Valutazione dei programmi antivirus. Confronto degli antivirus in base all'efficacia della protezione contro i malware più recenti. Analisi comparativa dei virus informatici
introduzione
1. Parte teorica
1.1 Il concetto di sicurezza delle informazioni
1.2 Tipologie di minacce
1.3 Metodi di sicurezza delle informazioni
2. Parte di progettazione
2.1 Classificazione dei virus informatici
2.2 Il concetto di programma antivirus
2.3 Tipi di strumenti antivirus
2.4 Confronto di pacchetti antivirus
Conclusione
Elenco della letteratura usata
Applicazione
introduzione
Sviluppo di nuovo Tecnologie informatiche e l'informatizzazione generale hanno fatto sì che la sicurezza delle informazioni non solo diventi un obbligo, ma sia anche una delle caratteristiche dei sistemi di informazione. Esiste una classe piuttosto ampia di sistemi di elaborazione delle informazioni nello sviluppo dei quali il fattore sicurezza gioca un ruolo primario.
L'uso di massa dei personal computer è associato all'emergere di programmi virali autoriproducenti che prevengono operazione normale computer che distruggono struttura dei file dischi e danneggiare le informazioni memorizzate nel computer.
Nonostante le leggi adottate in molti paesi per combattere la criminalità informatica e lo sviluppo di programmi speciali nuovi strumenti di protezione antivirus, il numero di nuovi virus software è in costante crescita. Ciò richiede l'utente personal computer conoscenza della natura dei virus, dei metodi di infezione e della protezione contro i virus.
Ogni giorno i virus diventano più sofisticati, il che porta a un cambiamento significativo nel profilo delle minacce. Ma il mercato degli antivirus Software non si ferma, offrendo una varietà di prodotti. I loro utenti, presentando il problema solo in termini generali, spesso perdono sfumature importanti e finiscono con l'illusione della protezione invece della protezione stessa.
Lo scopo di questo corso è condurre un'analisi comparativa dei pacchetti antivirus.
Per raggiungere questo obiettivo, nel lavoro vengono risolti i seguenti compiti:
Impara i concetti informazioni di sicurezza, virus informatici e strumenti antivirus;
Determinare i tipi di minacce alla sicurezza delle informazioni, metodi di protezione;
Studiare la classificazione dei virus informatici e dei programmi antivirus;
Condurre un'analisi comparativa dei pacchetti antivirus;
Crea un programma antivirus.
Il significato pratico dell'opera.
I risultati ottenuti, il materiale di lavoro del corso, possono essere utilizzati come base per l'autoconfronto dei programmi antivirus.
La struttura del corso funziona.
Il lavoro del corso è composto da Introduzione, due sezioni, Conclusione, elenco di bibliografia.
antivirus per la sicurezza dei virus informatici
1. Parte teorica
Nel processo di analisi comparativa dei pacchetti antivirus, è necessario definire i seguenti concetti:
1 Sicurezza delle informazioni.
2 Tipi di minacce.
3 Metodi di sicurezza delle informazioni.
Vediamo più da vicino questi concetti:
1.1 Il concetto di sicurezza delle informazioni
Nonostante gli sforzi sempre crescenti per creare tecnologie di protezione dei dati, la loro vulnerabilità condizioni moderne non solo non diminuisce, ma aumenta costantemente. Pertanto, l’urgenza dei problemi legati alla protezione delle informazioni è sempre maggiore.
Il problema della sicurezza delle informazioni è multiforme e complesso e copre una serie di compiti importanti. Ad esempio, la riservatezza dei dati, che è garantita mediante l'uso di vari metodi e mezzi. L'elenco di attività simili per la sicurezza delle informazioni può continuare. Sviluppo intensivo delle moderne tecnologie dell'informazione, e in particolare tecnologie di rete, crea tutti i prerequisiti per questo.
La protezione delle informazioni è un insieme di misure volte a garantire l'integrità, la disponibilità e, se necessario, la riservatezza delle informazioni e delle risorse utilizzate per inserire, archiviare, elaborare e trasmettere i dati.
Ad oggi sono stati formulati due principi fondamentali per la sicurezza delle informazioni:
1 integrità dei dati - protezione contro guasti che portano alla perdita di informazioni, nonché protezione contro la creazione o distruzione non autorizzata di dati;
2 riservatezza delle informazioni.
La protezione contro i guasti che portano alla perdita di informazioni viene effettuata nella direzione di aumentare l'affidabilità dei singoli elementi e sistemi che inseriscono, archiviano, elaborano e trasmettono dati, la duplicazione e la ridondanza di singoli elementi e sistemi, l'uso di vari, compresi quelli autonomi, fonti di energia, aumento del livello di qualificazione degli utenti, protezione contro azioni involontarie e intenzionali che portano al guasto delle apparecchiature, alla distruzione o alla modifica (modifica) del software e delle informazioni protette.
Viene fornita protezione contro la creazione o la distruzione non autorizzata dei dati protezione fisica informazioni, differenziazione e limitazione dell'accesso agli elementi delle informazioni protette, chiusura delle informazioni protette nel processo di elaborazione diretta, sviluppo di sistemi software e hardware, dispositivi e software specializzati per impedire l'accesso non autorizzato alle informazioni protette.
La riservatezza delle informazioni è assicurata dall'identificazione e autenticazione dei soggetti che accedono al momento dell'accesso al sistema mediante ID e password, identificazione dispositivi esterni per indirizzi fisici, identificazione di programmi, volumi, directory, file per nome, crittografia e decrittografia delle informazioni, differenziazione e controllo dell'accesso ad esse.
Tra le misure volte a proteggere le informazioni, le principali sono tecniche, organizzative e legali.
Le misure tecniche comprendono la protezione contro l'accesso non autorizzato al sistema, la ridondanza dei sottosistemi informatici critici, l'organizzazione reti di computer con la possibilità di ridistribuire le risorse in caso di malfunzionamento dei singoli collegamenti, installare sistemi di alimentazione di riserva, dotare le stanze di serrature, installare allarmi e così via.
Le misure organizzative comprendono: protezione del centro di calcolo (sale informatiche); conclusione di un contratto per la manutenzione di apparecchiature informatiche con un'organizzazione rispettabile con una buona reputazione; esclusione della possibilità di lavorare su apparecchiature informatiche da parte di estranei, persone a caso e così via.
Le misure legali includono lo sviluppo di norme che stabiliscono la responsabilità per la distruzione di apparecchiature informatiche e la distruzione (modifica) di software, il controllo pubblico sugli sviluppatori e sugli utenti di sistemi e programmi informatici.
Va sottolineato che nessun hardware, software o altre soluzioni possono garantire l'assoluta affidabilità e sicurezza dei dati nei sistemi informatici. Allo stesso tempo, è possibile ridurre al minimo il rischio di perdite, ma solo con un approccio integrato alla protezione delle informazioni.
1.2 Tipologie di minacce
Le minacce passive mirano principalmente all'uso non autorizzato risorse di informazione sistema informativo senza comprometterne il funzionamento. Ad esempio, accesso non autorizzato a database, intercettazione di canali di comunicazione e così via.
Le minacce attive mirano a violare funzionamento normale sistema informativo influenzandone intenzionalmente le componenti. Le minacce attive includono, ad esempio, la distruzione di un computer o dei suoi sistema operativo, distruzione del software del computer, interruzione delle linee di comunicazione e così via. La fonte delle minacce attive può essere rappresentata dalle azioni di hacker, malware e simili.
Le minacce intenzionali si dividono inoltre in interne (che si verificano all'interno dell'organizzazione gestita) ed esterne.
Le minacce interne sono spesso determinate dalla tensione sociale e da un clima morale difficile.
Le minacce esterne possono essere determinate dalle azioni dannose dei concorrenti, dalle condizioni economiche e da altre cause (ad esempio, disastri naturali).
Le principali minacce alla sicurezza delle informazioni e al normale funzionamento del sistema informativo includono:
Perdita di informazioni riservate;
Compromissione delle informazioni;
Uso non autorizzato delle risorse informative;
Utilizzo errato delle risorse informative;
Scambio non autorizzato di informazioni tra abbonati;
Rifiuto di informazioni;
Violazione del servizio informativo;
Uso illegale dei privilegi.
La fuga di informazioni riservate è una diffusione incontrollata di informazioni riservate al di fuori del sistema informativo o della cerchia delle persone a cui sono state affidate nel servizio o divenute note nel corso del lavoro. Questa perdita potrebbe essere dovuta a:
Divulgazione di informazioni riservate;
Lasciare informazioni attraverso vari canali, principalmente tecnici;
Accesso non autorizzato a informazioni riservate diversi modi.
La divulgazione di informazioni da parte del suo proprietario o possessore è l'azione intenzionale o negligente di funzionari e utenti ai quali le informazioni pertinenti sono state debitamente affidate nel servizio o nel lavoro, che hanno portato alla loro conoscenza da parte di persone che non erano ammesse a tali informazioni.
È possibile la custodia incontrollata di informazioni riservate tramite canali visivo-ottici, acustici, elettromagnetici e altri.
L'accesso non autorizzato è il possesso deliberato e illegale di informazioni riservate da parte di una persona che non ha il diritto di accedere alle informazioni protette.
Le modalità più comuni di accesso non autorizzato alle informazioni sono:
Intercettazione di radiazioni elettroniche;
L'uso di dispositivi di ascolto;
Fotografia a distanza;
Intercettazione delle emissioni acustiche e ripristino del testo della stampante;
Copia dei media con superamento delle misure di protezione;
Travestirsi da utente registrato;
Mascheramento sotto le richieste del sistema;
Utilizzo di trappole software;
Sfruttare le carenze dei linguaggi di programmazione e dei sistemi operativi;
Collegamento illegale ad apparecchiature e linee di comunicazione di hardware appositamente progettato che fornisce l'accesso alle informazioni;
Disattivazione dolosa dei meccanismi di protezione;
Decrittazione di informazioni crittografate mediante programmi speciali;
infezioni informatiche.
Le modalità di accesso non autorizzate elencate richiedono molte conoscenze tecniche e hardware appropriato o sviluppo software dal ladro. Ad esempio, vengono utilizzati canali tecnici Le perdite sono percorsi fisici da una fonte di informazioni riservate a un utente malintenzionato, attraverso i quali è possibile ottenere informazioni protette. Il motivo della comparsa di canali di perdita è la progettazione e le imperfezioni tecnologiche delle soluzioni circuitali o l'usura operativa degli elementi. Tutto ciò consente agli hacker di creare convertitori che operano secondo determinati principi fisici, formando un canale di trasmissione delle informazioni inerente a questi principi: un canale di perdita.
Tuttavia, esistono metodi piuttosto primitivi di accesso non autorizzato:
Furto di supporti informatici e rifiuti documentali;
Collaborazione proattiva;
Rifiutarsi di collaborare da parte del ladro;
sondare;
Intercettazioni;
Osservazione e altri modi.
Qualsiasi metodo di fuga di informazioni riservate può portare a notevoli danni materiali e morali sia per l'organizzazione in cui opera il sistema informativo che per i suoi utenti.
Esiste e viene costantemente sviluppato un numero enorme di malware, il cui scopo è corrompere le informazioni contenute nei database e nel software del computer. La grande varietà di questi programmi non consente lo sviluppo di rimedi permanenti e affidabili contro di essi.
Si ritiene che il virus sia caratterizzato da due caratteristiche principali:
La capacità di auto-riprodursi;
Capacità di intervenire processo di calcolo(per ottenere il controllo).
L'uso non autorizzato delle risorse informative, da un lato, è la conseguenza della sua fuga e un mezzo per comprometterla. D'altro canto ha un valore autonomo, poiché può causare gravi danni al sistema gestito o ai suoi abbonati.
L'erroneo utilizzo delle risorse informative, pur essendo autorizzato, può tuttavia comportare la distruzione, la fuga o la compromissione di tali risorse.
Lo scambio non autorizzato di informazioni tra abbonati può comportare la ricezione da parte di uno di essi di informazioni il cui accesso gli è vietato. Le conseguenze sono le stesse dell'accesso non autorizzato.
1.3 Metodi di sicurezza delle informazioni
La realizzazione di sistemi di sicurezza informatica si basa sui seguenti principi:
1 Un approccio sistematico alla costruzione di un sistema di protezione, ovvero la combinazione ottimale di organizzazioni, programmi e programmi interconnessi. Proprietà hardware, fisiche e di altro tipo, confermate dalla pratica di creazione di sistemi di protezione nazionali ed esteri e utilizzate in tutte le fasi del ciclo tecnologico di elaborazione delle informazioni.
2 Il principio dello sviluppo continuo del sistema. Questo principio, che è uno dei fondamentali per i sistemi informativi informatici, è ancora più rilevante per i sistemi di sicurezza informatica. I metodi per implementare le minacce informatiche vengono costantemente migliorati e pertanto garantire la sicurezza dei sistemi informativi non può essere un atto una tantum. Si tratta di un processo continuo, che consiste nel comprovare e implementare i metodi, i metodi e le modalità più razionali per migliorare i sistemi di sicurezza delle informazioni, il monitoraggio continuo, l'identificazione dei colli di bottiglia e dei punti deboli, i potenziali canali di fuga di informazioni e nuovi metodi di accesso non autorizzato,
3 Garantire l'affidabilità del sistema di protezione, ovvero l'impossibilità di ridurre il livello di affidabilità in caso di guasti, guasti, azioni intenzionali di un intruso o errori involontari degli utenti e del personale addetto alla manutenzione del sistema.
4 Garantire il controllo sul funzionamento del sistema di protezione, ovvero la creazione di mezzi e metodi per monitorare l'efficacia dei meccanismi di protezione.
5 Fornire tutti i tipi di strumenti anti-malware.
6 Garantire la fattibilità economica dell'utilizzo del sistema. Protezione, che si esprime nell'eccedenza del possibile danno derivante dall'implementazione delle minacce rispetto al costo di sviluppo e funzionamento dei sistemi di sicurezza delle informazioni.
Come risultato della risoluzione dei problemi di sicurezza delle informazioni, i moderni sistemi informativi dovrebbero avere le seguenti caratteristiche principali:
Disponibilità di informazioni con vari gradi di riservatezza;
Garantire la protezione crittografica delle informazioni con vari gradi di riservatezza durante la trasmissione dei dati;
Gestione del flusso informativo obbligatorio, come in reti locali e durante la trasmissione su canali di comunicazione su lunghe distanze;
La presenza di un meccanismo per la registrazione e la contabilizzazione dei tentativi di accesso non autorizzati, degli eventi nel sistema informativo e dei documenti stampati;
Obbligatorio garantire l'integrità del software e delle informazioni;
Disponibilità di mezzi per ripristinare il sistema di protezione delle informazioni;
Contabilità obbligatoria dei supporti magnetici;
La presenza di protezione fisica delle apparecchiature informatiche e dei supporti magnetici;
La presenza di uno speciale servizio di sicurezza delle informazioni del sistema.
Metodi e mezzi per garantire la sicurezza delle informazioni.
Ostacolo: un metodo per bloccare fisicamente il percorso di un utente malintenzionato verso le informazioni protette.
Controllo degli accessi: metodi per proteggere le informazioni regolando l'uso di tutte le risorse. Questi metodi devono resistere a tutte le possibili modalità di accesso non autorizzato alle informazioni. Il controllo degli accessi include le seguenti funzionalità di sicurezza:
Identificazione degli utenti, del personale e delle risorse del sistema (assegnazione di un identificatore personale a ciascun oggetto);
Identificazione di un oggetto o soggetto tramite l'identificatore loro presentato;
Autorizzazione e creazione di condizioni di lavoro nell'ambito delle normative stabilite;
Registrazione delle chiamate alle risorse protette;
Rispondere a tentativi di azioni non autorizzate.
Meccanismi di crittografia: chiusura crittografica delle informazioni. Questi metodi di protezione sono sempre più utilizzati sia nel trattamento che nella conservazione delle informazioni su supporti magnetici. Quando si trasmettono informazioni su canali di comunicazione a lunga distanza, questo metodo è l'unico affidabile.
La lotta agli attacchi malware prevede una serie di diverse misure organizzative e l'uso di programmi antivirus.
L'intero set mezzi tecnici suddiviso in hardware e fisico.
Hardware: dispositivi integrati direttamente informatica o dispositivi che si interfacciano con esso tramite un'interfaccia standard.
I mezzi fisici includono vari dispositivi e strutture ingegneristici che impediscono la penetrazione fisica di intrusi negli oggetti protetti e proteggono il personale (attrezzature di sicurezza personale), i beni materiali e le finanze e le informazioni da azioni illegali.
Software significa programmi speciali e complessi software progettato per proteggere le informazioni nei sistemi informativi.
Dal software del sistema di protezione è necessario evidenziare di più Software, che implementano meccanismi di crittografia (crittografia). La crittografia è la scienza che garantisce la segretezza e/o l'autenticità (autenticità) dei messaggi trasmessi.
I mezzi organizzativi, nel loro complesso, regolano le attività di produzione nei sistemi informativi e i rapporti degli esecutori su base legale in modo tale che la divulgazione, la fuga e l'accesso non autorizzato alle informazioni riservate diventi impossibile o notevolmente ostacolata da misure organizzative.
I rimedi legislativi sono determinati dalle leggi del paese, che regolano le regole per l'uso, l'elaborazione e la trasmissione delle informazioni accesso limitato e vengono stabilite sanzioni per la violazione di queste regole.
I mezzi di protezione morale ed etico includono tutti i tipi di norme di comportamento che si sono tradizionalmente sviluppate in precedenza, si formano man mano che le informazioni si diffondono nel paese e nel mondo o sono sviluppate appositamente. Gli standard morali ed etici possono essere non scritti o redatti in un determinato insieme di norme o regolamenti. Queste norme, di regola, non sono approvate legalmente, ma poiché la loro inosservanza porta a una diminuzione del prestigio dell'organizzazione, sono considerate obbligatorie.
2. Parte di progettazione
Nella parte di progettazione dovranno essere completati i seguenti passaggi:
1 Definire il concetto di virus informatico e la classificazione dei virus informatici.
2 Definire il concetto di programma antivirus e la classificazione degli strumenti antivirus.
3 Condurre un'analisi comparativa dei pacchetti antivirus.
2.1 Classificazione dei virus informatici
Un virus è un programma che può infettare altri programmi includendo in essi una copia modificata che ha la capacità di riprodursi ulteriormente.
I virus possono essere suddivisi in classi in base alle seguenti caratteristiche principali:
Possibilità distruttive
Caratteristiche dell'algoritmo di lavoro;
Habitat;
In base alla loro capacità distruttiva, i virus possono essere suddivisi in:
Innocuo, cioè non pregiudica in alcun modo il funzionamento del computer (ad eccezione della riduzione dello spazio libero su disco a causa della sua distribuzione);
Non pericoloso, il cui impatto è limitato a una diminuzione dello spazio libero su disco e degli effetti grafici, sonori e di altro tipo;
Virus pericolosi che possono causare gravi malfunzionamenti del computer;
Molto pericoloso, il cui algoritmo si basa deliberatamente su procedure che possono portare alla perdita di programmi, distruggere dati, cancellare le informazioni necessarie al funzionamento del computer, registrate nelle aree di memoria del sistema
Le caratteristiche dell'algoritmo del virus possono essere caratterizzate dalle seguenti proprietà:
Residenza;
Utilizzo di algoritmi stealth;
polimorfismo;
Virus residenti.
Il termine "residenza" si riferisce alla capacità dei virus di lasciare le proprie copie nella memoria del sistema, intercettare determinati eventi e, così facendo, richiamare procedure per infettare gli oggetti rilevati (file e settori). Pertanto, i virus residenti sono attivi non solo durante l'esecuzione del programma infetto, ma anche dopo che il programma ha terminato il suo lavoro. Le copie residenti di tali virus rimangono vitali fino al riavvio successivo, anche se tutti i file infetti sul disco vengono distrutti. Spesso è impossibile eliminare tali virus ripristinando tutte le copie dei file dai dischi di distribuzione o dalle copie di backup. La copia residente del virus rimane attiva e infetta i file appena creati. Lo stesso vale per i virus di avvio: la formattazione di un'unità mentre è presente un virus residente in memoria non sempre cura l'unità, poiché molti virus residenti infettano nuovamente l'unità dopo che è stata formattata.
virus non residenti. I virus non residenti, al contrario, sono attivi per un periodo piuttosto breve, solo nel momento in cui viene avviato il programma infetto. Per la loro distribuzione, cercano file non infetti sul disco e vi scrivono. Dopo che il codice del virus ha trasferito il controllo al programma host, l'effetto del virus sul funzionamento del sistema operativo viene ridotto a zero fino al successivo avvio di qualsiasi programma infetto. Pertanto, i file infettati da virus non residenti sono molto più facili da rimuovere dal disco e allo stesso tempo non consentono al virus di infettarli nuovamente.
Virus invisibili. I virus invisibili in un modo o nell'altro nascondono il fatto della loro presenza nel sistema. L'uso di algoritmi invisibili consente ai virus di nascondersi completamente o parzialmente nel sistema. L'algoritmo stealth più comune consiste nell'intercettare le richieste del sistema operativo di leggere (scrivere) oggetti infetti. Allo stesso tempo, i virus stealth li curano temporaneamente o “sostituiscono” al loro posto informazioni non infette. Nel caso dei virus macro, il metodo più diffuso è disattivare le chiamate al menu di visualizzazione macro. Sono noti virus invisibili di tutti i tipi, ad eccezione dei virus Windows: virus di avvio, virus di file DOS e persino virus macro. L'emergere di virus invisibili che infettano File di Windows, è molto probabilmente una questione di tempo.
Virus polimorfici. L'autocrittografia e la polimorficità vengono utilizzate da quasi tutti i tipi di virus per complicare il più possibile la procedura di rilevamento del virus. I virus polimorfici sono virus piuttosto difficili da rilevare che non hanno firme, cioè non contengono un singolo pezzo di codice permanente. Nella maggior parte dei casi, due campioni dello stesso virus polimorfico non avranno una singola corrispondenza. Ciò si ottiene crittografando il corpo principale del virus e modificando il programma di decrittazione.
I virus polimorfici includono quelli che non possono essere rilevati utilizzando le cosiddette maschere antivirus, sezioni di un codice permanente specifico per un particolare virus. Ciò si ottiene principalmente in due modi: crittografando il codice del virus principale con una chiamata non permanente e una serie casuale di comandi di decrittografia oppure modificando il codice del virus effettivamente eseguito. Polimorfismo di vari gradi di complessità si trova nei virus di tutti i tipi, dai virus DOS di avvio e file ai virus Windows.
In base all'habitat, i virus possono essere suddivisi in:
File;
Stivale;
Macrovirus;
Rete.
Virus dei file. I virus dei file si infiltrano nei file eseguibili in vari modi oppure creano file duplicati (virus compagni) oppure utilizzano funzionalità di organizzazione del file system (virus di collegamento).
L'introduzione di un file virus è possibile in quasi tutti i file eseguibili di tutti i sistemi operativi più diffusi. Ad oggi sono noti virus che infettano tutti i tipi di oggetti eseguibili DOS standard: file batch (BAT), driver caricabili (SYS, inclusi file speciali IO.SYS e MSDOS.SYS) e file binari eseguibili (EXE, COM). Esistono virus che infettano i file eseguibili di altri sistemi operativi: Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, inclusi i driver Windows 3.x e Windows95 VxD.
Esistono virus che infettano file che contengono testi sorgente di programmi, librerie o moduli oggetto. È possibile che un virus scriva sui file di dati, ma ciò accade a causa di un errore del virus o quando si manifestano le sue proprietà aggressive. I virus macro scrivono il loro codice anche su file di dati come documenti o fogli di calcolo, ma questi virus sono così specifici che vengono inseriti in un gruppo separato.
virus di avvio. I virus di avvio infettano il settore di avvio di un dischetto e il settore di avvio o Master Boot Record (MBR) di un disco rigido. Il principio di funzionamento dei virus di avvio si basa sugli algoritmi per l'avvio del sistema operativo all'accensione o al riavvio del computer: dopo i necessari test dell'apparecchiatura installata (memoria, dischi, ecc.), il programma di avvio del sistema legge il primo settore fisico disco di avvio(A:, C: o CD-ROM a seconda delle opzioni impostate in Impostazioni del BIOS) e gli trasferisce il controllo.
Nel caso di un floppy disk o di un CD, il controllo viene ricevuto dal settore di avvio, che analizza la tabella dei parametri del disco (BPB - BIOS Parametro Block), calcola gli indirizzi dei file di sistema del sistema operativo, li legge in memoria e li avvia per l'esecuzione . I file di sistema sono solitamente MSDOS.SYS e IO.SYS, oppure IBMDOS.COM e IBMBIO.COM, o altri a seconda versione installata DOS, Windows o altri sistemi operativi. Se sul disco di avvio non sono presenti file del sistema operativo, il programma situato nel settore di avvio del disco visualizza un messaggio di errore e suggerisce di sostituire il disco di avvio.
Nel caso di un disco rigido, il controllo viene ricevuto da un programma situato nell'MBR del disco rigido. Questo programma analizza la tabella delle partizioni del disco (Disk Partition Table), calcola l'indirizzo del settore di avvio attivo (di solito questo settore è il settore di avvio del disco C), lo carica in memoria e gli trasferisce il controllo.Dopo aver ricevuto il controllo, l'attivo il settore di avvio del disco rigido esegue le stesse azioni del settore di avvio del floppy.
Quando infettano i dischi, i virus di avvio “sostituiscono” il loro codice con qualche programma che prende il controllo all'avvio del sistema. Pertanto, il principio dell'infezione è lo stesso in tutti i metodi sopra descritti: il virus “forza” il sistema, quando viene riavviato, a leggere in memoria e dare il controllo non al codice originale del bootloader, ma al codice del virus.
I floppy disk vengono infettati nell'unico modo noto: il virus invece scrive il proprio codice codice originale settore di avvio del floppy disk. Winchester viene infettato da tre modi possibili- il virus viene scritto al posto del codice MBR o al posto del codice del settore di avvio del disco di avvio (di solito l'unità C, oppure modifica l'indirizzo del settore di avvio attivo nella tabella delle partizioni del disco situata nell'MBR dell'hard disk) guidare.
Macrovirus. I virus macro infettano file: documenti e fogli di calcolo di numerosi editor popolari. I virus macro sono programmi in linguaggi (macrolinguaggi) integrati in alcuni sistemi di elaborazione dati. Per riprodursi, tali virus utilizzano le capacità dei macrolinguaggi e con il loro aiuto si trasferiscono da un file infetto ad altri. I macrovirus per Microsoft Word, Excel e Office97 hanno ricevuto la maggiore diffusione. Esistono anche virus macro che infettano i documenti Ami Pro e i database di Microsoft Access.
virus di rete. I virus di rete includono virus che utilizzano attivamente i protocolli e le funzionalità delle reti locali e globali per la propria diffusione. Il principio principale di un virus di rete è la capacità di trasferire autonomamente il proprio codice a un server o workstation remota. Allo stesso tempo, i virus di rete “veri e propri” hanno anche la capacità di eseguire il proprio codice su un computer remoto o, almeno, di “spingere” l’utente ad avviare il file infetto. Un esempio di virus di rete sono i cosiddetti worm IRC.
IRC (Internet Relay Chat) è un protocollo speciale progettato per la comunicazione in tempo reale tra utenti Internet. Questo protocollo fornisce loro la possibilità di "parlare" su Internet utilizzando un software appositamente progettato. Oltre a partecipare alle conferenze generali, gli utenti IRC hanno la possibilità di chattare individualmente con qualsiasi altro utente. Inoltre, esiste un numero abbastanza elevato di comandi IRC con i quali l'utente può ottenere informazioni su altri utenti e canali, modificare alcune impostazioni del client IRC e così via. C'è anche la possibilità di inviare e ricevere file, su cui si basano i worm IRC. Il potente ed esteso sistema di comando dei client IRC consente, sulla base dei loro script, di creare virus informatici che trasferiscono il loro codice sui computer degli utenti delle reti IRC, i cosiddetti "worm IRC". Il principio di funzionamento di tali worm IRC è più o meno lo stesso. Con l'aiuto dei comandi IRC, un file di script di lavoro (script) viene inviato automaticamente da un computer infetto a ciascun utente che si è unito nuovamente al canale. Il file script inviato sostituisce quello standard e durante la sessione successiva il client appena infetto invierà il worm. Alcuni worm IRC contengono anche un componente Trojan: eseguono azioni distruttive sui computer interessati utilizzando parole chiave specifiche. Ad esempio, il worm "pIRCH.Events" cancella tutti i file sul disco dell'utente con un comando specifico.
Esistono numerose combinazioni, ad esempio virus di avvio di file che infettano sia i file che i settori di avvio dei dischi. Tali virus, di regola, hanno un algoritmo di lavoro piuttosto complesso, spesso utilizzano metodi originali per penetrare nel sistema, utilizzano tecnologie invisibili e polimorfiche. Un altro esempio di tale combinazione è un macro virus di rete che non solo infetta i documenti modificati, ma invia anche copie di se stesso tramite posta elettronica.
Oltre a questa classificazione occorre spendere qualche parola su altri malware che a volte vengono confusi con i virus. Questi programmi non hanno la capacità di auto-propagarsi come i virus, ma possono causare danni altrettanto devastanti.
Cavalli di Troia (bombe logiche o bombe a orologeria).
I cavalli di Troia includono programmi che provocano azioni distruttive, ovvero, a seconda delle condizioni o ad ogni avvio, distruggono informazioni sui dischi, "sospengono" il sistema e così via. Ad esempio, si può citare un caso del genere: quando un programma del genere, durante una sessione su Internet, ha inviato identificatori e password al suo autore dai computer in cui viveva. La maggior parte dei famosi cavalli di Troia sono programmi che "falsificano" qualche tipo di programmi utili, nuove versioni di utilità popolari o aggiunte ad esse. Molto spesso vengono inviati alle stazioni BBS o alle conferenze elettroniche. Rispetto ai virus, i "cavalli di Troia" non sono ampiamente utilizzati per i seguenti motivi: si distruggono insieme al resto dei dati sul disco oppure smascherano la loro presenza e distruggono l'utente interessato.
2.2 Il concetto di programma antivirus
I modi per contrastare i virus informatici possono essere suddivisi in diversi gruppi:
Prevenzione dell'infezione virale e riduzione del danno atteso da tale infezione;
Metodologia per l'utilizzo dei programmi antivirus, inclusa la neutralizzazione e la rimozione di un virus noto;
Modi per rilevare e rimuovere un virus sconosciuto.
Prevenzione delle infezioni informatiche.
Uno dei principali metodi per combattere i virus è, come in medicina, la prevenzione tempestiva. La prevenzione informatica prevede il rispetto di un numero limitato di regole, che possono ridurre significativamente la probabilità di infezione da virus e di perdita di dati.
Per determinare le regole di base dell'“igiene” informatica, è necessario scoprire le principali modalità con cui un virus entra nel computer e nelle reti di computer.
La principale fonte di virus oggi è rete globale Internet. Il maggior numero di infezioni da virus si verifica durante lo scambio di lettere nei formati Word/Office97. L'utente di un editore infetto da un virus macro, senza sospettarlo, invia lettere infette ai destinatari, che a loro volta inviano nuove lettere infette e così via. Dovrebbe essere evitato il contatto con fonti di informazione sospette e dovrebbero essere utilizzati solo prodotti software legali (concessi in licenza).
Recupero oggetti danneggiati.
Nella maggior parte dei casi di infezione da virus, la procedura per ripristinare file e dischi infetti si riduce all'esecuzione di un antivirus adeguato in grado di neutralizzare il sistema. Se il virus non è noto a nessun antivirus, è sufficiente inviare il file infetto ai produttori di antivirus e dopo qualche tempo ricevere un medicinale di "aggiornamento" contro il virus. Se il tempo non aspetta, il virus dovrà essere neutralizzato da solo. La maggior parte degli utenti deve avere backup la tua informazione.
Gli strumenti generali per la sicurezza delle informazioni sono utili non solo per la protezione dai virus. Esistono due tipologie principali di questi fondi:
1 Copia delle informazioni: creazione di copie di file e aree di sistema dei dischi.
2 Il controllo degli accessi impedisce l'uso non autorizzato delle informazioni, in particolare la protezione contro la modifica dei programmi e dei dati da parte di virus, programmi difettosi e azioni errate degli utenti.
Il rilevamento tempestivo di file e dischi infetti da virus e la distruzione completa dei virus rilevati su ciascun computer aiutano a evitare la diffusione di un'epidemia di virus ad altri computer.
L'arma principale nella lotta contro i virus sono i programmi antivirus. Consentono non solo di rilevare virus, compresi virus che utilizzano vari metodi di mascheramento, ma anche di rimuoverli dal computer.
Esistono diversi metodi di scansione antivirus di base utilizzati dai programmi antivirus. Il metodo più tradizionale per trovare virus è la scansione.
Per rilevare, rimuovere e proteggersi dai virus informatici, sono stati sviluppati diversi tipi di programmi speciali che consentono di rilevare e distruggere i virus. Tali programmi sono chiamati programmi antivirus.
2.3 Tipi di strumenti antivirus
Programmi-rivelatori. I programmi di rilevamento cercano una firma caratteristica di un particolare virus in memoria ad accesso casuale sia nei file che al momento del rilevamento, emettono un messaggio appropriato. Lo svantaggio di tali programmi antivirus è che possono trovare solo virus noti agli sviluppatori di tali programmi.
Programmi per medici. I programmi Doctor o phages, così come i programmi vaccino, non solo trovano i file infetti da virus, ma li "curano", cioè rimuovono il corpo del programma antivirus dal file, riportando i file al loro stato originale. All'inizio del loro lavoro, i fagi cercano virus nella RAM, li distruggono e solo successivamente procedono al "trattamento" dei file. Tra i fagi si distinguono i polifagi, cioè programmi medici progettati per cercare e distruggere un gran numero di virus. I più famosi sono: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.
Dato che compaiono costantemente nuovi virus, i programmi di rilevamento e i programmi medici diventano rapidamente obsoleti e sono necessari aggiornamenti regolari.
I programmi di controllo (ispettori) sono uno dei mezzi più affidabili per proteggersi dai virus.
I revisori (ispettori) controllano i dati sul disco per individuare virus invisibili. Inoltre, l'ispettore non può utilizzare i mezzi del sistema operativo per accedere ai dischi, il che significa che un virus attivo non sarà in grado di intercettare questo accesso.
Il fatto è che un certo numero di virus, infiltrandosi nei file (cioè aggiungendosi alla fine o all'inizio del file), sostituiscono le voci su questo file nelle tabelle di allocazione dei file del nostro sistema operativo.
Gli auditor (ispettori) ricordano lo stato iniziale di programmi, directory e aree di sistema del disco quando il computer non è infetto da un virus, quindi periodicamente o su richiesta dell'utente confrontano lo stato corrente con quello originale. Le modifiche rilevate vengono visualizzate sullo schermo del monitor. Di norma, gli stati vengono confrontati immediatamente dopo il caricamento del sistema operativo. Durante il confronto vengono controllati la lunghezza del file, il codice di controllo ciclico (checksum del file), la data e l'ora della modifica e altri parametri. I revisori dei programmi (ispettori) hanno algoritmi sufficientemente sviluppati, rilevano virus invisibili e possono persino eliminare le modifiche apportate dal virus nella versione del programma controllato.
È necessario avviare l'auditor (ispettore) quando il computer non è ancora infetto, in modo che possa creare una tabella nella directory principale di ciascun disco, con tutte le informazioni necessarie sui file presenti su questo disco, nonché sulla sua area di avvio. Verrà richiesta l'autorizzazione per creare ciascuna tabella. Ai lanci successivi, l'auditor (ispettore) esaminerà i dischi, confrontando i dati di ciascun file con i propri record.
Se vengono rilevate infezioni, l'auditor (ispettore) potrà utilizzare il proprio modulo di cura, che ripristinerà il file danneggiato dal virus. Per ripristinare i file, l'ispettore non ha bisogno di sapere nulla su un tipo specifico di virus, è sufficiente utilizzare i dati sui file archiviati nelle tabelle.
Inoltre, se necessario, è possibile richiamare uno scanner antivirus.
Filtra programmi (monitor). I programmi di filtro (monitor) o "sentinelle" sono piccoli programmi residenti progettati per rilevare azioni sospette caratteristiche dei virus durante il funzionamento del computer. Tali azioni possono essere:
Tenta di correggere file con estensioni COM, EXE;
Modifica degli attributi del file;
Scrittura diretta su disco all'indirizzo assoluto;
Scrittura su settori di avvio del disco;
Quando un programma tenta di eseguire le azioni specificate, il "guardiano" invia un messaggio all'utente e si offre di vietare o consentire l'azione corrispondente. I programmi di filtraggio sono molto utili poiché sono in grado di rilevare un virus nella fase più precoce della sua esistenza prima della riproduzione. Tuttavia, non "riparano" file e dischi. Per distruggere i virus, è necessario utilizzare altri programmi, come i fagi.
Vaccini o immunizzatori. I vaccini sono programmi residenti che prevengono l'infezione dei file. I vaccini vengono utilizzati se non esistono programmi medici che "curano" questo virus. La vaccinazione è possibile solo contro i virus conosciuti. Il vaccino modifica il programma o il disco in modo tale da non influire sul loro funzionamento e il virus li percepirà come infetti e quindi non attecchirà. I programmi di vaccinazione sono attualmente di utilità limitata.
Scanner. Il principio di funzionamento degli scanner antivirus si basa sulla scansione di file, settori e memoria di sistema e sulla ricerca di virus noti e nuovi (sconosciuti allo scanner) al loro interno. Per la ricerca di virus conosciuti vengono utilizzate le cosiddette "maschere". Una maschera antivirus è una sequenza di codice costante specifica per quel particolare virus. Se il virus non contiene una maschera permanente o la lunghezza di questa maschera non è sufficientemente grande, vengono utilizzati altri metodi. Un esempio di tale metodo è un linguaggio algoritmico che descrive tutto possibili opzioni codice che può essere riscontrato se infetto da questo tipo di virus. Questo approccio viene utilizzato da alcuni antivirus per rilevare i virus polimorfici. Gli scanner possono anche essere suddivisi in due categorie: "universali" e "specializzati". Scanner universali sono progettati per cercare e neutralizzare tutti i tipi di virus, indipendentemente dal sistema operativo in cui lo scanner è progettato per funzionare. Gli scanner specializzati sono progettati per neutralizzare un numero limitato di virus o solo una classe di essi, come i virus macro. Gli scanner specializzati progettati solo per i virus macro spesso si rivelano la soluzione più conveniente e affidabile per proteggere i sistemi di flusso di lavoro negli ambienti MSWord e MSExcel.
Gli scanner si dividono inoltre in “residenti” (monitor, guardiani), che scansionano “al volo”, e “non residenti”, che effettuano controlli di sistema solo su richiesta. Di norma, gli scanner "residenti" forniscono di più protezione affidabile sistemi, poiché reagiscono immediatamente alla comparsa di un virus, mentre uno scanner “non residente” è in grado di identificare un virus solo al momento del suo successivo avvio. D'altro canto, uno scanner residente può rallentare leggermente il computer, anche a causa di possibili falsi positivi.
I vantaggi degli scanner di tutti i tipi includono la loro versatilità, gli svantaggi sono la velocità relativamente bassa della ricerca dei virus.
scanner CRC. Il principio di funzionamento degli scanner CRC si basa sul calcolo delle somme CRC ( checksum) per i file/settori di sistema presenti sul disco. Queste somme CRC vengono quindi archiviate nel database dell'antivirus, insieme ad alcune altre informazioni: lunghezza dei file, data dell'ultima modifica e così via. Alla successiva esecuzione degli scanner CRC, questi controllano i dati contenuti nel database con i valori conteggiati effettivi. Se le informazioni sul file registrate nel database non corrispondono ai valori reali, gli scanner CRC segnalano che il file è stato modificato o infetto da un virus. Gli scanner CRC che utilizzano algoritmi anti-stealth sono un'arma piuttosto potente contro i virus: quasi il 100% dei virus viene rilevato quasi immediatamente dopo essere comparsi su un computer. Tuttavia, questo tipo di antivirus presenta un difetto intrinseco che ne riduce notevolmente l'efficacia. Questo svantaggio è che gli scanner CRC non sono in grado di rilevare un virus nel momento in cui appare nel sistema, ma lo fanno solo dopo un po' di tempo, dopo che il virus si è diffuso nel computer. Gli scanner CRC non sono in grado di rilevare un virus nei nuovi file (nella posta elettronica, sui dischetti, nei file ripristinati da un backup o quando si decomprimono i file da un archivio), perché i loro database non contengono informazioni su questi file. Inoltre, periodicamente compaiono virus che sfruttano questa "debolezza" degli scanner CRC, infettano solo i file appena creati e quindi rimangono invisibili a loro.
Bloccanti. I bloccanti sono programmi residenti che intercettano situazioni "pericolose per il virus" e ne informano l'utente. Sono considerati "pericolosi i virus" le richieste di apertura per scrivere su file eseguibili, la scrittura nei settori di avvio dei dischi o nell'MBR di un disco rigido, i tentativi di programmi di rimanere residenti e così via, ovvero le chiamate tipiche dei virus nei momenti della riproduzione. A volte alcune funzioni di blocco sono implementate negli scanner residenti.
I vantaggi dei bloccanti includono la loro capacità di rilevare e fermare il virus nelle prime fasi della sua riproduzione. Gli svantaggi includono l'esistenza di modi per aggirare la protezione dei bloccanti e un gran numero di falsi positivi.
È inoltre necessario notare una direzione degli strumenti antivirus come i bloccanti antivirus, realizzati sotto forma di componenti hardware del computer. La più comune è la protezione da scrittura integrata nel BIOS nell'MBR del disco rigido. Tuttavia, come nel caso dei software blocker, tale protezione può essere facilmente aggirata scrivendo direttamente sulle porte del controller del disco e l'esecuzione dell'utility FDISK DOS provoca immediatamente un "falso positivo" di protezione.
Esistono molti altri bloccanti hardware universali, ma oltre agli svantaggi sopra elencati ci sono anche problemi di compatibilità con le configurazioni standard dei computer e difficoltà nell'installarli e configurarli. Tutto ciò rende i blocchi hardware estremamente impopolari rispetto ad altri tipi di protezione antivirus.
2.4 Confronto di pacchetti antivirus
Indipendentemente da ciò sistema informativo deve essere protetto, il parametro più importante quando si confrontano gli antivirus è la capacità di rilevare virus e altri malware.
Tuttavia, sebbene questo parametro sia importante, non è affatto l’unico.
Il fatto è che l'efficacia del sistema di protezione antivirus dipende non solo dalla sua capacità di rilevare e neutralizzare i virus, ma anche da molti altri fattori.
Un antivirus dovrebbe essere facile da usare, senza distrarre l'utente del computer dallo svolgimento dei suoi compiti diretti. Se l'antivirus infastidisce l'utente con richieste e messaggi persistenti, prima o poi verrà disabilitato. L'interfaccia dell'antivirus dovrebbe essere amichevole e comprensibile, poiché non tutti gli utenti hanno una vasta esperienza di lavoro programmi per computer. Senza comprendere il significato del messaggio che appare sullo schermo, puoi involontariamente consentire un'infezione da virus anche con un antivirus installato.
La modalità più conveniente di protezione antivirus è la scansione di tutti i file aperti. Se l'antivirus non è in grado di funzionare in questa modalità, l'utente dovrà eseguire ogni giorno una scansione di tutti i dischi per rilevare i nuovi virus emergenti. Questa procedura può richiedere decine di minuti o addirittura ore se noi stiamo parlando sui dischi di grandi dimensioni installati, ad esempio, su un server.
Poiché ogni giorno compaiono nuovi virus, è necessario aggiornare periodicamente il database antivirus. Altrimenti, l'efficacia della protezione antivirus sarà molto bassa. I moderni antivirus, dopo un'opportuna configurazione, possono aggiornare automaticamente i database antivirus tramite Internet, senza distrarre utenti e amministratori da questo lavoro di routine.
Quando si protegge una grande rete aziendale, viene in primo piano un parametro di confronto antivirus come la presenza di un centro di controllo della rete. Se rete aziendale unisce centinaia e migliaia di postazioni di lavoro, decine e centinaia di server, è praticamente impossibile organizzare un'efficace protezione antivirus senza un centro di controllo della rete. Uno o più amministratori di sistema non saranno in grado di aggirare tutte le workstation e i server installando e configurando su di essi programmi antivirus. Ciò richiede tecnologie che consentano l'installazione e la configurazione centralizzata degli antivirus su tutti i computer di una rete aziendale.
Protezione degli host Internet come server di posta e i server di messaggistica richiedono l'uso di strumenti antivirus specializzati. Gli antivirus convenzionali per la scansione dei file non saranno in grado di trovare codice dannoso nei database dei server di messaggistica o nel flusso di dati che passa attraverso i server di posta.
Di solito, quando si confrontano gli agenti antivirali, vengono presi in considerazione altri fattori. Le istituzioni statali possono, a parità di altre condizioni, preferire antivirus prodotti a livello nazionale che dispongano di tutti i certificati necessari. Anche la reputazione ricevuta dall'uno o dall'altro strumento antivirus tra gli utenti di computer e gli amministratori di sistema gioca un ruolo significativo. Anche le preferenze personali possono giocare un ruolo significativo nella scelta.
Per dimostrare i vantaggi dei loro prodotti, gli sviluppatori di antivirus utilizzano spesso i risultati di test indipendenti. Allo stesso tempo, gli utenti spesso non capiscono cosa e come è stato controllato esattamente in questo test.
In questo articolo è stata effettuata un'analisi comparativa dei più popolari questo momento programmi antivirus, ovvero: Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft.
Una delle prime a testare i prodotti antivirus è stata la rivista britannica Virus Bulletin. I primi test pubblicati sul loro sito risalgono al 1998. Il test si basa sulla raccolta di malware WildList. Per superare con successo il test, è necessario identificare tutti i virus in questa raccolta e dimostrare un tasso di falsi positivi pari a zero nella raccolta di file di registro “puliti”. I test vengono effettuati più volte all'anno su diversi sistemi operativi; I prodotti che superano con successo il test ricevono il premio VB100%. La figura 1 mostra quanti premi VB100% sono stati ricevuti dai prodotti di diverse aziende antivirus.
Naturalmente, la rivista Virus Bulletin può essere definita il più antico tester di antivirus, ma lo status di patriarca non lo salva dalle critiche della comunità antivirus. Innanzitutto, WildList include solo virus e worm ed è solo per la piattaforma Windows. In secondo luogo, la raccolta WildList contiene un numero limitato di programmi dannosi e viene riempita molto lentamente: nella raccolta compaiono solo poche dozzine di nuovi virus al mese, mentre, ad esempio, la raccolta AV-Test viene riempita durante questo periodo con diverse decine o addirittura centinaia di migliaia di istanze di software dannoso. .
Tutto ciò suggerisce che nella sua forma attuale la raccolta WildList è obsoleta e non riflette la situazione reale dei virus su Internet. Di conseguenza i test basati sulla raccolta WildList diventano sempre più inutili. Sono utili per pubblicizzare prodotti che li hanno superati, ma non riflettono realmente la qualità della protezione antivirus.
Figura 1 - Numero di test VB superati con successo 100%
Laboratori di ricerca indipendenti come AV-Comparatives e AV-Test testano i prodotti antivirus due volte l'anno per il rilevamento di malware su richiesta. Allo stesso tempo, le raccolte su cui vengono effettuati i test contengono fino a un milione di programmi dannosi e vengono aggiornate regolarmente. I risultati dei test sono pubblicati sui siti web di queste organizzazioni (www.AV-Comparatives.org, www.AV-Test.org) e nelle note riviste di informatica PC World, PC Welt. Di seguito vengono presentati i risultati dei prossimi test:
Figura 2 – Tasso complessivo di rilevamento del malware secondo AV-Test
Se parliamo dei prodotti più comuni, secondo i risultati di questi test, solo le soluzioni di Kaspersky Lab e Symantec sono tra le prime tre. Avira, il leader nei test, merita un'attenzione speciale.
I test dei laboratori di ricerca AV-Comparatives e AV-Test, così come tutti i test, hanno i loro pro e contro. Il lato positivo è che i test vengono eseguiti su grandi raccolte di malware e che queste raccolte rappresentano un’ampia varietà di tipi di malware. Lo svantaggio è che queste raccolte contengono non solo campioni di malware “freschi”, ma anche campioni relativamente vecchi. Di norma vengono utilizzati campioni raccolti negli ultimi sei mesi. Inoltre, durante questi test, vengono analizzati i risultati del controllo disco rigido su richiesta, mentre vita reale l'utente scarica file infetti da Internet o li riceve come allegati di posta elettronica. È importante rilevare tali file nel momento stesso in cui compaiono sul computer dell'utente.
Un tentativo di sviluppare una metodologia di test che non soffra di questo problema è stato intrapreso da una delle più antiche riviste di computer britanniche: PC Pro. Il test ha utilizzato una raccolta di malware rilevati due settimane prima nel traffico che passava attraverso i server di MessageLabs. MessageLabs offre servizi di filtraggio ai propri clienti vari tipi traffico e la raccolta di malware riflette realmente la situazione relativa alla diffusione dei virus informatici sul Web.
Il team di registro di PC Pro non si è limitato a scansionare i file infetti, ma ha simulato le azioni dell'utente: i file infetti sono stati allegati alle e-mail come allegati e queste e-mail sono state scaricate su un computer su cui era installato l'antivirus. Inoltre, con l'aiuto di script appositamente scritti, i file infetti venivano scaricati da un server Web, ovvero veniva simulata la navigazione dell'utente in Internet. Le condizioni in cui vengono eseguiti tali test sono il più vicino possibile alla realtà, il che non può che influenzare i risultati: il tasso di rilevamento per la maggior parte degli antivirus si è rivelato significativamente inferiore rispetto a una semplice scansione su richiesta in AV-Comparatives e test AV-Test. In tali test, un ruolo importante è giocato dalla rapidità con cui gli sviluppatori di antivirus reagiscono alla comparsa di nuovi malware, nonché dai meccanismi proattivi utilizzati quando viene rilevato un malware.
La velocità di rilascio degli aggiornamenti antivirus con nuove firme malware è uno dei componenti più importanti di un'efficace protezione antivirus. Quanto prima verrà rilasciato l'aggiornamento del database delle firme, tanto minore sarà il tempo in cui l'utente resterà non protetto.
Figura 3 – Tempo medio di risposta alle nuove minacce
Ultimamente, i nuovi malware sono apparsi così frequentemente che i laboratori antivirus riescono a malapena a tenere il passo con i nuovi campioni. In una situazione del genere, sorge la domanda su come un antivirus possa resistere non solo ai virus già noti, ma anche alle nuove minacce per il rilevamento delle quali non è stata ancora rilasciata una firma.
Per rilevare minacce sconosciute vengono utilizzate le cosiddette tecnologie proattive. Queste tecnologie possono essere suddivise in due tipi: euristiche (rilevano programmi dannosi in base all'analisi del loro codice) e bloccanti comportamentali (bloccano le azioni dei programmi dannosi quando vengono eseguiti su un computer, in base al loro comportamento).
Se parliamo di euristiche, la loro efficacia è stata a lungo studiata da AV-Comparatives, un laboratorio di ricerca guidato da Andreas Clementi. Il team di AV-Comparatives utilizza una tecnica speciale: gli antivirus vengono confrontati con l'attuale raccolta di virus, ma viene utilizzato un antivirus con firme vecchie di tre mesi. Pertanto l’antivirus deve contrastare malware di cui non sa nulla. Gli antivirus vengono scansionati analizzando la raccolta di malware sul disco rigido, quindi viene verificata solo l'efficienza dell'euristica. Un'altra tecnologia proattiva, il blocco comportamentale, non viene utilizzata in questi test. Anche le migliori euristiche attualmente mostrano un tasso di rilevamento solo del 70% circa e molti di loro soffrono ancora di falsi positivi su file puliti. Tutto ciò suggerisce che finora questo metodo di rilevamento proattivo può essere utilizzato solo contemporaneamente al metodo di firma.
Per quanto riguarda un'altra tecnologia proattiva, il bloccante comportamentale, in quest'area non sono stati condotti test comparativi seri. Innanzitutto, molti prodotti antivirus (Doctor Web, NOD32, Avira e altri) non dispongono di un blocco comportamentale. In secondo luogo, la conduzione di tali test è irta di alcune difficoltà. Il fatto è che per testare l'efficacia del blocco comportamentale, è necessario non scansionare il disco con una raccolta di programmi dannosi, ma eseguire questi programmi su un computer e osservare con che successo l'antivirus blocca le loro azioni. Questo processo richiede molto tempo e pochi ricercatori sono in grado di intraprendere tali test. Tutto ciò che è attualmente disponibile al grande pubblico sono i risultati dei test sui singoli prodotti condotti dal team di AV-Comparatives. Se, durante i test, gli antivirus hanno bloccato con successo le azioni di programmi dannosi a loro sconosciuti mentre erano in esecuzione su un computer, il prodotto ha ricevuto il Proactive Protection Award. Attualmente tali premi sono stati ricevuti da F-Secure con la tecnologia comportamentale DeepGuard e da Kaspersky Anti-Virus con il modulo Proactive Defense.
Le tecnologie di prevenzione delle infezioni basate sull’analisi del comportamento dei malware si stanno diffondendo sempre più e la mancanza di test comparativi esaustivi in questo ambito non può che essere allarmante. Recentemente, gli specialisti del laboratorio di ricerca AV-Test hanno tenuto un'ampia discussione su questo tema, alla quale hanno partecipato anche sviluppatori di prodotti antivirus. Il risultato di questa discussione è stata una nuova metodologia per testare la capacità dei prodotti antivirus di resistere alle minacce sconosciute.
Un elevato livello di rilevamento del malware utilizzando varie tecnologie è una delle caratteristiche più importanti di un antivirus. Tuttavia, una caratteristica altrettanto importante è l’assenza di falsi positivi. I falsi positivi possono causare all’utente non meno danni di un’infezione da virus: bloccare il lavoro programmi desiderati, bloccare l'accesso ai siti e così via.
Nel corso delle sue ricerche, AV-Comparatives, oltre a studiare la capacità degli antivirus di rilevare malware, conduce anche test per individuare falsi positivi su raccolte di file puliti. Secondo il test, il maggior numero di falsi positivi è stato riscontrato negli antivirus Doctor Web e Avira.
Non esiste una protezione al 100% contro i virus. Di tanto in tanto, gli utenti si trovano ad affrontare una situazione in cui un programma dannoso è penetrato in un computer e il computer è stato infettato. Ciò accade perché sul computer non era presente alcun antivirus oppure perché l'antivirus non ha rilevato il malware né tramite firma né metodi proattivi. In una situazione del genere, è importante che quando si installa un antivirus su un computer con nuovi database di firme, l'antivirus non solo possa rilevare un programma dannoso, ma anche eliminare con successo tutte le conseguenze della sua attività e curare un'infezione attiva. Allo stesso tempo, è importante capire che i creatori di virus migliorano costantemente le loro "abilità" e che alcune delle loro creazioni sono piuttosto difficili da rimuovere dal computer: il malware può diversi modi mascherare la loro presenza nel sistema (anche con l'aiuto di rootkit) e persino contrastare il lavoro dei programmi antivirus. Inoltre, non è sufficiente eliminare o disinfettare semplicemente un file infetto, è necessario eliminare tutte le modifiche apportate da un processo dannoso nel sistema e ripristinare completamente il funzionamento del sistema. Squadra Portale russo Anti-Malware.ru ha condotto un test simile, i suoi risultati sono mostrati nella Figura 4.
Figura 4 – Trattamento dell'infezione attiva
Sopra sono stati considerati vari approcci per testare gli antivirus, è stato mostrato quali parametri di funzionamento dell'antivirus vengono considerati durante i test. Si può concludere che per alcuni antivirus un indicatore risulta vantaggioso, per altri un altro. Allo stesso tempo, è naturale che nei loro materiali promozionali gli sviluppatori di antivirus si concentrino solo su quei test in cui i loro prodotti occupano una posizione di leadership. Ad esempio, Kaspersky Lab si concentra sulla velocità di risposta all'emergere di nuove minacce, Eset sulla forza delle sue tecnologie euristiche, Doctor Web descrive i suoi vantaggi nel trattamento delle infezioni attive.
Pertanto, dovrebbe essere effettuata una sintesi dei risultati dei vari test. In questo modo vengono riassunte le posizioni assunte dagli antivirus nei test considerati e si ricava una valutazione integrata: quale posto occupa in media un determinato prodotto in tutti i test. Di conseguenza, tra i primi tre vincitori: Kaspersky, Avira, Symantec.
Sulla base dei pacchetti antivirus analizzati, a Software, progettato per cercare e disinfettare i file infetti dal virus SVC 5.0. Questo virus non porta alla cancellazione o alla copia non autorizzata di file, tuttavia interferisce in modo significativo con il lavoro a tutti gli effetti con il software del computer.
I programmi infetti sono più lunghi del codice sorgente. Tuttavia, quando si esplorano le directory su una macchina infetta, questo non sarà visibile, poiché il virus controlla se il file trovato è infetto o meno. Se il file è infetto, la lunghezza del file non infetto viene scritta nel DTA.
È possibile rilevare questo virus nel modo seguente. Nell'area dati del virus si trova la stringa di caratteri "(c) 1990 by SVC,Ver. 5.0", con la quale è possibile rilevare il virus, se presente sul disco.
Quando si scrive un programma antivirus, viene eseguita la seguente sequenza di azioni:
1 Per ogni file controllato viene determinata l'ora della sua creazione.
2 Se il numero di secondi è sessanta, vengono controllati tre byte con un offset pari a "lunghezza del file meno 8AH". Se sono uguali rispettivamente a 35Н, 2ЭН, 30Н, il file è infetto.
3 Vengono decodificati i primi 24 byte del codice originale, che si trovano nell'offset "lunghezza file meno 01CFH più 0BAAH". Le chiavi per la decodifica si trovano all'offset "lunghezza file meno 01CFH più 0C1AN" e "lunghezza file meno 01CFH più 0C1BH".
4 I byte decodificati vengono scritti all'inizio del programma.
5 Il file viene "troncato" alla "lunghezza del file meno 0C1F".
Il programma è stato creato nell'ambiente di programmazione TurboPascal. Il testo del programma è riportato nell'Appendice A.
Conclusione
In questo corso è stata effettuata un'analisi comparativa dei pacchetti antivirus.
Nel corso dell'analisi, i compiti fissati all'inizio del lavoro sono stati risolti con successo. Pertanto, sono stati studiati i concetti di sicurezza delle informazioni, virus informatici e strumenti antivirus, sono stati identificati i tipi di minacce alla sicurezza delle informazioni, i metodi di protezione, è stata considerata la classificazione dei virus informatici e dei programmi antivirus e un'analisi comparativa dei pacchetti antivirus è stato eseguito, è stato scritto un programma che ricerca i file infetti.
I risultati ottenuti durante il lavoro possono essere applicati quando si sceglie uno strumento antivirus.
Tutti i risultati ottenuti si riflettono nel lavoro con l'aiuto di diagrammi, in modo che l'utente possa verificare autonomamente le conclusioni tratte nel diagramma finale, che riflette la sintesi dei risultati rivelati di vari test degli strumenti antivirus.
I risultati ottenuti durante il lavoro possono essere utilizzati come base per l'autoconfronto dei programmi antivirus.
Alla luce dell'uso diffuso delle tecnologie IT, il lavoro del corso presentato è pertinente e soddisfa i requisiti per esso. Nel processo di lavoro sono stati presi in considerazione gli strumenti antivirus più popolari.
Elenco della letteratura usata
1 Anin B. Protezione delle informazioni informatiche. - San Pietroburgo. : BHV - San Pietroburgo, 2000. - 368 p.
2 Artyunov VV Protezione delle informazioni: libro di testo. - metodo. indennità. M. : Liberia - Bibinform, 2008. - 55 p. – (Il bibliotecario e il tempo. XXI secolo; n. 99).
3 Korneev I. K., E. A. Stepanov Sicurezza delle informazioni in ufficio: libro di testo. - M.: Prospettiva, 2008. - 333 pag.
5 Kupriyanov A. I. Fondamenti di sicurezza delle informazioni: libro di testo. indennità. - 2a ed. cancellato – M.: Accademia, 2007. – 254 p. – (Istruzione professionale superiore).
6 Semenenko V. A., N. V. Fedorov Protezione delle informazioni su software e hardware: libro di testo. indennità per gli studenti. università. - M.: MGIU, 2007. - 340 pag.
7 Tsirlov VL Fondamenti di sicurezza informatica: un breve corso. - Rostov n / D: Fenice, 2008. - 254 p. (Educazione professionale).
Applicazione
Elenco dei programmi
ProgrammaANTIVIRUS;
Utilizza dos,crt,stampante;
Tipo St80 = Stringa;
FileInfezione:File di byte;
CercaFile:CercaRec;
Mas:Array di St80;
MasByte: array di byte;
Posizione,I,J,K:Byte;
Num,NumeroFile,NumeroFileInf:Parola;
Flag,Disco successivo,Errore:Booleano;
Chiave1,Chiave2,Chiave3,NumErrore:Byte;
MasScreen:Array di byte assoluto $B800:0000;
Procedura Cura(St: St80);
I: byte; MasCure: array di byte;
Assegna(FileInfezione,St); Reimposta (infezione file);
NumError:=IOResult;
Se(ErroreNum<>
Cerca(FileInfection,FileSize(FileInfection) - ($0C1F - $0C1A));
NumError:=IOResult;
Se(ErroreNum<>0) Quindi inizia Errore:=True; Uscita; FINE;
Leggi(InfezioneFile,Chiave1);
NumError:=IOResult;
Se(ErroreNum<>0) Quindi inizia Errore:=True; Uscita; FINE;
Leggi(FileInfezione,Chiave2);
NumError:=IOResult;
Se(ErroreNum<>0) Quindi inizia Errore:=True; Uscita; FINE;
Cerca(FileInfection,FileSize(FileInfection) - ($0C1F - $0BAA));
NumError:=IOResult;
Se(ErroreNum<>0) Quindi inizia Errore:=True; Uscita; FINE;
Per I:=da 1 a 24 do
Leggi(FileInfezione,MasCure[i]);
NumError:=IOResult;
Se(ErroreNum<>0) Quindi inizia Errore:=True; Uscita; FINE;
Chiave3:=MasCure[i];
MasCure[i]:=Chiave3;
Cerca(FileInfezione,0);
NumError:=IOResult;
Se(ErroreNum<>0) Quindi inizia Errore:=True; Uscita; FINE;
Per I:=da 1 a 24 esegui Write(FileInfection,MasCure[i]);
Cerca (FileInfection, FileSize (FileInfection) - $ 0C1F);
NumError:=IOResult;
Se(ErroreNum<>0) Quindi inizia Errore:=True; Uscita; FINE;
Tronca(FileInfection);
NumError:=IOResult;
Se(ErroreNum<>0) Quindi inizia Errore:=True; Uscita; FINE;
Chiudi(FileInfection); NumError:=IOResult;
Se(ErroreNum<>0) Quindi inizia Errore:=True; Uscita; FINE;
Procedura F1(St: St80);
TrovaPrimo(St + "*.*", $3F, SearchFile);
Mentre (SearchFile.Attr = $10) E (DosError = 0) E
((SearchFile.Name = ".") Oppure (SearchFile.Name = "..")) Esegui
Trovasuccessivo(FileRicerca);
Mentre (DosError = 0) Esegui
Se viene premuto un tasto, allora
Se (Ord(ReadKey) = 27) Allora Halt;
Se (SearchFile.Attr = $10) Allora
Mas[k]:=St + SearchFile.Name + "\";
Se(SearchFile.Attr<>$ 10) Allora
NumeroFile:=NumeroFile + 1;
UnpackTime(SearchFile.Time, DT);
Per I:=da 18 a 70 esegui MasScreen:=$20;
Write(St + SearchFile.Name, " ");
Se (Dt.Sec = 60) Allora
Assegna(FileInfection,St + SearchFile.Name);
Reimposta (infezione file);
NumError:=IOResult;
Se(ErroreNum<>0) Quindi inizia Errore:=True; Uscita; FINE;
Cerca(FileInfection,FileSize(FileInfection) - $8A);
NumError:=IOResult;
Se(ErroreNum<>0) Quindi inizia Errore:=True; Uscita; FINE;
Per I:=da 1 a 3 esegui Read(FileInfection,MasByte[i]);
Chiudi(FileInfection);
NumError:=IOResult;
Se(ErroreNum<>0) Quindi inizia Errore:=True; Uscita; FINE;
Se (MasByte = $35) E (MasByte = $2E) E
(MasByte = $ 30) Allora
NumeroFileInf:=NumeroFileInf + 1;
Write(St + SearchFile.Name," infetto. ",
"Rimuovere?");
Se (Ord(Ch) = 27) Allora Esci;
Fino a (Ch = "Y") Oppure (Ch = "y") Oppure (Ch = "N")
Se (Ch = "Y") Oppure (Ch = "y") Allora
Cura(St + SearchFile.Nome);
Se(ErroreNum<>0) Quindi esci;
Per I:=da 0 a 79 esegui MasScreen:=$20;
Trovasuccessivo(FileRicerca);
Vai a XY(29,1); AttrTesto:=$1E; Vai aXY(20,2); AttrTesto:=$17;
Writeln("Programma dlya poiska i lecheniya fajlov,");
Writeln("zaragennih SVC50.");
AttrTesto:=$4F; Vai a XY(1,25);
Write("ESC - esci");
AttrTesto:=$1F; Vai aXY(1,6);
Write("Kakoj disk proverit? ");
Se (Ord(Disco) = 27) Allora Esci;
R.Ah:=$0E; R.Dl:=Ord(UpCase(Disco))-65;
Intr($21,R); R.Ah:=$19; Intr($21,R);
Flag:=(R.Al = (Ord(UpCase(Disco))-65));
St:=UpCase(Disco) + ":\";
Writeln("Disco Testiruetsya ",St," ");
Writeln("file testiruetsya");
NumeroFile:=0;
NumeroFileInf:=0;
Se (k = 0) Oppure Errore Allora Flag:=False;
Se (k > 0) Allora K:=K-1;
Se (k=0) Allora Flag:=Falso;
Se (k > 0) Allora K:=K-1;
Writeln("Provereno fajlov - ",NumberOfFile);
Writeln("Zarageno fajlov - ",NumberOfInfFile);
Writeln("Izlecheno fajlov - ",Num);
Write("Controlla il disco drugoj? ");
Se (Ord(Ch) = 27) Allora Esci;
Fino a (Ch = "Y") Oppure (Ch = "y") Oppure (Ch = "N") Oppure (Ch = "n");
If (Ch = "N") Or (Ch = "n") Then NextDisk:=False;
2.1.4 Analisi comparativa degli strumenti antivirus.
Esistono molti programmi antivirus diversi, sia domestici che non domestici. E per capire quale dei programmi antivirus è migliore, ne condurremo un'analisi comparativa. Per fare ciò, prendiamo i moderni programmi antivirus, nonché quelli utilizzati più spesso dagli utenti di PC.
Panda Antivirus 2008 3.01.00
Sistemi compatibili: Windows 2000/XP/Vista
Installazione
È difficile immaginare un'installazione più semplice e veloce di quella offerta da Panda 2008. Ci viene detto solo da quali minacce proteggerà questa applicazione e senza alcuna scelta del tipo di installazione o della fonte di aggiornamento, in meno di un minuto offrono protezione contro virus, worm, trojan, spyware e phishing, previa scansione antivirus della memoria del computer. Allo stesso tempo, non supporta alcune altre funzionalità avanzate dei moderni antivirus, come il blocco delle pagine Web sospette o la protezione dei dati personali.
Interfaccia e funzionamento
L'interfaccia del programma è molto luminosa. Le impostazioni presenti forniscono un livello minimo di modifica, con solo lo stretto necessario disponibile. Affatto, autoconfigurazione facoltativo in questo caso: le impostazioni predefinite sono adatte alla maggior parte degli utenti e forniscono protezione contro attacchi di phishing, spyware, virus, applicazioni di hacking e altre minacce.
Panda può essere aggiornato solo tramite Internet. Inoltre, si consiglia vivamente di installare l'aggiornamento subito dopo aver installato l'antivirus, altrimenti Panda richiederà regolarmente l'accesso al server "genitore" con una piccola ma evidente finestra nella parte inferiore dello schermo, che indica un basso livello di protezione attuale.
Tutte le minacce Panda 2008 le divide in conosciute e sconosciute. Nel primo caso possiamo disattivare il controllo di determinati tipi di minacce, nel secondo caso determiniamo se file, messaggi IM ed e-mail sono sottoposti a scansione approfondita per oggetti dannosi sconosciuti. Se Panda rileva un comportamento sospetto in un'applicazione, ti avviserà immediatamente, fornendo così protezione contro le minacce non incluse nel database antivirus.
Panda ti consente di scansionare l'intero disco rigido o le sue singole sezioni. Tieni presente che la scansione dell'archivio è disabilitata per impostazione predefinita. Il menu delle impostazioni contiene le estensioni dei file da scansionare, se necessario è possibile aggiungere le proprie estensioni. Una menzione speciale merita la statistica delle minacce rilevate, che viene presentata sotto forma di un grafico a torta che mostra chiaramente la quota di ciascun tipo di minaccia sul numero totale di oggetti dannosi. È possibile generare un rapporto sugli oggetti rilevati per un periodo di tempo selezionato.
minimo requisiti di sistema: Windows 98/NT/Me/2000/XP installato.
I requisiti hardware corrispondono a quelli dichiarati per i sistemi operativi specificati.
Principali caratteristiche funzionali:
protezione contro worm, virus, trojan, virus polimorfici, macro virus, spyware, dialer, adware, strumenti di hacking e script dannosi;
· aggiornamento database antivirus fino a più volte all'ora, la dimensione di ciascun aggiornamento arriva fino a 15 KB;
Controllo della memoria di sistema del computer, che consente di rilevare virus che non esistono sotto forma di file (ad esempio CodeRed o Slammer);
· un analizzatore euristico che consente di neutralizzare le minacce sconosciute prima che vengano rilasciati i corrispondenti aggiornamenti del database dei virus.
Installazione
Inizialmente Dr.Web avverte onestamente che non andrà d'accordo con altre applicazioni antivirus e chiede di assicurarsi che non ce ne siano sul proprio computer. Altrimenti lavoro di squadra può portare a "conseguenze impreviste". Successivamente, seleziona l'installazione "Personalizzata" o "Tipica" (consigliata) e procedi allo studio dei componenti principali presentati:
Scanner per Windows. Controllo dei file in modalità manuale;
scanner della console per Windows. Progettato per essere eseguito da file batch;
Guardia del Ragno. Controllare i file "al volo", prevenendo le infezioni in tempo reale;
· SpiDerMail. Controllo dei messaggi provenienti dai protocolli POP3, SMTP, IMAP e NNTP.
Interfaccia e funzionamento
Colpisce la mancanza di coerenza nella questione dell'interfaccia tra i moduli antivirus, che crea ulteriore disagio visivo con un accesso già non molto amichevole ai componenti Dr.Web. Un gran numero di diverse impostazioni chiaramente non sono progettate per un utente inesperto, tuttavia, una guida abbastanza dettagliata in una forma accessibile spiegherà lo scopo di alcuni parametri che ti interessano. L'accesso al modulo centrale Dr.Web - uno scanner per Windows - non avviene tramite il vassoio, come tutti gli antivirus considerati nella recensione, ma solo tramite "Start" - lontano dalla soluzione migliore, che una volta veniva fissata in Kaspersky Anti -Virus.
L'aggiornamento è disponibile sia via Internet che tramite server proxy, il che, date le dimensioni ridotte della firma, rende Dr.Web un'opzione molto interessante per aziende di medie e grandi dimensioni reti di computer.
È possibile impostare i parametri di scansione del sistema, l'ordine di aggiornamento e configurare le condizioni operative di ciascun modulo Dr.Web utilizzando il comodo strumento "Scheduler", che consente di creare un sistema di protezione ben coordinato dal "costruttore" di Dr.Web componenti.
Di conseguenza, otteniamo una protezione olistica del computer poco impegnativa per le risorse del computer, abbastanza semplice (a un esame più attento) contro tutti i tipi di minacce, la cui capacità di contrastare le applicazioni dannose supera chiaramente l'unico inconveniente espresso dall'interfaccia "eterogenea" di Dr.Web moduli.
Consideriamo il processo di scansione diretta della directory selezionata. Una cartella piena di documenti di testo, archivi, musica, video e altri file inerenti al disco rigido dell'utente medio. La quantità totale di informazioni era di 20 GB. Inizialmente, avrebbe dovuto scansionare la partizione del disco rigido su cui era installato il sistema, ma Dr.Web ha deciso di prolungare la scansione per due o tre ore, studiando a fondo i file di sistema, di conseguenza, è stata allocata una cartella separata per "poligono". In ciascun antivirus sono state utilizzate tutte le opzioni fornite per impostare il numero massimo di file scansionati.
Il primo posto in termini di tempo impiegato è andato a Panda 2008. Incredibile, ma vero: la scansione ha richiesto solo cinque (!) minuti. Dr.Web ha rifiutato di utilizzare razionalmente il tempo dell'utente e ha studiato il contenuto delle cartelle per più di un'ora e mezza. L'ora mostrata da Panda 2008 ha sollevato alcuni dubbi che hanno richiesto un'ulteriore diagnostica di un parametro apparentemente insignificante: il numero di file controllati. I dubbi non sono apparsi invano e hanno trovato una base pratica nel corso di ripetuti test. Dobbiamo dare a Dr.Web ciò che è dovuto: l'antivirus non ha trascorso così tanto tempo invano, dimostrando il miglior risultato: poco più di 130mila file. Facciamo una prenotazione che, sfortunatamente, non è stato possibile determinare il numero esatto di file nella cartella di prova. Pertanto, l'indicatore Dr.Web è stato considerato come uno specchio della situazione reale in questa materia.
Gli utenti hanno atteggiamenti diversi nei confronti del processo di scansione "su larga scala": alcuni preferiscono lasciare il computer e non interferire con la scansione, altri non vogliono scendere a compromessi con l'antivirus e continuare a lavorare o giocare. L'ultima opzione, come si è scoperto, ti consente di implementare Panda Antivirus senza problemi. Sì, questo programma, in cui si è rivelato impossibile individuarlo caratteristiche chiave, in qualsiasi configurazione causerà l'unica preoccupazione con un segno verde che annuncia il completamento con successo della scansione. Dr.Web ha ricevuto il titolo di consumatore di RAM più stabile, in modalità a pieno carico il suo funzionamento richiedeva solo pochi megabyte in più rispetto al normale funzionamento.
Ora diamo uno sguardo più da vicino ad antivirus come:
1. Kaspersky Anti-Virus 2009;
3. Panda Antivirus 2008;
secondo i seguenti criteri:
Voto di convenienza interfaccia utente;
Valutazione della convenienza nel lavoro;
Imposta l'analisi capacità tecniche;
· Costo stimato.
Di tutti gli antivirus recensiti, Panda Antivirus 2008 è il più economico, mentre NOD 32 è il più costoso. Ma questo non significa che Panda Antivirus 2008 sia peggiore, e altri criteri parlano di questo. Tre dei quattro programmi recensiti (Kaspersky Anti-Virus, Panda Antivirus, NOD 32) hanno un'interfaccia più semplice, più funzionale e user-friendly rispetto a Dr. Web, che ha molte impostazioni incomprensibili per un utente inesperto. Nel programma puoi utilizzare una guida dettagliata che spiegherà lo scopo di questi o altri parametri di cui hai bisogno.
Tutti i programmi offrono una protezione affidabile contro worm, virus tradizionali, virus di posta, spyware, trojan, ecc. Controllare i file in programmi come Dr. Web, NOD 32, viene eseguito all'avvio del sistema, mentre Kaspersky Anti-Virus esegue la scansione dei file nel momento in cui viene effettuato l'accesso. Kaspersky Anti-Virus, NOD 32, a differenza di tutti gli altri, dispone di un avanzato sistema di protezione proattiva basato su algoritmi di analisi euristica; la possibilità di impostare una password e, quindi, proteggere il programma da virus volti a distruggere la protezione antivirus. Inoltre, Kaspersky Anti-Virus 2009 dispone di un blocco del comportamento. Panda Antivirus, a differenza di tutti gli altri, non supporta il blocco di pagine Web sospette o la protezione dei dati personali. Tutti questi antivirus dispongono di aggiornamenti automatici del database e di un'utilità di pianificazione. Inoltre, questi programmi antivirus sono completamente compatibili con Vista. Ma tutti tranne Panda Antivirus richiedono che non ci siano altri programmi simili nel sistema oltre a loro. Sulla base di questi dati, creeremo una tabella.
Tabella.1 Caratteristiche dei programmi antivirus
| criteri | Kaspersky Antivirus 2009 | NODO 32 | Dott. ragnatela | antivirus panda |
| Costo stimato | - | - | - | + |
| Valutazione dell'usabilità dell'interfaccia utente | + | + | - | |
| Valutazione della facilità d'uso | + | + | +- | - |
| Analisi dell'insieme delle possibilità tecniche | + | + | + | - |
| Impressione generale del programma | + | + | - |
Ciascuno degli antivirus considerati ha guadagnato la sua popolarità in un modo o nell'altro, ma assolutamente soluzione ideale per tutte le categorie di utenti non esiste.
Secondo me, i più utili sono Kaspersky Anti-Virus 2009 e NOD 32. Poiché hanno quasi tutti i requisiti che dovrebbe avere un programma antivirus. Questa è sia un'interfaccia che un insieme di caratteristiche tecniche. In generale, hanno ciò di cui hai bisogno per proteggere il tuo computer dai virus.
Conclusione
In conclusione di questo lavoro del corso, vorrei dire che il mio obiettivo, condurre un'analisi comparativa dei moderni strumenti antivirus, è stato raggiunto. A questo proposito, sono stati risolti i seguenti compiti:
1. Letteratura selezionata su questo argomento.
2. Sono stati studiati vari programmi antivirus.
3. È stato effettuato un confronto tra i programmi antivirus.
Durante il completamento del corso, ho riscontrato una serie di problemi legati alla ricerca di informazioni, poiché in molte fonti è piuttosto contraddittoria; nonché con un'analisi comparativa dei vantaggi e degli svantaggi di ciascun programma antivirus e la costruzione di una tabella pivot.
Ancora una volta, vale la pena notare che non esiste un programma antivirus universale. Nessuno di loro può garantirci una protezione al 100% dai virus e per molti aspetti la scelta di un programma antivirus dipende dall'utente stesso.
Letteratura
1. Rivista per utenti di personal computer "PC World"
2. Leontiev V.P. "L'ultima enciclopedia del personal computer"
3. http://www.viruslist.com
Esegue la scansione di tutti i moduli, ad eccezione del modulo "Scansione computer". 1) Il modulo anti-spam per Outlook Express e Windows Mail è collegabile. Dopo aver installato Eset Smart Security in Outlook Express o Windows Mail, viene visualizzata una barra degli strumenti contenente le seguenti funzionalità del modulo anti-spam 2) Il modulo anti-spam funziona...
Virus informatici. Per un trattamento corretto e di alta qualità di un programma infetto, sono necessari antivirus specializzati (ad esempio antivirus Kaspersky, Dr Web, ecc.). CAPITOLO 2. ANALISI COMPARATIVA DEI PROGRAMMI ANTIVIRUS Per dimostrare i vantaggi dei loro prodotti, gli sviluppatori di antivirus utilizzano spesso i risultati di test indipendenti. Uno dei primi a testare l'antivirus...
Funziona alla grande con la raccolta VirusBulletin di ITW e nient'altro. La valutazione media degli antivirus su tutti i test è mostrata nella Figura 1. (Vedi Applicazioni Fig.1.). Capitolo 2. Utilizzo dei programmi antivirus 2.1 Verifica antivirus E-mail Se agli albori dello sviluppo della tecnologia informatica il canale principale per la diffusione dei virus era lo scambio di file di programma tramite floppy disk, allora ...
... (ad esempio, non scaricare o eseguire programmi sconosciuti da Internet) ridurrebbe la possibilità di diffondere virus ed eliminerebbe la necessità di utilizzare molti programmi antivirus. Gli utenti del computer non devono lavorare sempre con i diritti di amministratore. Se utilizzassero la modalità di accesso utente standard, alcuni tipi di virus non...
Esistono programmi antivirus per proteggere il tuo computer da malware, virus, trojan, worm e spyware che possono eliminare i tuoi file, rubare le tue informazioni personali e rendere il tuo computer e la tua connessione web estremamente lenti e problematici. Pertanto, la scelta di un buon programma antivirus è una priorità importante per il tuo sistema.
Oggi nel mondo esistono più di 1 milione di virus informatici. A causa della prevalenza di virus e altri malware, esistono molte opzioni diverse per gli utenti di computer nel campo del software antivirus.
Programmi antivirus divenne rapidamente un grande business e i primi antivirus commerciali arrivarono sul mercato alla fine degli anni '80. Oggi puoi trovare molti programmi antivirus, sia a pagamento che gratuiti, per proteggere il tuo computer.
Cosa fanno i programmi antivirus
I programmi antivirus eseguiranno regolarmente la scansione del tuo computer alla ricerca di virus e altro malware che potrebbero essere presenti sul tuo PC. Se il software rileva un virus, solitamente lo mette in quarantena, lo cura o lo rimuove.
Scegli la frequenza con cui verrà eseguita la scansione, anche se generalmente è consigliabile eseguirla almeno una volta alla settimana. Inoltre, la maggior parte dei programmi antivirus ti proteggerà durante le tue attività quotidiane, come controllare la posta elettronica e navigare sul Web.
Ogni volta che scarichi un file sul tuo computer da Internet o dalla posta elettronica, l'antivirus lo controllerà e si assicurerà che il file sia a posto (privo di virus o "pulito").
I programmi antivirus aggiorneranno anche le cosiddette “definizioni antivirus”. Queste definizioni vengono aggiornate ogni volta che compaiono e vengono scoperti nuovi virus e malware.
Ogni giorno compaiono nuovi virus, pertanto è necessario aggiornare regolarmente il database antivirus sul sito Web del produttore del programma antivirus. Dopotutto, come sai, qualsiasi programma antivirus può riconoscere e neutralizzare solo quei virus con cui il produttore lo ha “addestrato”. E non è un segreto che possano trascorrere diversi giorni dal momento in cui il virus viene inviato agli sviluppatori del programma fino all'aggiornamento dei database antivirus. Durante questo periodo, migliaia di computer in tutto il mondo possono essere infettati!
Quindi, assicurati di avere installato uno dei migliori pacchetti antivirus e aggiornalo regolarmente.
FIREWALL (FIREWALL)
La protezione del computer dai virus dipende da più di un semplice programma antivirus. La maggior parte degli utenti sbaglia nel credere che l'antivirus installato sul computer sia una panacea per tutti i virus. Un computer può comunque essere infettato da un virus, anche con un potente programma antivirus. Se il tuo computer ha accesso a Internet, un antivirus non è sufficiente.
Un antivirus può rimuovere un virus quando si trova direttamente sul tuo computer, ma se lo stesso virus entra nel tuo computer da Internet, ad esempio scaricando una pagina Web, il programma antivirus non sarà in grado di farci nulla fino a quando non mostrerà la sua attività sul PC. Pertanto, la protezione completa del computer dai virus è impossibile senza un firewall, uno speciale programma di protezione che ti avviserà della presenza attività sospetta quando un virus o un worm tenta di connettersi al tuo computer.
L'utilizzo di un firewall su Internet consente di limitare il numero di connessioni indesiderate dall'esterno al computer e riduce significativamente la probabilità di infezione. Oltre a proteggere dai virus, rende anche molto più difficile per gli intrusi (hacker) accedere alle tue informazioni e tentare di scaricare un programma potenzialmente pericoloso sul tuo computer.
Quando un firewall viene utilizzato insieme a un programma antivirus e agli aggiornamenti del sistema operativo, la protezione del computer viene mantenuta al massimo livello di sicurezza possibile.
AGGIORNAMENTI DEL SISTEMA OPERATIVO E DEL SOFTWARE
Un passo importante nella protezione del computer e dei dati è mantenere aggiornato il sistema operativo con le ultime patch di sicurezza. Si consiglia di farlo almeno una volta al mese. Ultimi aggiornamenti per sistemi operativi e programmi creerà le condizioni in cui la protezione del computer contro i virus sarà ad un livello sufficientemente elevato.
Gli aggiornamenti sono correzioni di bug rilevati nel tempo nel software. Un gran numero di virus utilizza questi bug (“buchi”) nella sicurezza del sistema e del programma per diffondersi. Tuttavia, se chiudi questi "buchi", non avrai paura dei virus e la protezione del computer sarà di alto livello. Un ulteriore vantaggio degli aggiornamenti regolari è un funzionamento più affidabile del sistema grazie alla correzione dei bug.
PASSWORD PER IL LOGIN
Password per accedere al tuo sistema, in particolare per account L'"Amministratore" aiuterà a proteggere le informazioni dell'utente da accessi non autorizzati a livello locale o in rete e creerà inoltre un'ulteriore barriera contro virus e spyware. Assicurati di utilizzare una password complessa, come molti virus utilizzano password semplici per diffondersi, ad esempio 123, 12345, iniziando con password vuote.
NAVIGAZIONE SICURA
Proteggere il tuo computer dai virus sarà complicato se, mentre navighi sui siti web e in Internet, accetti tutto e installi tutto. Ad esempio, con il pretesto di aggiornamento Adobe Flash Il giocatore diffonde una delle varietà del virus: "Invia sms al numero". Pratica la navigazione web sicura. Leggi sempre cosa ti viene offerto esattamente di fare e solo allora accetta o rifiuta. Se ti viene offerto qualcosa lingua straniera- prova a tradurlo, altrimenti sentiti libero di rifiutare.
Molti virus sono contenuti negli allegati di posta elettronica e iniziano a diffondersi non appena l'allegato viene aperto. Si consiglia vivamente di non aprire gli allegati senza previo accordo per riceverli.
Antivirus su SIM, schede flash e dispositivi USB
I telefoni cellulari prodotti oggi hanno un'ampia gamma di interfacce e capacità di trasferimento dati. Gli utenti dovrebbero studiare attentamente i metodi di protezione prima di collegare qualsiasi piccolo dispositivo.
I metodi di protezione come l’hardware, magari gli antivirus sui dispositivi USB o sulla SIM, sono più adatti ai consumatori cellulari. Una valutazione tecnica e un riesame su come installare un programma antivirus su un telefono cellulare dovrebbero essere considerati come un processo di scansione che potrebbe influenzare altre applicazioni legittime presenti su quel telefono.
Il software antivirus basato su SIM con antivirus integrato nella piccola area di memoria fornisce protezione antimalware/virus per proteggere il PIM e le informazioni dell'utente del telefono. Gli antivirus sulle schede flash consentono all'utente di scambiare informazioni e utilizzare questi prodotti con vari dispositivi hardware.
Antivirus, dispositivi mobili e soluzioni innovative
Nessuno si sorprenderà quando i virus che infettano i computer personali e portatili verranno trasferiti anche ai dispositivi mobili. Sempre più sviluppatori in questo campo offrono programmi antivirus per combattere i virus e proteggere i telefoni cellulari. IN dispositivi mobili Esistono i seguenti tipi di controllo dei virus:
- § Limitazioni della CPU
- § limite di memoria
- § identificare e aggiornare le firme di questi dispositivi mobili
Aziende e programmi antivirus
- § Protezione antivirus AOL® come parte di AOL Safety e Centro di sicurezza
- § ActiveVirusShield di AOL (basato su KAV 6, gratuito)
- §AhnLab
- § Sistemi di conoscenza di Aladino
- § Software ALWIL (avast!) dalla Repubblica Ceca (versioni gratuite e a pagamento)
- § ArcaVir dalla Polonia
- § AVZ dalla Russia (gratuito)
- § Avira dalla Germania (esiste un file gratuito Versione classica)
- § Authentium dal Regno Unito
- § BitDefender dalla Romania
- § BullGuard dalla Danimarca
- § Computer Associates dagli Stati Uniti
- § Gruppo Comodo dagli Stati Uniti
- § ClamAV - Licenza GPL - gratuito con open source codici sorgente programmi
- § ClamWin - ClamAV per Windows
- § Dr.Web dalla Russia
- § Eset NOD32 dalla Slovacchia
- §Fortinet
- § Software Frisk dall'Islanda
- § F-Secure dalla Finlandia
- § GeCAD dalla Romania (Microsoft ha acquistato l'azienda nel 2003)
- §Software GFI
- § GriSoft (AVG) dalla Repubblica Ceca (versioni gratuite e a pagamento)
- § Hauri
- § H+BEDV dalla Germania
- § Antivirus Kaspersky dalla Russia
- § McAfee dagli Stati Uniti
- § Tecnologie MicroWorld dall'India
- § Software NuWave dall'Ucraina
- § MKS dalla Polonia
- § Normanno dalla Norvegia
- § Avamposto dalla Russia
- § Software Panda dalla Spagna
- § Antivirus Quick Heal dall'India
- § in aumento
- § ROSA SWE
- § Sophos dal Regno Unito
- § Dottore spyware
- § Ricerca di Stiller
- § Sybari Software (Microsoft ha acquistato la società all'inizio del 2005)
- § Symantec dagli Stati Uniti o dal Regno Unito
- § Cacciatore di trojan
- § Trend Micro del Giappone (nominalmente Taiwan-USA)
- § Antivirus nazionale ucraino dall'Ucraina
- § VirusBlockAda (VBA32) dalla Bielorussia
- § VirusBuster dall'Ungheria
- § ZoneAlarm AntiVirus (americano)
- § Controllo di un file con diversi antivirus
- § Controllo di un file con diversi antivirus
- § Controllo della presenza di virus nei file prima del download
- § virusinfo.info Portale sulla sicurezza delle informazioni (conferenza sulla virologia) dove è possibile richiedere aiuto.
- § antivse.com Un altro portale dove è possibile scaricare i programmi antivirus più comuni, sia a pagamento che gratuiti.
- § www.viruslist.ru Enciclopedia dei virus su Internet creata da Kaspersky Lab
antivirus
Avast! * AVS * Ashampoo Antivirus * AVG * Avira AntiVir * BitDefender * Clam Antivirus * ClamWin * Comodo Antivirus * Dr. Web * F-Prot *F-Secure Antivirus * Kaspersky Anti-Virus * McAfee VirusScan * NOD32 * Norton Antivirus * Outpost Antivirus * Panda Antivirus * PC-cillin *Windows Live OneCare
Confrontare i programmi antivirus è sempre stato un compito difficile. Dopotutto, le aziende che creano tali prodotti si sono sempre distinte per il desiderio di migliorare e aggiornare costantemente il proprio software. Nonostante ciò, alcuni antivirus svolgono meglio il loro compito, mentre altri sono peggiori.
Ognuno di loro ha i suoi vantaggi e svantaggi, ma non tutti sono in grado di valutare oggettivamente il proprio lavoro e scegliere quello più adatto al funzionamento del proprio computer.
Pertanto, abbiamo deciso di analizzare i programmi antivirus più diffusi sul mercato: Kaspersky, ESET NOD32, McAfee, Symantec per darti un'idea generale del loro lavoro e aiutarti a fare la scelta giusta per proteggere il tuo computer. personal computer. I risultati dell'analisi sono stati visualizzati sotto forma di tabella per massimizzare la percezione della differenza tra i software testati.
|
Supporto allo scenario "deny by default" con la possibilità di escludere automaticamente dallo scenario i processi necessari al funzionamento del sistema e le fonti attendibili di aggiornamenti |
||||
|
Consenti/blocca programmi: |
||||
|
Selezione dal registro del programma |
||||
|
Selezione dal registro dei file eseguibili |
||||
|
Immissione di metadati per i file eseguibili |
||||
|
Inserimento checksum file eseguibili (MD5, SHA1) |
||||
|
Immissione del percorso verso file eseguibili(locale o UNC) |
||||
|
Selezione delle categorie di applicazioni preinstallate |
||||
|
Consenti/blocca app per singoli utenti/gruppi di utenti Directory attiva |
||||
|
Monitoraggio e limitazione dell'attività dell'applicazione |
||||
|
Monitoraggio e definizione delle priorità delle vulnerabilità |
||||
|
Autorizzazione/blocco dell'accesso alle risorse web, segnalazione di pericolo: |
||||
|
Filtraggio dei collegamenti |
||||
|
Filtra i contenuti per categorie predefinite |
||||
|
Filtra il contenuto per tipo di dati |
||||
|
Integrazione con Active Directory |
||||
|
Consenti/blocca l'accesso alle risorse Web in base a una pianificazione |
||||
|
Formazione di report dettagliati sull'utilizzo del PC per l'accesso alle risorse web |
||||
|
Controllo dei dispositivi basato su policy: |
||||
|
Per porto/tipo di autobus |
||||
|
Per tipo di dispositivo collegato |
||||
|
Per gruppi di utenti in Active Directory |
||||
|
Crea whitelist basate su numeri seriali dispositivi |
||||
|
Gestione flessibile dei diritti di accesso ai dispositivi di lettura/scrittura con possibilità di impostare una pianificazione |
||||
|
Gestione dei permessi di accesso temporanei |
||||
|
Scenario di rifiuto predefinito applicato dalla priorità |
Analizzando i dati ricevuti, possiamo affermare con sicurezza che solo un antivirus, Kaspersky, ha affrontato tutte le attività, come il monitoraggio di programmi, siti Web e dispositivi. Antivirus McAfee ha mostrato buoni risultati nella categoria "controllo dispositivi", ricevendo il punteggio più alto, ma sfortunatamente non è affidabile per il controllo web e il controllo delle applicazioni.
Un'altra importante analisi dei programmi antivirus è stata il loro studio pratico per determinare la qualità della protezione dei personal computer. Per condurre questa analisi sono stati aggiunti altri tre programmi antivirus: Dr. Web, AVG, TrustPort, quindi il quadro del confronto dei programmi in questo segmento è diventato ancora più completo. Per il test sono stati coinvolti 3837 file infetti con vari tipi di minacce e il modo in cui i programmi antivirus testati li hanno affrontati è mostrato nella tabella seguente.
|
Kaspersky |
|||||
|
1 minuto e 10 secondi |
|||||
|
5 minuti 32 secondi |
|||||
|
6 minuti 10 secondi |
|||||
|
1 minuto e 10 secondi |
E ancora una volta Kaspersky Anti-Virus ha preso il comando, superando i suoi concorrenti in un indicatore così importante come la percentuale di rilevamento delle minacce: oltre il 96%. Ma, come si suol dire, non è stato senza un neo. Il tempo impiegato nella ricerca dei file infetti e il consumo di risorse del personal computer si sono rivelati i più grandi tra tutti i prodotti testati.
I più veloci qui sono stati il Dr. Web ed ESET NOD32, che hanno impiegato poco più di un minuto per eseguire la scansione antivirus, con rispettivamente il 77,3% e il 50,8% dei file infetti rilevati. Ciò che è più importante, la percentuale di rilevamento del virus o il tempo impiegato nella ricerca, lo decidi tu. Ma non dimenticare che la sicurezza del tuo computer dovrebbe essere al primo posto.
ESET CENNO32 ha mostrato il risultato peggiore nel rilevamento delle minacce, solo il 50,8%, un risultato inaccettabile per un PC. TrustPort si è rivelato il più veloce e AVG poco impegnativo in termini di risorse, ma, sfortunatamente, la bassa percentuale di rilevamento delle minacce da parte di questi programmi antivirus non può consentire loro di competere con i leader.
In base ai risultati dei test, Kaspersky Anti-Virus può essere tranquillamente considerato la migliore opzione per proteggere il computer, a condizione che abbia abbastanza RAM installata e buon processore. Inoltre, il prezzo del prodotto Kaspersky Lab non è il più alto, il che non può che accontentare i consumatori.
