Évaluation des programmes antivirus. Comparaison des antivirus basée sur l'efficacité de la protection contre les derniers malwares. Analyse comparative des virus informatiques
Introduction
1. Partie théorique
1.1 Concept de sécurité de l'information
1.2 Types de menaces
1.3 Méthodes de sécurité des informations
2. Partie conception
2.1 Classification des virus informatiques
2.2 Le concept d'un programme antivirus
2.3 Types de produits antivirus
2.4 Comparaison des packages antivirus
Conclusion
Liste de la littérature utilisée
Application
Introduction
Développement de nouveaux technologies de l'information et l'informatisation générale ont conduit à ce que la sécurité de l'information devienne non seulement obligatoire, mais aussi l'une des caractéristiques des systèmes d'information. Il existe une classe assez large de systèmes informatiques dans le développement desquels le facteur de sécurité joue un rôle primordial.
L'utilisation massive des ordinateurs personnels est associée à l'émergence de programmes antivirus auto-réplicatifs qui empêchent fonctionnement normal des ordinateurs qui détruisent structure du fichier disques et informations dommageables stockées sur l’ordinateur.
Malgré les lois adoptées dans de nombreux pays pour lutter contre la criminalité informatique et le développement programmes spéciaux Grâce aux nouveaux outils de protection antivirus, le nombre de nouveaux virus logiciels ne cesse de croître. Cela nécessite que l'utilisateur ordinateur personnel connaissance de la nature des virus, des méthodes d'infection par les virus et de la protection contre ceux-ci.
Les virus deviennent chaque jour plus sophistiqués, ce qui entraîne un changement significatif dans le profil des menaces. Mais aussi le marché des antivirus logiciel ne reste pas immobile et propose de nombreux produits. Leurs utilisateurs, qui présentent le problème uniquement en termes généraux, passent souvent à côté de nuances importantes et se retrouvent avec l'illusion d'une protection au lieu de la protection elle-même.
Le but de ce cours est de réaliser une analyse comparative des packages antivirus.
Pour atteindre cet objectif, les tâches suivantes sont résolues dans le travail :
Apprendre des notions sécurité des informations, virus informatiques et produits antivirus ;
Déterminer les types de menaces pour la sécurité de l'information, les méthodes de protection ;
Étudier la classification des virus informatiques et des programmes antivirus ;
Effectuer une analyse comparative des packages antivirus ;
Créez un programme antivirus.
Importance pratique du travail.
Les résultats obtenus et le matériel de cours peuvent être utilisés comme base pour une comparaison indépendante des programmes antivirus.
La structure du travail de cours.
Ce travail de cours comprend une introduction, deux sections, une conclusion et une liste de références.
virus informatique sécurité antivirus
1. Partie théorique
Dans le cadre d'une analyse comparative des packages antivirus, il est nécessaire de définir les concepts suivants :
1 Sécurité des informations.
2 Types de menaces.
3 Méthodes de sécurité de l'information.
Passons à une considération détaillée de ces concepts :
1.1 Concept de sécurité de l'information
Malgré les efforts croissants pour créer des technologies de protection des données, leur vulnérabilité dans conditions modernes non seulement ne diminue pas, mais augmente aussi constamment. Par conséquent, la pertinence des problèmes liés à la protection des informations augmente de plus en plus.
Le problème de la sécurité de l'information est multiforme et complexe et couvre un certain nombre de tâches importantes. Par exemple, la confidentialité des données, qui est assurée par diverses méthodes et moyens. La liste des tâches similaires en matière de sécurité de l'information peut être poursuivie. Développement intensif des technologies modernes de l'information, et en particulier technologies de réseau, crée toutes les conditions préalables pour cela.
La protection des informations est un ensemble de mesures visant à assurer l'intégrité, la disponibilité et, si nécessaire, la confidentialité des informations et des ressources utilisées pour la saisie, le stockage, le traitement et la transmission des données.
À ce jour, deux principes de base pour la protection des informations ont été formulés :
1 intégrité des données – protection contre les pannes entraînant une perte d’informations, ainsi que protection contre la création ou la destruction non autorisée de données ;
2 confidentialité des informations.
La protection contre les pannes entraînant une perte d'informations vise à accroître la fiabilité des éléments et des systèmes individuels qui saisissent, stockent, traitent et transmettent des données, en dupliquant et en redondant des éléments et des systèmes individuels, en utilisant diverses sources d'alimentation, y compris autonomes, augmenter le niveau de qualification des utilisateurs, protection contre les actions involontaires et intentionnelles conduisant à une panne d'équipement, à la destruction ou au changement (modification) des logiciels et des informations protégées.
Une protection contre la création ou la destruction non autorisée de données est assurée protection physique informations, délimitation et restriction de l'accès aux éléments d'informations protégées, fermeture des informations protégées dans le cadre de leur traitement direct, développement de systèmes logiciels et matériels, de dispositifs et de logiciels spécialisés pour empêcher l'accès non autorisé aux informations protégées.
La confidentialité des informations est assurée par l'identification et l'authentification des sujets d'accès lors de la connexion au système à l'aide d'un identifiant et d'un mot de passe, identification appareils externes par adresses physiques, identification des programmes, volumes, répertoires, fichiers par nom, cryptage et décryptage des informations, délimitation et contrôle de l'accès à celles-ci.
Parmi les mesures visant à protéger l'information, les principales sont techniques, organisationnelles et juridiques.
Les mesures techniques comprennent la protection contre les accès non autorisés au système, la redondance des sous-systèmes informatiques particulièrement importants, l'organisation réseaux informatiques avec possibilité de redistribuer les ressources en cas de dysfonctionnement des liaisons individuelles, d'installer des systèmes d'alimentation électrique de secours, d'équiper les locaux de serrures, d'installer un système d'alarme, etc.
Les mesures organisationnelles comprennent : la sécurité du centre informatique (salles informatiques) ; conclure un contrat de maintenance du matériel informatique avec un organisme réputé et jouissant d'une bonne réputation ; excluant la possibilité que des personnes non autorisées, des personnes aléatoires, etc., travaillent sur du matériel informatique.
Les mesures juridiques comprennent l'élaboration de normes établissant la responsabilité en cas de mise hors service d'équipements informatiques et de destruction (modification) de logiciels, ainsi que le contrôle public sur les développeurs et les utilisateurs de systèmes et de programmes informatiques.
Il convient de souligner qu'aucun matériel, logiciel ou autre solution ne peut garantir une fiabilité et une sécurité absolues des données dans les systèmes informatiques. Dans le même temps, il est possible de minimiser le risque de pertes, mais uniquement avec une approche intégrée de la protection des informations.
1.2 Types de menaces
Les menaces passives visent principalement une utilisation non autorisée ressources d'information système d’information sans affecter son fonctionnement. Par exemple, accès non autorisé aux bases de données, écoute clandestine des canaux de communication, etc.
Les menaces actives visent à perturber fonctionnement normal système d’information par une influence ciblée sur ses composants. Les menaces actives incluent, par exemple, la destruction d'un ordinateur ou de son système opérateur, destruction de logiciels informatiques, perturbation des lignes de communication, etc. Les menaces actives peuvent provenir de pirates informatiques, de logiciels malveillants, etc.
Les menaces intentionnelles sont également divisées en menaces internes (survenant au sein de l'organisation gérée) et externes.
Les menaces internes sont le plus souvent déterminées par des tensions sociales et un climat moral difficile.
Les menaces externes peuvent être déterminées par les actions malveillantes des concurrents, les conditions économiques et d'autres raisons (par exemple, les catastrophes naturelles).
Les principales menaces pour la sécurité de l'information et le fonctionnement normal du système d'information comprennent :
Fuite d'informations confidentielles ;
Compromission des informations ;
Utilisation non autorisée des ressources d'information ;
Utilisation incorrecte des ressources d'information ;
Échange non autorisé d'informations entre abonnés ;
Refus d'information ;
Violation des services d'information ;
Utilisation illégale des privilèges.
Une fuite d'informations confidentielles est la diffusion incontrôlée d'informations confidentielles en dehors du système d'information ou du cercle de personnes auxquelles elles ont été confiées dans le cadre de leur travail ou sont devenues connues au cours de leur travail. Cette fuite peut être due à :
Divulgation d'informations confidentielles ;
Transfert d'informations par divers canaux, principalement techniques ;
Accès non autorisé à des informations confidentielles différentes façons.
La divulgation d'informations par son propriétaire ou son détenteur désigne les actions intentionnelles ou négligentes de fonctionnaires et d'utilisateurs à qui les informations pertinentes ont été confiées de la manière prescrite par le biais de leur service ou de leur travail, qui ont conduit à la connaissance de celles-ci par des personnes qui n'étaient pas autorisées à les avoir. accès à ces informations.
Une perte incontrôlée d'informations confidentielles via des canaux visuels-optiques, acoustiques, électromagnétiques et autres est possible.
L'accès non autorisé est l'acquisition délibérée et illégale d'informations confidentielles par une personne qui n'a pas le droit d'accéder à des informations protégées.
Les moyens les plus courants d’accès non autorisé aux informations sont :
Interception de rayonnement électronique ;
Utilisation d'appareils d'écoute ;
Photographie à distance ;
Interception du rayonnement acoustique et restauration du texte de l'imprimante ;
Copier des supports de stockage en surmontant les mesures de sécurité ;
Masquage en tant qu'utilisateur enregistré ;
Masquage en tant que requêtes système ;
Utilisation de pièges logiciels ;
Exploiter les lacunes des langages de programmation et des systèmes d'exploitation ;
Connexion illégale à des équipements et à des lignes de communication de matériel spécialement conçu qui donne accès à l'information ;
Défaillance malveillante des mécanismes de protection ;
Décryptage des informations cryptées par des programmes spéciaux ;
Infections d’informations.
Les méthodes d'accès non autorisé répertoriées nécessitent de nombreuses connaissances techniques et un matériel ou un matériel approprié. développement de logiciels du cambrioleur. Par exemple, ils sont utilisés filières techniques Les fuites sont des chemins physiques depuis une source d'informations confidentielles jusqu'à un attaquant par lesquels des informations protégées peuvent être obtenues. La cause des canaux de fuite est la conception et les imperfections technologiques des solutions de circuits ou l'usure opérationnelle des éléments. Tout cela permet aux pirates de créer des convertisseurs fonctionnant selon certains principes physiques, formant un canal de transmission d'informations inhérent à ces principes - un canal de fuite.
Cependant, il existe également des moyens assez primitifs d'accès non autorisé :
Vol de supports de stockage et déchets documentaires ;
Coopération d'initiative ;
Inclinaison à la coopération de la part du cambrioleur ;
Enquête;
Écoutes clandestines ;
Observation et autres moyens.
Tout moyen de fuite d'informations confidentielles peut entraîner des dommages matériels et moraux importants tant pour l'organisation où opère le système d'information que pour ses utilisateurs.
Il existe et est constamment développé une grande variété malware, dont le but est d'endommager les informations contenues dans des bases de données et des logiciels informatiques. La grande variété de ces programmes ne permet pas de développer des moyens de protection permanents et fiables contre eux.
On pense que le virus se caractérise par deux caractéristiques principales :
La capacité de s’auto-reproduire ;
La capacité d'intervenir processus informatique(pour acquérir la capacité de contrôler).
L'utilisation non autorisée des ressources d'information, d'une part, est la conséquence de leur fuite et un moyen de la compromettre. D'un autre côté, il a une signification indépendante, car il peut causer de graves dommages au système géré ou à ses abonnés.
Une utilisation erronée des ressources informationnelles, bien qu'autorisée, peut néanmoins conduire à la destruction, à la fuite ou à la compromission desdites ressources.
L'échange non autorisé d'informations entre abonnés peut conduire l'un d'entre eux à recevoir des informations auxquelles il lui est interdit d'accéder. Les conséquences sont les mêmes que pour un accès non autorisé.
1.3 Méthodes de sécurité des informations
La création de systèmes de sécurité de l'information repose sur les principes suivants :
1 Une approche systématique pour construire un système de protection, c'est-à-dire une combinaison optimale d'organisations et de logiciels interdépendants. Propriétés matérielles, physiques et autres confirmées par la pratique de création de systèmes de sécurité nationaux et étrangers et utilisées à toutes les étapes du cycle technologique de traitement de l'information.
2 Le principe de développement continu du système. Ce principe, qui est l'un des principes fondamentaux des systèmes d'information informatiques, est encore plus pertinent pour les systèmes de sécurité de l'information. Les méthodes de mise en œuvre des menaces contre l'information sont constamment améliorées et garantir la sécurité des systèmes d'information ne peut donc pas être un acte ponctuel. Il s'agit d'un processus continu consistant en la justification et la mise en œuvre des méthodes, méthodes et moyens les plus rationnels pour améliorer les systèmes de sécurité de l'information, une surveillance continue, l'identification de ses goulots d'étranglement et de ses faiblesses, les canaux potentiels de fuite d'informations et les nouvelles méthodes d'accès non autorisé,
3 Assurer la fiabilité du système de protection, c'est-à-dire l'impossibilité de réduire le niveau de fiabilité en cas de pannes, de pannes, d'actions intentionnelles d'un pirate informatique ou d'erreurs involontaires des utilisateurs et du personnel de maintenance du système.
4 Assurer le contrôle du fonctionnement du système de protection, c'est-à-dire la création de moyens et de méthodes de suivi des performances des mécanismes de protection.
5 Fournir toutes sortes d’outils anti-malware.
6 Assurer la faisabilité économique de l'utilisation du système. Protection, qui s'exprime par l'excédent des dommages possibles résultant de la mise en œuvre de menaces par rapport au coût de développement et d'exploitation des systèmes de sécurité de l'information.
Grâce à la résolution des problèmes de sécurité de l'information, les systèmes d'information modernes devraient avoir les principales caractéristiques suivantes :
Disponibilité d'informations à divers degrés de confidentialité ;
Assurer la protection cryptographique des informations plus ou moins confidentielles lors du transfert de données ;
Gestion obligatoire des flux d'informations, comme dans réseaux locaux, et lors de la transmission via des canaux de communication sur de longues distances ;
La présence d'un mécanisme d'enregistrement et de comptabilisation des tentatives d'accès non autorisés, des événements dans le système d'information et des documents imprimés ;
Obligatoire assurer l’intégrité des logiciels et des informations ;
Disponibilité de moyens de restauration du système de sécurité de l'information ;
Comptabilité obligatoire des supports magnétiques ;
Disponibilité d'une sécurité physique des équipements informatiques et des supports magnétiques ;
Disponibilité d'un service spécial de sécurité des informations du système.
Méthodes et moyens pour assurer la sécurité de l'information.
Un obstacle est une méthode permettant de bloquer physiquement le chemin d’un attaquant vers des informations protégées.
Contrôle d'accès – méthodes de protection des informations en réglementant l'utilisation de toutes les ressources. Ces méthodes doivent résister à toutes les voies possibles d’accès non autorisé à l’information. Le contrôle d'accès comprend les fonctionnalités de sécurité suivantes :
Identification des utilisateurs, du personnel et des ressources système (attribution d'un identifiant personnel à chaque objet) ;
Identification d'un objet ou d'un sujet par l'identifiant qui leur est présenté ;
Autorisation et création de conditions de travail dans le cadre de la réglementation établie ;
Enregistrement des demandes auprès des ressources protégées ;
Réaction aux tentatives d'actions non autorisées.
Mécanismes de cryptage – fermeture cryptographique des informations. Ces méthodes de protection sont de plus en plus utilisées aussi bien lors du traitement que du stockage d'informations sur des supports magnétiques. Lors de la transmission d'informations sur des canaux de communication longue distance, cette méthode est la seule fiable.
La lutte contre les attaques de logiciels malveillants implique un ensemble de diverses mesures organisationnelles et l'utilisation de programmes antivirus.
L'ensemble moyens techniques divisé en matériel et physique.
Matériel – appareils intégrés directement dans la technologie informatique, ou des appareils qui s'interfacent avec lui via une interface standard.
Les moyens physiques comprennent divers dispositifs et structures d'ingénierie qui empêchent la pénétration physique des attaquants dans les objets protégés et protègent le personnel (équipement de sécurité personnel), les ressources matérielles et financières, les informations contre les actions illégales.
Les outils logiciels sont des programmes spéciaux et systèmes logiciels, conçu pour protéger les informations dans les systèmes d’information.
Parmi les outils logiciels du système de sécurité, il faut souligner logiciel, mettant en œuvre des mécanismes de chiffrement (cryptographie). La cryptographie est la science qui garantit le secret et/ou l'authenticité (authenticité) des messages transmis.
Les moyens organisationnels effectuent leur réglementation complexe des activités de production dans les systèmes d'information et des relations entre les artistes sur une base juridique de telle sorte que la divulgation, les fuites et l'accès non autorisé aux informations confidentielles deviennent impossibles ou considérablement entravés en raison de mesures organisationnelles.
Les recours législatifs sont déterminés par les actes législatifs du pays, qui réglementent les règles d'utilisation, de traitement et de transmission des informations. accès limité et des sanctions sont établies en cas de violation de ces règles.
Les moyens de protection morale et éthique comprennent toutes sortes de normes de comportement qui se sont traditionnellement développées auparavant, se forment au fur et à mesure de la diffusion de l'information dans le pays et dans le monde, ou sont spécialement développées. Les normes morales et éthiques peuvent être non écrites ou formalisées dans un certain ensemble de règles ou de réglementations. En règle générale, ces normes ne sont pas légalement approuvées, mais comme leur non-respect entraîne une baisse du prestige de l'organisation, elles sont considérées comme obligatoires.
2. Partie conception
Dans la partie conception, les étapes suivantes doivent être complétées :
1 Définir la notion de virus informatique et la classification des virus informatiques.
2 Définir le concept d'un programme antivirus et la classification des outils antivirus.
3 Effectuer une analyse comparative des packages antivirus.
2.1 Classification des virus informatiques
Un virus est un programme qui peut infecter d'autres programmes en y incluant une copie modifiée ayant la capacité de se reproduire davantage.
Les virus peuvent être divisés en classes selon les principales caractéristiques suivantes :
Possibilités destructrices
Caractéristiques de l'algorithme de fonctionnement ;
Habitat;
Selon leurs capacités destructrices, les virus peuvent être divisés en :
Inoffensifs, c'est-à-dire qu'ils n'affectent en rien le fonctionnement de l'ordinateur (sauf en réduisant la mémoire libre sur le disque du fait de sa distribution) ;
Non dangereux, dont l'impact est limité par une diminution de la mémoire libre sur le disque et des effets graphiques, sonores et autres ;
Virus dangereux pouvant entraîner de graves dysfonctionnements informatiques ;
Très dangereux, dont l'algorithme contient délibérément des procédures pouvant entraîner la perte de programmes, détruire des données, effacer les informations nécessaires au fonctionnement de l'ordinateur enregistrées dans les zones de mémoire système
Les caractéristiques de l'algorithme de fonctionnement du virus peuvent être caractérisées par les propriétés suivantes :
Résidence;
Utilisation d'algorithmes furtifs ;
Polymorphisme;
Virus résidents.
Le terme « résidence » fait référence à la capacité des virus à laisser des copies d'eux-mêmes dans la mémoire système, à intercepter certains événements et à appeler des procédures pour infecter les objets détectés (fichiers et secteurs). Ainsi, les virus résidents sont actifs non seulement pendant l'exécution du programme infecté, mais également après la fin de son exécution. Les copies résidentes de ces virus restent viables jusqu'au prochain redémarrage, même si tous les fichiers infectés sur le disque sont détruits. Il est souvent impossible de se débarrasser de ces virus en restaurant toutes les copies de fichiers à partir de disques de distribution ou de copies de sauvegarde. La copie résidente du virus reste active et infecte les fichiers nouvellement créés. Il en va de même pour les virus de démarrage : le formatage d'un disque lorsqu'il y a un virus résident dans la mémoire ne guérit pas toujours le disque, car de nombreux virus résidents infectent à nouveau le disque après son formatage.
Virus non résidents. Les virus non résidents, au contraire, sont actifs pendant une période assez courte - seulement au moment du lancement du programme infecté. Pour se propager, ils recherchent des fichiers non infectés sur le disque et y écrivent. Une fois que le code du virus a transféré le contrôle au programme hôte, l'impact du virus sur le fonctionnement du système d'exploitation est réduit à zéro jusqu'au prochain lancement de tout programme infecté. Par conséquent, il est beaucoup plus facile de supprimer du disque des fichiers infectés par des virus non résidents sans permettre au virus de les infecter à nouveau.
Virus furtifs. Les virus furtifs cachent d'une manière ou d'une autre le fait de leur présence dans le système. L'utilisation d'algorithmes furtifs permet aux virus de se cacher complètement ou partiellement dans le système. L'algorithme furtif le plus courant consiste à intercepter les requêtes du système d'exploitation pour lire (écrire) les objets infectés. Dans ce cas, les virus furtifs les guérissent temporairement ou « remplacent » à leur place des sections d’informations non infectées. Dans le cas des virus de macro, la méthode la plus courante consiste à désactiver les appels au menu d'affichage des macros. Les virus furtifs de tous types sont connus, à l'exception des virus Windows - virus de démarrage, virus de fichiers DOS et même virus de macro. L'émergence de virus furtifs qui infectent Fichiers Windows, c'est probablement une question de temps.
Virus polymorphes. L'auto-cryptage et le polymorphisme sont utilisés par presque tous les types de virus afin de compliquer autant que possible la procédure de détection des virus. Les virus polymorphes sont assez difficiles à détecter, car ils n'ont pas de signature, c'est-à-dire qu'ils ne contiennent pas une seule section de code constante. Dans la plupart des cas, deux échantillons du même virus polymorphe ne correspondront pas une seule fois. Ceci est réalisé en chiffrant le corps principal du virus et en modifiant le programme de décryptage.
Les virus polymorphes comprennent ceux qui ne peuvent pas être détectés à l'aide de ce que l'on appelle les masques antivirus - des sections de code constant spécifiques à un virus particulier. Ceci est réalisé de deux manières principales : en cryptant le code viral principal avec un cri variable et un ensemble aléatoire de commandes de décryptage, ou en modifiant le code viral exécutable lui-même. Un polymorphisme de divers degrés de complexité se retrouve dans les virus de tous types - des virus DOS de démarrage et de fichiers aux virus Windows.
En fonction de leur habitat, les virus peuvent être divisés en :
Déposer;
Botte;
Macrovirus ;
Réseau.
Virus de fichiers. Les virus de fichiers s'injectent de diverses manières dans les fichiers exécutables, créent des fichiers en double (virus compagnons) ou utilisent les particularités de l'organisation du système de fichiers (virus de lien).
Un virus de fichier peut être introduit dans presque tous les fichiers exécutables de tous les systèmes d'exploitation courants. On connaît aujourd'hui des virus qui infectent tous les types d'objets exécutables DOS standard : fichiers batch (BAT), pilotes chargeables (SYS, y compris les fichiers spéciaux IO.SYS et MSDOS.SYS) et fichiers binaires exécutables (EXE, COM). Il existe des virus qui infectent les fichiers exécutables d'autres systèmes d'exploitation - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, y compris les pilotes Windows 3.x et Windows95 VxD.
Il existe des virus qui infectent les fichiers contenant le code source de programmes, de bibliothèques ou de modules objets. Il est également possible qu'un virus soit enregistré dans des fichiers de données, mais cela se produit soit à la suite d'une erreur virale, soit lorsque ses propriétés agressives se manifestent. Les virus de macro écrivent également leur code dans des fichiers de données (documents ou feuilles de calcul), mais ces virus sont si spécifiques qu'ils sont classés dans un groupe distinct.
Virus de démarrage. Les virus de démarrage infectent le secteur de démarrage d'une disquette et le secteur de démarrage ou Master Boot Record (MBR) d'un disque dur. Le principe de fonctionnement des virus de démarrage repose sur des algorithmes de démarrage du système d'exploitation lorsque vous allumez ou redémarrez l'ordinateur - après les tests nécessaires de l'équipement installé (mémoire, disques, etc.), le programme de démarrage du système lit le premier secteur physique disque de démarrage(A:, C: ou CD-ROM selon les paramètres définis dans Configuration du BIOS) et lui en transfère le contrôle.
Dans le cas d'une disquette ou d'un CD, le contrôle est reçu par le secteur de démarrage, qui analyse la table des paramètres du disque (BPB - BIOS Parameter Block), calcule les adresses des fichiers système du système d'exploitation, les lit en mémoire et les lance pour exécution. Les fichiers système sont généralement MSDOS.SYS et IO.SYS, ou IBMDOS.COM et IBMBIO.COM, ou autres selon version installée DOS, Windows ou autres systèmes d'exploitation. S'il n'y a aucun fichier du système d'exploitation sur le disque de démarrage, le programme situé dans le secteur de démarrage du disque affiche un message d'erreur et suggère de remplacer le disque de démarrage.
Dans le cas d'un disque dur, le contrôle est reçu par un programme situé dans le MBR du disque dur. Ce programme analyse la table de partition du disque, calcule l'adresse du secteur de démarrage actif (généralement ce secteur est le secteur de démarrage du lecteur C), le charge en mémoire et lui transfère le contrôle. Après avoir reçu le contrôle, le secteur de démarrage actif du disque dur le lecteur effectue les mêmes actions que le secteur de démarrage de la disquette.
Lorsqu'ils infectent des disques, les virus de démarrage « remplacent » leur code au lieu de tout programme qui prend le contrôle au démarrage du système. Le principe de l'infection est donc le même dans toutes les méthodes décrites ci-dessus : le virus « force » le système, lors de son redémarrage, à lire en mémoire et à donner le contrôle non pas au code du chargeur de démarrage d'origine, mais au code du virus.
Les disquettes sont infectées de la seule manière connue : le virus écrit son code au lieu de code d'origine secteurs de démarrage de la disquette. Winchester est infecté par trois moyens possibles– le virus est écrit soit à la place du code MBR, soit à la place du code du secteur de démarrage du disque de démarrage (généralement le lecteur C, soit modifie l'adresse du secteur de démarrage actif dans la table de partition de disque, située dans le MBR du disque dur conduire.
Virus de macro. Les virus de macro infectent des fichiers tels que des documents et des feuilles de calcul de plusieurs éditeurs populaires. Les virus de macro sont des programmes écrits dans des langages (langages de macro) intégrés à certains systèmes de traitement de données. Pour se reproduire, ces virus utilisent les capacités des langages macro et, avec leur aide, se transfèrent d'un fichier infecté à d'autres. Les plus répandus sont les virus de macro pour Microsoft Word, Excel et Office97. Il existe également des virus de macro qui infectent les documents Ami Pro et les bases de données Microsoft Access.
Virus de réseau. Les virus de réseau incluent les virus qui utilisent activement les protocoles et les capacités des réseaux locaux et mondiaux pour se propager. Le principal principe de fonctionnement d'un virus de réseau est la capacité de transférer indépendamment son code vers un serveur ou un poste de travail distant. Les virus de réseau « à part entière » ont également la capacité d’exécuter leur code sur un ordinateur distant ou, au moins, de « pousser » l’utilisateur à exécuter un fichier infecté. Un exemple de virus de réseau est ce que l'on appelle les vers IRC.
IRC (Internet Relay Chat) est un protocole spécial conçu pour la communication en temps réel entre les utilisateurs Internet. Ce protocole leur offre la possibilité de « converser » sur Internet à l’aide d’un logiciel spécialement développé. En plus d'assister aux conférences générales, les utilisateurs IRC ont la possibilité de discuter en tête-à-tête avec n'importe quel autre utilisateur. De plus, il existe un assez grand nombre de commandes IRC, à l'aide desquelles l'utilisateur peut obtenir des informations sur d'autres utilisateurs et canaux, modifier certains paramètres du client IRC, etc. Il existe également la possibilité d'envoyer et de recevoir des fichiers - c'est sur cette capacité que sont basés les vers IRC. Un système de commande puissant et étendu des clients IRC permet, sur la base de leurs scripts, de créer des virus informatiques qui transmettent leur code aux ordinateurs des utilisateurs des réseaux IRC, appelés « vers IRC ». Le principe de fonctionnement de ces vers IRC est à peu près le même. À l'aide des commandes IRC, un fichier de script de travail (script) est automatiquement envoyé depuis l'ordinateur infecté à chaque nouvel utilisateur qui rejoint le canal. Le fichier script envoyé remplace le fichier standard et lors de la prochaine session, le client nouvellement infecté enverra le ver. Certains vers IRC contiennent également un composant cheval de Troie : à l'aide de mots-clés spécifiés, ils effectuent des actions destructrices sur les ordinateurs affectés. Par exemple, le ver « pIRCH.Events », sur une certaine commande, efface tous les fichiers sur le disque de l’utilisateur.
Il existe un grand nombre de combinaisons - par exemple, les virus de démarrage de fichiers qui infectent à la fois les fichiers et les secteurs de démarrage des disques. En règle générale, ces virus ont un algorithme de fonctionnement assez complexe, utilisent souvent des méthodes originales pour pénétrer dans le système et utilisent des technologies furtives et polymorphes. Un autre exemple d'une telle combinaison est un virus de macro réseau qui non seulement infecte les documents en cours d'édition, mais envoie également des copies de lui-même par courrier électronique.
Outre cette classification, il convient de dire quelques mots sur d’autres malwares qui sont parfois confondus avec des virus. Ces programmes n’ont pas la capacité de s’auto-propager comme les virus, mais ils peuvent causer des dommages tout aussi destructeurs.
Chevaux de Troie (bombes logiques ou bombes à retardement).
Les chevaux de Troie comprennent des programmes qui provoquent des effets destructeurs, c'est-à-dire qu'en fonction de certaines conditions ou à chaque lancement, ils détruisent les informations sur les disques, « bloquent » le système, etc. A titre d'exemple, on peut citer ce cas - lorsqu'un tel programme, lors d'une session sur Internet, envoyait à ses identifiants d'auteur et mots de passe depuis les ordinateurs où il vivait. Les chevaux de Troie les plus connus sont des programmes qui « simulent » une sorte de programmes utiles, de nouvelles versions d'utilitaires populaires ou des ajouts à ceux-ci. Très souvent, ils sont envoyés aux stations BBS ou aux conférences électroniques. Comparés aux virus, les chevaux de Troie ne sont pas largement utilisés pour les raisons suivantes : soit ils se détruisent eux-mêmes avec le reste des données sur le disque, soit ils démasquent leur présence et sont détruits par l'utilisateur concerné.
2.2 Le concept d'un programme antivirus
Les méthodes pour lutter contre les virus informatiques peuvent être divisées en plusieurs groupes :
Prévention des infections virales et réduction des dommages attendus d'une telle infection ;
Méthodes d'utilisation de programmes antivirus, y compris la neutralisation et la suppression des virus connus ;
Méthodes de détection et de suppression d'un virus inconnu.
Prévenir les infections informatiques.
L'une des principales méthodes de lutte contre les virus est, comme en médecine, une prévention rapide. La prévention informatique implique le respect d'un petit nombre de règles, ce qui peut réduire considérablement le risque de contracter un virus et de perdre des données.
Afin de déterminer les règles de base de « l’hygiène » informatique, il est nécessaire de connaître les principales voies par lesquelles un virus pénètre dans un ordinateur et dans les réseaux informatiques.
La principale source de virus aujourd’hui est réseau mondial L'Internet. Le plus grand nombre d'infections virales se produit lors de l'échange de lettres aux formats Word/Office97. L'utilisateur d'un éditeur infecté par un virus de macro, sans le savoir, envoie des lettres infectées aux destinataires, qui à leur tour envoient de nouvelles lettres infectées, et ainsi de suite. Vous devez éviter tout contact avec des sources d'informations suspectes et utiliser uniquement des produits logiciels légitimes (sous licence).
Restauration d'objets endommagés.
Dans la plupart des cas d'infection virale, la procédure de restauration des fichiers et des disques infectés se résume à l'exécution d'un antivirus approprié capable de neutraliser le système. Si le virus est inconnu d'un antivirus, il suffit alors d'envoyer le fichier infecté aux fabricants d'antivirus et, après un certain temps, de recevoir une « mise à jour » du médicament contre le virus. Si le temps n'attend pas, vous devrez alors neutraliser le virus vous-même. Pour la plupart des utilisateurs, il est nécessaire d'avoir sauvegardes vos informations.
Les outils généraux de sécurité des informations ne sont pas seulement utiles pour la protection contre les virus. Il existe deux principaux types de ces fonds :
1 Copie d'informations – création de copies de fichiers et de zones système de disques.
2 Le contrôle d'accès empêche l'utilisation non autorisée des informations, en particulier la protection contre les modifications des programmes et des données par des virus, des programmes défectueux et des actions erronées de l'utilisateur.
La détection rapide des fichiers et des disques infectés par des virus et la destruction complète des virus détectés sur chaque ordinateur permettent d'éviter la propagation d'une épidémie virale à d'autres ordinateurs.
Les programmes antivirus sont l’arme principale dans la lutte contre les virus. Ils vous permettent non seulement de détecter les virus, y compris les virus utilisant diverses méthodes de déguisement, mais également de les supprimer de votre ordinateur.
Il existe plusieurs méthodes de base de détection de virus utilisées par les programmes antivirus. La méthode la plus traditionnelle de recherche de virus est l'analyse.
Pour détecter, supprimer et protéger contre les virus informatiques, plusieurs types de programmes spéciaux ont été développés qui vous permettent de détecter et de détruire les virus. Ces programmes sont appelés programmes antivirus.
2.3 Types de produits antivirus
Programmes de détection. Les programmes de détection recherchent une signature caractéristique d'un virus spécifique dans mémoire viveà la fois dans les fichiers et lorsqu'ils sont détectés, ils émettent un message correspondant. L'inconvénient de ces programmes antivirus est qu'ils ne peuvent détecter que les virus connus des développeurs de ces programmes.
Programmes de doctorat. Les programmes de médecins ou de phages, ainsi que les programmes de vaccination, non seulement trouvent les fichiers infectés par des virus, mais les « traitent » également, c'est-à-dire qu'ils suppriment le corps du programme antivirus du fichier, ramenant les fichiers à leur état d'origine. Au début de leur travail, les phages recherchent des virus dans la RAM, les détruisent, puis procèdent ensuite au « nettoyage » des fichiers. Parmi les phages, il existe des polyphages, c'est-à-dire des programmes médicaux conçus pour rechercher et détruire un grand nombre de virus. Les plus connus d'entre eux : AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.
Étant donné que de nouveaux virus apparaissent constamment, les programmes de détection et les programmes médicaux deviennent rapidement obsolètes et des mises à jour régulières des versions sont nécessaires.
Les programmes d'audit (inspecteurs) comptent parmi les moyens de protection les plus fiables contre les virus.
Les auditeurs (inspecteurs) vérifient les données sur le disque à la recherche de virus invisibles. De plus, l'inspecteur ne peut pas utiliser les outils du système d'exploitation pour accéder aux disques, ce qui signifie qu'un virus actif ne pourra pas intercepter cet accès.
Le fait est qu'un certain nombre de virus, s'introduisant dans les fichiers (c'est-à-dire s'ajoutant à la fin ou au début du fichier), remplacent les enregistrements concernant ce fichier dans les tables d'allocation de fichiers de notre système d'exploitation.
Les auditeurs (inspecteurs) mémorisent l’état initial des programmes, des répertoires et des zones système du disque lorsque l’ordinateur n’est pas infecté par un virus, puis comparent périodiquement ou à la demande de l’utilisateur l’état actuel avec celui d’origine. Les modifications détectées sont affichées sur l'écran du moniteur. En règle générale, la comparaison des états est effectuée immédiatement après le chargement du système d'exploitation. Lors de la comparaison, la longueur du fichier, le code de contrôle cyclique (somme de contrôle du fichier), la date et l'heure de modification et d'autres paramètres sont vérifiés. Les programmes d'audit (inspecteurs) disposent d'algorithmes assez développés, détectent les virus furtifs et peuvent même nettoyer les modifications apportées à la version du programme vérifiée des modifications apportées par le virus.
Il est nécessaire de lancer l'auditeur (inspecteur) lorsque l'ordinateur n'est pas encore infecté, afin qu'il puisse créer une table dans le répertoire racine de chaque disque, avec toutes les informations nécessaires sur les fichiers qui se trouvent sur ce disque, ainsi que à propos de sa zone de démarrage. Une autorisation sera demandée pour créer chaque table. Lors des lancements suivants, l'auditeur (inspecteur) analysera les disques, comparant les données de chaque fichier avec ses enregistrements.
Si des infections sont détectées, l'auditeur (inspecteur) pourra utiliser son propre module de guérison, qui restaurera le fichier endommagé par le virus. Pour restaurer des fichiers, l'inspecteur n'a pas besoin de connaître un type spécifique de virus, il suffit d'utiliser les données sur les fichiers stockées dans les tables.
De plus, si nécessaire, un scanner antivirus peut être appelé.
Filtrer les programmes (moniteurs). Les programmes de filtrage (moniteurs) ou « gardiens » sont de petits programmes résidents conçus pour détecter les actions suspectes lors du fonctionnement de l'ordinateur, caractéristiques des virus. De telles actions peuvent être :
Tentatives de correction des fichiers avec les extensions COM, EXE ;
Modification des attributs du fichier ;
Écriture directe sur le disque à une adresse absolue ;
Écrivez sur les secteurs de démarrage du disque ;
Lorsqu'un programme tente d'effectuer les actions spécifiées, le « garde » envoie un message à l'utilisateur et propose d'interdire ou d'autoriser l'action correspondante. Les programmes de filtrage sont très utiles car ils sont capables de détecter un virus dès les premiers stades de son existence, avant sa réplication. Cependant, ils ne « nettoient » pas les fichiers et les disques. Pour détruire les virus, vous devez utiliser d'autres programmes, tels que les phages.
Vaccins ou immunisants. Les vaccins sont des programmes résidents qui préviennent les infections de fichiers. Les vaccins sont utilisés s’il n’existe aucun programme médical permettant de « traiter » ce virus. La vaccination n'est possible que contre les virus connus. Le vaccin modifie le programme ou le disque de telle manière qu'il n'affecte pas son fonctionnement, et le virus le percevra comme infecté et ne prendra donc pas racine. Actuellement, les programmes de vaccination ont une utilité limitée.
Scanner. Le principe de fonctionnement des scanners antivirus repose sur la vérification des fichiers, des secteurs et de la mémoire système et sur la recherche de virus connus et nouveaux (inconnus du scanner). Pour rechercher des virus connus, des « masques » sont utilisés. Le masque d'un virus est une séquence constante de code spécifique à ce virus particulier. Si le virus ne contient pas de masque permanent ou si la longueur de ce masque n'est pas suffisamment longue, d'autres méthodes sont utilisées. Un exemple d'une telle méthode est un langage algorithmique qui décrit tout options possibles code qui peut survenir en cas d'infection par un virus de ce type. Cette approche est utilisée par certains antivirus pour détecter les virus polymorphes. Les scanners peuvent également être divisés en deux catégories : « universels » et « spécialisés ». Scanners universels conçu pour rechercher et neutraliser tous les types de virus, quel que soit le système d'exploitation dans lequel le scanner est conçu pour fonctionner. Les scanners spécialisés sont conçus pour neutraliser un nombre limité de virus ou une seule classe de virus, par exemple les virus de macro. Les scanners spécialisés conçus uniquement pour les virus de macro s'avèrent souvent être la solution la plus pratique et la plus fiable pour protéger les systèmes de gestion de documents dans les environnements MSWord et MSExcel.
Les scanners sont également divisés en « résidents » (moniteurs, gardes), qui effectuent une analyse à la volée, et en « non-résidents », qui analysent le système uniquement sur demande. En règle générale, les scanners « résidents » offrent plus protection fiable systèmes, puisqu’ils réagissent immédiatement à l’apparition d’un virus, tandis qu’un scanner « non-résident » n’est capable d’identifier le virus que lors de son prochain lancement. D'un autre côté, un scanner résident peut quelque peu ralentir l'ordinateur, notamment en raison d'éventuels faux positifs.
Les avantages des scanners de tous types incluent leur polyvalence ; les inconvénients sont la vitesse relativement faible de l'analyse antivirus.
Scanners CRC. Le principe de fonctionnement des scanners CRC est basé sur le calcul des sommes CRC ( sommes de contrôle) pour les fichiers/secteurs système présents sur le disque. Ces montants de CRC sont ensuite stockés dans la base de données antivirus, ainsi que d'autres informations : longueurs des fichiers, dates de leur dernière modification, etc. Lorsqu'ils sont ensuite lancés, les scanners CRC comparent les données contenues dans la base de données avec les valeurs réellement calculées. Si les informations du fichier enregistrées dans la base de données ne correspondent pas aux valeurs réelles, les scanners CRC signalent que le fichier a été modifié ou infecté par un virus. Les scanners CRC utilisant des algorithmes anti-furtifs sont une arme assez puissante contre les virus : près de 100 % des virus sont détectés presque immédiatement après leur apparition sur l'ordinateur. Cependant, ce type d’antivirus présente un défaut inhérent qui réduit considérablement leur efficacité. Cet inconvénient est que les scanners CRC ne sont pas capables de détecter un virus au moment où il apparaît dans le système, mais ne le font que quelque temps plus tard, une fois que le virus s'est propagé dans tout l'ordinateur. Les scanners CRC ne peuvent pas détecter un virus dans les nouveaux fichiers (dans les courriers électroniques, sur les disquettes, dans les fichiers restaurés à partir d'une sauvegarde ou lors de la décompression de fichiers d'une archive), car leurs bases de données ne contiennent pas d'informations sur ces fichiers. De plus, des virus apparaissent périodiquement qui profitent de cette « faiblesse » des scanners CRC, infectant uniquement les fichiers nouvellement créés et leur restant ainsi invisibles.
Bloqueurs. Les bloqueurs sont des programmes résidents qui interceptent les situations « dangereuses pour les virus » et en informent l'utilisateur. Les « virus dangereux » incluent les appels à l'ouverture pour l'écriture sur des fichiers exécutables, l'écriture sur les secteurs de démarrage des disques ou le MBR d'un disque dur, les tentatives des programmes pour rester résidents, etc., c'est-à-dire les appels typiques des virus à le moment de la reproduction. Parfois, certaines fonctions de blocage sont implémentées dans les scanners résidents.
Les avantages des bloqueurs incluent leur capacité à détecter et à arrêter un virus dès le stade le plus précoce de sa reproduction. Les inconvénients incluent l'existence de moyens de contourner la protection du bloqueur et un grand nombre de faux positifs.
Il convient également de noter une tendance des outils antivirus tels que les bloqueurs antivirus, réalisés sous la forme de composants matériels informatiques. La plus courante est la protection en écriture intégrée au BIOS dans le MBR du disque dur. Cependant, comme dans le cas des bloqueurs logiciels, une telle protection peut être facilement contournée en écrivant directement sur les ports du contrôleur de disque, et le lancement de l'utilitaire DOS FDISK provoque immédiatement un « faux positif » de la protection.
Il existe plusieurs autres bloqueurs matériels universels, mais en plus des inconvénients énumérés ci-dessus, il existe également des problèmes de compatibilité avec les configurations informatiques standard et la complexité de leur installation et de leur configuration. Tout cela rend les bloqueurs matériels extrêmement impopulaires par rapport aux autres types de protection antivirus.
2.4 Comparaison des packages antivirus
Peu importe quoi Système d'Information doivent être protégés, le paramètre le plus important lors de la comparaison des antivirus est la capacité à détecter les virus et autres logiciels malveillants.
Cependant, bien que ce paramètre soit important, il est loin d’être le seul.
Le fait est que l'efficacité d'un système de protection antivirus dépend non seulement de sa capacité à détecter et à neutraliser les virus, mais également de nombreux autres facteurs.
Un antivirus doit être facile à utiliser, sans détourner l’utilisateur de l’ordinateur de ses tâches directes. Si l'antivirus dérange l'utilisateur avec des requêtes et des messages persistants, il sera tôt ou tard désactivé. L'interface antivirus doit être conviviale et compréhensible, car tous les utilisateurs n'ont pas une vaste expérience de travail avec logiciels d'ordinateur. Sans comprendre la signification du message qui apparaît à l'écran, vous pouvez involontairement autoriser une infection virale même avec un antivirus installé.
Le mode de protection antivirus le plus pratique consiste à analyser tous les fichiers ouverts. Si l'antivirus n'est pas capable de fonctionner dans ce mode, l'utilisateur devra exécuter quotidiennement une analyse de tous les disques pour détecter les virus nouvellement apparus. Cette procédure peut prendre des dizaines de minutes, voire des heures si nous parlons de sur les gros disques installés, par exemple, sur un serveur.
Étant donné que de nouveaux virus apparaissent chaque jour, il est nécessaire de mettre à jour périodiquement la base de données antivirus. Sinon, l'efficacité de la protection antivirus sera très faible. Les antivirus modernes, après une configuration appropriée, peuvent mettre à jour automatiquement les bases de données antivirus via Internet, sans distraire les utilisateurs et les administrateurs de ce travail de routine.
Lors de la protection d'un grand réseau d'entreprise, un paramètre de comparaison des antivirus tel que la présence d'un centre de contrôle réseau est mis en avant. Si réseau d'entreprise réunissant des centaines et des milliers de postes de travail, des dizaines et des centaines de serveurs, il est quasiment impossible d'organiser une protection antivirus efficace sans un centre de contrôle réseau. Un ou plus administrateurs système ne pourra pas contourner tous les postes de travail et serveurs en y installant et en configurant des programmes antivirus. Ce qu'il faut ici, ce sont des technologies permettant une installation et une configuration centralisées des antivirus sur tous les ordinateurs du réseau d'entreprise.
Protéger les sites Internet tels que serveurs de messagerie, et les serveurs de services de messagerie nécessitent l'utilisation d'outils antivirus spécialisés. Les programmes antivirus classiques conçus pour analyser les fichiers ne seront pas en mesure de détecter les codes malveillants dans les bases de données des serveurs de messagerie ou dans les flux de données transitant par les serveurs de messagerie.
En règle générale, d'autres facteurs sont pris en compte lors de la comparaison des produits antivirus. Les agences gouvernementales peuvent, toutes choses égales par ailleurs, préférer les antivirus produits dans le pays et dotés de tous les certificats nécessaires. La réputation acquise par l'un ou l'autre outil antivirus auprès des utilisateurs d'ordinateurs et des administrateurs système joue également un rôle important. Les préférences personnelles peuvent également jouer un rôle important dans le choix.
Les développeurs d'antivirus utilisent souvent les résultats de tests indépendants pour prouver les avantages de leurs produits. Dans le même temps, les utilisateurs ne comprennent souvent pas exactement ce qui a été testé dans ce test et comment.
Dans ce travail, les plus populaires ont été soumis à une analyse comparative. ce moment programmes antivirus, nommément : Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft.
Le magazine britannique Virus Bulletin a été l'un des premiers à tester des produits antivirus. Les premiers tests publiés sur leur site Internet remontent à 1998. Le test est basé sur la collection de logiciels malveillants WildList. Pour réussir le test, il est nécessaire d'identifier tous les virus de cette collection et de démontrer un niveau zéro de faux positifs sur une collection de fichiers journaux « propres ». Des tests sont effectués plusieurs fois par an sur différents systèmes d'exploitation ; Les produits qui réussissent le test reçoivent une récompense VB100%. La figure 1 montre combien de récompenses VB100 % ont été reçues par des produits de diverses sociétés antivirus.
Bien entendu, le magazine Virus Bulletin peut être considéré comme le plus ancien testeur d'antivirus, mais son statut de patriarche ne le dispense pas des critiques de la communauté antivirus. Premièrement, WildList inclut uniquement les virus et les vers et est uniquement destiné à la plate-forme Windows. Deuxièmement, la collection WildList contient un petit nombre de programmes malveillants et se reconstitue très lentement : seules quelques dizaines de nouveaux virus apparaissent dans la collection par mois, tandis que, par exemple, la collection AV-Test se reconstitue pendant ce temps avec plusieurs dizaines ou voire des centaines de milliers de copies de logiciels malveillants.
Tout cela suggère que dans sa forme actuelle, la collection WildList est moralement dépassée et ne reflète pas la situation réelle des virus sur Internet. En conséquence, les tests basés sur la collection WildList perdent de plus en plus de sens. Ils conviennent parfaitement à la publicité de produits qui les ont dépassés, mais ils ne reflètent pas réellement la qualité de la protection antivirus.
Figure 1 – Nombre de tests VB réussis à 100 %
Des laboratoires de recherche indépendants tels que AV-Comparatives et AV-Tests testent les produits antivirus deux fois par an pour déterminer les niveaux de détection des logiciels malveillants, à la demande. Parallèlement, les collections sur lesquelles sont effectués les tests contiennent jusqu'à un million de malwares et sont régulièrement mises à jour. Les résultats des tests sont publiés sur les sites Web de ces organisations (www.AV-Comparatives.org, www.AV-Test.org) et dans les magazines informatiques bien connus PC World, PC Welt. Les résultats des prochains tests sont présentés ci-dessous :
Figure 2 – Taux global de détection des logiciels malveillants selon AV-Test
Si nous parlons des produits les plus courants, selon les résultats de ces tests, seules les solutions de Kaspersky Lab et Symantec figurent dans le top trois. Avira, leader des tests, mérite une attention particulière.
Les tests des laboratoires de recherche AV-Comparatives et AV-Test, comme tout test, ont leurs avantages et leurs inconvénients. Les avantages sont que les tests sont effectués sur de grandes collections de logiciels malveillants et que ces collections contiennent une grande variété de types de logiciels malveillants. L’inconvénient est que ces collections contiennent non seulement des échantillons « récents » de logiciels malveillants, mais aussi des échantillons relativement anciens. En règle générale, les échantillons collectés au cours des six derniers mois sont utilisés. De plus, ces tests analysent les résultats de la vérification disque dur sur demande, alors qu'en vrai vie l'utilisateur télécharge des fichiers infectés sur Internet ou les reçoit sous forme de pièces jointes par courrier électronique. Il est important de détecter ces fichiers exactement au moment où ils apparaissent sur l’ordinateur de l’utilisateur.
Une tentative de développer une méthodologie de test qui ne souffre pas de ce problème a été faite par l'un des plus anciens magazines informatiques britanniques, PC Pro. Leur test a utilisé un ensemble de logiciels malveillants découverts deux semaines avant le test dans le trafic transitant par les serveurs MessageLabs. MessageLabs propose à ses clients des services de filtrage divers types trafic, et sa collection de programmes malveillants reflète vraiment la situation de propagation des virus informatiques sur Internet.
L'équipe du magazine PC Pro n'a pas simplement analysé les fichiers infectés, mais a simulé les actions des utilisateurs : les fichiers infectés étaient joints à des lettres en tant que pièces jointes, et ces lettres étaient téléchargées sur un ordinateur sur lequel un antivirus était installé. De plus, à l'aide de scripts spécialement écrits, les fichiers infectés ont été téléchargés à partir d'un serveur Web, c'est-à-dire que la navigation sur Internet a été simulée. Les conditions dans lesquelles de tels tests sont effectués sont aussi proches que possible des conditions réelles, ce qui ne pouvait qu'affecter les résultats : le niveau de détection de la plupart des antivirus s'est avéré nettement inférieur à celui d'une simple analyse à la demande dans l'AV- Comparatifs et tests AV-Test. Dans ces tests, un rôle important est joué par la rapidité avec laquelle les développeurs d'antivirus réagissent à l'émergence de nouveaux logiciels malveillants, ainsi que par les mécanismes proactifs utilisés pour détecter les logiciels malveillants.
La vitesse à laquelle les mises à jour antivirus sont publiées avec les signatures des nouveaux logiciels malveillants est l'un des éléments les plus importants d'une protection antivirus efficace. Plus la mise à jour de la base de données de signatures est publiée rapidement, moins l'utilisateur restera sans protection pendant longtemps.
Figure 3 – Temps de réponse moyen aux nouvelles menaces
Récemment, de nouveaux malwares sont apparus si fréquemment que les laboratoires antivirus ont à peine le temps de réagir à l'apparition de nouveaux échantillons. Dans une telle situation, la question se pose de savoir comment un antivirus peut contrer non seulement les virus déjà connus, mais également les nouvelles menaces pour lesquelles aucune signature de détection n'a encore été publiée.
Pour détecter les menaces inconnues, des technologies dites proactives sont utilisées. Ces technologies peuvent être divisées en deux types : les heuristiques (elles détectent les logiciels malveillants en fonction de l'analyse de leur code) et les bloqueurs comportementaux (ils bloquent les actions des logiciels malveillants lorsqu'ils s'exécutent sur un ordinateur, en fonction de leur comportement).
En parlant d'heuristiques, leur efficacité est étudiée depuis longtemps par AV-Comparatives, un laboratoire de recherche dirigé par Andreas Climenti. L'équipe AV-Comparatives utilise une technique spéciale : les antivirus sont comparés à la collection de virus actuelle, mais ils utilisent un antivirus avec des signatures datant de trois mois. Ainsi, l’antivirus doit lutter contre des malwares dont il ne connaît rien. Les antivirus sont vérifiés en analysant un ensemble de logiciels malveillants sur le disque dur, de sorte que seule l'efficacité de l'heuristique est testée. Une autre technologie proactive, un bloqueur comportemental, n’est pas utilisée dans ces tests. Même les meilleures heuristiques affichent actuellement un taux de détection d’environ 70 % seulement, et beaucoup d’entre elles souffrent également de faux positifs sur des fichiers sains. Tout cela suggère que pour l’instant cette méthode de détection proactive ne peut être utilisée que simultanément avec la méthode de signature.
Quant à une autre technologie proactive - un bloqueur comportemental, aucun test comparatif sérieux n'a été réalisé dans ce domaine. Premièrement, de nombreux produits antivirus (Doctor Web, NOD32, Avira et autres) ne disposent pas de bloqueur comportemental. Deuxièmement, la réalisation de tels tests se heurte à certaines difficultés. Le fait est que pour tester l'efficacité d'un bloqueur comportemental, vous n'avez pas besoin d'analyser un disque contenant un ensemble de programmes malveillants, mais d'exécuter ces programmes sur votre ordinateur et d'observer avec quelle réussite l'antivirus bloque leurs actions. Ce processus demande beaucoup de travail et seuls quelques chercheurs sont capables d’entreprendre de tels tests. Tout ce qui est actuellement disponible au grand public sont les résultats des tests de produits individuels effectués par l'équipe AV-Comparatives. Si, lors des tests, les antivirus réussissaient à bloquer les actions de programmes malveillants qui leur étaient inconnus alors qu'ils s'exécutaient sur l'ordinateur, le produit recevait le prix Proactive Protection. Actuellement, de telles récompenses ont été reçues par F-Secure avec la technologie comportementale DeepGuard et Kaspersky Anti-Virus avec le module de protection proactive.
Les technologies de prévention des infections basées sur l’analyse du comportement des logiciels malveillants sont de plus en plus répandues et le manque de tests comparatifs complets dans ce domaine est alarmant. Récemment, des spécialistes du laboratoire de recherche AV-Test ont mené une discussion approfondie sur cette question, à laquelle ont également participé les développeurs de produits antivirus. Le résultat de cette discussion a été une nouvelle méthodologie pour tester la capacité des produits antivirus à résister aux menaces inconnues.
Un niveau élevé de détection des logiciels malveillants à l'aide de diverses technologies est l'une des caractéristiques les plus importantes d'un antivirus. Cependant, une caractéristique tout aussi importante est l’absence de faux positifs. Les faux positifs ne peuvent pas causer moins de tort à l'utilisateur qu'une infection virale : bloquer le travail programmes nécessaires, bloquer l'accès aux sites, etc.
Au cours de ses recherches, AV-Comparatives, en plus d'étudier les capacités des antivirus à détecter les logiciels malveillants, effectue également des tests de faux positifs sur des collections de fichiers sains. Selon le test, le plus grand nombre de faux positifs a été trouvé dans les antivirus Doctor Web et Avira.
Il n’existe pas de protection à 100 % contre les virus. Les utilisateurs sont parfois confrontés à une situation dans laquelle un programme malveillant a pénétré dans leur ordinateur et que celui-ci est infecté. Cela se produit soit parce qu'il n'y avait aucun antivirus sur l'ordinateur, soit parce que l'antivirus n'a pas détecté le logiciel malveillant à l'aide de méthodes de signature ou proactives. Dans une telle situation, il est important que lorsque vous installez un antivirus avec de nouvelles bases de signatures sur votre ordinateur, l'antivirus puisse non seulement détecter un programme malveillant, mais également éliminer avec succès toutes les conséquences de son activité et guérir une infection active. Dans le même temps, il est important de comprendre que les créateurs de virus améliorent constamment leurs « compétences » et que certaines de leurs créations sont assez difficiles à supprimer d'un ordinateur - les logiciels malveillants peuvent différentes façons masquer leur présence dans le système (y compris à l'aide de rootkits) et même interférer avec le fonctionnement des programmes antivirus. De plus, il ne suffit pas de simplement supprimer ou désinfecter un fichier infecté : vous devez éliminer toutes les modifications apportées par le processus malveillant dans le système et restaurer complètement les fonctionnalités du système. Équipe portail russe Anti-Malware.ru a effectué un test similaire, ses résultats sont présentés dans la figure 4.
Figure 4 – Traitement de l’infection active
Diverses approches des tests antivirus ont été discutées ci-dessus et il a été montré quels paramètres de fonctionnement de l'antivirus sont pris en compte lors des tests. Nous pouvons conclure que pour certains antivirus, un indicateur s'avère avantageux, pour d'autres, un autre. Dans le même temps, il est naturel que dans leurs supports publicitaires, les développeurs d'antivirus se concentrent uniquement sur les tests où leurs produits occupent des positions de leader. Par exemple, Kaspersky Lab met l'accent sur la rapidité de réaction face à l'émergence de nouvelles menaces, Eset sur la puissance de ses technologies heuristiques, Doctor Web décrit ses avantages dans le traitement des infections actives.
Il convient donc de réaliser une synthèse des résultats des différents tests. Celui-ci résume les positions prises par les antivirus dans les tests examinés et fournit également une évaluation intégrée - quelle place un produit particulier occupe en moyenne dans tous les tests. En conséquence, les trois premiers gagnants étaient : Kaspersky, Avira, Symantec.
Sur la base des packages antivirus analysés, un logiciel, conçu pour rechercher et désinfecter les fichiers infectés par le virus SVC 5.0. Ce virus n'entraîne pas de suppression ou de copie non autorisée de fichiers, mais interfère de manière significative avec le bon fonctionnement des logiciels informatiques.
Les programmes infectés sont plus longs que le code source. Cependant, lorsque vous parcourez les répertoires d'une machine infectée, cela ne sera pas visible, puisque le virus vérifie si le fichier trouvé est infecté ou non. Si un fichier est infecté, la longueur du fichier non infecté est enregistrée dans le DTA.
Vous pouvez détecter ce virus comme suit. Dans la zone de données virales se trouve une chaîne de caractères "(c) 1990 by SVC,Ver. 5.0", grâce à laquelle le virus, s'il se trouve sur le disque, peut être détecté.
Lors de l'écriture d'un programme antivirus, la séquence d'actions suivante est effectuée :
1 Pour chaque fichier numérisé, l'heure de sa création est déterminée.
2 Si le nombre de secondes est de soixante, alors trois octets sont vérifiés avec un décalage égal à « longueur du fichier moins 8AN ». S'ils sont respectivement égaux à 35H, 2EN, 30H, alors le fichier est infecté.
3 Les 24 premiers octets du code original sont décodés, situés au décalage « longueur du fichier moins 01CFН plus 0BAAN ». Les clés de décodage sont situées aux décalages « longueur du fichier moins 01CFН plus 0С1АН » et « longueur du fichier moins 01CFН plus 0С1BN ».
4 Les octets décodés sont réécrits au début du programme.
5 Le fichier est « tronqué » à la valeur « longueur du fichier moins 0С1F ».
Le programme a été créé dans l'environnement de programmation TurboPascal. Le texte du programme est présenté en annexe A.
Conclusion
Dans ce cours, une analyse comparative des packages antivirus a été réalisée.
Lors de l'analyse, les tâches posées au début des travaux ont été résolues avec succès. Ainsi, les concepts de sécurité de l'information, de virus informatiques et d'outils antivirus ont été étudiés, les types de menaces pour la sécurité de l'information, les méthodes de protection ont été identifiées, la classification des virus informatiques et des programmes antivirus a été envisagée et une analyse comparative des antivirus packages a été réalisé, un programme a été écrit pour rechercher les fichiers infectés.
Les résultats obtenus au cours des travaux peuvent être utilisés lors du choix d'un agent antivirus.
Tous les résultats obtenus sont reflétés dans le travail à l'aide de diagrammes, afin que l'utilisateur puisse vérifier indépendamment les conclusions tirées dans le diagramme final, qui reflète la synthèse des résultats identifiés de divers tests de produits antivirus.
Les résultats obtenus au cours des travaux peuvent être utilisés comme base pour une comparaison indépendante des programmes antivirus.
Compte tenu de l'utilisation généralisée des technologies informatiques, le travail de cours présenté est pertinent et répond à ses exigences. Au cours des travaux, les outils antivirus les plus populaires ont été pris en compte.
Liste de la littérature utilisée
1 Anin B. Protection des informations informatiques. – Saint-Pétersbourg. : BHV – Saint-Pétersbourg, 2000. – 368 p.
2 Artyunov V.V. Protection de l'information : manuel. - méthode. allocation. M. : Libéria - Bibinform, 2008. - 55 p. – (Bibliothécaire et temps. 21e siècle ; numéro 99).
3 Korneev I.K., E.A. Stepanov Protection de l'information au bureau : manuel. – M. : Perspectives, 2008. – 333 p.
5 Kupriyanov A.I. Fondamentaux de la protection de l'information : manuel. allocation. – 2e éd. effacé – M. : Académie, 2007. – 254 p. – (Formation professionnelle supérieure).
6 Semenenko V. A., N. V. Fedorov Protection des informations sur les logiciels et le matériel : manuel. aide aux étudiants les universités – M. : MGIU, 2007. – 340 p.
7 Tsirlov V.L. Fondamentaux de la sécurité de l'information : un cours court. – Rostov s/d : Phoenix, 2008. – 254 p. (Formation professionnelle).
Application
Liste des programmes
ProgrammeANTIVIRUS ;
Utilise dos, crt, imprimante ;
Tapez St80 = Chaîne ;
FileInfection : fichier d’octet ;
Fichier de recherche : SearchRec ;
Mas : Tableau de St80 ;
MasByte : tableau d’octets ;
Position, I, J, K : octet ;
Num, NumberOfFile, NumberOfInfFile : Word ;
Indicateur, Disque suivant, Erreur : Booléen ;
Clé1, Clé2, Clé3, NumError : octet ;
MasScreen : Tableau d'octets absolus $ B800 : 0000 ;
Cure de procédure (St : St80 );
I : octet ; MasCure : tableau d'octets ;
Attribuer (FileInfection, St); Réinitialiser (FileInfection);
NumError:=IOResult;
Si (NumErreur<>
Rechercher (FileInfection, FileSize (FileInfection) - ($0C1F - $0C1A));
NumError:=IOResult;
Si (NumErreur<>0) Puis commencez Error:=True ; Sortie; Fin;
Lire (FileInfection, Key1);
NumError:=IOResult;
Si (NumErreur<>0) Puis commencez Error:=True ; Sortie; Fin;
Lire (FileInfection, Key2);
NumError:=IOResult;
Si (NumErreur<>0) Puis commencez Error:=True ; Sortie; Fin;
Rechercher (FileInfection, FileSize (FileInfection) - ($0C1F - $0BAA));
NumError:=IOResult;
Si (NumErreur<>0) Puis commencez Error:=True ; Sortie; Fin;
Pour I:=1 à 24 fais
Lire(FileInfection,MasCure[i]);
NumError:=IOResult;
Si (NumErreur<>0) Puis commencez Error:=True ; Sortie; Fin;
Clé3:=MasCure[i];
MasCure[i]:=Clé3;
Rechercher (FileInfection,0);
NumError:=IOResult;
Si (NumErreur<>0) Puis commencez Error:=True ; Sortie; Fin;
Pour I:=1 à 24, faites Write(FileInfection,MasCure[i]);
Rechercher (FileInfection, FileSize (FileInfection) - $ 0C1F);
NumError:=IOResult;
Si (NumErreur<>0) Puis commencez Error:=True ; Sortie; Fin;
Tronquer (FileInfection);
NumError:=IOResult;
Si (NumErreur<>0) Puis commencez Error:=True ; Sortie; Fin;
Fermer (FichierInfection); NumError:=IOResult;
Si (NumErreur<>0) Puis commencez Error:=True ; Sortie; Fin;
Procédure F1 (St : St80) ;
FindFirst(St + "*.*", $3F, SearchFile);
Tandis que (SearchFile.Attr = 10 $) Et (DosError = 0) Et
((SearchFile.Name = ".") Ou (SearchFile.Name = "..")) Faire
RechercherSuivant(FichierRecherche);
Pendant que (DosError = 0) Faites
Si la touche est enfoncée, alors
Si (Ord(ReadKey) = 27) Alors arrêtez ;
Si (SearchFile.Attr = 10 $) Alors
Mas[k]:=St + SearchFile.Name + "\";
Si (SearchFile.Attr<>10$) Alors
NuméroDeFichier:=NombreDeFichier + 1 ;
UnpackTime(SearchFile.Time, DT);
Pour I :=18 à 70, faites MasScreen :=$20 ;
Write(St + SearchFile.Name," ");
Si (Dt.Sec = 60) Alors
Attribuer (FileInfection, St + SearchFile.Name);
Réinitialiser (FileInfection);
NumError:=IOResult;
Si (NumErreur<>0) Puis commencez Error:=True ; Sortie; Fin;
Rechercher (FileInfection, FileSize (FileInfection) - $8A);
NumError:=IOResult;
Si (NumErreur<>0) Puis commencez Error:=True ; Sortie; Fin;
Pour I:=1 à 3, faites Read(FileInfection,MasByte[i]);
Fermer (FichierInfection);
NumError:=IOResult;
Si (NumErreur<>0) Puis commencez Error:=True ; Sortie; Fin;
Si (MasByte = 35 $) Et (MasByte = 2E $) Et
(MasByte = 30 $) Alors
NuméroDeFichierInf :=NombreDeFichierInf + 1 ;
Write(St + SearchFile.Name," infecté.",
"Supprimer? ");
Si (Ord(Ch) = 27) Alors quittez ;
Jusqu'à (Ch = "Y") Ou (Ch = "y") Ou (Ch = "N")
Si (Ch = "Y") Ou (Ch = "y") Alors
Cure(St + SearchFile.Name);
Si (NumErreur<>0) Puis quittez ;
Pour I:=0 à 79, faites MasScreen:=$20;
RechercherSuivant(FichierRecherche);
AllerÀXY(29,1); AttrTexte :=$1E ; AllerÀXY(20,2); AttrTexte :=17 $ ;
Writeln("Programma dlya poiska i lecheniya fajlov,");
Writeln("charger SVC50.");
AttrTexte :=$4F ; AllerÀXY(1,25);
Write(" ESC - quitter ");
AttrTexte :=$1F ; AllerÀXY(1,6);
Write("Disque Kakoj prouvé?");
Si (Ord(Disque) = 27) Alors quittez ;
R.Ah :=$0E ; R.Dl:=Ord(UpCase(Disque))-65;
Intr ($21,R); R.Ah :=19 $ ; Intr ($21,R);
Flag:=(R.Al = (Ord(UpCase(Disk))-65));
St:=UpCase(Disque) + ":\";
Writeln("Disque de test ",St," ");
Writeln("Testiruetsya fajl");
NuméroDeFichier :=0 ;
NuméroDeFichierInf :=0 ;
Si (k = 0) ou erreur alors Flag:=False ;
Si (k > 0) Alors K:=K-1 ;
Si (k=0) Alors Flag:=False ;
Si (k > 0) Alors K:=K-1 ;
Writeln("Fajlov vérifié - ",NumberOfFile);
Writeln("Zarageno fajlov - ",NumberOfInfFile);
Writeln("Izlecheno fajlov - ",Num);
Write("Vérifier le disque du médicament ? ");
Si (Ord(Ch) = 27) Alors quittez ;
Jusqu'à (Ch = "Y") Ou (Ch = "y") Ou (Ch = "N") Ou (Ch = "n");
Si (Ch = "N") Ou (Ch = "n") Then NextDisk:=False;
2.1.4 Analyse comparative des agents antiviraux.
Il existe de nombreux programmes antivirus différents, d'origine nationale et étrangère. Et afin de comprendre quel programme antivirus est le meilleur, nous en ferons une analyse comparative. Pour ce faire, prenons les programmes antivirus modernes, ainsi que ceux qui sont le plus souvent utilisés par les utilisateurs de PC.
Panda Antivirus 2008 3.01.00
Systèmes compatibles : Windows 2000/XP/Vista
Installation
Il est difficile d'imaginer une installation plus simple et plus rapide que celle proposée par Panda 2008. On nous dit seulement contre quelles menaces il protégera. cette application et sans aucun choix de type d’installation ou de source de mise à jour, ils offrent en moins d’une minute une protection contre les virus, vers, chevaux de Troie, logiciels espions et phishing, après avoir analysé la mémoire de l’ordinateur à la recherche de virus. Cependant, il ne prend pas en charge certaines autres fonctions avancées des antivirus modernes, telles que le blocage des pages Web suspectes ou la protection des données personnelles.
Interface et fonctionnement
L'interface du programme est très lumineuse. Les paramètres existants fournissent un niveau minimum de modifications ; seuls les éléments essentiels sont disponibles. Du tout, auto-configuration facultatif dans ce cas : les paramètres par défaut conviennent à la plupart des utilisateurs, offrant une protection contre les attaques de phishing, les logiciels espions, les virus, les applications de piratage et autres menaces.
Panda ne peut être mis à jour que via Internet. De plus, il est fortement recommandé d'installer la mise à jour immédiatement après l'installation de l'antivirus, sinon Panda demandera régulièrement l'accès au serveur « parent » avec une fenêtre petite mais bien visible en bas de l'écran, indiquant un faible niveau de protection actuel.
Panda 2008 divise toutes les menaces en connues et inconnues. Dans le premier cas, nous pouvons désactiver l'analyse de certains types de menaces ; dans le second cas, nous déterminons s'il convient de soumettre les fichiers, les messages de messagerie instantanée et les e-mails à une analyse approfondie pour rechercher des objets malveillants inconnus. Si Panda détecte un comportement suspect dans une application, il vous en informera immédiatement, offrant ainsi une protection contre les menaces non incluses dans la base de données antivirus.
Panda vous permet d'analyser l'intégralité de votre disque dur ou des sections individuelles de celui-ci. N'oubliez pas que l'analyse des archives est désactivée par défaut. Le menu des paramètres présente les extensions des fichiers en cours d'analyse ; si nécessaire, vous pouvez ajouter vos propres extensions. Les statistiques des menaces détectées, présentées sous la forme d'un diagramme circulaire montrant clairement la part de chaque type de menace dans le nombre total d'objets malveillants, méritent une mention particulière. Un rapport des objets détectés peut être généré pour une période de temps sélectionnée.
· Configuration minimale requise : Windows 98/NT/Me/2000/XP.
La configuration matérielle requise correspond à celle indiquée pour le système d'exploitation spécifié.
Principales caractéristiques fonctionnelles :
· protection contre les vers, virus, chevaux de Troie, virus polymorphes, virus de macro, logiciels espions, numéroteurs, logiciels publicitaires, utilitaires de piratage et scripts malveillants ;
· mise à jour bases de données antivirus jusqu'à plusieurs fois par heure, la taille de chaque mise à jour peut aller jusqu'à 15 Ko ;
· vérifier la mémoire système de l'ordinateur pour détecter les virus qui n'existent pas sous forme de fichiers (par exemple, CodeRed ou Slammer) ;
· un analyseur heuristique qui vous permet de neutraliser les menaces inconnues avant la publication des mises à jour correspondantes de la base de données virale.
Installation
Au début, Dr.Web prévient honnêtement qu'il n'a pas l'intention de s'entendre avec d'autres applications antivirus et vous demande de vous assurer qu'il n'y a pas de telles applications sur votre ordinateur. Sinon collaboration pourrait entraîner des « conséquences imprévisibles ». Ensuite, sélectionnez l'installation « Personnalisée » ou « Normale » (recommandée) et commencez à étudier les principaux composants présentés :
· Scanner pour Windows. Vérification manuelle des fichiers ;
· Scanner de console pour Windows. Conçu pour être lancé à partir de fichiers de commandes ;
· Garde araignée. Vérification des fichiers à la volée, prévention des infections en temps réel ;
· Courrier Spider. Analysez les messages reçus via les protocoles POP3, SMTP, IMAP et NNTP.
Interface et fonctionnement
Le manque de cohérence dans l'interface entre les modules antivirus est frappant, ce qui crée un inconfort visuel supplémentaire avec un accès déjà peu convivial aux composants de Dr.Web. Un grand nombre de réglages divers ne sont clairement pas destinés à un utilisateur novice, cependant, une aide assez détaillée sous une forme accessible vous expliquera le but de certains paramètres qui vous intéressent. L'accès au module central de Dr.Web - un scanner pour Windows - ne s'effectue pas via la barre d'état, comme tous les antivirus évoqués dans la revue, mais uniquement via "Démarrer" - loin d'être la meilleure solution, qui a été corrigée dans Kaspersky Anti-Virus en même temps.
La mise à jour est disponible à la fois via Internet et via des serveurs proxy, ce qui, compte tenu de la petite taille des signatures, fait de Dr.Web une option très attractive pour les moyennes et grandes entreprises. réseaux informatiques.
Vous pouvez définir les paramètres d'analyse du système, l'ordre de mise à jour et configurer les conditions de fonctionnement de chaque module Dr.Web à l'aide de l'outil pratique « Planificateur », qui vous permet de créer un système de protection cohérent à partir du « concepteur » des composants Dr.Web.
En conséquence, nous obtenons une ressource informatique peu exigeante, une protection holistique assez simple (après un examen plus approfondi) de l'ordinateur contre toutes sortes de menaces, dont les capacités à contrer les applications malveillantes l'emportent clairement sur le seul inconvénient exprimé par l'interface « variée » du Dr. Modules Web.
Considérons le processus d'analyse directe du répertoire sélectionné. Un dossier rempli de documents texte, archives, musique, vidéos et autres fichiers inhérents au disque dur de l’utilisateur moyen. La quantité totale d'informations était de 20 Go. Initialement, il était prévu d'analyser la partition du disque dur sur laquelle le système était installé, mais Dr.Web avait l'intention d'étendre l'analyse pendant deux à trois heures, en étudiant en profondeur fichiers système, en conséquence, un dossier séparé a été attribué au « site de test ». Chaque antivirus a utilisé toutes les fonctionnalités fournies pour configurer le nombre maximum de fichiers analysés.
La première place en termes de temps passé est revenue à Panda 2008. Incroyable mais vrai : la numérisation n'a pris que cinq (!) minutes. Dr.Web a refusé d'utiliser rationnellement le temps de l'utilisateur et a étudié le contenu des dossiers pendant plus d'une heure et demie. L'heure affichée par Panda 2008 a soulevé quelques doutes, nécessitant un diagnostic supplémentaire d'un paramètre apparemment insignifiant : le nombre de fichiers analysés. Les doutes n'ont pas surgi en vain et ont trouvé une base pratique lors de tests répétés. Il faut rendre hommage à Dr.Web - l'antivirus n'a pas perdu autant de temps en vain, démontrant le meilleur résultat : un peu plus de 130 000 fichiers. Faisons une réserve que, malheureusement, il n'a pas été possible de déterminer le nombre exact de fichiers dans le dossier de test. Par conséquent, l’indicateur Dr.Web a été considéré comme reflétant la situation réelle en la matière.
Les utilisateurs ont des attitudes différentes envers le processus d'analyse « à grande échelle » : certains préfèrent quitter l'ordinateur et ne pas interférer avec l'analyse, d'autres ne veulent pas faire de compromis avec l'antivirus et continuer à travailler ou à jouer. Il s'est avéré que la dernière option permet à Panda Antivirus d'être implémenté sans aucun problème. Oui, ce programme, dans lequel il s'est avéré impossible de mettre en valeur principales caractéristiques, dans n'importe quelle configuration, provoquera le seul souci avec un panneau vert annonçant la réussite du scan. Dr.Web a reçu le titre de consommateur de RAM le plus stable : en mode pleine charge, son fonctionnement ne nécessitait que quelques mégaoctets de plus qu'en fonctionnement normal.
Examinons maintenant de plus près les antivirus tels que :
1. Kaspersky Anti-Virus 2009 ;
3. Panda Antivirus 2008 ;
selon les critères suivants :
· Évaluation de la commodité interface utilisateur;
· Évaluer la facilité d'utilisation;
· Analyse du recrutement capacités techniques;
· Prix estimé.
De tous les antivirus examinés, le moins cher est Panda Antivirus 2008 et le plus cher est NOD 32. Mais cela ne signifie pas que Panda Antivirus 2008 est pire et cela est démontré par les autres critères. Trois programmes sur les quatre examinés (Kaspersky Anti-Virus, Panda Antivirus, NOD 32) ont une interface plus simple, plus fonctionnelle et conviviale que celle de Dr. Web, qui possède de nombreux paramètres incompréhensibles pour un utilisateur novice. Dans le programme, vous pouvez utiliser une aide détaillée qui vous expliquera le but de certains paramètres dont vous avez besoin.
Tous les programmes offrent une protection fiable contre les vers, les virus traditionnels, virus de messagerie, logiciels espions, chevaux de Troie, etc. Vérification de fichiers dans des programmes tels que Dr. Web, NOD 32, est exécuté au démarrage du système, mais Kaspersky Anti-Virus vérifie les fichiers au moment de leur accès. Kaspersky Anti-Virus, NOD 32, contrairement à tous les autres, dispose d'un système de protection proactive avancé basé sur des algorithmes d'analyse heuristique ; la possibilité de définir un mot de passe et ainsi de protéger le programme contre les virus visant à détruire la protection antivirus. De plus, Kaspersky Anti-Virus 2009 dispose d'un bloqueur comportemental. Panda Antivirus, contrairement à tous les autres, ne prend pas en charge le blocage des pages Web suspectes ni la protection des données personnelles. Tous ces antivirus disposent de mises à jour automatiques de la base de données et d'un planificateur de tâches. De plus, ces programmes antivirus sont entièrement compatibles avec Vista. Mais tous, à l'exception de Panda Antivirus, exigent qu'en plus d'eux, il n'y ait pas d'autres programmes similaires dans le système. Sur la base de ces données, nous créerons un tableau.
Tableau.1 Caractéristiques des programmes antivirus
| critères | Kaspersky Antivirus 2009 | ACCEPTATION 32 | Dr. la toile | Antivirus Panda |
| Prix estimé | - | - | - | + |
| Évaluation de la convivialité de l’interface utilisateur | + | + | - | |
| Évaluation de la facilité d'utilisation | + | + | +- | - |
| Analyse d'un ensemble de capacités techniques | + | + | + | - |
| Impression générale du programme | + | + | - |
Chacun des antivirus considérés a gagné sa popularité d'une manière ou d'une autre, mais absolument solution parfaite n'existe pas pour toutes les catégories d'utilisateurs.
À mon avis, les plus utiles sont Kaspersky Anti-Virus 2009 et NOD 32. Puisqu'ils ont presque toutes les exigences qu'un programme antivirus devrait avoir. Il s'agit à la fois d'une interface et d'un ensemble de capacités techniques. En général, ils disposent de ce dont vous avez besoin pour protéger votre ordinateur contre les virus.
Conclusion
En conclusion de ce cours, je voudrais dire que l'objectif que je m'étais fixé - mener une analyse comparative des outils antivirus modernes - a été atteint. À cet égard, les tâches suivantes ont été résolues :
1. La littérature sur ce sujet a été sélectionnée.
2. Divers programmes antivirus ont été étudiés.
3. Une comparaison des programmes antivirus a été effectuée.
En complétant mes cours, j'ai rencontré un certain nombre de problèmes liés à la recherche d'informations, car dans de nombreuses sources, elles sont assez contradictoires ; ainsi qu'avec une analyse comparative des avantages et des inconvénients de chaque programme antivirus et la construction d'un tableau récapitulatif.
Encore une fois, il convient de noter qu’il n’existe pas de programme antivirus universel. Aucun d'entre eux ne peut nous garantir une protection à 100 % contre les virus, et le choix d'un programme antivirus dépend en grande partie de l'utilisateur.
Littérature
1. Magazine pour les utilisateurs d'ordinateurs personnels « PC World »
2. Léontiev V.P. "La dernière encyclopédie de l'ordinateur personnel"
3. http://www.viruslist.com
Analyse tous les modules à l'exception du module Computer Scan. 1) Le module anti-spam pour Outlook Express et Windows Mail est enfichable. Après avoir installé Eset Smart Security dans Outlook Express ou Windows Mail, une barre d'outils apparaît contenant les fonctions suivantes du module anti-spam 2) Le module anti-spam fonctionne...
Virus informatiques. Pour un traitement correct et de haute qualité d'un programme infecté, des antivirus spécialisés sont nécessaires (par exemple, l'antivirus Kaspersky, Dr Web, etc.). CHAPITRE 2. ANALYSE COMPARATIVE DES PROGRAMMES ANTIVIRUS Pour prouver les avantages de leurs produits, les développeurs d'antivirus utilisent souvent les résultats de tests indépendants. L'un des premiers à tester l'antivirus...
Fonctionne très bien avec la collection VirusBulletin ITW - et rien de plus. La note antivirus moyenne sur tous les tests est présentée dans la figure 1. (Voir Annexe Fig. 1.). Chapitre 2. Utilisation des programmes antivirus 2.1 Vérification antivirus E-mail Si à l'aube du développement de la technologie informatique, le principal canal de propagation des virus était l'échange de fichiers de programme via des disquettes, alors...
... (par exemple, ne pas télécharger ou exécuter de programmes inconnus à partir d'Internet) réduirait le risque de propagation de virus et éliminerait le besoin d'utiliser de nombreux programmes antivirus. Les utilisateurs d'ordinateurs ne doivent pas travailler en permanence avec des droits d'administrateur. S'ils utilisaient le mode d'accès utilisateur normal, certains types de virus ne le feraient pas...
Des programmes antivirus existent pour protéger votre ordinateur contre les logiciels malveillants, les virus, les chevaux de Troie, les vers et les logiciels espions qui peuvent supprimer vos fichiers, voler vos données personnelles et rendre votre ordinateur et votre connexion Web extrêmement lents et problématiques. Par conséquent, choisir un bon programme antivirus est une priorité importante pour votre système.
Il existe aujourd’hui plus d’un million de virus informatiques dans le monde. Les virus et autres logiciels malveillants étant si courants, il existe de nombreuses options différentes pour les utilisateurs d'ordinateurs dans le domaine des logiciels antivirus.
Programmes antivirus est rapidement devenu une grosse affaire, avec les premiers produits antivirus commerciaux arrivés sur le marché à la fin des années 1980. Aujourd'hui, vous pouvez trouver de nombreux programmes antivirus, payants et gratuits, pour protéger votre ordinateur.
Que font les programmes antivirus ?
Les programmes antivirus analyseront régulièrement votre ordinateur, à la recherche de virus et autres logiciels malveillants susceptibles de se trouver sur votre PC. Si le logiciel détecte un virus, il le mettra généralement en quarantaine, le désinfectera ou le supprimera.
Vous choisissez la fréquence à laquelle l'analyse aura lieu, bien qu'il soit généralement recommandé de l'exécuter au moins une fois par semaine. De plus, la plupart des programmes antivirus vous protégeront lors de vos activités quotidiennes, comme consulter vos e-mails et surfer sur le Web.
Chaque fois que vous téléchargez un fichier sur votre ordinateur depuis Internet ou depuis un courrier électronique, l'antivirus l'analyse et s'assure que le fichier est OK (sans virus ou « propre »).
Les programmes antivirus mettront également à jour ce que l’on appelle les « définitions antivirus ». Ces définitions sont mises à jour aussi souvent que de nouveaux virus et logiciels malveillants sont introduits et découverts.
De nouveaux virus apparaissent chaque jour, il est donc nécessaire de mettre régulièrement à jour la base de données antivirus sur le site Web du fabricant du programme antivirus. Après tout, comme vous le savez, tout programme antivirus ne peut reconnaître et neutraliser que les virus pour lesquels le fabricant l'a « entraîné ». Et ce n’est un secret pour personne que plusieurs jours peuvent s’écouler entre le moment où le virus est envoyé aux développeurs du programme et la mise à jour des bases antivirus. Durant cette période, des milliers d’ordinateurs dans le monde pourraient être infectés !
Assurez-vous donc d’installer l’un des meilleurs packages antivirus et de le maintenir régulièrement à jour.
PARE-FEU (PARE-FEU)
La protection de votre ordinateur contre les virus dépend de plusieurs programmes antivirus. La plupart des utilisateurs se trompent en croyant qu'un antivirus installé sur leur ordinateur est une panacée contre tous les virus. Votre ordinateur peut toujours être infecté par un virus, même si vous disposez d'un programme antivirus puissant. Si votre ordinateur a accès à Internet, un seul antivirus ne suffit pas.
Un antivirus peut supprimer un virus lorsqu'il se trouve directement sur votre ordinateur, mais si le même virus commence à s'introduire dans votre ordinateur à partir d'Internet, par exemple en chargeant une page Web, le programme antivirus ne pourra rien faire. avec lui - jusqu'à ce qu'il n'affiche plus son activité sur le PC. Par conséquent, une protection complète de votre ordinateur contre les virus est impossible sans un pare-feu - un programme de sécurité spécial qui vous informera de la présence de activité suspecte lorsqu'un virus ou un ver tente de se connecter à votre ordinateur.
L'utilisation d'un pare-feu sur Internet permet de limiter le nombre de connexions indésirables de l'extérieur vers votre ordinateur et réduit considérablement les risques d'infection de celui-ci. En plus de la protection contre les virus, cela rend également beaucoup plus difficile aux intrus (pirates) d'accéder à vos informations et de tenter de télécharger un programme potentiellement dangereux sur votre ordinateur.
Lorsqu'un pare-feu est utilisé en combinaison avec un programme antivirus et des mises à jour du système d'exploitation, la protection de votre ordinateur est maintenue au plus haut niveau de sécurité.
MISE À JOUR DU SYSTÈME D'EXPLOITATION ET DES PROGRAMMES
Une étape importante pour protéger votre ordinateur et vos données consiste à mettre systématiquement à jour votre système d'exploitation avec les derniers correctifs de sécurité. Il est recommandé de le faire au moins une fois par mois. Dernières mises à jour pour le système d’exploitation et les programmes créera des conditions dans lesquelles la protection de l’ordinateur contre les virus sera à un niveau assez élevé.
Les mises à jour sont des corrections de bugs logiciels détectés au fil du temps. Un grand nombre de virus utilisent ces erreurs (« trous ») dans la sécurité du système et des programmes pour se propager. Cependant, si vous comblez ces « trous », vous n’aurez pas peur des virus et la protection de votre ordinateur sera à un niveau élevé. Un avantage supplémentaire des mises à jour régulières est un fonctionnement plus fiable du système grâce à la correction de bugs.
MOT DE PASSE
Mot de passe pour vous connecter à votre système, notamment pour compte« Administrateur » aidera à protéger vos informations contre tout accès non autorisé localement ou sur le réseau, et créera également une barrière supplémentaire contre les virus et les logiciels espions. Assurez-vous d'utiliser un mot de passe complexe car... De nombreux virus utilisent des mots de passe simples pour se propager, par exemple 123, 12345, en commençant par des mots de passe vides.
SURF SUR LE WEB EN TOUTE SÉCURITÉ
Protéger votre ordinateur contre les virus sera compliqué si, en naviguant et en surfant sur Internet, vous acceptez tout et installez tout. Par exemple, sous couvert de mise à jour Adobe Flash Le joueur est distribué par l'une des variétés du virus - "Envoyer un SMS au numéro". Surfez sur le Web en toute sécurité. Lisez toujours ce qu'ils vous proposent exactement de faire, et ensuite seulement acceptez ou refusez. Si on vous propose quelque chose une langue étrangère- essayez de traduire ceci, sinon n'hésitez pas à refuser.
De nombreux virus sont contenus dans les pièces jointes des courriers électroniques et commencent à se propager dès l’ouverture de la pièce jointe. Nous vous déconseillons fortement d'ouvrir les pièces jointes sans accord préalable pour les recevoir.
Antivirus pour SIM, cartes flash et périphériques USB
Les téléphones mobiles produits aujourd'hui disposent d'un large éventail d'interfaces et de capacités de transfert de données. Les consommateurs doivent examiner attentivement les méthodes de protection avant de connecter de petits appareils.
Les méthodes de protection telles que le matériel, éventuellement les antivirus sur les appareils USB ou sur SIM, sont plus adaptées aux consommateurs téléphones portables. L'évaluation technique et l'examen de la manière d'installer un programme antivirus sur un téléphone mobile doivent être considérés comme un processus d'analyse pouvant affecter d'autres applications légitimes sur ce téléphone.
Les programmes antivirus sur SIM avec antivirus intégré dans une petite zone de mémoire offrent une protection anti-malware/virus, protégeant le PIM et les informations de l'utilisateur du téléphone. Les antivirus sur cartes flash donnent à l'utilisateur la possibilité d'échanger des informations et d'utiliser ces produits avec divers périphériques matériels.
Antivirus, appareils mobiles et solutions innovantes
Personne ne sera surpris lorsque des virus infectant les ordinateurs personnels et portables se propageront vers les appareils mobiles. De plus en plus de développeurs dans ce domaine proposent des programmes antivirus pour lutter contre les virus et protéger les téléphones mobiles. DANS appareils mobiles Il existe les types de contrôle antivirus suivants :
- § Limitations du processeur
- § limitation de mémoire
- § identifier et mettre à jour les signatures de ces appareils mobiles
Entreprises et programmes antivirus
- § Protection contre les virus AOL® dans le cadre d'AOL Safety and Centre de sécurité
- § ActiveVirusShield d'AOL (basé sur KAV 6, gratuit)
- §AhnLab
- § Systèmes de connaissances Aladdin
- § Logiciel ALWIL (avast !) de République tchèque (versions gratuites et payantes)
- § ArcaVir de Pologne
- § AVZ de Russie (gratuit)
- § Avira d'Allemagne (gratuit Version classique)
- § Authentium du Royaume-Uni
- § BitDefender de Roumanie
- § BullGuard du Danemark
- § Associés informatiques des États-Unis
- § Groupe Comodo des États-Unis
- § ClamAV -- Licence GPL -- gratuite et open source codes sources programmes
- § ClamWin -- ClamAV pour Windows
- § Dr.Web de Russie
- § Eset NOD32 de Slovaquie
- §Fortinet
- § Logiciel Frisk d'Islande
- § F-Secure de Finlande
- § GeCAD de Roumanie (Microsoft a racheté l'entreprise en 2003)
- § Logiciel GFI
- § GriSoft (AVG) de République tchèque (versions gratuites et payantes)
- §Hauri
- § H+BEDV d'Allemagne
- § Kaspersky Anti-Virus de Russie
- § McAfee des États-Unis
- § Technologies MicroWorld d'Inde
- § Logiciel NuWave d'Ukraine
- § MKS de Pologne
- § Norman de Norvège
- § Avant-poste de Russie
- § Logiciel Panda d'Espagne
- § Antivirus Quick Heal d'Inde
- § En hausse
- § ROSE SWE
- § Sophos du Royaume-Uni
- § Docteur en logiciels espions
- Recherche Stiller
- § Sybari Software (Microsoft a racheté la société début 2005)
- § Symantec des États-Unis ou du Royaume-Uni
- § Chasseur de chevaux de Troie
- § Trend Micro du Japon (nominalement Taiwan-États-Unis)
- § Antivirus national ukrainien d'Ukraine
- § VirusBlokAda (VBA32) de Biélorussie
- § VirusBuster de Hongrie
- § ZoneAlarm AntiVirus (américain)
- § Analyse de fichiers avec plusieurs antivirus
- § Vérification du fichier avec plusieurs antivirus (anglais)
- § Vérification des fichiers pour les virus avant le téléchargement (anglais)
- § virusinfo.info Portail dédié à la sécurité de l'information (conférence des virologues), où vous pouvez demander de l'aide.
- § antivse.com Un autre portail où vous pouvez télécharger les programmes antivirus les plus courants, payants et gratuits.
- § www.viruslist.ru Encyclopédie des virus Internet créée par Kaspersky Lab
Antivirus
Avast! * AVS * Ashampoo Antivirus * AVG * Avira AntiVir * BitDefender * Clam Antivirus * ClamWin * Comodo Antivirus * Dr. Web * F-Prot * Antivirus F-Secure * Antivirus Kaspersky * McAfee VirusScan * NOD32 * Norton Antivirus * Outpost Antivirus * Panda Antivirus * PC-cillin * Windows Live OneCare
Comparer les programmes antivirus n’a jamais été une tâche facile. Après tout, les entreprises qui créent ce type de produits se sont toujours distinguées par leur souci d’amélioration et de mise à jour constante de leurs logiciels. Malgré cela, certains antivirus sont meilleurs dans leurs tâches, tandis que d'autres sont pires.
Chacun d'eux a ses propres avantages et inconvénients, mais tout le monde n'est pas en mesure d'évaluer objectivement son travail et de choisir celui qui convient le mieux au fonctionnement de son ordinateur.
Nous avons donc décidé d'analyser les programmes antivirus les plus populaires du marché, Kaspersky, ESET NOD32, McAfee, Symantec, afin de vous donner une idée générale de leur travail et de vous aider à faire le bon choix pour protéger votre ordinateur personnel. Les résultats de l'analyse ont été affichés sous forme de tableau afin de maximiser la perception de la différence entre les logiciels testés.
|
Prise en charge du scénario « refuser par défaut » avec la possibilité d'exclure automatiquement du scénario les processus et les sources de mise à jour fiables nécessaires au fonctionnement du système. |
||||
|
Autoriser/bloquer des programmes : |
||||
|
Sélection dans le registre du programme |
||||
|
Sélection des fichiers exécutables dans le registre |
||||
|
Saisie des métadonnées du fichier exécutable |
||||
|
Saisie des sommes de contrôle des fichiers exécutables (MD5, SHA1) |
||||
|
Saisir le chemin vers fichiers exécutables(local ou UNC) |
||||
|
Sélection de catégories d'applications prédéfinies |
||||
|
Autoriser/bloquer des applications pour des utilisateurs individuels/groupes d'utilisateurs Active Directory |
||||
|
Surveiller et limiter l’activité du programme |
||||
|
Surveillance et priorisation des vulnérabilités |
||||
|
Autoriser/bloquer l'accès aux ressources Web, avertissement de danger : |
||||
|
Filtrage des liens |
||||
|
Filtrer le contenu par catégories prédéfinies |
||||
|
Filtrer le contenu par type de données |
||||
|
Intégration d'Active Directory |
||||
|
Autoriser/bloquer l'accès aux ressources Web selon un calendrier |
||||
|
Générer des rapports détaillés sur l'utilisation du PC pour accéder aux ressources Web |
||||
|
Contrôle des appareils basé sur des règles : |
||||
|
Par type de port/bus |
||||
|
Par type d'appareil connecté |
||||
|
Par groupes d'utilisateurs dans Active Directory |
||||
|
Création de listes blanches basées sur Numéros de série dispositifs |
||||
|
Contrôle flexible des droits d'accès aux appareils de lecture/écriture avec possibilité de configurer un planning |
||||
|
Gestion des autorisations d'accès temporaires |
||||
|
Scénario de refus par défaut, appliqué en fonction de la priorité |
En analysant les données obtenues, nous pouvons affirmer avec certitude qu'un seul antivirus, Kaspersky, a fait face à toutes les tâches, telles que la surveillance des programmes, des sites Internet et des appareils. Antivirus McAfee a montré de bons résultats dans la catégorie « Contrôle des appareils », recevant la note maximale, mais, malheureusement, il n'est pas fiable pour le contrôle Web et le contrôle des applications.
Une autre analyse importante des programmes antivirus a été leur recherche pratique pour déterminer la qualité de la protection des ordinateurs personnels. Pour effectuer cette analyse, trois autres programmes antivirus ont été ajoutés : Dr. Web, AVG, TrustPort, le tableau de comparaison des programmes de ce segment est devenu encore plus complet. Pour les tests, 3 837 fichiers infectés avec diverses instances de menaces ont été utilisés, et la manière dont les programmes antivirus testés les ont traités est indiquée dans le tableau ci-dessous.
|
Kaspersky |
|||||
|
1 mn 10 s |
|||||
|
5 minutes 32 secondes |
|||||
|
6 minutes 10 secondes |
|||||
|
1 mn 10 s |
Et encore une fois, Kaspersky Anti-Virus a pris la tête, devant ses concurrents dans un indicateur aussi important que le pourcentage de détection des menaces - plus de 96 %. Mais, comme on dit, il y avait ici un problème. Le temps passé à rechercher des fichiers infectés et les ressources consommées sur un ordinateur personnel étaient les plus élevés parmi tous les produits testés.
Les plus rapides ici étaient le Dr. Web et ESET NOD32, qui ont passé un peu plus d'une minute à rechercher des virus, avec respectivement 77,3 % et 50,8 % de détection de fichiers infectés. Ce qui est le plus important - le pourcentage de virus détectés ou le temps passé à la recherche - c'est à vous de décider. Mais n’oubliez pas que la sécurité de votre ordinateur doit être primordiale.
ESET HOCHER LA TÊTE32 a montré le pire résultat en matière de détection des menaces, seulement 50,8 %, ce qui est un résultat inacceptable pour un PC. TrustPort s'est avéré être le plus rapide et AVG le moins exigeant en ressources, mais, malheureusement, le faible pourcentage de menaces détectées par ces programmes antivirus ne peut pas leur permettre de rivaliser avec les leaders.
Sur la base des résultats des tests, Kaspersky Anti-Virus peut être considéré en toute confiance comme la meilleure option pour protéger votre ordinateur, à condition qu'il dispose d'une quantité suffisante de RAM installée et bon processeur. De plus, le prix du produit Kaspersky Lab n'est pas le plus élevé, ce qui ne peut que plaire aux consommateurs.
