajaaminen ja valvonta.
Tietojen suojaamiseen tähtäävistä toimenpiteistä tärkeimmät ovat tekniset, organisatoriset ja oikeudelliset.
Teknisiä toimenpiteitä ovat suojaus luvattomalta pääsyltä järjestelmään, erityisen tärkeiden tietokonealijärjestelmien redundanssi, organisaatio Tietokoneverkot mahdollisuus jakaa resursseja uudelleen yksittäisten linkkien toimintahäiriöiden sattuessa, varavirtajärjestelmien asentaminen, tilojen varustaminen lukoilla, hälytysjärjestelmän asentaminen ja niin edelleen.
Organisatorisia toimenpiteitä ovat: tietokonekeskuksen turvallisuus (informatiikkahuoneet); sopimuksen tekeminen tietokonelaitteiden ylläpidosta hyvämaineisen organisaation kanssa; poissulkemalla luvaton henkilöiden, satunnaisten henkilöiden ja niin edelleen tietokonelaitteiden parissa työskentelemisen mahdollisuus.
Oikeudellisiin toimenpiteisiin kuuluu sellaisten standardien kehittäminen, joilla vahvistetaan vastuu tietokonelaitteiden käytöstä poistamisesta ja ohjelmistojen tuhoamisesta (vaihtamisesta), tietokonejärjestelmien ja -ohjelmien kehittäjien ja käyttäjien yleinen valvonta.
On syytä korostaa, että mikään laitteisto, ohjelmisto tai mikään muu ratkaisu ei voi taata tietokonejärjestelmien tietojen ehdotonta luotettavuutta ja turvallisuutta. Samalla on mahdollista minimoida tappioriski, mutta vain integroidulla lähestymistavalla tietoturvaan.
1.2 Uhkien tyypit
Passiiviset uhat kohdistuvat pääasiassa luvattomaan käyttöön tietolähteitä tietojärjestelmään vaikuttamatta sen toimintaan. Esimerkiksi luvaton pääsy tietokantoihin, viestintäkanavien salakuuntelu ja niin edelleen.
Aktiiviset uhat on tarkoitettu häiritsemään normaalia toimintaa tietojärjestelmä sen komponentteihin kohdistetulla vaikutuksella. Aktiivisia uhkia ovat esimerkiksi tietokoneen tai sen tuhoaminen käyttöjärjestelmä, tietokoneohjelmistojen tuhoutuminen, viestintälinjojen häiriöt ja niin edelleen. Aktiiviset uhat voivat tulla hakkereilta, haittaohjelmilta ja vastaavilta.
Tahalliset uhat jaetaan myös sisäisiin (hallitun organisaation sisällä syntyviin) ja ulkoisiin.
Sisäiset uhat määräävät useimmiten sosiaaliset jännitteet ja vaikea moraalinen ilmapiiri.
Ulkoiset uhat voidaan määrittää kilpailijoiden ilkeillä toimilla, taloudellisilla olosuhteilla ja muista syistä (esim. luonnonkatastrofit).
Tietoturvallisuuden ja tietojärjestelmän normaalin toiminnan tärkeimmät uhat ovat:
Luottamuksellisten tietojen vuotaminen;
Tietojen vaarantaminen;
Tietoresurssien luvaton käyttö;
Tietoresurssien virheellinen käyttö;
Luvaton tiedonvaihto tilaajien välillä;
Tietojen kieltäminen;
Tietopalveluiden rikkominen;
Etuoikeuksien laiton käyttö.
Luottamuksellisen tiedon vuoto on luottamuksellisen tiedon hallitsematon luovuttaminen tietojärjestelmän tai niiden henkilöiden piirin ulkopuolelle, joille se on uskottu työnsä aikana tai tullut tietoon työn aikana. Tämä vuoto voi johtua:
Luottamuksellisten tietojen paljastaminen;
Tiedonsiirto erilaisten, pääasiassa teknisten kanavien kautta;
Luvaton pääsy luottamuksellisiin tietoihin eri tavoilla.
Tietojen luovuttaminen sen omistajalta tai haltijalta on niiden virkamiesten ja käyttäjien, joille tiedot on määrätyllä tavalla uskottu heidän palveluksessaan tai työssään, tahallista tai huolimatonta toimintaa, joka on johtanut siihen, että henkilöt, jotka eivät saaneet pääsy näihin tietoihin.
Luottamuksellisten tietojen hallitsematon menetys visuaalisten ja optisten, akustisten, sähkömagneettisten ja muiden kanavien kautta on mahdollista.
Luvaton pääsy on luottamuksellisten tietojen laitonta tahallista hankkimista sellaisen henkilön toimesta, jolla ei ole oikeutta päästä käsiksi suojattuun tietoon.
Yleisimmät tavat luvaton pääsyyn tietoihin ovat:
Elektronisen säteilyn sieppaus;
Kuuntelulaitteiden käyttö;
Etävalokuvaus;
Akustisen säteilyn sieppaus ja tulostintekstin palauttaminen;
Tallennusvälineiden kopioiminen turvatoimien ylittämisellä;
Maskaaminen rekisteröityneenä käyttäjänä;
Maskaus järjestelmäpyyntöjen mukaan;
Ohjelmistojen ansojen käyttö;
Ohjelmointikielten ja käyttöjärjestelmien puutteiden hyödyntäminen;
Laiton yhteys erityisesti suunniteltujen laitteistojen laitteisiin ja tietoliikennelinjoihin, jotka mahdollistavat pääsyn tietoihin;
Suojausmekanismien haitallinen vika;
Salattujen tietojen salauksen purku erityisohjelmilla;
Tietoinfektiot.
Luetellut luvattoman käytön menetelmät vaativat melko paljon teknistä tietämystä ja asianmukaista laitteistoa tai ohjelmistokehitys murtovarkaalta. Esimerkiksi niitä käytetään teknisiä kanavia Vuodot ovat fyysisiä polkuja luottamuksellisen tiedon lähteestä hyökkääjälle, jonka kautta suojattua tietoa voidaan saada. Vuotokanavien syynä on suunnittelu- ja teknologiset puutteet piiriratkaisuissa tai elementtien toiminnallinen kuluminen. Kaikki tämä antaa hakkereille mahdollisuuden luoda tietyillä fyysisillä periaatteilla toimivia muuntimia, jotka muodostavat näille periaatteille ominaisen tiedonsiirtokanavan - vuotokanavan.
On kuitenkin olemassa myös melko alkeellisia tapoja luvattomaan pääsyyn:
Tallennusvälineiden ja dokumenttijätteen varkaus;
Aloitteellinen yhteistyö;
Murtovarkaan taipumus yhteistyöhön;
Tiedustelu;
Salakuuntelu;
Havainnointi ja muut keinot.
Kaikki keinot luottamuksellisten tietojen vuotamisesta voivat aiheuttaa merkittäviä aineellisia ja moraalisia vahinkoja sekä tietojärjestelmän toimintaorganisaatiolle että sen käyttäjille.
Siellä on ja kehitetään jatkuvasti valtava valikoima haittaohjelma, jonka tarkoituksena on vahingoittaa tietokantojen ja tietokoneohjelmistojen tietoja. Näiden ohjelmien suuri määrä lajikkeita ei salli meidän kehittää pysyviä ja luotettavia suojakeinoja niitä vastaan.
Virukselle uskotaan olevan kaksi pääpiirrettä:
Kyky lisääntyä itse;
Kyky puuttua asiaan laskentaprosessi(saadakseen kykyä hallita).
Tietoresurssien luvaton käyttö on toisaalta sen vuotamisen seurauksia ja keino sen vaarantamiseen. Toisaalta sillä on itsenäinen merkitys, koska se voi aiheuttaa suurta vahinkoa hallittavalle järjestelmälle tai sen tilaajille.
Tietoresurssien virheellinen käyttö, vaikka se on sallittua, voi kuitenkin johtaa mainittujen resurssien tuhoutumiseen, vuotamiseen tai vaarantumiseen.
Tilaajien välinen luvaton tiedonvaihto voi johtaa siihen, että jompikumpi heistä saa tietoja, joihin hänen pääsy on kielletty. Seuraukset ovat samat kuin luvattoman käytön seuraukset.
1.3 Tietoturvamenetelmät
Tietoturvajärjestelmien luominen perustuu seuraaviin periaatteisiin:
1 Systemaattinen lähestymistapa suojajärjestelmän rakentamiseen, mikä tarkoittaa optimaalista yhdistelmää toisiinsa liittyvistä organisaatioista, ohjelmistoista. Laitteistot, fyysiset ja muut ominaisuudet, jotka on vahvistettu kotimaisten ja ulkomaisten suojajärjestelmien luomisessa ja joita käytetään tietojenkäsittelyn teknologisen syklin kaikissa vaiheissa.
2 Järjestelmän jatkuvan kehittämisen periaate. Tämä periaate, joka on yksi tietokonetietojärjestelmien perusperiaatteista, on vielä tärkeämpi tietoturvajärjestelmissä. Menetelmiä tietouhkien toteuttamiseksi kehitetään jatkuvasti, joten tietojärjestelmien turvallisuuden varmistaminen ei voi olla kertaluonteinen teko. Tämä on jatkuva prosessi, joka koostuu järkeisimpien menetelmien, tietoturvajärjestelmien kehittämismenetelmien ja -keinojen perustelemisesta ja käyttöönotosta, jatkuvasta seurannasta, sen pullonkaulojen ja heikkouksien tunnistamisesta, mahdollisista tietovuodon kanavista sekä uusista luvattoman pääsyn menetelmistä,
3 Suojausjärjestelmän luotettavuuden varmistaminen eli mahdottomuus alentaa luotettavuustasoa järjestelmän vikojen, vikojen, hakkerin tahallisen toiminnan tai käyttäjien ja huoltohenkilöstön tahattomien virheiden sattuessa.
4 Suojausjärjestelmän toiminnan valvonnan varmistaminen eli keinojen ja menetelmien luominen suojamekanismien toiminnan valvontaan.
5 Kaikenlaisten haittaohjelmien torjuntatyökalujen tarjoaminen.
6 Järjestelmän käytön taloudellisen kannattavuuden varmistaminen. Suojaus, joka ilmaistaan uhkien toteuttamisesta mahdollisesti aiheutuvien vahinkojen ylittämisessä tietoturvajärjestelmien kehittämisen ja käytön kustannusten yli.
Tietoturvaongelmien ratkaisemisen seurauksena nykyaikaisilla tietojärjestelmillä tulisi olla seuraavat pääominaisuudet:
Eritasoisten luottamuksellisten tietojen saatavuus;
Vaihtelevan luottamuksellisuuden tason salaussuojauksen varmistaminen tiedonsiirron aikana;
Pakollinen tietovirran hallinta, kuten paikalliset verkot, ja lähetettäessä viestintäkanavien kautta pitkiä matkoja;
Mekanismin läsnäolo luvattomien pääsyyritysten, tietojärjestelmän tapahtumien ja tulostettujen asiakirjojen rekisteröimiseksi ja kirjaamiseksi;
Pakollinen ohjelmiston ja tiedon eheyden varmistaminen;
Tietoturvajärjestelmän palauttamiskeinojen saatavuus;
Magneettisten välineiden pakollinen kirjanpito;
Tietokonelaitteiden ja magneettisten tietovälineiden fyysisen turvallisuuden saatavuus;
Erikoisjärjestelmän tietoturvapalvelun saatavuus.
Tietoturvan varmistamisen menetelmät ja keinot.
Este on tapa fyysisesti estää hyökkääjän tie suojattuun tietoon.
Kulunvalvonta – menetelmät tietojen suojaamiseksi säätelemällä kaikkien resurssien käyttöä. Näiden menetelmien on estettävä kaikki mahdolliset tavat päästä tietoon luvatta. Kulunvalvonta sisältää seuraavat suojausominaisuudet:
Käyttäjien, henkilöstön ja järjestelmäresurssien tunnistaminen (henkilökohtaisen tunnisteen määrittäminen jokaiselle objektille);
Esineen tai kohteen tunnistaminen niille esitetyllä tunnisteella;
Lupa ja työolojen luominen vahvistettujen määräysten mukaisesti;
Suojattuja resursseja koskevien pyyntöjen rekisteröinti;
Reaktio luvattoman toiminnan yrityksiin.
Salausmekanismit – tiedon kryptografinen sulkeminen. Näitä suojausmenetelmiä käytetään yhä enemmän sekä tietojen käsittelyssä että tallentamisessa magneettisille tietovälineille. Lähetettäessä tietoa pitkän matkan viestintäkanavia pitkin tämä menetelmä on ainoa luotettava.
Haittaohjelmahyökkäysten torjunta sisältää joukon erilaisia organisatorisia toimenpiteitä ja virustentorjuntaohjelmien käyttöä.
Koko setti teknisiä keinoja jaettu laitteistoon ja fyysiseen.
Laitteisto – suoraan sisäänrakennetut laitteet tietokone teknologia tai laitteita, jotka ovat yhteydessä siihen vakiorajapinnan kautta.
Fyysisiä keinoja ovat erilaiset tekniset laitteet ja rakenteet, jotka estävät hyökkääjien fyysisen tunkeutumisen suojattuihin kohteisiin ja suojaavat henkilöstöä (henkilökohtaisia turvalaitteita), aineellisia resursseja ja taloutta, tietoa laittomalta toiminnalta.
Ohjelmistotyökalut ovat erikoisohjelmia ja ohjelmistojärjestelmät, suunniteltu suojaamaan tietojärjestelmissä olevia tietoja.
Turvajärjestelmän ohjelmistotyökalujen joukossa on syytä korostaa ohjelmisto, toteuttavat salausmekanismeja (salaus). Kryptografia on tiedettä, joka varmistaa lähetettyjen viestien salaisuuden ja/tai aitouden (aitouden).
Organisatoriset keinot toteuttavat monimutkaista tuotantotoimintojensa säätelyä tietojärjestelmissä ja esiintyjien suhteita oikeudelliselta pohjalta siten, että luottamuksellisten tietojen paljastaminen, vuotaminen ja luvaton pääsy tulee mahdottomaksi tai merkittävästi vaikeutumaan organisatoristen toimenpiteiden vuoksi.
Oikeuskeinot määräytyvät maan säädöksillä, jotka säätelevät tietojen käyttöä, käsittelyä ja välittämistä koskevia sääntöjä. rajoitettu pääsy ja näiden sääntöjen rikkomisesta määrätään seuraamuksia.
Moraaliset ja eettiset suojakeinot sisältävät kaikenlaiset käyttäytymisnormit, jotka ovat perinteisesti kehittyneet aikaisemmin, muodostuvat tiedon leviämisenä maassa ja maailmassa tai ovat erityisesti kehitettyjä. Moraaliset ja eettiset normit voivat olla kirjoittamattomia tai virallisia tietyissä säännöissä tai määräyksissä. Näitä normeja ei pääsääntöisesti ole laillisesti hyväksytty, mutta koska niiden noudattamatta jättäminen johtaa organisaation arvovallan heikkenemiseen, niitä pidetään pakollisina.
2. Suunnitteluosa
Suunnitteluosassa on suoritettava seuraavat vaiheet:
1 Määrittele tietokoneviruksen käsite ja tietokonevirusten luokitus.
2 Määrittele virustentorjuntaohjelman käsite ja virustorjuntatyökalujen luokitus.
3 Suorita virustorjuntapakettien vertaileva analyysi.
2.1 Tietokonevirusten luokitus
Virus on ohjelma, joka voi tartuttaa muita ohjelmia sisällyttämällä niihin muunnetun kopion, jolla on kyky lisääntyä edelleen.
Virukset voidaan jakaa luokkiin seuraavien pääominaisuuksien mukaan:
Tuhoisia mahdollisuuksia
Toiminta-algoritmin ominaisuudet;
Elinympäristö;
Tuhoavien kykyjensä mukaan virukset voidaan jakaa:
Harmittomia, eli ne eivät vaikuta tietokoneen toimintaan millään tavalla (paitsi levyn vapaan muistin vähentäminen sen jakelun seurauksena);
Ei-vaarallinen, jonka vaikutusta rajoittaa levyn vapaan muistin väheneminen sekä grafiikka-, ääni- ja muut tehosteet;
Vaaralliset virukset, jotka voivat johtaa vakaviin tietokoneen toimintahäiriöihin;
Erittäin vaarallinen, jonka algoritmi sisältää tarkoituksella toimenpiteitä, jotka voivat johtaa ohjelmien katoamiseen, tuhota tietoja, poistaa järjestelmän muistialueille tallennettuja tietokoneen toiminnan kannalta tarpeellisia tietoja
Viruksen toiminta-algoritmin ominaisuuksia voidaan luonnehtia seuraavilla ominaisuuksilla:
Asuinpaikka;
Hiljaisten algoritmien käyttö;
polymorfismi;
Asukkaat virukset.
Termi "asuminen" viittaa virusten kykyyn jättää itsestään kopioita järjestelmämuistiin, siepata tiettyjä tapahtumia ja kutsua toimenpiteitä havaittujen objektien (tiedostojen ja sektoreiden) tartuttamiseksi. Siten paikalliset virukset eivät ole aktiivisia vain tartunnan saaneen ohjelman ollessa käynnissä, vaan myös sen jälkeen, kun ohjelma on päättynyt. Tällaisten virusten pysyvät kopiot säilyvät elinkelpoisina seuraavaan uudelleenkäynnistykseen asti, vaikka kaikki levyllä olevat tartunnan saaneet tiedostot tuhoutuisivat. Usein on mahdotonta päästä eroon tällaisista viruksista palauttamalla kaikki tiedostojen kopiot jakelulevyiltä tai varmuuskopioista. Viruksen pysyvä kopio pysyy aktiivisena ja saastuttaa juuri luodut tiedostot. Sama pätee käynnistysviruksiin - levyn alustaminen, kun muistissa on pysyvä virus, ei aina paranna levyä, koska monet paikalliset virukset saastuttavat levyn uudelleen sen alustamisen jälkeen.
Ulkomaiset virukset. Ulkomaiset virukset päinvastoin ovat aktiivisia melko lyhyen ajan - vain sillä hetkellä, kun tartunnan saanut ohjelma käynnistetään. Levittääkseen he etsivät tartunnan saamattomia tiedostoja levyltä ja kirjoittavat niihin. Kun viruskoodi on siirtänyt hallinnan isäntäohjelmalle, viruksen vaikutus käyttöjärjestelmän toimintaan pienenee nollaan tartunnan saaneen ohjelman seuraavaan käynnistykseen asti. Siksi on paljon helpompaa poistaa levyltä ulkopuolisilla viruksilla saastuneita tiedostoja antamatta viruksen tartuttaa ne uudelleen.
Hiljaiset virukset. Stealth-virukset tavalla tai toisella piilottavat tosiasian läsnäolostaan järjestelmässä. Hiljaisten algoritmien avulla virukset voivat piiloutua kokonaan tai osittain järjestelmään. Yleisin salailualgoritmi on siepata käyttöjärjestelmän pyyntöjä lukea (kirjoittaa) tartunnan saaneita objekteja. Tässä tapauksessa varkain virukset joko parantavat ne tilapäisesti tai "korvaavat" tartunnan saamattomia tietoja niiden tilalle. Makrovirusten tapauksessa suosituin tapa on poistaa makron katseluvalikon kutsut käytöstä. Kaiken tyyppisiä salaperäisiä viruksia tunnetaan, lukuun ottamatta Windows-viruksia - käynnistysviruksia, DOS-tiedostoviruksia ja jopa makroviruksia. Sairauttavien virusten ilmaantuminen Windows-tiedostoja, on todennäköisesti ajan kysymys.
Polymorfiset virukset. Itsesalausta ja polymorfismia käyttävät lähes kaikki virukset, jotta virusten havaitsemisprosessi olisi mahdollisimman monimutkaista. Polymorfiset virukset ovat melko vaikeita havaita viruksia, joilla ei ole allekirjoituksia, eli ne eivät sisällä yhtäkään vakiokoodiosaa. Useimmissa tapauksissa saman polymorfisen viruksen kahdella näytteellä ei ole yhtä ottelua. Tämä saavutetaan salaamalla viruksen pääosa ja muokkaamalla salauksenpurkuohjelmaa.
Polymorfiset virukset sisältävät viruksia, joita ei voida havaita käyttämällä niin kutsuttuja virusmaskeja - tietylle virukselle spesifisiä vakiokoodin osia. Tämä saavutetaan kahdella päätavalla - salaamalla pääviruskoodi muuttuvalla huudolla ja satunnaisella joukolla salauksenpurkukomentoja tai muuttamalla itse suoritettavaa viruskoodia. Polymorfismia, jonka monimutkaisuusaste vaihtelee, löytyy kaikenlaisista viruksista - käynnistys- ja tiedosto DOS-viruksista Windows-viruksiin.
Virukset voidaan jakaa elinympäristönsä perusteella:
tiedosto;
Saapas;
Makrovirukset;
Verkko.
Tiedostovirukset. Tiedostovirukset joko ruiskuttavat itsensä suoritettaviin tiedostoihin eri tavoin tai luovat tiedostojen kaksoiskappaleita (kumppanivirukset) tai käyttävät tiedostojärjestelmän organisaation erityispiirteitä (linkkivirukset).
Tiedostovirus voidaan viedä lähes kaikkiin kaikkien suosittujen käyttöjärjestelmien suoritettaviin tiedostoihin. Nykyään tunnetaan viruksia, jotka saastuttavat kaiken tyyppisiä DOS-suorituskykyisiä objekteja: erätiedostot (BAT), ladattavat ajurit (SYS, mukaan lukien erikoistiedostot IO.SYS ja MSDOS.SYS) ja suoritettavat binaaritiedostot (EXE, COM). On viruksia, jotka saastuttavat muiden käyttöjärjestelmien suoritettavat tiedostot - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, mukaan lukien Windows 3.x- ja Windows95 VxD -ohjaimet.
On viruksia, jotka saastuttavat tiedostoja, jotka sisältävät ohjelmien, kirjastojen tai objektimoduulien lähdekoodin. Virus on myös mahdollista tallentaa tietotiedostoihin, mutta tämä tapahtuu joko virusvirheen seurauksena tai kun sen aggressiiviset ominaisuudet ilmenevät. Makrovirukset kirjoittavat koodinsa myös datatiedostoihin - asiakirjoihin tai laskentataulukoihin, mutta nämä virukset ovat niin spesifisiä, että ne luokitellaan omaksi ryhmään.
Käynnistysvirukset. Käynnistysvirukset saastuttavat levykkeen käynnistyssektorin ja kiintolevyn käynnistyssektorin tai Master Boot Record (MBR). Käynnistysvirusten toimintaperiaate perustuu algoritmeihin käyttöjärjestelmän käynnistämiseksi, kun käynnistät tai käynnistät tietokoneen uudelleen - asennettujen laitteiden (muisti, levyt jne.) tarvittavien testien jälkeen järjestelmän käynnistysohjelma lukee ensimmäisen fyysisen sektorin. käynnistyslevy(A:, C: tai CD-ROM asetettujen parametrien mukaan BIOS-asetukset) ja siirtää hallinnan sille.
Levykkeen tai CD-levyn tapauksessa ohjauksen vastaanottaa käynnistyssektori, joka analysoi levyparametritaulukon (BPB - BIOS Parameter Block), laskee käyttöjärjestelmän tiedostojen osoitteet, lukee ne muistiin ja käynnistää niitä varten. teloitus. Järjestelmätiedostot ovat yleensä MSDOS.SYS ja IO.SYS tai IBMDOS.COM ja IBMBIO.COM tai muita riippuen asennettu versio DOS, Windows tai muut käyttöjärjestelmät. Jos käynnistyslevykkeellä ei ole käyttöjärjestelmätiedostoja, levyn käynnistyssektorissa oleva ohjelma näyttää virheilmoituksen ja ehdottaa käynnistyslevyn vaihtamista.
Kiintolevyn tapauksessa ohjauksen vastaanottaa ohjelma, joka sijaitsee kiintolevyn MBR:ssä. Tämä ohjelma analysoi levyosiotaulukon, laskee aktiivisen käynnistyssektorin osoitteen (yleensä tämä sektori on C-aseman käynnistyssektori), lataa sen muistiin ja siirtää ohjauksen siihen. asema tekee samat toiminnot kuin levykkeen käynnistyssektori.
Levyjä tartuttaessaan käynnistysvirukset "korvaavat" koodinsa minkään ohjelman sijaan, joka saa hallinnan järjestelmän käynnistyessä. Tartunnan periaate on siis sama kaikissa edellä kuvatuissa menetelmissä: virus "pakottaa" järjestelmän, kun se käynnistetään uudelleen, lukemaan muistiin ja antamaan hallinnan ei alkuperäiselle käynnistyslatauskoodille, vaan viruskoodille.
Levykkeet saavat tartunnan ainoalla tunnetulla tavalla - virus kirjoittaa koodinsa sen sijaan alkuperäinen koodi levykkeen käynnistyssektorit. Winchester saa tartunnan kolmeen mahdollisia tapoja– virus kirjoitetaan joko MBR-koodin sijasta tai käynnistyslevyn käynnistyssektorikoodin sijaan (yleensä C-asema tai muuttaa aktiivisen käynnistyssektorin osoitetta levyn osiotaulukossa, joka sijaitsee kiintolevyn MBR:ssä ajaa.
Makrovirukset. Makrovirukset saastuttavat tiedostoja, kuten asiakirjoja ja useiden suosittujen editorien laskentataulukoita. Makrovirukset ovat ohjelmia, jotka on kirjoitettu kielillä (makrokielillä), jotka on rakennettu joihinkin tietojenkäsittelyjärjestelmiin. Toistaakseen tällaiset virukset käyttävät makrokielten ominaisuuksia ja niiden avulla siirtävät itsensä yhdestä tartunnan saaneesta tiedostosta muihin. Yleisimpiä ovat makrovirukset Microsoft Wordille, Excelille ja Office97:lle. On myös makroviruksia, jotka saastuttavat Ami Pro -asiakirjoja ja Microsoft Access -tietokantoja.
Verkkovirukset. Verkkovirukset sisältävät viruksia, jotka käyttävät aktiivisesti paikallisten ja globaalien verkkojen protokollia ja ominaisuuksia leviämiseen. Verkkoviruksen pääasiallinen toimintaperiaate on kyky siirtää sen koodi itsenäisesti etäpalvelimelle tai työasemalle. "Täysiarvoisilla" verkkoviruksilla on myös kyky suorittaa koodinsa etätietokoneessa tai ainakin "työntää" käyttäjää suorittamaan tartunnan saaneen tiedoston. Esimerkki verkkoviruksista on niin sanotut IRC-madot.
IRC (Internet Relay Chat) on erityinen protokolla, joka on suunniteltu reaaliaikaiseen viestintään Internetin käyttäjien välillä. Tämä protokolla tarjoaa heille mahdollisuuden Internetin "keskusteluun" käyttämällä erityisesti kehitettyjä ohjelmistoja. Yleisiin konferensseihin osallistumisen lisäksi IRC-käyttäjillä on mahdollisuus keskustella kahdenkeskisesti minkä tahansa muun käyttäjän kanssa. Lisäksi on olemassa varsin suuri määrä IRC-komentoja, joiden avulla käyttäjä voi saada tietoa muista käyttäjistä ja kanavista, muuttaa joitain IRC-asiakkaan asetuksia ja niin edelleen. On myös mahdollisuus lähettää ja vastaanottaa tiedostoja - tähän kykyyn IRC-madot perustuvat. Tehokas ja laaja IRC-asiakkaiden komentojärjestelmä mahdollistaa niiden komentosarjojen pohjalta luoda tietokoneviruksia, jotka välittävät koodinsa IRC-verkkojen käyttäjien tietokoneille, ns. "IRC-matoja". Näiden IRC-matojen toimintaperiaate on suunnilleen sama. IRC-komentojen avulla työskriptitiedosto (skripti) lähetetään automaattisesti tartunnan saaneelta tietokoneelta jokaiselle uudelle käyttäjälle, joka liittyy kanavaan. Lähetetty komentosarjatiedosto korvaa standardin, ja seuraavan istunnon aikana vasta tartunnan saanut asiakas lähettää madon. Jotkut IRC-madot sisältävät myös troijalaisen komponentin: ne suorittavat haitallisia toimia kyseisille tietokoneille määritettyjen avainsanojen avulla. Esimerkiksi "pIRCH.Events" -mato pyyhkii tietyllä komennolla kaikki tiedostot käyttäjän levyltä.
On olemassa suuri määrä yhdistelmiä - esimerkiksi tiedostokäynnistysviruksia, jotka saastuttavat sekä tiedostot että levyjen käynnistyssektorit. Tällaisilla viruksilla on pääsääntöisesti melko monimutkainen toimintaalgoritmi, ne käyttävät usein alkuperäisiä menetelmiä tunkeutuakseen järjestelmään ja käyttävät varkaita ja polymorfisia tekniikoita. Toinen esimerkki tällaisesta yhdistelmästä on verkkomakrovirus, joka ei ainoastaan tartu muokattaviin asiakirjoihin, vaan lähettää myös kopioita itsestään sähköpostitse.
Tämän luokituksen lisäksi tulee sanoa muutama sana muista haittaohjelmista, jotka joskus sekoitetaan viruksiin. Nämä ohjelmat eivät pysty leviämään itsestään kuten virukset, mutta ne voivat aiheuttaa yhtä tuhoisaa vahinkoa.
Troijan hevoset (logiikkapommit tai aikapommit).
Troijan hevoset sisältävät ohjelmia, jotka aiheuttavat tuhoisia vaikutuksia, eli ne tuhoavat tietyistä olosuhteista riippuen tai joka kerta kun ne käynnistetään, ne tuhoavat levyillä olevia tietoja, "jumittavat" järjestelmän jne. Esimerkkinä voimme mainita tämän tapauksen - kun tällainen ohjelma lähetti Internet-istunnon aikana tekijän tunnisteet ja salasanat tietokoneista, joissa se asui. Useimmat tunnetuimmat Troijan hevoset ovat ohjelmia, jotka "fake" jonkinlaista hyödyllisiä ohjelmia, suosittujen apuohjelmien uusia versioita tai lisäyksiä niihin. Hyvin usein ne lähetetään BBS-asemille tai sähköisiin konferensseihin. Viruksiin verrattuna troijalaisia ei käytetä laajalti seuraavista syistä - ne joko tuhoavat itsensä yhdessä muun levyllä olevan tiedon kanssa tai paljastavat läsnäolonsa ja tuhoavat ne käyttäjän toimesta.
2.2 Viruksentorjuntaohjelman käsite
Tietokonevirusten torjuntamenetelmät voidaan jakaa useisiin ryhmiin:
Virusinfektion ehkäisy ja tällaisen infektion odotettavissa olevien vaurioiden vähentäminen;
Virustorjuntaohjelmien käyttömenetelmät, mukaan lukien tunnettujen virusten neutralointi ja poistaminen;
Menetelmät tuntemattoman viruksen havaitsemiseen ja poistamiseen.
Tietokoneen tartunnan estäminen.
Yksi tärkeimmistä virustorjuntamenetelmistä on, kuten lääketieteessä, oikea-aikainen ennaltaehkäisy. Tietokoneen ehkäisyyn kuuluu muutamien sääntöjen noudattaminen, mikä voi vähentää merkittävästi viruksen saamisen ja tietojen menettämisen todennäköisyyttä.
Tietokoneen "hygienian" perussääntöjen määrittämiseksi on tarpeen selvittää tärkeimmät tavat, joilla virus tunkeutuu tietokoneeseen ja tietokoneverkkoihin.
Pääasiallinen virusten lähde nykyään on maailmanlaajuinen verkosto Internet. Eniten virustartuntoja tapahtuu, kun vaihdetaan kirjeitä Word/Office97-muodossa. Makroviruksen saastuttaman editorin käyttäjä, tietämättään, lähettää tartunnan saaneita kirjeitä vastaanottajille, jotka puolestaan lähettävät uusia tartunnan saaneita kirjeitä ja niin edelleen. Sinun tulee välttää kosketusta epäilyttäviin tietolähteisiin ja käyttää vain laillisia (lisensoituja) ohjelmistotuotteita.
Vaurioituneiden esineiden kunnostaminen.
Useimmissa virustartuntatapauksissa tartunnan saaneiden tiedostojen ja levyjen palautus edellyttää sopivan virustorjuntaohjelman käynnistämistä, joka voi neutraloida järjestelmän. Jos virus on tuntematon jollekin virukselle, riittää, että lähetät tartunnan saaneen tiedoston virustentorjuntavalmistajille ja saat jonkin ajan kuluttua viruksen "päivitys"-lääkettä. Jos aika ei odota, sinun on neutraloitava virus itse. Useimmille käyttäjille se on välttämätöntä varmuuskopiot sinun tietosi.
Yleiset tietoturvatyökalut ovat hyödyllisiä muuhunkin kuin virustorjuntaan. Näitä rahastoja on kahta päätyyppiä:
1 Tietojen kopioiminen – kopioiden luominen tiedostoista ja levyjen järjestelmäalueista.
2 Kulunvalvonta estää tietojen luvattoman käytön, erityisesti suojauksen virusten aiheuttamilta muutoksilta ohjelmiin ja tietoihin, toimintahäiriöiltä ohjelmilta ja virheellisiltä käyttäjän toimilta.
Virusten saastuttamien tiedostojen ja levyjen oikea-aikainen havaitseminen ja havaittujen virusten täydellinen tuhoaminen jokaisessa tietokoneessa auttavat estämään virusepidemian leviämisen muihin tietokoneisiin.
Tärkein ase virusten torjunnassa ovat virustentorjuntaohjelmat. Niiden avulla voit paitsi havaita viruksia, mukaan lukien virukset, jotka käyttävät erilaisia naamiointimenetelmiä, myös poistaa ne tietokoneeltasi.
Virustentorjuntaohjelmat käyttävät useita perusviruksentunnistusmenetelmiä. Perinteisin tapa etsiä viruksia on skannaus.
Tietokonevirusten havaitsemiseksi, poistamiseksi ja niiltä suojaamiseksi on kehitetty useita erikoisohjelmia, joiden avulla voit havaita ja tuhota viruksia. Tällaisia ohjelmia kutsutaan virustorjuntaohjelmiksi.
2.3 Virustorjuntatuotteiden tyypit
Ilmaisinohjelmat. Tunnistinohjelmat etsivät tietylle virukselle ominaista allekirjoitusta RAM-muisti sekä tiedostoissa että havaittuaan ne antavat vastaavan viestin. Tällaisten virustorjuntaohjelmien haittana on, että ne voivat löytää vain viruksia, jotka tällaisten ohjelmien kehittäjät tuntevat.
Lääkäriohjelmat. Lääkäri- tai faagiohjelmat sekä rokoteohjelmat eivät vain löydä viruksilla saastuneita tiedostoja, vaan myös "käsittelevät" niitä, eli poistavat virusohjelman rungon tiedostosta palauttaen tiedostot alkuperäiseen tilaan. Työnsä alussa faagit etsivät viruksia RAM-muistista, tuhoavat ne ja jatkavat vasta sitten tiedostojen "puhdistukseen". Faagien joukossa on polyfaageja, toisin sanoen lääkäriohjelmia, jotka on suunniteltu etsimään ja tuhoamaan suuri määrä viruksia. Tunnetuimmat niistä: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.
Koska uusia viruksia ilmaantuu jatkuvasti, ilmaisinohjelmat ja lääkäriohjelmat vanhenevat nopeasti ja säännöllisiä versiopäivityksiä tarvitaan.
Tarkastusohjelmat (tarkastajat) ovat luotettavimpia suojakeinoja viruksia vastaan.
Tarkastajat (tarkastajat) tarkistavat levyllä olevista tiedoista näkymättömiä viruksia. Lisäksi tarkastaja ei saa käyttää käyttöjärjestelmän työkaluja levyjen käyttämiseen, mikä tarkoittaa, että aktiivinen virus ei pysty sieppaamaan tätä pääsyä.
Tosiasia on, että useat virukset, jotka asettuvat tiedostoihin (eli lisäävät tiedoston loppuun tai alkuun), korvaavat tätä tiedostoa koskevat tietueet käyttöjärjestelmämme tiedostojen varaustaulukoissa.
Tarkastajat (tarkastajat) muistavat ohjelmien, hakemistojen ja levyn järjestelmäalueiden alkuperäisen tilan, kun tietokone ei ole viruksen saastuttama, ja vertaa sitten ajoittain tai käyttäjän pyynnöstä nykyistä tilaa alkuperäiseen. Havaitut muutokset näkyvät monitorin näytöllä. Pääsääntöisesti tilojen vertailu suoritetaan heti käyttöjärjestelmän lataamisen jälkeen. Vertailun aikana tarkistetaan tiedoston pituus, syklinen ohjauskoodi (tiedoston tarkistussumma), muokkauspäivämäärä ja -aika sekä muut parametrit. Auditoriohjelmat (tarkastajat) ovat melko kehittyneitä algoritmeja, havaitsevat salaperäisiä viruksia ja voivat jopa puhdistaa tarkistettavan ohjelman versiossa tehdyt muutokset viruksen tekemistä muutoksista.
Tarkastaja (tarkastaja) on käynnistettävä, kun tietokone ei ole vielä saanut tartuntaa, jotta se voi luoda jokaisen levyn juurihakemistoon taulukon, jossa on kaikki tarvittavat tiedot tällä levyllä olevista tiedostoista sekä sen tavaratilasta. Jokaisen taulukon luomiseen vaaditaan lupa. Seuraavien käynnistysten aikana tarkastaja (tarkastaja) skannaa levyt ja vertaa kunkin tiedoston tietoja sen tietueisiin.
Jos infektioita havaitaan, tarkastaja (tarkastaja) voi käyttää omaa parantavaa moduuliaan, joka palauttaa viruksen vahingoittaman tiedoston. Tiedostojen palauttamiseksi tarkastajan ei tarvitse tietää mitään tietystä viruksesta, riittää, että käyttää taulukoihin tallennettuja tiedostotietoja.
Lisäksi tarvittaessa voidaan kutsua virustorjunta.
Suodatusohjelmat (monitorit). Suodatinohjelmat (monitorit) tai "vartijat" ovat pieniä ohjelmia, jotka on suunniteltu havaitsemaan viruksille ominaisia epäilyttäviä toimia tietokoneen käytön aikana. Tällaisia toimia voivat olla:
Yrittää korjata tiedostoja COM-, EXE-laajennuksilla;
Tiedoston attribuuttien muuttaminen;
Suora kirjoitus levylle absoluuttiseen osoitteeseen;
Kirjoita levyn käynnistyssektoreihin;
Kun mikä tahansa ohjelma yrittää suorittaa määritettyjä toimintoja, "vartija" lähettää käyttäjälle viestin ja tarjoutuu kieltämään tai sallimaan vastaavan toiminnon. Suodatinohjelmat ovat erittäin hyödyllisiä, koska ne pystyvät havaitsemaan viruksen sen olemassaolon varhaisessa vaiheessa ennen replikointia. Ne eivät kuitenkaan "puhdista" tiedostoja ja levyjä. Virusten tuhoamiseksi sinun on käytettävä muita ohjelmia, kuten faageja.
Rokotteet tai immunisaattorit. Rokotteet ovat pysyviä ohjelmia, jotka estävät tiedostojen tartunnan. Rokotteita käytetään, jos ei ole lääkäriohjelmia, jotka "hoitaisivat" tätä virusta. Rokotus on mahdollista vain tunnettuja viruksia vastaan. Rokote muokkaa ohjelmaa tai levyä siten, että se ei vaikuta sen toimintaan ja virus havaitsee sen tartunnan saaneena eikä siksi juurtu. Tällä hetkellä rokoteohjelmia käytetään rajoitetusti.
Skanneri. Virustorjuntaohjelmien toimintaperiaate perustuu tiedostojen, sektoreiden ja järjestelmämuistin tarkistamiseen sekä tunnettujen ja uusien (skannerille tuntemattomien) virusten etsimiseen. Tunnettujen virusten etsimiseen käytetään niin kutsuttuja "naamioita". Viruksen peite on jokin tälle tietylle virukselle spesifinen jatkuva koodisekvenssi. Jos virus ei sisällä pysyvää maskia tai maskin pituus ei ole tarpeeksi pitkä, käytetään muita menetelmiä. Esimerkki tällaisesta menetelmästä on algoritminen kieli, joka kuvaa kaiken mahdollisia vaihtoehtoja koodi, joka voi ilmetä tämän tyyppisen viruksen tartunnan yhteydessä. Jotkut antivirukset käyttävät tätä lähestymistapaa polymorfisten virusten havaitsemiseen. Skannerit voidaan myös jakaa kahteen luokkaan – "universaalit" ja "erikoistuneet". Yleisskannerit suunniteltu etsimään ja neutraloimaan kaikentyyppisiä viruksia riippumatta käyttöjärjestelmästä, jossa skanneri on suunniteltu toimimaan. Erikoisskannerit on suunniteltu neutraloimaan rajoitettu määrä viruksia tai vain yksi virusluokka, esimerkiksi makrovirukset. Vain makroviruksille suunnitellut erikoisskannerit osoittautuvat usein kätevimmäksi ja luotettavimmaksi ratkaisuksi asiakirjanhallintajärjestelmien suojaamiseen MSWord- ja MSExcel-ympäristöissä.
Skannerit on jaettu myös "asukkaisiin" (monitorit, vartijat), jotka suorittavat lennossa skannausta, ja "ei-residentteihin", jotka skannaavat järjestelmän vain pyynnöstä. Yleensä "asukkaat" skannerit tarjoavat enemmän luotettava suoja järjestelmiin, koska ne reagoivat välittömästi viruksen ilmestymiseen, kun taas "ei-residentti" skanneri pystyy tunnistamaan viruksen vasta seuraavan käynnistyksen yhteydessä. Toisaalta pysyvä skanneri voi hidastaa tietokonetta jonkin verran, myös mahdollisten väärien positiivisten tulosten vuoksi.
Kaikentyyppisten skannerien etuja ovat niiden monipuolisuus, haittoja on suhteellisen alhainen virustarkistuksen nopeus.
CRC-skannerit. CRC-skannerien toimintaperiaate perustuu CRC-summien laskemiseen ( tarkistussummat) levyllä oleville tiedostoille/järjestelmäsektoreille. Nämä CRC-määrät tallennetaan sitten virustorjuntatietokantaan, samoin kuin joitain muita tietoja: tiedostojen pituudet, viimeisimmän muokkauksen päivämäärät ja niin edelleen. Myöhemmin käynnistettäessä CRC-skannerit vertaavat tietokannan sisältämiä tietoja todellisiin laskettuihin arvoihin. Jos tietokantaan tallennetut tiedostotiedot eivät vastaa todellisia arvoja, CRC-skannerit ilmoittavat, että tiedostoa on muokattu tai se on saanut viruksen. Anti-stealth-algoritmeja käyttävät CRC-skannerit ovat varsin tehokas ase viruksia vastaan: lähes 100 % viruksista havaitaan melkein heti niiden ilmestymisen jälkeen tietokoneelle. Tämän tyyppisillä virustorjuntaohjelmilla on kuitenkin luontainen puute, joka vähentää merkittävästi niiden tehokkuutta. Tämä haittapuoli on se, että CRC-skannerit eivät pysty saamaan virusta kiinni sillä hetkellä, kun se ilmestyy järjestelmään, vaan tekevät tämän vasta jonkin ajan kuluttua, kun virus on levinnyt koko tietokoneeseen. CRC-skannerit eivät pysty havaitsemaan virusta uusista tiedostoista (sähköpostista, levykkeiltä, varmuuskopiosta palautetuista tiedostoista tai purettaessa tiedostoja arkistosta), koska niiden tietokannat eivät sisällä tietoja näistä tiedostoista. Lisäksi ajoittain ilmaantuu viruksia, jotka hyödyntävät tätä CRC-skannerien "heikkoutta" tartuttaen vain äskettäin luodut tiedostot ja jäävät siten näkymättömiksi niille.
Salpaajat. Estäjät ovat paikallisia ohjelmia, jotka sieppaavat "virusvaarallisia" tilanteita ja ilmoittavat niistä käyttäjälle. "Virusvaaralliset" sisältävät kutsut avautua kirjoittamista varten suoritettaviin tiedostoihin, kirjoittaminen levyjen käynnistyssektoreihin tai kiintolevyn MBR:ään, ohjelmien yritykset pysyä paikoillaan ja niin edelleen, eli kutsut, jotka ovat tyypillisiä viruksille lisääntymisen hetki. Joskus joitain estotoimintoja on toteutettu vakituisissa skannereissa.
Salpaajien etuja ovat niiden kyky havaita ja pysäyttää virus sen lisääntymisen varhaisessa vaiheessa. Haittoja ovat se, että on olemassa tapoja ohittaa estosuojaus ja suuri määrä vääriä positiivisia tuloksia.
On myös tarpeen huomata tällainen virustentorjuntatyökalujen suunta, kuten virustentorjuntaohjelmat, jotka on valmistettu muodossa. Yleisin on BIOSiin sisäänrakennettu kirjoitussuojaus kiintolevyn MBR:ssä. Kuitenkin, kuten ohjelmiston esto-ohjelmien tapauksessa, tällainen suojaus voidaan helposti ohittaa kirjoittamalla suoraan levyohjaimen portteihin, ja DOS-apuohjelman FDISK käynnistäminen aiheuttaa välittömästi suojauksen "väärän positiivisen".
On olemassa useita yleisempiä laitteiston estolaitteita, mutta yllä lueteltujen haittojen lisäksi on myös yhteensopivuusongelmia tavallisten tietokonekokoonpanojen kanssa ja niiden asennuksen ja konfiguroinnin monimutkaisuus. Kaikki tämä tekee laitteiston estäjistä erittäin epäsuosittuja verrattuna muihin virustorjuntatyyppeihin.
2.4 Virustorjuntapakettien vertailu
Riippumatta mitä tietojärjestelmä on suojattava, tärkein parametri viruksia verrattaessa on kyky havaita viruksia ja muita haittaohjelmia.
Vaikka tämä parametri on tärkeä, se on kuitenkin kaukana ainoasta.
Tosiasia on, että virustentorjuntajärjestelmän tehokkuus ei riipu vain sen kyvystä havaita ja neutraloida viruksia, vaan myös monista muista tekijöistä.
Viruksentorjuntaohjelman tulee olla kätevä käyttää, häiritsemättä tietokoneen käyttäjää suoriutumasta suorista tehtävistään. Jos virustorjunta ärsyttää käyttäjää jatkuvilla pyynnöillä ja viesteillä, se ennemmin tai myöhemmin poistetaan käytöstä. Virustorjuntaliittymän tulee olla ystävällinen ja ymmärrettävä, koska kaikilla käyttäjillä ei ole laajaa kokemusta työskentelystä tietokoneohjelmat. Ymmärtämättä näytölle ilmestyvän viestin merkitystä, voit tahattomasti sallia virustartunnan, vaikka virustorjunta olisi asennettu.
Kätevin virustorjuntatila on, kun kaikki avatut tiedostot tarkistetaan. Jos virustorjunta ei pysty toimimaan tässä tilassa, käyttäjän on tarkistettava kaikki levyt joka päivä uusien virusten havaitsemiseksi. Tämä toimenpide voi kestää kymmeniä minuutteja tai jopa tunteja, jos me puhumme suurista levyistä, jotka on asennettu esimerkiksi palvelimelle.
Koska uusia viruksia ilmestyy joka päivä, virustorjuntatietokanta on päivitettävä säännöllisesti. Muutoin virustentorjuntateho on hyvin alhainen. Nykyaikaiset virustorjuntaohjelmat voivat asianmukaisen konfiguroinnin jälkeen päivittää virustentorjuntatietokannat automaattisesti Internetin kautta häiritsemättä käyttäjiä ja järjestelmänvalvojia suorittamasta tätä rutiinityötä.
Suojattaessa suurta yritysverkkoa, sellainen virustentorjuntaparametri kuin verkon ohjauskeskuksen läsnäolo tulee esiin. Jos yritysverkosto yhdistää satoja ja tuhansia työasemia, kymmeniä ja satoja palvelimia, on lähes mahdotonta järjestää tehokasta virustorjuntaa ilman verkon ohjauskeskusta. Yksi tai useampi järjestelmänvalvoja ei voi ohittaa kaikkia työasemia ja palvelimia asentamalla ja määrittämällä niihin virustorjuntaohjelmia. Tässä tarvitaan tekniikoita, jotka mahdollistavat virustorjuntaohjelmien keskitetyn asennuksen ja konfiguroinnin kaikkiin yritysverkon tietokoneisiin.
Internet-sivustojen suojaaminen, kuten sähköpostipalvelimet, ja viestipalvelupalvelimet vaativat erikoistuneiden virustorjuntatyökalujen käyttöä. Perinteiset tiedostojen tarkistamiseen suunnitellut virustorjuntaohjelmat eivät löydä haitallista koodia viestipalvelimien tietokannoista tai sähköpostipalvelimien kautta kulkevasta tietovirrasta.
Tyypillisesti virustorjuntatuotteita verrattaessa otetaan huomioon muut tekijät. Valtion virastot voivat muiden asioiden ollessa samat suosia kotimaisia virustorjuntaohjelmia, joilla on kaikki tarvittavat sertifikaatit. Merkittävä rooli on myös yhden tai toisen virustorjuntatyökalun saavuttamalla maineella tietokoneen käyttäjien ja järjestelmänvalvojien keskuudessa. Myös henkilökohtaisilla mieltymyksellä voi olla merkittävä rooli valinnassa.
Virustentorjuntakehittäjät käyttävät usein riippumattomia testituloksia todistaakseen tuotteidensa edut. Samaan aikaan käyttäjät eivät usein ymmärrä, mitä tarkalleen ja miten tässä testissä testattiin.
Tässä työssä suosituimmat käytiin vertailevan analyysin kohteena. Tämä hetki virustorjuntaohjelmat, nimittäin: Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft.
Brittilehti Virus Bulletin oli yksi ensimmäisistä, jotka testasivat virustorjuntatuotteita. Ensimmäiset heidän verkkosivuillaan julkaistut testit ovat peräisin vuodelta 1998. Testi perustuu WildList-haittaohjelmien kokoelmaan. Testin läpäisemiseksi on välttämätöntä tunnistaa kaikki virukset tässä kokoelmassa ja osoittaa väärien positiivisten tulosten nollataso "puhtaiden" lokitiedostojen kokoelmassa. Testaus suoritetaan useita kertoja vuodessa eri käyttöjärjestelmillä; Testin läpäisevät tuotteet saavat VB100 % palkinnon. Kuva 1 näyttää, kuinka monta VB100% palkintoa eri virustorjuntayritysten tuotteet saivat.
Virus Bulletin -lehteä voidaan tietysti kutsua vanhimmaksi virustentorjuntatestaajaksi, mutta sen patriarkka-asema ei vapauta sitä virustorjuntayhteisön kritiikistä. Ensinnäkin WildList sisältää vain viruksia ja matoja ja on tarkoitettu vain Windows-alustalle. Toiseksi WildList-kokoelma sisältää pienen määrän haittaohjelmia ja täydentyy hyvin hitaasti: kokoelmaan ilmestyy vain muutama tusina kuukaudessa, kun taas esimerkiksi AV-Test-kokoelma täydentyy tänä aikana useilla kymmenillä tai jopa satoja tuhansia kopioita haittaohjelmista.
Kaikki tämä viittaa siihen, että nykyisessä muodossaan WildList-kokoelma on moraalisesti vanhentunut eikä kuvasta todellista tilannetta Internetin virusten suhteen. Tämän seurauksena WildList-kokoelmaan perustuvista testeistä tulee yhä merkityksettömämpiä. Ne ovat hyviä mainostamaan tuotteita, jotka ovat läpäisseet ne, mutta ne eivät varsinaisesti heijasta virussuojauksen laatua.
Kuva 1 – onnistuneesti läpäistyjen VB-testien määrä 100 %
Riippumattomat tutkimuslaboratoriot, kuten AV-Comparatives, AV-Tests, testaavat virustorjuntatuotteita kahdesti vuodessa haittaohjelmien havaitsemisen tasoa varten. Samaan aikaan kokoelmat, joita testataan, sisältävät jopa miljoona haittaohjelmaa, ja niitä päivitetään säännöllisesti. Testitulokset julkaistaan näiden organisaatioiden verkkosivuilla (www.AV-Comparatives.org, www.AV-Test.org) ja tunnetuissa tietokonelehdissä PC World, PC Welt. Seuraavien testien tulokset on esitetty alla:
Kuva 2 – Haittaohjelmien yleinen havaitsemisprosentti AV-testin mukaan
Jos puhumme yleisimmistä tuotteista, niin näiden testien tulosten mukaan vain Kaspersky Labin ja Symantecin ratkaisut ovat kolmen parhaan joukossa. Avira, testien johtaja, ansaitsee erityistä huomiota.
Tutkimuslaboratorioiden AV-Comparatives ja AV-Test testeillä, kuten kaikilla testeillä, on hyvät ja huonot puolensa. Etuna on se, että testaus suoritetaan suurille haittaohjelmakokoelmille ja että nämä kokoelmat sisältävät monenlaisia haittaohjelmia. Huono puoli on, että nämä kokoelmat eivät sisällä vain "tuoreita" näytteitä haittaohjelmista, vaan myös suhteellisen vanhoja. Tyypillisesti käytetään viimeisen kuuden kuukauden aikana kerättyjä näytteitä. Lisäksi näissä testeissä analysoidaan tarkastuksen tulokset kovalevy pyynnöstä, kun taas sisään oikea elämä käyttäjä lataa tartunnan saaneita tiedostoja Internetistä tai vastaanottaa ne sähköpostin liitteinä. On tärkeää tunnistaa tällaiset tiedostot juuri sillä hetkellä, kun ne ilmestyvät käyttäjän tietokoneelle.
Yksi vanhimmista brittiläisistä tietokonelehdistä, PC Pro, yritti kehittää testausmetodologiaa, joka ei kärsi tästä ongelmasta. Heidän testinsä käytti kokoelmaa haittaohjelmia, jotka löydettiin kaksi viikkoa ennen testiä MessageLabs-palvelinten kautta kulkevasta liikenteestä. MessageLabs tarjoaa asiakkailleen suodatuspalveluita erilaisia tyyppejä liikennettä, ja sen haittaohjelmien kokoelma heijastelee todella tilannetta tietokonevirusten leviämisen yhteydessä Internetiin.
PC Pro -lehden tiimi ei vain tarkistanut tartunnan saaneita tiedostoja, vaan simuloi käyttäjien toimia: tartunnan saaneet tiedostot liitettiin kirjeisiin liitteinä ja nämä kirjeet ladattiin tietokoneelle, johon oli asennettu virustorjunta. Lisäksi erityisesti kirjoitetuilla skripteillä ladattiin tartunnan saaneita tiedostoja web-palvelimelta, eli netissä surffailua simuloitiin. Olosuhteet, joissa tällaiset testit suoritetaan, ovat mahdollisimman lähellä todellisia, mikä ei voinut muuta kuin vaikuttaa tuloksiin: useimpien virusten tunnistustaso osoittautui huomattavasti alhaisemmaksi kuin yksinkertaisella on-demand-skannauksella AV-. Vertailut ja AV-testit. Tällaisissa testeissä tärkeä rooli on sillä, kuinka nopeasti virustentorjuntakehittäjät reagoivat uusien haittaohjelmien syntymiseen, sekä mitä ennakoivia mekanismeja käytetään haittaohjelmien havaitsemiseen.
Nopeus, jolla virustorjuntapäivitykset julkaistaan uusien haittaohjelmien allekirjoituksin, on yksi tehokkaan virussuojauksen tärkeimmistä osista. Mitä nopeammin allekirjoitustietokannan päivitys julkaistaan, sitä vähemmän aikaa käyttäjä pysyy suojaamattomana.
Kuva 3 – Keskimääräinen vasteaika uusiin uhkiin
Viime aikoina uusia haittaohjelmia ilmaantuu niin usein, että virustentorjuntalaboratoriot tuskin ehtivät reagoida uusien näytteiden ilmestymiseen. Tällaisessa tilanteessa herää kysymys, kuinka virustorjunta pystyy torjumaan paitsi jo tunnettuja viruksia myös uusia uhkia, joille ei ole vielä julkaistu tunnistusallekirjoitusta.
Tuntemattomien uhkien havaitsemiseen käytetään niin kutsuttuja ennakoivia tekniikoita. Nämä tekniikat voidaan jakaa kahteen tyyppiin: heuristiikka (ne havaitsevat haittaohjelmat koodinsa analyysin perusteella) ja käyttäytymisestäjät (ne estävät haittaohjelmien toiminnan, kun ne toimivat tietokoneella, niiden käyttäytymisen perusteella).
Heuristiikasta puheen ollen, niiden tehokkuutta on pitkään tutkinut Andreas Climentin johtama tutkimuslaboratorio AV-Comparatives. AV-Comparatives -tiimi käyttää erityistä tekniikkaa: virukset tarkistetaan nykyiseen viruskokoelmaan, mutta he käyttävät virustorjuntaa, jonka allekirjoitukset ovat kolme kuukautta vanhoja. Siten viruksentorjuntaohjelman on taisteltava haittaohjelmia vastaan, joista se ei tiedä mitään. Virustentorjunta tarkistetaan skannaamalla kiintolevyllä olevien haittaohjelmien kokoelma, joten vain heuristiikan tehokkuus testataan. Toista ennakoivaa tekniikkaa, käyttäytymisen estoainetta, ei käytetä näissä testeissä. Jopa paras heuristiikka osoittaa tällä hetkellä vain noin 70 % havaitsemisasteen, ja monet niistä kärsivät myös vääristä positiivisista puhtaista tiedostoista. Kaikki tämä viittaa siihen, että toistaiseksi tätä ennakoivaa tunnistusmenetelmää voidaan käyttää vain samanaikaisesti allekirjoitusmenetelmän kanssa.
Mitä tulee toiseen ennakoivaan teknologiaan - käyttäytymisen estoon, tällä alueella ei ole tehty vakavia vertailutestejä. Ensinnäkin monissa virustorjuntatuotteissa (Doctor Web, NOD32, Avira ja muut) ei ole käyttäytymisen estävää toimintoa. Toiseksi tällaisten testien suorittaminen on täynnä vaikeuksia. Tosiasia on, että käyttäytymisestäjän tehokkuuden testaamiseksi sinun ei tarvitse skannata levyä haittaohjelmien joukolla, vaan suorita nämä ohjelmat tietokoneellasi ja tarkkaile, kuinka onnistuneesti virustorjunta estää niiden toiminnan. Tämä prosessi on erittäin työvoimavaltainen, ja vain harvat tutkijat pystyvät suorittamaan tällaisia testejä. Tällä hetkellä suuren yleisön saatavilla ovat vain AV-Comparatives -tiimin suorittamien yksittäisten tuotetestien tulokset. Jos viruksentorjuntaohjelmat estivät testauksen aikana niille tuntemattomien haittaohjelmien toiminnan niiden ollessa käynnissä tietokoneessa, tuote sai Proactive Protection Award -palkinnon. Tällä hetkellä tällaiset palkinnot ovat saaneet F-Secure DeepGuard-käyttäytymisteknologialla ja Kaspersky Anti-Virus Proactive Protection -moduulilla.
Haittaohjelmien käyttäytymisen analysointiin perustuvat tartuntojen ehkäisyteknologiat ovat yleistymässä, ja kattavien vertailevien testien puute tällä alueella on hälyttävää. Äskettäin AV-Test-tutkimuslaboratorion asiantuntijat kävivät aiheesta laajan keskustelun, johon osallistuivat myös virustorjuntatuotteiden kehittäjät. Tämän keskustelun tuloksena syntyi uusi menetelmä testata virustentorjuntatuotteiden kykyä kestää tuntemattomia uhkia.
Haittaohjelmien korkeatasoinen havaitseminen eri tekniikoilla on yksi virustorjuntaohjelman tärkeimmistä ominaisuuksista. Yhtä tärkeä ominaisuus on kuitenkin väärien positiivisten tulosten puuttuminen. Väärät positiiviset tulokset eivät voi aiheuttaa vähemmän haittaa käyttäjälle kuin virustartunta: estä työ tarvittavat ohjelmat, estää pääsyn sivustoille ja niin edelleen.
Tutkimuksensa aikana AV-Comparatives tutkii virustentorjuntaohjelmien kykyä havaita haittaohjelmia myös testaamalla vääriä positiivisia tuloksia puhtaiden tiedostojen kokoelmista. Testin mukaan eniten vääriä positiivisia löytyi Doctor Web- ja Avira-virustorjuntaohjelmista.
Viruksia vastaan ei ole 100 % suojaa. Käyttäjät kohtaavat ajoittain tilanteen, jossa haittaohjelma on tunkeutunut heidän tietokoneeseensa ja tietokone saa tartunnan. Tämä johtuu joko siitä, että tietokoneessa ei ollut virustorjuntaa tai koska virustorjunta ei havainnut haittaohjelmaa allekirjoituksella tai ennakoivilla menetelmillä. Tällaisessa tilanteessa on tärkeää, että kun asennat tietokoneellesi virustorjuntaohjelman, jossa on tuoreet allekirjoitustietokannat, virustorjunta ei vain pysty havaitsemaan haittaohjelmia, vaan myös onnistuneesti poistamaan kaikki sen toiminnan seuraukset ja parantamaan aktiivisen infektion. Samalla on tärkeää ymmärtää, että virusten tekijät parantavat jatkuvasti "taitojaan", ja joidenkin heidän luomistensa on melko vaikea poistaa tietokoneelta - haittaohjelmat voivat eri tavoilla peittävät läsnäolonsa järjestelmässä (mukaan lukien rootkit-paketit) ja jopa häiritsevät virustentorjuntaohjelmien toimintaa. Lisäksi tartunnan saaneen tiedoston poistaminen tai desinfiointi ei riitä, vaan kaikki haitallisen prosessin järjestelmään tekemät muutokset on poistettava ja järjestelmän toiminta palautettava kokonaan. Tiimi Venäjän portaali Anti-Malware.ru suoritti samanlaisen testin, sen tulokset on esitetty kuvassa 4.
Kuva 4 – Aktiivisen infektion hoito
Yllä käsiteltiin erilaisia lähestymistapoja virustentorjuntatestaukseen ja näytettiin, mitkä virustentorjuntatoiminnan parametrit otetaan huomioon testauksen aikana. Voimme päätellä, että joillekin virustorjuntaohjelmille yksi indikaattori osoittautuu edulliseksi, toisille - toinen. Samalla on luonnollista, että virustorjuntakehittäjät keskittyvät mainosmateriaaleissaan vain niihin testeihin, joissa heidän tuotteet ovat johtavassa asemassa. Esimerkiksi Kaspersky Lab keskittyy reaktionopeuteen uusien uhkien ilmaantuessa, Eset heurististen teknologioidensa tehoon, Doctor Web kuvailee etujaan aktiivisten infektioiden hoidossa.
Siksi eri testien tuloksista olisi suoritettava synteesi. Tämä tiivistää virustentorjuntaohjelmien kannat tarkastetuissa testeissä ja tarjoaa myös integroidun arvion - minkä paikan tietyllä tuotteella on keskimäärin kaikissa testeissä. Tuloksena kolme parasta voittajaa olivat: Kaspersky, Avira, Symantec.
Analysoitujen virustorjuntapakettien perusteella a ohjelmisto, joka on suunniteltu etsimään ja desinfioimaan SVC 5.0 -viruksen tartuttamia tiedostoja. Tämä virus ei johda tiedostojen luvattomaan poistamiseen tai kopioimiseen, mutta häiritsee merkittävästi tietokoneohjelmiston täydellistä toimintaa.
Tartunnan saaneet ohjelmat ovat pidempiä kuin lähdekoodi. Tämä ei kuitenkaan näy tartunnan saaneen koneen hakemistoja selattaessa, koska virus tarkistaa, onko löydetty tiedosto saastunut vai ei. Jos tiedosto on saanut tartunnan, saastumattoman tiedoston pituus tallennetaan DTA:han.
Voit havaita tämän viruksen seuraavasti. Virustietoalueella on merkkijono "(c) 1990 by SVC, Ver. 5.0", jonka avulla virus, jos se on levyllä, voidaan havaita.
Kun kirjoitat virustorjuntaohjelmaa, suoritetaan seuraava toimintosarja:
1 Jokaiselle skannatulle tiedostolle määritetään sen luomisaika.
2 Jos sekuntien lukumäärä on kuusikymmentä, kolme tavua tarkistetaan poikkeuksella, joka on yhtä suuri kuin "tiedoston pituus miinus 8AN". Jos ne ovat 35H, 2EN, 30H, vastaavasti, tiedosto on saastunut.
3 Alkuperäisen koodin ensimmäiset 24 tavua dekoodataan, jotka sijaitsevat siirtymässä "tiedoston pituus miinus 01CFН plus 0BAAN". Dekoodausnäppäimet sijaitsevat siirtymillä "tiedoston pituus miinus 01CFН plus 0С1АН" ja "tiedoston pituus miinus 01CFН plus 0С1BN".
4 Dekoodatut tavut kirjoitetaan uudelleen ohjelman alkuun.
5 Tiedosto on "typistetty" arvoon "tiedoston pituus miinus 0С1F".
Ohjelma luotiin TurboPascal-ohjelmointiympäristössä. Ohjelman teksti on esitetty liitteessä A.
Johtopäätös
Tässä kurssityössä suoritettiin virustorjuntapakettien vertaileva analyysi.
Analyysin aikana työn alussa asetetut tehtävät ratkaistiin onnistuneesti. Siten tutkittiin tietoturvan käsitteitä, tietokoneviruksia ja virustorjuntatyökaluja, tietoturvauhkien tyyppejä, suojausmenetelmiä, tarkasteltiin tietokonevirusten ja virustentorjuntaohjelmien luokittelua sekä vertaileva analyysi virustentorjunnasta. paketit suoritettiin, kirjoitettiin ohjelma, joka etsii tartunnan saaneita tiedostoja.
Työn aikana saatuja tuloksia voidaan käyttää valittaessa virustorjunta-ainetta.
Kaikki saadut tulokset näkyvät työssä kaavioiden avulla, joten käyttäjä voi itsenäisesti tarkistaa lopullisessa kaaviossa tehdyt johtopäätökset, joka heijastaa virustorjuntatuotteiden erilaisten testien tunnistettujen tulosten synteesiä.
Työn aikana saatuja tuloksia voidaan käyttää pohjana viruksentorjuntaohjelmien riippumattomalle vertailulle.
IT-teknologioiden laajan käytön valossa esitetyt kurssityöt ovat relevantteja ja täyttävät sille asetetut vaatimukset. Työn aikana pohdittiin suosituimpia virustorjuntatyökaluja.
Luettelo käytetystä kirjallisuudesta
1 Anin B. Tietokonetietojen suojaus. - Pietari. : BHV – Pietari, 2000. – 368 s.
2 Artyunov V.V. Tietosuoja: oppikirja. – menetelmä. korvaus. M.: Liberia - Bibinform, 2008. - 55 s. – (Kirjastonhoitaja ja aika. 2000-luku; numero 99).
3 Korneev I.K., E.A. Stepanov Tietosuoja toimistossa: oppikirja. – M.: Prospekt, 2008. – 333 s.
5 Kupriyanov A.I. Tietosuojan perusteet: oppikirja. korvaus. – 2. painos poistettu – M.: Akatemia, 2007. – 254 s. – (Ammatillinen korkeakoulutus).
6 Semenenko V. A., N. V. Fedorov Ohjelmisto- ja laitteistotietojen suojaus: oppikirja. apu opiskelijoille yliopistot – M.: MGIU, 2007. – 340 s.
7 Tsirlov V.L. Tietoturvan perusteet: lyhyt kurssi. – Rostov n/d: Phoenix, 2008. – 254 s. (Ammattimainen koulutus).
Sovellus
Ohjelmaluettelo
OhjelmaANTIVIRUS;
Käyttää dos-, crt-, tulostinta;
Tyyppi St80 = merkkijono;
FileInfection:File Of Byte;
SearchFile:SearchRec;
Mass: Array of St80;
MasByte: Array of Byte;
Sijainti,I,J,K:tavu;
Num,NumberOfFile,NumberOfInfFile:Word;
Lippu,NextDisk,Error:Boolean;
Avain1,Key2,Key3,NumError:Byte;
MasScreen: Array Of Byte Absolute B800:0000 $;
Toimenpide Cure (St: St80);
I: Tavu; MasCure: Array Of Byte;
Assign(Tiedostotartunta,St); Nollaa (Tiedostotartunta);
NumError:=IOResult;
If(NumError<>
Seek(Tiedostotartunta,Tiedoston koko(Tiedostotartunta) - ($0C1F - $0C1A));
NumError:=IOResult;
If(NumError<>0) Sitten Aloita Error:=True; Poistu; loppu;
Lue(Tiedostotartunta,Avain1);
NumError:=IOResult;
If(NumError<>0) Sitten Aloita Error:=True; Poistu; loppu;
Lue(Tiedostotartunta,Key2);
NumError:=IOResult;
If(NumError<>0) Sitten Aloita Error:=True; Poistu; loppu;
Seek(Tiedostotartunta,Tiedoston koko(Tiedostotartunta) - ($0C1F - $0BAA));
NumError:=IOResult;
If(NumError<>0) Sitten Aloita Error:=True; Poistu; loppu;
I:=1 - 24 tee
Lue(Tiedostotartunta,MasCure[i]);
NumError:=IOResult;
If(NumError<>0) Sitten Aloita Error:=True; Poistu; loppu;
Key3:=MasCure[i];
MasCure[i]:=Avain3;
Seek(Tiedostotartunta,0);
NumError:=IOResult;
If(NumError<>0) Sitten Aloita Error:=True; Poistu; loppu;
I:=1 - 24 kirjoita Write(FileInfection,MasCure[i]);
Haku(Tiedostotartunta,Tiedoston koko(Tiedostotartunta) - $0C1F);
NumError:=IOResult;
If(NumError<>0) Sitten Aloita Error:=True; Poistu; loppu;
Katkaise(Tiedostotartunta);
NumError:=IOResult;
If(NumError<>0) Sitten Aloita Error:=True; Poistu; loppu;
Sulje (FileInfection); NumError:=IOResult;
If(NumError<>0) Sitten Aloita Error:=True; Poistu; loppu;
Toimenpide F1 (St: St80);
FindFirst(St + "*.*", $3F, SearchFile);
While (SearchFile.Attr = $10) And (DosError = 0) And
((SearchFile.Name = ".") Tai (SearchFile.Name = "..")) Tee
FindNext(SearchFile);
Vaikka (DosError = 0) Tee
Jos näppäintä painetaan sitten
If (Ord(ReadKey) = 27) Then Pysäytä;
Jos (SearchFile.Attr = $10) Sitten
Mas[k]:=St + SearchFile.Name + "\";
If(SearchFile.Attr<>10 dollaria) Sitten
NumberOfFile:=NumberOfFile + 1;
UnpackTime(SearchFile.Time, DT);
I:=18-70 tee MasScreen:=20 dollaria;
Write(St + SearchFile.Name," ");
Jos (Dt.Sec = 60) Sitten
Assign(Tiedostotartunta,St + SearchFile.Name);
Nollaa (Tiedostotartunta);
NumError:=IOResult;
If(NumError<>0) Sitten Aloita Error:=True; Poistu; loppu;
Haku(Tiedostotartunta,Tiedoston koko(Tiedostotartunta) - $8A);
NumError:=IOResult;
If(NumError<>0) Sitten Aloita Error:=True; Poistu; loppu;
Kohdille I:=1 - 3 tee Read(Tiedostotartunta,MasByte[i]);
Sulje (FileInfection);
NumError:=IOResult;
If(NumError<>0) Sitten Aloita Error:=True; Poistu; loppu;
Jos (MasByte = $35) Ja (MasByte = $2E) Ja
(MasByte = 30 dollaria) Sitten
NumberOfInfFile:=NumberOfInfFile + 1;
Write(St + SearchFile.Name," infected.",
"Poista?");
Jos (Ord(Ch) = 27) Then Exit;
Kunnes (Ch = "Y") tai (Ch = "y") tai (Ch = "N")
Jos (Ch = "Y") Tai (Ch = "y") Sitten
Cure(St + SearchFile.Name);
If(NumError<>0) Sitten poistu;
I:=0 - 79 tee MasScreen:=$20;
FindNext(SearchFile);
GoToXY(29,1); TextAttr:=$1E; GoToXY(20,2); TextAttr:=17 dollaria;
Writeln("Ohjelma dlya poiska i lecheniya fajlov,");
Writeln("saragennih SVC50.");
TextAttr:=$4F; GoToXY(1,25);
Write(" ESC - poistu");
TextAttr:=$1F; GoToXY(1,6);
Write("Kakoj disk proveit?");
If (Ord(Disk) = 27) Then Exit;
R.Ah: = $0E; R.Dl:=Ord(UpCase(Disk))-65;
Intr($21,R); R.Ah: = 19 dollaria; Intr($21,R);
Lippu:=(R.Al = (Ord(UpCase(Disk))-65));
St:=UpCase(levy) + ":\";
Writeln("Testiruetsya levy ",St," ");
Writeln("Testiruetsya fajl");
NumberOfFile:=0;
NumberOfInfFile:=0;
Jos (k = 0) Tai Virhe sitten Flag:=False;
Jos (k > 0) Silloin K:=K-1;
Jos (k=0) Silloin Flag:=False;
Jos (k > 0) Silloin K:=K-1;
Writeln("Vahvistettu fajlov - ",Tiedoston numero);
Writeln("Zarageno fajlov - ",InfFile);
Writeln("Izlecheno fajlov - ",Num);
Write("Tarkista lääkelevy? ");
Jos (Ord(Ch) = 27) Then Exit;
Kunnes (Ch = "Y") tai (Ch = "y") tai (Ch = "N") tai (Ch = "n");
Jos (Ch = "N") Tai (Ch = "n") Sitten NextDisk:=False;
2.1.4 Viruslääkkeiden vertaileva analyysi.
On olemassa monia erilaisia viruksentorjuntaohjelmia sekä kotimaisista että muista kuin kotimaisista. Ja ymmärtääksemme, mikä virustentorjuntaohjelma on parempi, teemme niistä vertailevan analyysin. Otetaan tätä varten nykyaikaiset virustentorjuntaohjelmat sekä ne, joita PC-käyttäjät käyttävät useimmiten.
Panda Antivirus 2008 3.01.00
Yhteensopivat järjestelmät: Windows 2000/XP/Vista
Asennus
On vaikea kuvitella yksinkertaisempaa ja nopeampaa asennusta kuin Panda 2008. Meille kerrotaan vain, miltä uhilta se suojaa Tämä hakemus ja ilman asennustyypin tai päivityslähteen valintaa, ne tarjoavat suojan viruksia, matoja, troijalaisia, vakoiluohjelmia ja tietojenkalastelua vastaan alle minuutissa sen jälkeen, kun tietokoneen muisti on tarkistettu virusten varalta. Se ei kuitenkaan tue joitain muita nykyaikaisten virustorjuntaohjelmien edistyneitä toimintoja, kuten epäilyttävien verkkosivujen estämistä tai henkilötietojen suojaamista.
Käyttöliittymä ja toiminta
Ohjelman käyttöliittymä on erittäin kirkas. Nykyiset asetukset tarjoavat vähimmäistason muutoksia; vain olennaiset ovat käytettävissä. Ollenkaan, itsekonfigurointi valinnainen tässä tapauksessa: oletusasetukset sopivat useimmille käyttäjille ja tarjoavat suojan tietojenkalasteluhyökkäyksiä, vakoiluohjelmia, viruksia, hakkerisovelluksia ja muita uhkia vastaan.
Panda voidaan päivittää vain Internetin kautta. Lisäksi on erittäin suositeltavaa asentaa päivitys välittömästi virustorjunnan asennuksen jälkeen, muuten Panda tarvitsee säännöllisesti pääsyn "emo"palvelimeen, jossa on pieni mutta melko havaittavissa oleva ikkuna näytön alareunassa, mikä osoittaa nykyisen suojauksen alhaisen tason.
Panda 2008 jakaa kaikki uhat tunnettuihin ja tuntemattomiin. Ensimmäisessä tapauksessa voimme poistaa käytöstä tietyntyyppisten uhkien tarkistuksen; toisessa tapauksessa määritämme, kohdistammeko tiedostot, pikaviestit ja sähköpostit syvätarkistukseen tuntemattomien haitallisten kohteiden etsimiseksi. Jos Panda havaitsee epäilyttävää toimintaa jossakin sovelluksessa, se ilmoittaa siitä sinulle välittömästi ja tarjoaa näin suojan uhkia vastaan, jotka eivät sisälly virustorjuntatietokantaan.
Panda antaa sinun skannata koko kiintolevysi tai sen yksittäisiä osia. Muista, että arkiston tarkistus on oletusarvoisesti poissa käytöstä. Asetukset-valikossa näkyvät tarkistettavien tiedostojen tunnisteet, tarvittaessa voit lisätä omia tunnisteita. Erityistä huomiota ansaitsee havaittujen uhkien tilastot, jotka esitetään ympyräkaaviona, joka osoittaa selkeästi kunkin uhkatyypin osuuden haitallisten kohteiden kokonaismäärästä. Havaituista kohteista voidaan luoda raportti valitulle ajanjaksolle.
· minimi Laitteistovaatimukset: Windows 98/NT/Me/2000/XP:n saatavuus.
Laitteistovaatimukset vastaavat määritetyn käyttöjärjestelmän vaatimuksia.
Tärkeimmät toiminnalliset ominaisuudet:
· suoja madoilta, viruksilta, troijalaisilta, polymorfisilta viruksilta, makroviruksilta, vakoiluohjelmilta, soittajilta, mainosohjelmilta, hakkeriohjelmilta ja haitallisilta skripteiltä;
· päivitys virustorjuntatietokannat jopa useita kertoja tunnissa, kunkin päivityksen koko on enintään 15 kt;
· tietokoneen järjestelmämuistin tarkistaminen virusten havaitsemiseksi, joita ei ole tiedostomuodossa (esimerkiksi CodeRed tai Slammer);
· heuristinen analysaattori, jonka avulla voit neutraloida tuntemattomat uhat ennen kuin vastaavat virustietokantapäivitykset julkaistaan.
Asennus
Alussa Dr.Web varoittaa rehellisesti, ettei se aio tulla toimeen muiden virustorjuntaohjelmien kanssa ja pyytää varmistamaan, ettei tietokoneessasi ole sellaisia sovelluksia. Muuten yhteistyötä voi johtaa "ennustamattomiin seurauksiin". Valitse seuraavaksi "Custom" tai "Normal" (suositeltu) asennus ja aloita esitettyjen pääkomponenttien tutkiminen:
· skanneri Windowsille. Tiedostojen tarkistaminen manuaalisesti;
· konsolin skanneri Windowsille. Suunniteltu käynnistettäväksi komentotiedostoista;
· SpiDer Guard. Tiedostojen tarkistaminen lennossa, infektioiden estäminen reaaliajassa;
· SpiDer Mail. Tarkista POP3-, SMTP-, IMAP- ja NNTP-protokollien kautta vastaanotetut viestit.
Käyttöliittymä ja toiminta
Virustorjuntamoduulien välisen käyttöliittymän epäjohdonmukaisuus on silmiinpistävää, mikä lisää visuaalista epämukavuutta Dr.Web-komponenttien jo ennestään ei kovin ystävällisessä pääsyssä. Suuri määrä erilaisia asetuksia ei selvästikään ole suunniteltu aloittelevalle käyttäjälle, mutta melko yksityiskohtainen ohje helppokäyttöisessä muodossa selittää tiettyjen sinua kiinnostavien parametrien tarkoituksen. Pääsy Dr.Webin keskusmoduuliin - Windowsin skanneriin - ei tapahdu lokeron kautta, kuten kaikki katsauksessa käsitellyt virustorjuntaohjelmat, vaan vain "Käynnistä" -toiminnolla - kaukana parhaasta ratkaisusta, joka korjattiin Kasperskyssä. Virustorjunta kerralla.
Päivitys on saatavilla sekä Internetin kautta että välityspalvelimia käyttäen, mikä tekee Dr.Webistä erittäin houkuttelevan vaihtoehdon keskikokoisille ja suurille allekirjoitusten pienen koon vuoksi. Tietokoneverkot.
Voit asettaa järjestelmän skannausparametreja, päivitysjärjestystä ja konfiguroida toimintaolosuhteet jokaiselle Dr.Web-moduulille kätevällä "Scheduler" työkalulla, jonka avulla voit luoda yhtenäisen suojausjärjestelmän Dr.Web-komponenttien "suunnittelijasta".
Tuloksena saamme vaatimattoman tietokoneresurssin, melko mutkittoman (tarkemmin tarkasteltuna) tietokoneen kokonaisvaltaisen suojauksen kaikenlaisilta uhilta, joiden kyky torjua haitallisia sovelluksia on selvästi suurempi kuin Dr. Web-moduulit.
Tarkastellaanpa valitun hakemiston suoraskannausta. Kansio täynnä tekstiasiakirjoja, arkistot, musiikki, videot ja muut tavallisen käyttäjän kiintolevylle ominaiset tiedostot. Tietojen kokonaismäärä oli 20 Gt. Aluksi piti skannata kiintolevyosio, jolle järjestelmä oli asennettu, mutta Dr.Web aikoi pidentää tarkistusta kahdesta kolmeen tuntiin tutkien perusteellisesti järjestelmätiedostot, minkä seurauksena sille varattiin erillinen kansio. "testausalueelle". Jokainen virustorjunta käytti kaikkia toimitettuja ominaisuuksia määrittääkseen enimmäismäärän tarkistettuja tiedostoja.
Ensimmäisen sijan ajallisesti mitattuna Panda 2008. Uskomatonta, mutta totta: skannaus kesti vain viisi (!) minuuttia. Dr.Web kieltäytyi käyttämästä järkevästi käyttäjän aikaa ja tutki kansioiden sisältöä yli puolitoista tuntia. Panda 2008:n osoittama aika herätti epäilyksiä, mikä vaati lisädiagnostiikkaa näennäisesti merkityksettömältä parametrilta - tarkistettujen tiedostojen lukumäärältä. Epäilykset eivät nousseet turhaan, ja ne löysivät käytännön perustan toistuvien testien aikana. Meidän tulee osoittaa kunnioitusta Dr.Webille - virustorjunta ei hukannut niin paljon aikaa turhaan, ja se osoitti parhaan tuloksen: hieman yli 130 tuhatta tiedostoa. Tehdään varaus, että valitettavasti ei ollut mahdollista määrittää testikansiossa olevien tiedostojen tarkkaa määrää. Siksi Dr.Web-indikaattorin katsottiin heijastavan todellista tilannetta tässä asiassa.
Käyttäjillä on erilaisia asenteita "suuren mittakaavan" skannausprosessiin: jotkut haluavat poistua tietokoneesta ja olla häiritsemättä tarkistusta, toiset eivät halua tehdä kompromisseja virustentorjunnan kanssa ja jatkavat työtä tai pelaamista. Viimeinen vaihtoehto, kuten kävi ilmi, mahdollistaa Panda Antivirus -sovelluksen toteuttamisen ilman ongelmia. Kyllä, tämä ohjelma, jossa se osoittautui mahdottomaksi korostaa Avainominaisuudet, missä tahansa kokoonpanossa, aiheuttaa ainoan huolen, kun vihreä merkki ilmoittaa tarkistuksen onnistuneesta valmistumisesta. Dr.Web sai RAM-muistin vakaimman kuluttajan tittelin, jonka toiminta vaati täydessä kuormassa vain muutaman megatavun enemmän kuin normaalikäytössä.
Katsotaanpa nyt lähemmin sellaisia virustorjuntaohjelmia kuin:
1. Kaspersky Anti-Virus 2009;
3. Panda Antivirus 2008;
seuraavien kriteerien mukaan:
· Mukavuusluokitus käyttöliittymä;
· Arvioidaan helppokäyttöisyyttä;
· Rekrytointianalyysi tekniset valmiudet;
· Kustannusarvio.
Kaikista tarkastetuista virustentorjuntaohjelmista halvin on Panda Antivirus 2008 ja kallein NOD 32. Tämä ei kuitenkaan tarkoita, että Panda Antivirus 2008 olisi huonompi, ja tämän todistavat muut kriteerit. Kolmella neljästä arvioidusta ohjelmasta (Kaspersky Anti-Virus, Panda Antivirus, NOD 32) on yksinkertaisempi, toimivampi ja käyttäjäystävällisempi käyttöliittymä kuin Dr. Web, jossa on monia asetuksia, jotka ovat aloittelevalle käyttäjälle käsittämättömiä. Ohjelmassa voit käyttää yksityiskohtaista apua, joka selittää tiettyjen tarvitsemiesi parametrien tarkoituksen.
Kaikki ohjelmat tarjoavat luotettavan suojan matoja, perinteisiä viruksia vastaan, sähköpostivirukset, vakoiluohjelmat, troijalaiset jne. Tiedostojen tarkistaminen ohjelmissa, kuten Dr. Web, NOD 32, suoritetaan järjestelmän käynnistyksen yhteydessä, mutta Kaspersky Anti-Virus tarkistaa tiedostot, kun niitä käytetään. Kaspersky Anti-Virus, NOD 32:ssa, toisin kuin kaikissa muissa, on kehittynyt ennakoiva suojajärjestelmä, joka perustuu heuristisiin analyysialgoritmeihin; kyky asettaa salasana ja siten suojata ohjelmaa viruksilta, joiden tarkoituksena on tuhota virustorjunta. Lisäksi Kaspersky Anti-Virus 2009:ssä on käyttäytymisen esto. Panda Antivirus, toisin kuin kaikki muut, ei tue epäilyttävien verkkosivujen estämistä tai henkilötietojen suojaamista. Kaikissa näissä virustorjuntaohjelmissa on automaattiset tietokantapäivitykset ja tehtävien ajoitus. Lisäksi nämä virustentorjuntaohjelmat ovat täysin yhteensopivia Vistan kanssa. Mutta kaikki, paitsi Panda Antivirus, edellyttävät, että niiden lisäksi järjestelmässä ei ole muita vastaavia ohjelmia. Näiden tietojen perusteella luomme taulukon.
Taulukko 1 Virustorjuntaohjelmien ominaisuudet
| kriteeri | Kaspersky Anti-Virus 2009 | NOD 32 | DR. Web | Panda Antivirus |
| Kustannusarvio | - | - | - | + |
| Käyttöliittymän käytettävyysluokitus | + | + | - | |
| Arvioi helppokäyttöisyys | + | + | +- | - |
| Teknisten ominaisuuksien joukon analyysi | + | + | + | - |
| Yleisvaikutelma ohjelmasta | + | + | - |
Jokainen tarkasteltu virustorjunta on ansainnut suosionsa tavalla tai toisella, mutta ehdottomasti täydellinen ratkaisu ei ole olemassa kaikille käyttäjäluokille.
Mielestäni hyödyllisimmät ovat Kaspersky Anti-Virus 2009 ja NOD 32. Koska niillä on lähes kaikki virustorjuntaohjelman vaatimukset. Tämä on sekä käyttöliittymä että joukko teknisiä ominaisuuksia. Yleensä heillä on mitä tarvitset tietokoneesi suojaamiseen viruksilta.
Johtopäätös
Tämän kurssityön päätteeksi haluan sanoa, että asettamani tavoite - nykyaikaisten virustorjuntatyökalujen vertaileva analyysi - saavutettiin. Tältä osin ratkaistiin seuraavat tehtävät:
1. Aiheeseen liittyvää kirjallisuutta on valittu.
2. Erilaisia virustorjuntaohjelmia on tutkittu.
3. Suoritettiin virustorjuntaohjelmien vertailu.
Kurssityötäni suorittaessani törmäsin useisiin tiedonhakuun liittyviin ongelmiin, koska se on monissa lähteissä varsin ristiriitaista; sekä vertaileva analyysi kunkin virustorjuntaohjelman eduista ja haitoista ja yhteenvetotaulukon rakentaminen.
Jälleen kerran on syytä huomata, että ei ole olemassa yleistä virustentorjuntaohjelmaa. Mikään niistä ei voi taata meille 100% suojausta viruksia vastaan, ja virustorjuntaohjelman valinta riippuu pitkälti käyttäjästä.
Kirjallisuus
1. PC World -lehti henkilökohtaisten tietokoneiden käyttäjille
2. Leontiev V.P. "Perustietokoneen uusin tietosanakirja"
3. http://www.viruslist.com
Tarkistaa kaikki moduulit paitsi Computer Scan -moduulin. 1) Roskapostin estomoduuli Outlook Expressille ja Windows Mailille on liitettävä. Kun Eset Smart Security on asennettu Outlook Expressiin tai Windows Mailiin, näkyviin tulee työkalurivi, joka sisältää seuraavat roskapostin estomoduulin toiminnot 2) Roskapostin estomoduuli toimii...
Tietokonevirukset. Tartunnan saaneen ohjelman laadukkaaseen ja oikeaan hoitoon tarvitaan erikoistuneita virustorjuntaohjelmia (esimerkiksi Kaspersky antivirus, Dr Web jne.). LUKU 2. VIRUSTORJUNTOJEN VERTAILUVA ANALYYSI Todistaakseen tuotteidensa edut virustentorjuntakehittäjät käyttävät usein riippumattomien testien tuloksia. Yksi ensimmäisistä, jotka testasivat virustorjuntaa...
Toimii erinomaisesti VirusBulletin ITW -kokoelman kanssa - eikä mitään muuta. Kaikkien testien keskiarvo virustentorjuntaluokitus on esitetty kuvassa 1. (Katso liite kuva 1.). Luku 2. Virustentorjuntaohjelmien käyttö 2.1 Virustentorjuntatarkistus Sähköposti Jos tietokonetekniikan kehityksen kynnyksellä virusten pääasiallinen leviämiskanava oli ohjelmatiedostojen vaihto levykkeiden kautta, niin...
... (esimerkiksi tuntemattomien ohjelmien lataamatta jättäminen tai käyttämättä jättäminen Internetistä) vähentäisi virusten leviämisen todennäköisyyttä ja poistaisi tarpeen käyttää monia virustentorjuntaohjelmia. Tietokoneiden käyttäjien ei pitäisi työskennellä jatkuvasti järjestelmänvalvojan oikeuksin. Jos he käyttäisivät normaalia käyttötilaa, jotkin virukset eivät...
On olemassa virustorjuntaohjelmia, jotka suojaavat tietokonettasi haittaohjelmilta, viruksilta, troijalaisilta, madoilta ja vakoiluohjelmilta, jotka voivat poistaa tiedostosi, varastaa henkilökohtaisia tietojasi ja tehdä tietokoneestasi ja verkkoyhteydestäsi erittäin hitaita ja ongelmallisia. Siksi hyvän virustentorjuntaohjelman valitseminen on tärkeä prioriteetti järjestelmällesi.
Nykyään maailmassa on yli miljoona tietokonevirusta. Koska virukset ja muut haittaohjelmat ovat niin yleisiä, tietokoneiden käyttäjille on tarjolla monia erilaisia vaihtoehtoja virustentorjuntaohjelmistojen alalla.
Virustentorjuntaohjelmat Siitä tuli nopeasti iso bisnes, kun ensimmäiset kaupalliset virustorjuntatuotteet tulivat markkinoille 1980-luvun lopulla. Nykyään voit löytää monia, sekä maksullisia että ilmaisia virustorjuntaohjelmia tietokoneesi suojaamiseksi.
Mitä virustentorjuntaohjelmat tekevät?
Virustorjuntaohjelmat tarkistavat tietokoneesi säännöllisesti ja etsivät viruksia ja muita haittaohjelmia, jotka saattavat olla tietokoneessasi. Jos ohjelmisto havaitsee viruksen, se yleensä asettaa sen karanteeniin, desinfioi tai poistaa sen.
Voit valita, kuinka usein tarkistus suoritetaan, vaikka yleensä suositellaan, että suoritat sen vähintään kerran viikossa. Lisäksi useimmat virustorjuntaohjelmat suojaavat sinua päivittäisten toimien aikana, kuten sähköpostin tarkistamisen ja verkossa surffaamisen aikana.
Aina kun lataat tiedoston tietokoneellesi Internetistä tai sähköpostista, virustorjunta tarkistaa sen ja varmistaa, että tiedosto on kunnossa (virukseton tai ”puhdas”).
Virustentorjuntaohjelmat päivittävät myös niin sanottuja "virustorjuntamääritelmiä". Näitä määritelmiä päivitetään niin usein kuin uusia viruksia ja haittaohjelmia tuodaan esille ja löydetään.
Uusia viruksia ilmaantuu joka päivä, joten virustorjuntaohjelmiston valmistajan verkkosivuilla oleva virustorjuntatietokanta on päivitettävä säännöllisesti. Loppujen lopuksi, kuten tiedät, mikä tahansa virustorjuntaohjelma voi tunnistaa ja neutraloida vain ne virukset, joita valmistaja on "kouluttanut" sen käyttämään. Eikä ole mikään salaisuus, että viruksen lähettämisestä ohjelman kehittäjille voi kulua useita päiviä siihen asti, kunnes virustorjuntatietokannat päivitetään. Tänä aikana tuhannet tietokoneet ympäri maailmaa voivat saada tartunnan!
Varmista siis, että asennat yhden parhaista virustorjuntapaketteista ja päivitä se säännöllisesti.
PALOMUURI (PALOMUURI)
Tietokoneesi suojaaminen viruksilta riippuu useammasta kuin yhdestä virustorjuntaohjelmasta. Useimmat käyttäjät ovat väärässä uskoessaan, että heidän tietokoneeseensa asennettu virustorjunta on ihmelääke kaikille viruksille. Tietokoneesi voi silti saada viruksen tartunnan, vaikka sinulla olisi tehokas virustentorjuntaohjelma. Jos tietokoneessasi on Internet-yhteys, yksi virustorjunta ei riitä.
Virustorjunta voi poistaa viruksen, kun se on suoraan tietokoneellasi, mutta jos sama virus alkaa kulkeutua tietokoneellesi Internetistä esimerkiksi lataamalla verkkosivun, virustentorjuntaohjelma ei voi tehdä mitään sen kanssa - kunnes se ei näytä toimintaansa PC:llä. Siksi tietokoneesi täysi suojaus viruksilta on mahdotonta ilman palomuuria - erityistä suojausohjelmaa, joka ilmoittaa sinulle epäilyttävä toiminta kun virus tai mato yrittää muodostaa yhteyden tietokoneeseesi.
Internetin palomuurin avulla voit rajoittaa ei-toivottujen yhteyksien määrää ulkopuolelta tietokoneellesi ja vähentää merkittävästi sen todennäköisyyttä, että se saa tartunnan. Viruksilta suojaamisen lisäksi se vaikeuttaa myös tunkeilijoiden (hakkereiden) pääsyä tietoihisi ja yrittää ladata mahdollisesti vaarallisia ohjelmia tietokoneellesi.
Kun palomuuria käytetään yhdessä virustentorjuntaohjelman ja käyttöjärjestelmän päivitysten kanssa, tietokoneesi suojaus säilyy korkeimmalla tasolla.
KÄYTTÖJÄRJESTELMÄN JA OHJELMIEN PÄIVITYS
Tärkeä askel tietokoneesi ja tietojesi suojaamisessa on päivittää käyttöjärjestelmäsi järjestelmällisesti uusimmilla tietoturvakorjauksilla. On suositeltavaa tehdä tämä vähintään kerran kuukaudessa. Viimeisimmät päivitykset käyttöjärjestelmälle ja ohjelmat luovat olosuhteet, joissa tietokoneen suojaus viruksia vastaan on melko korkealla tasolla.
Päivitykset ovat korjauksia ajan mittaan löydettyihin ohjelmistovirheisiin. Suuri määrä viruksia käyttää näitä virheitä ("reikiä") järjestelmän ja ohjelmien tietoturvassa leviämiseen. Jos kuitenkin suljet nämä "reiät", et pelkää viruksia ja tietokoneesi suojaus on korkealla tasolla. Säännöllisten päivitysten lisäetu on järjestelmän luotettavampi toiminta virheenkorjausten vuoksi.
KIRJAUTUMISSALASANA
Salasana järjestelmään kirjautumiseen, erityisesti tili"Järjestelmänvalvoja" auttaa suojaamaan tietojasi luvattomalta käytöltä paikallisesti tai verkon kautta ja luo myös lisäesteen viruksille ja vakoiluohjelmille. Varmista, että käytät monimutkaista salasanaa, koska... Monet virukset käyttävät leviämiseen yksinkertaisia salasanoja, esimerkiksi 123, 12345, alkaen tyhjistä salasanoista.
TURVALLINEN VERKOSURFOA
Tietokoneesi suojaaminen viruksilta on monimutkaista, jos selatessasi ja surffaillessasi hyväksyt kaiken ja asennat kaiken. Esimerkiksi päivityksen varjolla Adobe Flash Pelaajaa levittää yksi viruksen lajikkeista - "Lähetä tekstiviesti numeroon". Harjoittele turvallista verkkosurffausta. Lue aina, mitä he tarkalleen ottaen tarjoavat sinulle, ja vasta sitten hyväksy tai kieltäydy. Jos sinulle tarjotaan jotain vieras kieli- yritä kääntää tämä, muuten voit kieltäytyä.
Monet virukset sisältyvät sähköpostin liitteisiin ja alkavat levitä heti, kun liite avataan. Emme suosittele liitteiden avaamista ilman ennakkosopimusta niiden vastaanottamisesta.
Virustorjunta SIM-, flash- ja USB-laitteille
Nykyään valmistetuissa matkapuhelimissa on laaja valikoima rajapintoja ja tiedonsiirtoominaisuuksia. Kuluttajien tulee tarkistaa suojausmenetelmät huolellisesti ennen pienten laitteiden liittämistä.
Suojausmenetelmät, kuten laitteisto, mahdollisesti virustorjunta USB-laitteilla tai SIM-kortilla, sopivat paremmin kuluttajille matkapuhelimet. Virustorjuntaohjelman matkapuhelimeen asentamista koskevaa teknistä arviointia ja tarkastelua tulisi pitää tarkistusprosessina, joka voi vaikuttaa muihin laillisiin sovelluksiin kyseisessä puhelimessa.
Virustorjuntaohjelmat SIM-kortilla, joissa virustorjunta on sisäänrakennettu pieneen muistialueeseen, tarjoavat haittaohjelmien/virussuojauksen, joka suojaa PIM- ja puhelimen käyttäjätietoja. Flash-korttien virustorjunta antaa käyttäjälle mahdollisuuden vaihtaa tietoja ja käyttää näitä tuotteita erilaisten laitteiden kanssa.
Virustentorjunta, mobiililaitteet ja innovatiiviset ratkaisut
Kukaan ei tule yllättymään, kun henkilökohtaisiin ja kannettaviin tietokoneisiin tartuttavat virukset pääsevät matkapuhelimiin. Yhä useammat kehittäjät tällä alalla tarjoavat virustentorjuntaohjelmia virusten torjuntaan ja matkapuhelimien suojaamiseen. SISÄÄN mobiililaitteet On olemassa seuraavanlaisia virustorjuntatyyppejä:
- § CPU-rajoitukset
- § muistin rajoitus
- § näiden mobiililaitteiden allekirjoitusten tunnistaminen ja päivittäminen
Virustorjuntayritykset ja -ohjelmat
- § AOL® Virus Protection osana AOL Safety and Turvallisuuskeskus
- § ActiveVirusShield AOL:lta (perustuu KAV 6:een, ilmainen)
- § AhnLab
- § Aladdin Knowledge Systems
- § ALWIL-ohjelmisto (avast!) Tšekin tasavallasta (ilmainen ja maksullinen versio)
- § ArcaVir Puolasta
- § AVZ Venäjältä (ilmainen)
- § Avira Saksasta (ilmainen Klassinen versio)
- § Aitous Isosta-Britanniasta
- § BitDefender Romaniasta
- § BullGuard Tanskasta
- § Computer Associates Yhdysvalloista
- § Comodo Group Yhdysvalloista
- § ClamAV – GPL-lisenssi – ilmainen ja avoin lähdekoodi lähdekoodeja ohjelmia
- § ClamWin -- ClamAV Windowsille
- § Dr.Web Venäjältä
- § Eset NOD32 Slovakiasta
- § Fortinet
- § Frisk-ohjelmisto Islannista
- § F-Secure Suomesta
- § GeCAD Romaniasta (Microsoft osti yrityksen vuonna 2003)
- § GFI-ohjelmisto
- § GriSoft (AVG) Tšekin tasavallasta (ilmainen ja maksullinen versio)
- §Hauri
- § H+BEDV Saksasta
- § Kaspersky Anti-Virus Venäjältä
- § McAfee Yhdysvalloista
- § MicroWorld Technologies Intiasta
- § NuWave-ohjelmisto Ukrainasta
- § MKS Puolasta
- § Norman Norjasta
- § Ulkovartio Venäjältä
- § Panda-ohjelmisto Espanjasta
- § Quick Heal AntiVirus Intiasta
- § Nouseva
- § ROSE SWE
- § Sophos Isosta-Britanniasta
- § Spyware Doctor
- Stillerin tutkimus
- § Sybari Software (Microsoft osti yrityksen vuoden 2005 alussa)
- § Symantec Yhdysvalloista tai Isosta-Britanniasta
- § Trojan Hunter
- § Trend Micro Japanista (nimellisesti Taiwan-USA)
- § Ukrainan kansallinen virustorjunta Ukrainasta
- § VirusBlokAda (VBA32) Valko-Venäjältä
- § VirusBuster Unkarista
- § ZoneAlarm AntiVirus (amerikkalainen)
- § Tiedostojen tarkistus useilla virustorjuntaohjelmilla
- § Tiedoston tarkistaminen useilla virustorjuntaohjelmilla (englanniksi)
- § Tiedostojen tarkistaminen virusten varalta ennen lataamista (englanniksi)
- § virusinfo.info Tietoturvalle omistettu portaali (virologien konferenssi), josta voit pyytää apua.
- § antivse.com Toinen portaali, josta voit ladata yleisimmät virustentorjuntaohjelmat, sekä maksulliset että ilmaiset.
- § www.viruslist.ru Kaspersky Labin luoma Internet-virusten tietosanakirja
Virustentorjunta
Avast! * AVS * Ashampoo Antivirus * AVG * Avira AntiVir * BitDefender * Clam Antivirus * ClamWin * Comodo Antivirus * Dr. Web * F-Prot * F-Secure Antivirus * Kaspersky Antivirus * McAfee VirusScan * NOD32 * Norton Antivirus * Outpost Antivirus * Panda Antivirus * PC-cillin * Windows Live OneCare
Virustorjuntaohjelmien vertailu ei ole koskaan ollut helppoa. Loppujen lopuksi yritykset, jotka luovat tämäntyyppisiä tuotteita, ovat aina eronneet innokkuudestaan parantaa ja päivittää jatkuvasti ohjelmistojaan. Tästä huolimatta jotkin virustentorjuntaohjelmat ovat parempia tehtävissään, kun taas toiset ovat huonompia.
Jokaisella niistä on omat hyvät ja huonot puolensa, mutta jokainen ei pysty objektiivisesti arvioimaan työtään ja valitsemaan tietokoneeseensa parhaiten sopivaa.
Siksi päätimme analysoida markkinoiden suosituimpia virustentorjuntaohjelmia, Kaspersky, ESET NOD32, McAfee, Symantec, antaaksemme sinulle yleiskuvan niiden työstä ja auttaaksemme sinua tekemään oikean valinnan suojataksesi tietokoneesi. Analyysin tulokset esitettiin taulukon muodossa, jotta testattujen ohjelmistojen välinen ero havaittiin mahdollisimman hyvin.
|
Tuki "kiellä oletusarvoisesti" -skenaariolle, jonka avulla voidaan automaattisesti sulkea pois skenaariosta prosessit ja luotettavat päivityslähteet, jotka ovat välttämättömiä järjestelmän toiminnan kannalta |
||||
|
Ohjelmien salliminen/estäminen: |
||||
|
Valinta ohjelman rekisteristä |
||||
|
Suoritettavat tiedostot valitaan rekisteristä |
||||
|
Suoritettavan tiedoston metatietojen syöttäminen |
||||
|
Suoritettavien tiedostojen tarkistussummien syöttäminen (MD5, SHA1) |
||||
|
Syötä polku kohteeseen suoritettavat tiedostot(paikallinen tai UNC) |
||||
|
Valmiiden sovelluskategorioiden valitseminen |
||||
|
Salli/estä sovellukset yksittäisille käyttäjille/käyttäjäryhmille Active Directory |
||||
|
Ohjelman toiminnan seuranta ja rajoittaminen |
||||
|
Haavoittuvuuksien seuranta ja priorisointi |
||||
|
Verkkoresurssien käytön salliminen/estäminen, varoitus vaarasta: |
||||
|
Linkkien suodatus |
||||
|
Suodata sisältö valmiiden luokkien mukaan |
||||
|
Suodata sisältö tietotyypin mukaan |
||||
|
Active Directory -integrointi |
||||
|
Verkkoresurssien käytön salliminen/estäminen aikataulussa |
||||
|
Yksityiskohtaisten raporttien luominen tietokoneen käytöstä verkkoresurssien käyttöä varten |
||||
|
Käytäntöihin perustuva laitehallinta: |
||||
|
Satamatyypin/väylän mukaan |
||||
|
Liitetyn laitteen tyypin mukaan |
||||
|
Active Directoryn käyttäjäryhmien mukaan |
||||
|
Valkoisten listojen luominen perustuen sarjanumerot laitteet |
||||
|
Joustava luku-/kirjoituslaitteiden käyttöoikeuksien hallinta ja mahdollisuus määrittää aikataulu |
||||
|
Tilapäisten käyttöoikeuksien hallinta |
||||
|
Estä oletusskenaario, sovelletaan prioriteetin perusteella |
Analysoimalla saatuja tietoja voimme luottavaisesti sanoa, että vain yksi virustorjunta, Kaspersky, selviytyi kaikista tehtävistä, kuten valvontaohjelmista, Internet-sivustoista ja -laitteista. McAfee Antivirus osoitti hyviä tuloksia kategoriassa "laitehallinta", saamalla suurimman arvosanan, mutta valitettavasti se ei ole luotettava verkko- ja sovellusten hallinnassa.
Toinen tärkeä virustorjuntaohjelmien analyysi oli niiden käytännön tutkimus henkilökohtaisten tietokoneiden suojauksen laadun määrittämiseksi. Tämän analyysin suorittamiseksi lisättiin kolme muuta virustentorjuntaohjelmaa: Dr. Web, AVG, TrustPort, joten kuva tämän segmentin ohjelmien vertailusta on tullut entistä kattavammaksi. Testaukseen käytettiin 3 837 tartunnan saanutta tiedostoa, joissa oli erilaisia uhkia, ja kuinka testatut virustorjuntaohjelmat käsittelivät niitä, on esitetty alla olevassa taulukossa.
|
Kaspersky |
|||||
|
1 min 10 sek |
|||||
|
5 min 32 sek |
|||||
|
6 min 10 sek |
|||||
|
1 min 10 sek |
Ja jälleen Kaspersky Anti-Virus otti johtoaseman ja ohitti kilpailijansa niin tärkeässä indikaattorissa kuin uhkien havaitsemisprosentti - yli 96%. Mutta kuten sanotaan, täällä oli kärpänen voidessa. Tartunnan saaneiden tiedostojen etsimiseen käytetty aika ja henkilökohtaisen tietokoneen resurssit olivat korkeimmat kaikista testatuista tuotteista.
Nopeimmat täällä olivat Dr. Web ja ESET NOD32, jotka käyttivät hieman yli minuutin virusten etsimiseen, vastaavasti 77,3 % ja 50,8 % tartunnan saaneiden tiedostojen havaitsemisesta. Mikä on tärkeämpää - havaittujen virusten prosenttiosuus tai etsimiseen käytetty aika - on sinun päätettävissäsi. Mutta älä unohda, että tietokoneesi turvallisuuden tulee olla ensiarvoisen tärkeää.
ESET NYÖKKÄYS32 osoitti huonoimman tuloksen uhkien havaitsemisessa, vain 50,8 %, mikä ei ole hyväksyttävä tulos PC:lle. TrustPort osoittautui nopeimmaksi ja AVG vähiten resursseja vaativaksi, mutta valitettavasti näiden virustorjuntaohjelmien havaitsemien uhkien alhainen prosenttiosuus ei anna niiden kilpailla johtajien kanssa.
Testien tulosten perusteella Kaspersky Anti-Virus voidaan luottavaisesti pitää parhaana vaihtoehdona tietokoneesi suojaamiseen, mikäli siihen on asennettu riittävästi RAM-muistia ja hyvä prosessori. Lisäksi Kaspersky Lab -tuotteen hinta ei ole korkein, mikä ei voi muuta kuin miellyttää kuluttajia.
