Evaluering av antivirusprogrammer. Sammenligning av antivirus basert på effektiviteten av beskyttelse mot den nyeste skadelige programvaren. Komparativ analyse av datavirus
Introduksjon
1. Teoretisk del
1.1 Konsept for informasjonssikkerhet
1.2 Typer trusler
1.3 Informasjonssikkerhetsmetoder
2. Designdel
2.1 Klassifisering av datavirus
2.2 Konseptet med et antivirusprogram
2.3 Typer antivirusprodukter
2.4 Sammenligning av antiviruspakker
Konklusjon
Liste over brukt litteratur
applikasjon
Introduksjon
Utvikling av nytt informasjonsteknologier og generell databehandling har ført til at informasjonssikkerhet ikke bare blir obligatorisk, det er også et av kjennetegnene til informasjonssystemer. Det er en ganske stor klasse av informasjonsbehandlingssystemer i utviklingen av hvilke sikkerhetsfaktoren spiller en avgjørende rolle.
Den massive bruken av personlige datamaskiner er assosiert med fremveksten av selvreplikerende virusprogrammer som forhindrer normal operasjon datamaskiner som ødelegger filstruktur disker og skadelig informasjon som er lagret på datamaskinen.
Til tross for lovene som er vedtatt i mange land for å bekjempe datakriminalitet og utviklingen spesielle programmer Ved hjelp av nye antivirusbeskyttelsesverktøy vokser antallet nye programvarevirus stadig. Dette krever brukeren personlig datamaskin kunnskap om viruss natur, metoder for infeksjon med virus og beskyttelse mot dem.
Virus blir mer sofistikerte hver dag, noe som resulterer i en betydelig endring i trusselprofilen. Men også antivirusmarkedet programvare står ikke stille, og tilbyr mange produkter. Brukerne deres, som bare presenterer problemet i generelle termer, savner ofte viktige nyanser og ender opp med en illusjon av beskyttelse i stedet for selve beskyttelsen.
Formålet med dette kursarbeidet er å gjennomføre en komparativ analyse av antiviruspakker.
For å nå dette målet løses følgende oppgaver i arbeidet:
Lær begreper informasjonssikkerhet, datavirus og antivirusprodukter;
Bestem typer trusler mot informasjonssikkerhet, metoder for beskyttelse;
Studer klassifiseringen av datavirus og antivirusprogrammer;
Gjennomføre en sammenlignende analyse av antiviruspakker;
Lag et antivirusprogram.
Arbeidets praktiske betydning.
De oppnådde resultatene og kursets arbeidsmateriell kan brukes som grunnlag for uavhengig sammenligning av antivirusprogrammer.
Strukturen i kursarbeidet.
Dette kursarbeidet består av en introduksjon, to deler, en konklusjon og en referanseliste.
antivirus for datavirussikkerhet
1. Teoretisk del
I prosessen med å utføre en sammenlignende analyse av antiviruspakker, er det nødvendig å definere følgende konsepter:
1 Informasjonssikkerhet.
2 typer trusler.
3 Informasjonssikkerhetsmetoder.
La oss gå videre til en detaljert vurdering av disse konseptene:
1.1 Konsept for informasjonssikkerhet
Til tross for økende innsats for å lage databeskyttelsesteknologier, er deres sårbarhet i moderne forhold ikke bare reduseres ikke, men øker også hele tiden. Derfor øker relevansen av problemer knyttet til informasjonsbeskyttelse i økende grad.
Problemet med informasjonssikkerhet er mangefasettert og komplekst og dekker en rekke viktige oppgaver. For eksempel datakonfidensialitet, som sikres ved bruk av ulike metoder og midler. Listen over lignende informasjonssikkerhetsoppgaver kan fortsettes. Intensiv utvikling av moderne informasjonsteknologi, og spesielt nettverksteknologier, skaper alle forutsetninger for dette.
Informasjonsbeskyttelse er et sett med tiltak som tar sikte på å sikre integriteten, tilgjengeligheten og, om nødvendig, konfidensialiteten til informasjon og ressurser som brukes til å legge inn, lagre, behandle og overføre data.
Til dags dato har to grunnleggende prinsipper for informasjonsbeskyttelse blitt formulert:
1 dataintegritet – beskyttelse mot feil som fører til tap av informasjon, samt beskyttelse mot uautorisert opprettelse eller ødeleggelse av data;
2 konfidensialitet av informasjon.
Beskyttelse mot feil som fører til tap av informasjon utføres i retning av å øke påliteligheten til individuelle elementer og systemer som legger inn, lagrer, behandler og overfører data, dupliserer og redundante individuelle elementer og systemer, ved bruk av ulike, inkludert autonome, strømkilder, øke nivået av brukerkvalifikasjoner, beskyttelse mot utilsiktede og tilsiktede handlinger som fører til utstyrssvikt, ødeleggelse eller endring (modifikasjon) av programvare og beskyttet informasjon.
Beskyttelse mot uautorisert opprettelse eller ødeleggelse av data er gitt fysisk beskyttelse informasjon, avgrensning og begrensning av tilgang til elementer av beskyttet informasjon, lukking av beskyttet informasjon i prosessen med direkte behandling, utvikling av programvare- og maskinvaresystemer, enheter og spesialisert programvare for å forhindre uautorisert tilgang til beskyttet informasjon.
Konfidensialitet av informasjon sikres ved identifikasjon og autentisering av tilgangssubjekter ved innlogging på systemet ved hjelp av identifikator og passord, identifikasjon eksterne enheter ved fysiske adresser, identifikasjon av programmer, volumer, kataloger, filer etter navn, kryptering og dekryptering av informasjon, avgrensning og kontroll av tilgang til den.
Blant tiltakene rettet mot å beskytte informasjon er de viktigste tekniske, organisatoriske og juridiske.
Tekniske tiltak inkluderer beskyttelse mot uautorisert tilgang til systemet, redundans av spesielt viktige dataundersystemer, organisering datanettverk med mulighet for å omfordele ressurser ved feil på individuelle lenker, installere reservestrømforsyningssystemer, utstyre lokaler med låser, installere et alarmsystem og så videre.
Organisatoriske tiltak inkluderer: sikkerhet for datasenteret (informatikkrom); inngå en kontrakt for vedlikehold av datautstyr med en anerkjent organisasjon med et godt omdømme; unntatt muligheten for at uvedkommende, tilfeldige personer og så videre arbeider på datautstyr.
Juridiske tiltak inkluderer utvikling av standarder som etablerer ansvar for deaktivering av datautstyr og ødeleggelse (endring) av programvare, offentlig kontroll over utviklere og brukere av datasystemer og programmer.
Det skal understrekes at ingen maskinvare, programvare eller andre løsninger kan garantere absolutt pålitelighet og sikkerhet for data i datasystemer. Samtidig er det mulig å minimere risikoen for tap, men kun med en integrert tilnærming til informasjonsbeskyttelse.
1.2 Typer trusler
Passive trusler er hovedsakelig rettet mot uautorisert bruk informasjonsressurser informasjonssystem uten å påvirke dets funksjon. For eksempel uautorisert tilgang til databaser, avlytting av kommunikasjonskanaler og så videre.
Aktive trusler er ment å forstyrre normal funksjon informasjonssystem gjennom målrettet innflytelse på dets komponenter. Aktive trusler inkluderer for eksempel ødeleggelse av en datamaskin eller dens operativsystem, ødeleggelse av dataprogramvare, forstyrrelse av kommunikasjonslinjer og så videre. Aktive trusler kan komme fra hackere, skadelig programvare og lignende.
Forsettlige trusler er også delt inn i interne (oppstår i den administrerte organisasjonen) og eksterne.
Interne trusler bestemmes oftest av sosial spenning og et vanskelig moralsk klima.
Eksterne trusler kan bestemmes av ondsinnede handlinger fra konkurrenter, økonomiske forhold og andre årsaker (for eksempel naturkatastrofer).
De viktigste truslene mot informasjonssikkerheten og den normale funksjonen til informasjonssystemet inkluderer:
Lekkasje av konfidensiell informasjon;
Kompromittering av informasjon;
Uautorisert bruk av informasjonsressurser;
Feil bruk av informasjonsressurser;
Uautorisert utveksling av informasjon mellom abonnenter;
Avslag på informasjon;
Brudd på informasjonstjenester;
Ulovlig bruk av privilegier.
En lekkasje av konfidensiell informasjon er ukontrollert utlevering av taushetsbelagt informasjon utenfor informasjonssystemet eller kretsen av personer som den ble betrodd i løpet av deres arbeid eller ble kjent i løpet av arbeidet. Denne lekkasjen kan skyldes:
Avsløring av konfidensiell informasjon;
Overføring av informasjon gjennom ulike, hovedsakelig tekniske, kanaler;
Uautorisert tilgang til konfidensiell informasjon forskjellige måter.
Utlevering av informasjon fra eieren eller innehaveren er forsettlige eller uforsiktige handlinger fra tjenestemenn og brukere som den relevante informasjonen ble betrodd på foreskrevet måte gjennom deres tjeneste eller arbeid, som førte til at personer som ikke hadde lov til å ha blitt kjent med den, tilgang til denne informasjonen.
Ukontrollert tap av konfidensiell informasjon gjennom visuell-optiske, akustiske, elektromagnetiske og andre kanaler er mulig.
Uautorisert tilgang er ulovlig bevisst innhenting av konfidensiell informasjon av en person som ikke har rett til tilgang til beskyttet informasjon.
De vanligste måtene for uautorisert tilgang til informasjon er:
Avlytting av elektronisk stråling;
Bruk av lytteapparater;
Fjernfotografering;
Avlytting av akustisk stråling og restaurering av skrivertekst;
Kopiering av lagringsmedier ved å overvinne sikkerhetstiltak;
Maskering som registrert bruker;
Maskering som systemforespørsler;
Bruk av programvarefeller;
Utnytte manglene ved programmeringsspråk og operativsystemer;
Ulovlig tilkobling til utstyr og kommunikasjonslinjer av spesialdesignet maskinvare som gir tilgang til informasjon;
Ondsinnet svikt i beskyttelsesmekanismer;
Dekryptering av kryptert informasjon med spesielle programmer;
Informasjonsinfeksjoner.
De oppførte metodene for uautorisert tilgang krever ganske mye teknisk kunnskap og passende maskinvare eller programvare utvikling fra innbruddstyven. For eksempel brukes de tekniske kanaler Lekkasjer er fysiske veier fra en kilde med konfidensiell informasjon til en angriper, der beskyttet informasjon kan skaffes. Årsaken til lekkasjekanaler er design og teknologiske ufullkommenheter i kretsløsninger eller driftsslitasje av elementer. Alt dette lar hackere lage omformere som opererer på visse fysiske prinsipper, og danner en informasjonsoverføringskanal som ligger i disse prinsippene - en lekkasjekanal.
Imidlertid er det også ganske primitive måter for uautorisert tilgang:
Tyveri av lagringsmedier og dokumentaravfall;
Initiativ samarbeid;
Tilbøyelighet til samarbeid fra innbruddstyvens side;
Forespørsel;
Tjuvlytte;
Observasjon og andre måter.
Enhver måte å lekke konfidensiell informasjon på kan føre til betydelig materiell og moralsk skade både for organisasjonen der informasjonssystemet opererer og for brukerne.
Det er og utvikles hele tiden et stort utvalg skadevare, hvis formål er å skade informasjon i databaser og dataprogramvare. Det store antallet varianter av disse programmene tillater oss ikke å utvikle permanente og pålitelige midler for beskyttelse mot dem.
Viruset antas å være preget av to hovedtrekk:
Evnen til å reprodusere seg selv;
Evnen til å gripe inn i databehandlingsprosess(for å få evnen til å kontrollere).
Uautorisert bruk av informasjonsressurser er på den ene siden konsekvensene av lekkasjen og et middel til å kompromittere den. På den annen side har det uavhengig betydning, siden det kan forårsake stor skade på det administrerte systemet eller dets abonnenter.
Feilaktig bruk av informasjonsressurser, selv om de er autorisert, kan likevel føre til ødeleggelse, lekkasje eller kompromittering av nevnte ressurser.
Uautorisert utveksling av informasjon mellom abonnenter kan føre til at en av dem mottar informasjon han har forbud mot å få tilgang til. Konsekvensene er de samme som ved uautorisert tilgang.
1.3 Informasjonssikkerhetsmetoder
Opprettelsen av informasjonssikkerhetssystemer er basert på følgende prinsipper:
1 En systematisk tilnærming til å bygge et beskyttelsessystem, som betyr en optimal kombinasjon av sammenhengende organisasjon, programvare,. Maskinvare, fysiske og andre egenskaper bekreftet av praksisen med å lage innenlandske og utenlandske sikkerhetssystemer og brukes i alle stadier av den teknologiske syklusen for informasjonsbehandling.
2 Prinsippet om kontinuerlig utvikling av systemet. Dette prinsippet, som er et av de grunnleggende prinsippene for datainformasjonssystemer, er enda mer relevant for informasjonssikkerhetssystemer. Metoder for å implementere trusler mot informasjon blir stadig forbedret, og derfor kan det ikke være en engangshandling å sikre informasjonssystemer. Dette er en kontinuerlig prosess som består av begrunnelse og implementering av de mest rasjonelle metodene, metodene og måtene for å forbedre informasjonssikkerhetssystemer, kontinuerlig overvåking, identifisering av flaskehalser og svakheter, potensielle kanaler for informasjonslekkasje og nye metoder for uautorisert tilgang,
3 Sikre påliteligheten til beskyttelsessystemet, det vil si umuligheten av å redusere pålitelighetsnivået i tilfelle feil, feil, tilsiktede handlinger fra en hacker eller utilsiktede feil fra brukere og vedlikeholdspersonell i systemet.
4 Sikre kontroll over funksjonen til beskyttelsessystemet, det vil si opprettelsen av midler og metoder for å overvåke ytelsen til beskyttelsesmekanismer.
5 Tilbyr alle typer anti-malware-verktøy.
6 Sikre den økonomiske gjennomførbarheten av å bruke systemet. Beskyttelse, som uttrykkes i overkant av mulig skade fra implementering av trusler over kostnadene ved utvikling og drift av informasjonssikkerhetssystemer.
Som et resultat av å løse informasjonssikkerhetsproblemer, bør moderne informasjonssystemer ha følgende hovedtrekk:
Tilgjengelighet av informasjon av ulik grad av konfidensialitet;
Sikre kryptografisk beskyttelse av informasjon av ulik grad av konfidensialitet under dataoverføring;
Obligatorisk informasjonsflytstyring, som i lokale nettverk, og ved overføring via kommunikasjonskanaler over lange avstander;
Tilstedeværelsen av en mekanisme for registrering og regnskap for uautoriserte tilgangsforsøk, hendelser i informasjonssystemet og utskrevne dokumenter;
Obligatorisk å sikre integriteten til programvare og informasjon;
Tilgjengelighet av midler for å gjenopprette informasjonssikkerhetssystemet;
Obligatorisk regnskapsføring av magnetiske medier;
Tilgjengelighet av fysisk sikkerhet for datautstyr og magnetiske medier;
Tilgjengelighet av en spesielleste.
Metoder og midler for å sikre informasjonssikkerhet.
En hindring er en metode for fysisk å blokkere en angripers vei til beskyttet informasjon.
Adgangskontroll – metoder for å beskytte informasjon ved å regulere bruken av alle ressurser. Disse metodene må motstå alle mulige måter for uautorisert tilgang til informasjon. Tilgangskontroll inkluderer følgende sikkerhetsfunksjoner:
Identifikasjon av brukere, personell og systemressurser (tilordning av en personlig identifikator til hvert objekt);
Identifikasjon av et objekt eller emne ved identifikatoren presentert for dem;
Tillatelse og opprettelse av arbeidsforhold innenfor fastsatt regelverk;
Registrering av forespørsler til beskyttede ressurser;
Reaksjon på forsøk på uautoriserte handlinger.
Krypteringsmekanismer – kryptografisk lukking av informasjon. Disse beskyttelsesmetodene brukes i økende grad både ved behandling og lagring av informasjon på magnetiske medier. Ved overføring av informasjon over ler denne metoden den eneste pålitelige.
Bekjempelse av malware-angrep innebærer et sett med ulike organisatoriske tiltak og bruk av antivirusprogrammer.
Hele settet tekniske midler delt inn i maskinvare og fysisk.
Maskinvare – enheter innebygd direkte i datateknologi, eller enheter som grensesnitt med den via et standard grensesnitt.
Fysiske midler inkluderer ulike tekniske enheter og strukturer som forhindrer fysisk penetrasjon av angripere i beskyttede objekter og beskytter personell (personlig sikkerhetsutstyr), materielle ressurser og økonomi, informasjon fra ulovlige handlinger.
Programvareverktøy er spesialprogrammer og programvaresystemer, designet for å beskytte informasjon i informasjonssystemer.
Blant programvareverktøyene for sikkerhetssystemet er det nødvendig å fremheve programvare, implementere krypteringsmekanismer (kryptografi). Kryptografi er vitenskapen om å sikre hemmelighold og/eller autentisitet (autentisitet) til overførte meldinger.
Organisatoriske midler utfører sin komplekse regulering av produksjonsaktiviteter i informasjonssystemer og relasjonene til utøvere på et lovlig grunnlag på en slik måte at avsløring, lekkasje og uautorisert tilgang til konfidensiell informasjon blir umulig eller vesentlig hemmet på grunn av organisatoriske tiltak.
Lovgivende rettsmidler bestemmes av landets lovgivning, som regulerer reglene for bruk, behandling og overføring av informasjon begrenset tilgang og det etableres sanksjoner for brudd på disse reglene.
Moralske og etiske beskyttelsesmidler omfatter alle slags atferdsnormer som tradisjonelt har utviklet seg tidligere, dannes som informasjonsspredning i landet og i verden, eller er spesielt utviklet. Moralske og etiske standarder kan være uskrevne eller formaliserte i et bestemt sett med regler eller forskrifter. Disse normene er som regel ikke lovlig godkjent, men siden deres manglende overholdelse fører til en nedgang i organisasjonens prestisje, anses de som obligatoriske.
2. Designdel
I designdelen må følgende trinn fullføres:
1 Definer begrepet datavirus og klassifiseringen av datavirus.
2 Definer konseptet for et antivirusprogram og klassifiseringen av antivirusverktøy.
3 Gjennomfør en sammenlignende analyse av antiviruspakker.
2.1 Klassifisering av datavirus
Et virus er et program som kan infisere andre programmer ved å inkludere i dem en modifisert kopi som har evnen til å reprodusere seg ytterligere.
Virus kan deles inn i klasser i henhold til følgende hovedegenskaper:
Destruktive muligheter
Funksjoner av operasjonsalgoritmen;
Habitat;
I henhold til deres destruktive evner kan virus deles inn i:
Harmløse, det vil si at de ikke påvirker driften av datamaskinen på noen måte (bortsett fra å redusere ledig minne på disken som et resultat av distribusjonen);
Ikke-farlig, hvis påvirkning er begrenset av en reduksjon i ledig minne på disken og grafikk, lyd og andre effekter;
Farlige virus som kan føre til alvorlige datamaskinfeil;
Veldig farlig, hvis algoritme bevisst inneholder prosedyrer som kan føre til tap av programmer, ødelegge data, slette informasjon som er nødvendig for driften av datamaskinen registrert i systemminneområder
Funksjonene til virusoperasjonsalgoritmen kan karakteriseres av følgende egenskaper:
Bolig;
Bruk av stealth-algoritmer;
polymorfisme;
Resident virus.
Begrepet "residens" refererer til virusets evne til å legge igjen kopier av seg selv i systemminnet, avskjære visse hendelser og ringe prosedyrer for å infisere oppdagede objekter (filer og sektorer). Dermed er residente virus aktive ikke bare mens det infiserte programmet kjører, men også etter at programmet er ferdig. Residentkopier av slike virus forblir levedyktige til neste omstart, selv om alle infiserte filer på disken blir ødelagt. Ofte er det umulig å bli kvitt slike virus ved å gjenopprette alle kopier av filer fra distribusjonsdisker eller sikkerhetskopier. Den hjemmehørende kopien av viruset forblir aktiv og infiserer nyopprettede filer. Det samme gjelder for oppstartsvirus - formatering av en disk når det er et fast virus i minnet kurerer ikke alltid disken, siden mange faste virus infiserer disken igjen etter at den er formatert.
Ikke-residente virus. Ikke-residente virus, tvert imot, er aktive i ganske kort tid - bare i det øyeblikket det infiserte programmet lanseres. For å spre seg søker de etter uinfiserte filer på disken og skriver til dem. Etter at viruskoden overfører kontrollen til vertsprogrammet, reduseres virkningen av viruset på driften av operativsystemet til null frem til neste lansering av et infisert program. Derfor er det mye lettere å slette filer infisert med ikke-residente virus fra disken uten å la viruset infisere dem igjen.
Stealth-virus. Stealth-virus skjuler på en eller annen måte det faktum at de er tilstede i systemet. Bruken av stealth-algoritmer gjør at virus kan gjemme seg helt eller delvis i systemet. Den vanligste stealth-algoritmen er å avskjære operativsystemforespørsler om å lese (skrive) infiserte objekter. I dette tilfellet vil stealth-virus enten kurere dem midlertidig eller "erstatte" uinfiserte deler av informasjon i stedet for dem. Når det gjelder makrovirus, er den mest populære metoden å deaktivere anrop til makrovisningsmenyen. Stealth-virus av alle typer er kjent, med unntak av Windows-virus - oppstartsvirus, DOS-filvirus og til og med makrovirus. Fremveksten av stealth-virus som infiserer Windows-filer, er mest sannsynlig et spørsmål om tid.
Polymorfe virus. Selvkryptering og polymorfisme brukes av nesten alle typer virus for å komplisere virusdeteksjonsprosedyren så mye som mulig. Polymorfe virus er ganske vanskelige å oppdage virus som ikke har signaturer, det vil si at de ikke inneholder en eneste konstant kodedel. I de fleste tilfeller vil ikke to prøver av det samme polymorfe viruset ha en eneste match. Dette oppnås ved å kryptere hoveddelen av viruset og modifisere dekrypteringsprogrammet.
Polymorfe virus inkluderer de som ikke kan oppdages ved hjelp av såkalte virusmasker – deler av konstant kode som er spesifikke for et bestemt virus. Dette oppnås på to hovedmåter - ved å kryptere hovedviruskoden med et variabelt rop og et tilfeldig sett med dekrypteringskommandoer, eller ved å endre selve den kjørbare viruskoden. Polymorfi av ulik grad av kompleksitet finnes i virus av alle typer - fra oppstarts- og fil-DOS-virus til Windows-virus.
Basert på deres habitat kan virus deles inn i:
Fil;
Støvel;
Makrovirus;
Nettverk.
Fil virus. Filvirus enten injiserer seg selv i kjørbare filer på forskjellige måter, eller lager dupliserte filer (følgevirus), eller bruker særegenheter ved filsystemorganisasjonen (koblingsvirus).
Et filvirus kan introduseres i nesten alle kjørbare filer i alle populære operativsystemer. I dag er det kjent virus som infiserer alle typer standard kjørbare DOS-objekter: batchfiler (BAT), lastbare drivere (SYS, inkludert spesialfiler IO.SYS og MSDOS.SYS) og kjørbare binære filer (EXE, COM). Det er virus som infiserer kjørbare filer fra andre operativsystemer - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, inkludert Windows 3.x og Windows95 VxD-drivere.
Det er virus som infiserer filer som inneholder kildekoden til programmer, bibliotek eller objektmoduler. Det er også mulig for et virus å bli registrert i datafiler, men dette skjer enten som følge av en virusfeil eller når dets aggressive egenskaper manifesterer seg. Makrovirus skriver også koden sin inn i datafiler – dokumenter eller regneark, men disse virusene er så spesifikke at de klassifiseres som en egen gruppe.
Boot virus. Oppstartsvirus infiserer oppstartssektoren til en diskett og oppstartssektoren eller Master Boot Record (MBR) til en harddisk. Driftsprinsippet for oppstartsvirus er basert på algoritmer for å starte operativsystemet når du slår på eller starter datamaskinen på nytt - etter de nødvendige testene av det installerte utstyret (minne, disker, etc.), leser systemoppstartsprogrammet den første fysiske sektoren oppstartsdisk(A:, C: eller CD-ROM avhengig av parameterne som er satt inn BIOS-oppsett) og overfører kontrollen til den.
Når det gjelder en diskett eller CD, mottas kontrollen av oppstartssektoren, som analyserer diskparametertabellen (BPB - BIOS Parameter Block), beregner adressene til operativsystemfilene, leser dem inn i minnet og starter dem for henrettelse. Systemfiler er vanligvis MSDOS.SYS og IO.SYS, eller IBMDOS.COM og IBMBIO.COM, eller andre avhengig av installert versjon DOS, Windows eller andre operativsystemer. Hvis det ikke er noen operativsystemfiler på oppstartsdisken, viser programmet i oppstartssektoren på disken en feilmelding og foreslår å bytte ut oppstartsdisken.
Når det gjelder en harddisk, mottas kontrollen av et program som ligger i MBR-en til harddisken. Dette programmet analyserer diskpartisjonstabellen, beregner adressen til den aktive oppstartssektoren (vanligvis er denne sektoren oppstartssektoren til stasjon C), laster den inn i minnet og overfører kontrollen til den. Etter å ha mottatt kontroll, er den aktive oppstartssektoren til harddisken. stasjonen gjør de samme handlingene som oppstartssektoren til disketten.
Når du infiserer disker, "erstatter" oppstartsvirus koden deres i stedet for et hvilket som helst program som får kontroll når systemet starter opp. Infeksjonsprinsippet er derfor det samme i alle metodene beskrevet ovenfor: viruset "tvinger" systemet, når det startes på nytt, til å lese inn i minnet og gi kontroll ikke til den originale bootloader-koden, men til viruskoden.
Disketter er infisert på den eneste kjente måten - viruset skriver sin kode i stedet for original kode oppstartssektorer på disketten. Winchester blir infisert med tre mulige måter– viruset skrives enten i stedet for MBR-koden, eller i stedet for oppstartssektorkoden til oppstartsdisken (vanligvis stasjon C, eller endrer adressen til den aktive oppstartssektoren i diskpartisjonstabellen, plassert i MBR-en til harddisken kjøre.
Makrovirus. Makrovirus infiserer filer som dokumenter og regneark fra flere populære redaktører. Makrovirus er programmer skrevet på språk (makrospråk) innebygd i enkelte databehandlingssystemer. For å reprodusere bruker slike virus egenskapene til makrospråk og overfører seg selv fra en infisert fil til andre med deres hjelp. De mest utbredte er makrovirus for Microsoft Word, Excel og Office97. Det finnes også makrovirus som infiserer Ami Pro-dokumenter og Microsoft Access-databaser.
Nettverksvirus. Nettverksvirus inkluderer virus som aktivt bruker protokollene og mulighetene til lokale og globale nettverk for å spre seg. Hoveddriftsprinsippet for et nettverksvirus er muligheten til å overføre koden uavhengig til en ekstern server eller arbeidsstasjon. "Fullverdige" nettverksvirus har også muligheten til å kjøre koden sin på en ekstern datamaskin eller i det minste "presse" brukeren til å kjøre en infisert fil. Et eksempel på nettverksvirus er de såkalte IRC-ormene.
IRC (Internet Relay Chat) er en spesiell protokoll designet for sanntidskommunikasjon mellom Internett-brukere. Denne protokollen gir dem muligheten til å "samtale" på Internett ved hjelp av spesialutviklet programvare. I tillegg til å delta på generalkonferanser, har IRC-brukere muligheten til å chatte en-til-en med alle andre brukere. I tillegg er det et ganske stort antall IRC-kommandoer, ved hjelp av hvilke brukeren kan få informasjon om andre brukere og kanaler, endre noen innstillinger for IRC-klienten, og så videre. Det er også muligheten til å sende og motta filer – det er denne muligheten IRC-ormer er basert på. Et kraftig og omfattende kommandosystem av IRC-klienter tillater, basert på skriptene deres, å lage datavirus som overfører koden deres til datamaskinene til brukere av IRC-nettverk, de såkalte "IRC-ormene". Driftsprinsippet til disse IRC-ormene er omtrent det samme. Ved hjelp av IRC-kommandoer sendes en arbeidsskriptfil (script) automatisk fra den infiserte datamaskinen til hver nye bruker som blir med i kanalen. Den sendte skriptfilen erstatter standardfilen, og i løpet av neste økt vil den nylig infiserte klienten sende ut ormen. Noen IRC-ormer inneholder også en trojansk komponent: ved å bruke spesifiserte nøkkelord utfører de destruktive handlinger på de berørte datamaskinene. For eksempel sletter "pIRCH.Events"-ormen, etter en bestemt kommando, alle filer på brukerens disk.
Det finnes et stort antall kombinasjoner - for eksempel filoppstartsvirus som infiserer både filer og oppstartssektorer på disker. Slike virus har som regel en ganske kompleks driftsalgoritme, bruker ofte originale metoder for å penetrere systemet, og bruker stealth og polymorfe teknologier. Et annet eksempel på en slik kombinasjon er et nettverksmakrovirus som ikke bare infiserer dokumenter som redigeres, men også sender kopier av seg selv via e-post.
I tillegg til denne klassifiseringen bør det sies noen ord om annen skadelig programvare som noen ganger forveksles med virus. Disse programmene har ikke evnen til å spre seg selv som virus, men de kan forårsake like ødeleggende skader.
Trojanske hester (logiske bomber eller tidsinnstilte bomber).
Trojanske hester inkluderer programmer som forårsaker destruktive effekter, det vil si at avhengig av visse forhold eller hver gang de startes, ødelegger de informasjon på disker, "henger" systemet osv. Som et eksempel kan vi sitere dette tilfellet - da et slikt program, under en økt på Internett, sendte sine forfatteridentifikatorer og passord fra datamaskinene der det bodde. De fleste kjente trojanske hester er programmer som "falsker" en slags nyttige programmer, nye versjoner av populære verktøy eller tillegg til dem. Svært ofte sendes de til BBS-stasjoner eller elektroniske konferanser. Sammenlignet med virus er trojanske hester ikke mye brukt av følgende årsaker - de ødelegger enten seg selv sammen med resten av dataene på disken, eller demaskerer deres tilstedeværelse og blir ødelagt av den berørte brukeren.
2.2 Konseptet med et antivirusprogram
Metoder for å motvirke datavirus kan deles inn i flere grupper:
Forebygging av virusinfeksjon og reduksjon av forventet skade fra slik infeksjon;
Metoder for bruk av antivirusprogrammer, inkludert nøytralisering og fjerning av kjente virus;
Metoder for å oppdage og fjerne et ukjent virus.
Forebygging av datamaskininfeksjon.
En av hovedmetodene for å bekjempe virus er, som i medisin, rettidig forebygging. Dataforebygging innebærer å følge et lite antall regler, noe som kan redusere sannsynligheten betraktelig for å få virus og miste data.
For å bestemme de grunnleggende reglene for datamaskinens "hygiene", er det nødvendig å finne ut de viktigste måtene et virus trenger inn i en datamaskin og datanettverk.
Hovedkilden til virus i dag er globalt nettverk Internett. Det største antallet virusinfeksjoner oppstår ved utveksling av bokstaver i Word/Office97-formater. Brukeren av en redaktør infisert med et makrovirus sender, uten å vite det, infiserte brev til mottakere, som igjen sender nye infiserte brev, og så videre. Du bør unngå kontakt med mistenkelige informasjonskilder og kun bruke legitime (lisensierte) programvareprodukter.
Gjenoppretting av skadede gjenstander.
I de fleste tilfeller av virusinfeksjon kommer prosedyren for å gjenopprette infiserte filer og disker ned til å kjøre et passende antivirus som kan nøytralisere systemet. Hvis viruset er ukjent for noe antivirus, er det nok å sende den infiserte filen til antivirusprodusenter og etter en stund motta en "oppdatering" medisin mot viruset. Hvis tiden ikke lar vente på seg, må du nøytralisere viruset selv. For de fleste brukere er det nødvendig å ha sikkerhetskopier din informasjon.
Generelle informasjonssikkerhetsverktøy er nyttige for mer enn bare virusbeskyttelse. Det er to hovedtyper av disse midlene:
1 Kopiere informasjon – lage kopier av filer og systemområder på disker.
2 Tilgangskontroll forhindrer uautorisert bruk av informasjon, spesielt beskyttelse mot endringer i programmer og data fra virus, programmer som ikke fungerer og feilaktige brukerhandlinger.
Rettidig oppdagelse av virusinfiserte filer og disker og fullstendig ødeleggelse av oppdagede virus på hver datamaskin bidrar til å unngå spredning av en virusepidemi til andre datamaskiner.
Hovedvåpenet i kampen mot virus er antivirusprogrammer. De lar deg ikke bare oppdage virus, inkludert virus som bruker ulike forkledningsmetoder, men også fjerne dem fra datamaskinen.
Det er flere grunnleggende virusdeteksjonsmetoder som brukes av antivirusprogrammer. Den mest tradisjonelle metoden for å søke etter virus er skanning.
For å oppdage, fjerne og beskytte mot datavirus er det utviklet flere typer spesialprogrammer som lar deg oppdage og ødelegge virus. Slike programmer kalles antivirusprogrammer.
2.3 Typer antivirusprodukter
Detektorprogrammer. Detektorprogrammer søker etter en signatur som er karakteristisk for et spesifikt virus i tilfeldig tilgangsminne både i filene og når de oppdages, sender de en tilsvarende melding. Ulempen med slike antivirusprogrammer er at de kun kan finne virus som er kjent for utviklerne av slike programmer.
Legeprogrammer. Lege- eller fagprogrammer, så vel som vaksineprogrammer, finner ikke bare filer infisert med virus, men "behandler" dem også, det vil si at de fjerner kroppen til virusprogrammet fra filen, og returnerer filene til sin opprinnelige tilstand. I begynnelsen av arbeidet søker fager etter virus i RAM, ødelegger dem, og bare deretter fortsetter de med å "rense" filer. Blant fagene er det polyfager, det vil si legeprogrammer designet for å søke etter og ødelegge et stort antall virus. Den mest kjente av dem: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.
Tatt i betraktning at det stadig dukker opp nye virus, blir detektorprogrammer og legeprogrammer raskt utdaterte, og regelmessige versjonsoppdateringer kreves.
Revisorprogrammer (inspektører) er blant de mest pålitelige midlene for beskyttelse mot virus.
Revisorer (inspektører) sjekker dataene på disken for usynlige virus. Dessuten kan inspektøren ikke bruke operativsystemverktøyene for å få tilgang til disker, noe som betyr at et aktivt virus ikke vil kunne avskjære denne tilgangen.
Faktum er at en rekke virus, som introduserer seg selv i filer (det vil si legger til slutten eller begynnelsen av filen), erstatter poster om denne filen i filallokeringstabellene til operativsystemet vårt.
Revisorer (inspektører) husker den opprinnelige tilstanden til programmer, kataloger og systemområder på disken når datamaskinen ikke er infisert med virus, og sammenligner deretter med jevne mellomrom eller på brukerens forespørsel den nåværende tilstanden med den opprinnelige. Registrerte endringer vises på LCD-skjermen. Som regel utføres sammenligning av tilstander umiddelbart etter innlasting av operativsystemet. Ved sammenligning kontrolleres fillengden, syklisk kontrollkode (filkontrollsum), dato og klokkeslett for endring og andre parametere. Revisorprogrammer (inspektører) har ganske utviklet algoritmer, oppdager stealth-virus og kan til og med rydde opp i endringer i versjonen av programmet som kontrolleres fra endringer gjort av viruset.
Det er nødvendig å starte revisoren (inspektøren) når datamaskinen ennå ikke er infisert, slik at den kan lage en tabell i rotkatalogen til hver disk, med all nødvendig informasjon om filene som er på denne disken, samt om støvelområdet. Tillatelse vil bli bedt om å lage hvert bord. Under påfølgende lanseringer vil revisoren (inspektøren) skanne diskene og sammenligne data om hver fil med dens registreringer.
Hvis det oppdages infeksjoner, vil revisor (inspektøren) kunne bruke sin egen helbredelsesmodul, som vil gjenopprette filen som er skadet av viruset. For å gjenopprette filer trenger ikke inspektøren å vite noe om en bestemt type virus; det er nok å bruke dataene om filene som er lagret i tabellene.
I tillegg kan en antivirusskanner om nødvendig kalles.
Filtrer programmer (monitorer). Filterprogrammer (monitorer) eller "watchmen" er små residente programmer designet for å oppdage mistenkelige handlinger under datamaskindrift, karakteristisk for virus. Slike handlinger kan være:
Forsøk på å korrigere filer med COM-, EXE-utvidelser;
Endre filattributter;
Direkte skriving til disk på absolutt adresse;
Skriv til oppstartssektorer på disken;
Når et program prøver å utføre de spesifiserte handlingene, sender "vakten" en melding til brukeren og tilbyr å forby eller tillate den tilsvarende handlingen. Filterprogrammer er svært nyttige fordi de er i stand til å oppdage et virus på det tidligste stadiet av dets eksistens før replikering. Imidlertid "renser" de ikke filer og disker. For å ødelegge virus må du bruke andre programmer, for eksempel fager.
Vaksiner eller immunisatorer. Vaksiner er lokale programmer som forhindrer filinfeksjoner. Vaksiner brukes hvis det ikke finnes legeprogrammer som "behandler" dette viruset. Vaksinasjon er kun mulig mot kjente virus. Vaksinen modifiserer programmet eller disken på en slik måte at den ikke påvirker driften, og viruset vil oppfatte den som infisert og vil derfor ikke slå rot. Foreløpig har vaksineprogrammer begrenset bruk.
Skanner. Driftsprinsippet til antivirusskannere er basert på å sjekke filer, sektorer og systemminne og søke etter kjente og nye (ukjente for skanneren) virus. For å søke etter kjente virus brukes såkalte "masker". Masken til et virus er en konstant kodesekvens som er spesifikk for dette viruset. Hvis viruset ikke inneholder en permanent maske, eller lengden på denne masken ikke er lang nok, brukes andre metoder. Et eksempel på en slik metode er et algoritmisk språk som beskriver alt mulige alternativer kode som kan oppstå når infisert med et virus av denne typen. Denne tilnærmingen brukes av noen antivirus for å oppdage polymorfe virus. Skannere kan også deles inn i to kategorier - "universelle" og "spesialiserte". Universelle skannere designet for å søke etter og nøytralisere alle typer virus, uavhengig av hvilket operativsystem skanneren er laget for å fungere i. Spesialiserte skannere er utviklet for å nøytralisere et begrenset antall virus eller bare én klasse virus, for eksempel makrovirus. Spesialiserte skannere designet kun for makrovirus viser seg ofte å være den mest praktiske og pålitelige løsningen for å beskytte dokumenthåndteringssystemer i MSWord- og MSExcel-miljøer.
Skannere er også delt inn i "resident" (monitorer, vakter), som utfører skanning underveis, og "non-resident", som kun skanner systemet på forespørsel. Som regel gir «resident»-skannere mer pålitelig beskyttelse systemer, siden de umiddelbart reagerer på utseendet til et virus, mens en "ikke-resident" skanner er i stand til å identifisere viruset bare ved neste lansering. På den annen side kan en resident scanner noe bremse ned datamaskinen, blant annet på grunn av mulige falske positiver.
Fordelene med skannere av alle typer inkluderer deres allsidighet; ulempene er den relativt lave hastigheten på virusskanning.
CRC-skannere. Driftsprinsippet til CRC-skannere er basert på beregning av CRC-summer ( sjekksummer) for filer/systemsektorer som finnes på disken. Disse CRC-beløpene lagres deretter i antivirusdatabasen, i tillegg til annen informasjon: fillengder, dato for siste endring, og så videre. Ved senere lansering sammenligner CRC-skannere dataene i databasen med de faktiske beregnede verdiene. Hvis filinformasjonen som er registrert i databasen ikke samsvarer med de virkelige verdiene, signaliserer CRC-skannere at filen har blitt modifisert eller infisert med et virus. CRC-skannere som bruker anti-stealth-algoritmer er et ganske kraftig våpen mot virus: nesten 100 % av virus oppdages nesten umiddelbart etter at de dukker opp på datamaskinen. Imidlertid har denne typen antivirus en iboende feil som reduserer effektiviteten betydelig. Denne ulempen er at CRC-skannere ikke er i stand til å fange et virus i det øyeblikket det dukker opp i systemet, men gjør dette bare en tid senere, etter at viruset har spredt seg over hele datamaskinen. CRC-skannere kan ikke oppdage et virus i nye filer (i e-post, på disketter, i filer som er gjenopprettet fra en sikkerhetskopi eller ved utpakking av filer fra et arkiv), fordi databasene deres ikke inneholder informasjon om disse filene. Dessuten dukker det opp med jevne mellomrom virus som utnytter denne "svakheten" til CRC-skannere, og infiserer bare nyopprettede filer og forblir dermed usynlige for dem.
Blokkere. Blokkerere er lokale programmer som fanger opp "virusfarlige" situasjoner og varsler brukeren om det. "Virusfarlig" inkluderer anrop for å åpne for skriving til kjørbare filer, skriving til oppstartssektorer på disker eller MBR på en harddisk, forsøk fra programmer på å forbli hjemmehørende, og så videre, det vil si anrop som er typiske for virus på øyeblikket for reproduksjon. Noen ganger er noen blokkeringsfunksjoner implementert i residente skannere.
Fordelene med blokkere inkluderer deres evne til å oppdage og stoppe et virus på det tidligste stadiet av dets reproduksjon. Ulemper inkluderer eksistensen av måter å omgå blokkeringsbeskyttelse og et stort antall falske positiver.
Det er også nødvendig å merke seg en slik retning av antivirusverktøy som antivirusblokkere, laget i form av maskinvarekomponenter. Det vanligste er skrivebeskyttelsen innebygd i BIOS i MBR på harddisken. Imidlertid, som i tilfellet med programvareblokkere, kan slik beskyttelse enkelt omgås ved direkte skriving til diskkontrollerportene, og å starte DOS-verktøyet FDISK forårsaker umiddelbart en "falsk positiv" av beskyttelsen.
Det er flere universelle maskinvareblokkere, men i tillegg til ulempene som er oppført ovenfor, er det også problemer med kompatibilitet med standard datamaskinkonfigurasjoner og kompleksitet i å installere og konfigurere dem. Alt dette gjør maskinvareblokkere ekstremt upopulære sammenlignet med andre typer antivirusbeskyttelse.
2.4 Sammenligning av antiviruspakker
Uansett hva informasjon System må beskyttes, er den viktigste parameteren når man sammenligner antivirus, muligheten til å oppdage virus og annen skadelig programvare.
Men selv om denne parameteren er viktig, er den langt fra den eneste.
Faktum er at effektiviteten til et antivirusbeskyttelsessystem ikke bare avhenger av dets evne til å oppdage og nøytralisere virus, men også av mange andre faktorer.
Et antivirus skal være praktisk å bruke, uten å distrahere datamaskinbrukeren fra å utføre sine direkte plikter. Hvis antiviruset irriterer brukeren med vedvarende forespørsler og meldinger, vil det før eller siden bli deaktivert. Antivirusgrensesnittet skal være vennlig og forståelig, siden ikke alle brukere har lang erfaring med å jobbe med dataprogrammer. Uten å forstå betydningen av meldingen som vises på skjermen, kan du uforvarende tillate en virusinfeksjon selv med et antivirus installert.
Den mest praktiske antivirusbeskyttelsesmodusen er når alle åpnede filer skannes. Hvis antiviruset ikke er i stand til å fungere i denne modusen, må brukeren kjøre en skanning av alle disker hver dag for å oppdage nylig dukket virus. Denne prosedyren kan ta titalls minutter eller til og med timer hvis vi snakker om om store disker installert for eksempel på en server.
Siden nye virus dukker opp hver dag, er det nødvendig å oppdatere antivirusdatabasen med jevne mellomrom. Ellers vil effektiviteten til antivirusbeskyttelse være svært lav. Moderne antivirus, etter passende konfigurasjon, kan automatisk oppdatere antivirusdatabaser via Internett, uten å distrahere brukere og administratorer fra å utføre dette rutinearbeidet.
Når du beskytter et stort bedriftsnettverk, kommer en slik parameter for å sammenligne antivirus som tilstedeværelsen av et nettverkskontrollsenter i forgrunnen. Hvis bedriftsnettverk forener hundrevis og tusenvis av arbeidsstasjoner, titalls og hundrevis av servere, er det nesten umulig å organisere effektiv antivirusbeskyttelse uten et nettverkskontrollsenter. En eller fler systemadministratorer vil ikke kunne omgå alle arbeidsstasjoner og servere ved å installere og konfigurere antivirusprogrammer på dem. Det som trengs her er teknologier som tillater sentralisert installasjon og konfigurasjon av antivirus på alle datamaskiner i bedriftsnettverket.
Beskyttelse av nettsteder som f.eks e-postservere, og meldingstjenesteservere krever bruk av spesialiserte antivirusverktøy. Konvensjonelle antivirusprogrammer designet for å skanne filer vil ikke kunne finne skadelig kode i databasene til meldingsservere eller i dataflyten som går gjennom e-postservere.
Vanligvis tas andre faktorer i betraktning når man sammenligner antivirusprodukter. Offentlige etater kan, ellers likt, foretrekke innenlandsproduserte antivirus som har alle nødvendige sertifikater. Omdømmet som et eller annet antivirusverktøy oppnår blant databrukere og systemadministratorer spiller også en betydelig rolle. Personlige preferanser kan også spille en vesentlig rolle i valget.
Antivirusutviklere bruker ofte uavhengige testresultater for å bevise fordelene med produktene deres. Samtidig forstår brukerne ofte ikke nøyaktig hva og hvordan som ble testet i denne testen.
I dette arbeidet ble de mest populære utsatt for komparativ analyse. dette øyeblikket antivirusprogrammer, nemlig: Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft.
Det britiske magasinet Virus Bulletin var et av de første som testet antivirusprodukter. De første testene publisert på nettsiden deres dateres tilbake til 1998. Testen er basert på WildList-samlingen av skadelig programvare. For å bestå testen, er det nødvendig å identifisere alle virus i denne samlingen og demonstrere et nullnivå av falske positiver på en samling "rene" loggfiler. Testing utføres flere ganger i året på ulike operativsystemer; Produkter som består testen mottar en VB100 %-pris. Figur 1 viser hvor mange VB100%-priser som ble mottatt av produkter fra ulike antivirusselskaper.
Selvfølgelig kan Virus Bulletin-magasinet kalles den eldste antivirustesteren, men statusen som patriark fritar det ikke fra kritikk av antivirusfellesskapet. For det første inkluderer WildList bare virus og ormer og er kun for Windows-plattformen. For det andre inneholder WildList-samlingen et lite antall ondsinnede programmer og etterfylles veldig sakte: bare noen få dusin nye virus vises i samlingen per måned, mens for eksempel AV-Test-samlingen fylles på i løpet av denne tiden med flere titalls eller til og med hundretusenvis av kopier av skadelig programvare.
Alt dette tyder på at WildList-samlingen i sin nåværende form er moralsk utdatert og gjenspeiler ikke den virkelige situasjonen med virus på Internett. Som et resultat blir tester basert på WildList-samlingen stadig mer meningsløse. De er gode for å reklamere for produkter som har passert dem, men de gjenspeiler faktisk ikke kvaliteten på antivirusbeskyttelse.
Figur 1 – Antall beståtte VB-tester 100 %
Uavhengige forskningslaboratorier som AV-Comparatives, AV-Tests tester antivirusprodukter to ganger i året for deteksjonsnivåer for skadelig programvare på forespørsel. Samtidig inneholder samlingene som testes på opptil en million skadelig programvare og oppdateres jevnlig. Testresultater er publisert på nettsidene til disse organisasjonene (www.AV-Comparatives.org, www.AV-Test.org) og i kjente datamagasiner PC World, PC Welt. Resultatene av de neste testene er presentert nedenfor:
Figur 2 – Samlet gjenkjenningsfrekvens for skadelig programvare i henhold til AV-Test
Hvis vi snakker om de vanligste produktene, er det ifølge resultatene av disse testene kun løsninger fra Kaspersky Lab og Symantec som er på topp tre. Avira, lederen i testene, fortjener spesiell oppmerksomhet.
Tester fra forskningslaboratorier AV-Comparatives og AV-Test, som alle andre tester, har sine fordeler og ulemper. Fordelene er at det testes på store samlinger av skadelig programvare, og at disse samlingene inneholder en lang rekke typer skadevare. Ulempen er at disse samlingene ikke bare inneholder "ferske" prøver av skadelig programvare, men også relativt gamle. Vanligvis brukes prøver samlet i løpet av de siste seks månedene. I tillegg analyserer disse testene resultatene av verifiseringen harddisk på forespørsel, mens i det virkelige liv brukeren laster ned infiserte filer fra Internett eller mottar dem som vedlegg på e-post. Det er viktig å oppdage slike filer nøyaktig i det øyeblikket de vises på brukerens datamaskin.
Et forsøk på å utvikle en testmetodikk som ikke lider av dette problemet ble gjort av et av de eldste britiske datamagasinene, PC Pro. Testen deres brukte en samling skadelig programvare som ble oppdaget to uker før testen i trafikk som gikk gjennom MessageLabs-servere. MessageLabs tilbyr sine kunder filtreringstjenester forskjellige typer trafikk, og dens samling av skadelige programmer gjenspeiler virkelig situasjonen med spredning av datavirus på Internett.
PC Pro magazine-teamet skannet ikke bare infiserte filer, men simulerte brukerhandlinger: infiserte filer ble lagt ved brev som vedlegg, og disse brevene ble lastet ned til en datamaskin med antivirus installert. I tillegg ble infiserte filer lastet ned fra en webserver ved å bruke spesialskrevne skript, det vil si at surfing på Internett ble simulert. Forholdene som slike tester utføres under er så nærme som mulig de virkelige, noe som ikke kunne annet enn å påvirke resultatene: deteksjonsnivået til de fleste antivirus viste seg å være betydelig lavere enn med en enkel on-demand skanning i AV- Sammenligning og AV-Test tester. I slike tester spilles en viktig rolle av hvor raskt antivirusutviklere reagerer på fremveksten av ny skadelig programvare, samt hvilke proaktive mekanismer som brukes for å oppdage skadelig programvare.
Hastigheten der antivirusoppdateringer utgis med signaturer av ny skadelig programvare er en av de viktigste komponentene i effektiv antivirusbeskyttelse. Jo raskere oppdateringen av signaturdatabasen utgis, jo mindre tid vil brukeren forbli ubeskyttet.
Figur 3 – Gjennomsnittlig responstid på nye trusler
Nylig har ny skadelig programvare dukket opp så ofte at antiviruslaboratorier knapt har tid til å svare på nye prøver. I en slik situasjon oppstår spørsmålet om hvordan et antivirus kan motvirke ikke bare allerede kjente virus, men også nye trusler som det ennå ikke er utgitt en deteksjonssignatur for.
For å oppdage ukjente trusler brukes såkalte proaktive teknologier. Disse teknologiene kan deles inn i to typer: heuristikk (de oppdager skadelig programvare basert på analyse av koden deres) og atferdsblokkere (de blokkerer handlingene til skadelig programvare når de kjører på en datamaskin, basert på oppførselen deres).
Når vi snakker om heuristikk, har deres effektivitet lenge blitt studert av AV-Comparatives, et forskningslaboratorium ledet av Andreas Climenti. AV-Comparatives-teamet bruker en spesiell teknikk: antivirus kontrolleres mot gjeldende virussamling, men de bruker et antivirus med signaturer som er tre måneder gamle. Dermed må antiviruset kjempe mot skadelig programvare som det ikke vet noe om. Antivirus sjekkes ved å skanne en samling av skadelig programvare på harddisken, så kun effektiviteten til heuristikken testes. En annen proaktiv teknologi, en atferdsblokker, brukes ikke i disse testene. Selv de beste heuristikkene viser for øyeblikket en deteksjonsrate på bare rundt 70 %, og mange av dem lider også av falske positiver på rene filer. Alt dette tyder på at denne proaktive deteksjonsmetoden foreløpig bare kan brukes samtidig med signaturmetoden.
Når det gjelder en annen proaktiv teknologi - en atferdsblokker, er det ikke utført noen seriøse sammenlignende tester på dette området. For det første har mange antivirusprodukter (Doctor Web, NOD32, Avira og andre) ingen atferdsblokkering. For det andre er det vanskelig å gjennomføre slike tester. Faktum er at for å teste effektiviteten til en atferdsblokkering, trenger du ikke å skanne en disk med en samling av ondsinnede programmer, men kjøre disse programmene på datamaskinen din og se hvor vellykket antiviruset blokkerer handlingene deres. Denne prosessen er svært arbeidskrevende, og bare noen få forskere er i stand til å gjennomføre slike tester. Alt som for øyeblikket er tilgjengelig for allmennheten er resultatene av individuelle produkttester utført av AV-Comparatives-teamet. Hvis antivirus under testing vellykket blokkerte handlingene til ondsinnede programmer ukjente for dem mens de kjørte på datamaskinen, mottok produktet Proactive Protection Award. For tiden har slike priser blitt mottatt av F-Secure med DeepGuard atferdsteknologi og Kaspersky Anti-Virus med Proactive Protection-modulen.
Infeksjonsforebyggende teknologier basert på analyse av skadevareadferd blir stadig mer utbredt, og mangelen på omfattende komparative tester på dette området er alarmerende. Nylig holdt spesialister fra AV-Test forskningslaboratoriet en omfattende diskusjon om dette problemet, der utviklere av antivirusprodukter også deltok. Resultatet av denne diskusjonen var en ny metodikk for å teste antivirusprodukters evne til å motstå ukjente trusler.
Et høyt nivå av oppdagelse av skadelig programvare ved hjelp av ulike teknologier er en av de viktigste egenskapene til et antivirus. En like viktig egenskap er imidlertid fraværet av falske positiver. Falske positive kan forårsake ikke mindre skade for brukeren enn en virusinfeksjon: blokker arbeidet nødvendige programmer, blokkere tilgang til nettsteder og så videre.
I løpet av sin forskning, utfører AV-Comparatives, sammen med å studere mulighetene til antivirus for å oppdage skadelig programvare, også tester for falske positiver på samlinger av rene filer. Ifølge testen ble det største antallet falske positive funnet i Doctor Web og Avira antivirus.
Det er ingen 100 % beskyttelse mot virus. Brukere støter fra tid til annen på en situasjon der et skadelig program har penetrert datamaskinen deres og datamaskinen blir infisert. Dette skjer enten fordi det ikke var noe antivirus på datamaskinen i det hele tatt, eller fordi antiviruset ikke oppdaget skadelig programvare ved bruk av hverken signatur eller proaktive metoder. I en slik situasjon er det viktig at når du installerer et antivirus med nye signaturdatabaser på datamaskinen din, kan antiviruset ikke bare oppdage et ondsinnet program, men også lykkes med å eliminere alle konsekvensene av aktiviteten og kurere en aktiv infeksjon. Samtidig er det viktig å forstå at virusskapere stadig forbedrer sine "ferdigheter", og noen av kreasjonene deres er ganske vanskelige å fjerne fra en datamaskin - skadelig programvare kan forskjellige måter maskere deres tilstedeværelse i systemet (inkludert bruk av rootkits) og til og med forstyrre driften av antivirusprogrammer. I tillegg er det ikke nok å bare slette eller desinfisere en infisert fil; du må eliminere alle endringer som er gjort av den ondsinnede prosessen i systemet og fullstendig gjenopprette systemets funksjonalitet. Team Russisk portal Anti-Malware.ru utførte en lignende test, resultatene er presentert i figur 4.
Figur 4 – Behandling av aktiv infeksjon
Ulike tilnærminger til antivirustesting ble diskutert ovenfor, og det ble vist hvilke parametere for antivirusdrift som vurderes under testing. Vi kan konkludere med at for noen antivirus viser en indikator seg å være fordelaktig, for andre - en annen. Samtidig er det naturlig at antivirusutviklere i sitt reklamemateriell kun fokuserer på de testene der produktene deres inntar ledende posisjoner. For eksempel fokuserer Kaspersky Lab på reaksjonshastigheten på fremveksten av nye trusler, Eset på kraften til sine heuristiske teknologier, Doctor Web beskriver fordelene ved behandling av aktive infeksjoner.
Derfor bør det gjennomføres en syntese av resultatene fra de ulike testene. Dette oppsummerer posisjonene som antivirus tok i de gjennomgåtte testene, og gir også en integrert vurdering - hvilken plass et bestemt produkt opptar i gjennomsnitt i alle tester. Som et resultat var de tre beste vinnerne: Kaspersky, Avira, Symantec.
Basert på de analyserte antiviruspakkene, en programvare, designet for å søke og desinfisere filer infisert med SVC 5.0-viruset. Dette viruset fører ikke til uautorisert sletting eller kopiering av filer, men forstyrrer i betydelig grad full drift av dataprogramvare.
Infiserte programmer er lengre enn kildekoden. Men når du blar gjennom kataloger på en infisert maskin, vil dette ikke være synlig, siden viruset sjekker om den funnet filen er infisert eller ikke. Hvis en fil er infisert, registreres lengden på den uinfiserte filen i DTA.
Du kan oppdage dette viruset som følger. I virusdataområdet er det en tegnstreng "(c) 1990 by SVC,Ver. 5.0", som viruset, hvis det er på disken, kan oppdages med.
Når du skriver et antivirusprogram, utføres følgende handlingssekvens:
1 For hver skannet fil bestemmes tidspunktet for opprettelsen.
2 Hvis antall sekunder er seksti, kontrolleres tre byte med en offset lik "fillengde minus 8AN". Hvis de er lik henholdsvis 35H, 2EN, 30H, er filen infisert.
3 De første 24 bytene av den opprinnelige koden dekodes, som er plassert ved forskyvningen "fillengde minus 01CFН pluss 0BAAN". Dekodingsnøklene er plassert ved forskyvningene "fillengde minus 01CFН pluss 0С1АН" og "fillengde minus 01CFН pluss 0С1BN".
4 De dekodede bytene skrives om til begynnelsen av programmet.
5 Filen er "avkortet" til verdien "fillengde minus 0С1F".
Programmet ble opprettet i TurboPascal-programmeringsmiljøet. Teksten til programmet er presentert i vedlegg A.
Konklusjon
I dette kursarbeidet ble det gjennomført en komparativ analyse av antiviruspakker.
Under analysen ble oppgavene som ble stilt i begynnelsen av arbeidet løst vellykket. Dermed ble begrepene informasjonssikkerhet, datavirus og antivirusverktøy studert, typer trusler mot informasjonssikkerhet, beskyttelsesmetoder ble identifisert, klassifiseringen av datavirus og antivirusprogrammer ble vurdert og en sammenlignende analyse av antivirus. pakker ble utført, ble det skrevet et program som søker etter infiserte filer.
Resultatene oppnådd under arbeidet kan brukes når du velger et antivirusmiddel.
Alle oppnådde resultater gjenspeiles i arbeidet ved hjelp av diagrammer, slik at brukeren uavhengig kan sjekke konklusjonene som er trukket i det endelige diagrammet, som gjenspeiler syntesen av de identifiserte resultatene av forskjellige tester av antivirusprodukter.
Resultatene oppnådd under arbeidet kan brukes som grunnlag for uavhengig sammenligning av antivirusprogrammer.
I lys av den utbredte bruken av IT-teknologier er det presenterte kursarbeidet relevant og oppfyller kravene til det. Under arbeidet ble de mest populære antivirusverktøyene vurdert.
Liste over brukt litteratur
1 Anin B. Beskyttelse av datainformasjon. - St. Petersburg. : BHV – St. Petersburg, 2000. – 368 s.
2 Artyunov V.V. Informasjonsbeskyttelse: lærebok. – metode. godtgjørelse. M.: Liberia - Bibinform, 2008. - 55 s. – (Bibliotekar og tid. 2000-tallet; utgave nr. 99).
3 Korneev I.K., E.A. Stepanov Informasjonsbeskyttelse på kontoret: lærebok. – M.: Prospekt, 2008. – 333 s.
5 Kupriyanov A.I. Grunnleggende informasjonsbeskyttelse: lærebok. godtgjørelse. – 2. utg. slettet – M.: Akademiet, 2007. – 254 s. – (Høyere profesjonsutdanning).
6 Semenenko V. A., N. V. Fedorov Informasjonsbeskyttelse for programvare og maskinvare: lærebok. hjelp til studenter universiteter – M.: MGIU, 2007. – 340 s.
7 Tsirlov V.L. Grunnleggende informasjonssikkerhet: et kort kurs. – Rostov n/d: Phoenix, 2008. – 254 s. (Yrkesutdanning).
applikasjon
Programliste
ProgramANTIVIRUS;
Bruker dos, crt, printer;
Type St80 = String;
FileInfection: File Of Byte;
SearchFile:SearchRec;
Mas: Array av St80;
MasByte:Array of Byte;
Posisjon,I,J,K:Byte;
Num,NumberOfFile,NumberOfInfFile:Word;
Flagg,NesteDisk,Feil:Boolsk;
Key1, Key2, Key3,NumError:Byte;
Masseskjerm: Array Of Byte Absolute $B800:0000;
Prosedyre Cure(St: St80);
I: Byte; MasCure: Array Of Byte;
Assign(FileInfection,St); Reset(FileInfection);
NumError:=IOResult;
If(NumError<>
Seek(FileInfection,FileSize(FileInfection) - ($0C1F - $0C1A));
NumError:=IOResult;
If(NumError<>0) Deretter Start Error:=True; Exit; Slutt;
Read(FileInfection,Key1);
NumError:=IOResult;
If(NumError<>0) Deretter Start Error:=True; Exit; Slutt;
Read(FileInfection,Key2);
NumError:=IOResult;
If(NumError<>0) Deretter Start Error:=True; Exit; Slutt;
Seek(FileInfection,FileSize(FileInfection) - ($0C1F - $0BAA));
NumError:=IOResult;
If(NumError<>0) Deretter Start Error:=True; Exit; Slutt;
For I:=1 til 24 gjør
Read(FileInfection,MasCure[i]);
NumError:=IOResult;
If(NumError<>0) Deretter Start Error:=True; Exit; Slutt;
Key3:=MasCure[i];
MasCure[i]:=Nøkkel3;
Seek(FileInfection,0);
NumError:=IOResult;
If(NumError<>0) Deretter Start Error:=True; Exit; Slutt;
For I:=1 til 24 gjør Write(FileInfection,MasCure[i]);
Seek(FileInfection,FileSize(FileInfection) - $0C1F);
NumError:=IOResult;
If(NumError<>0) Deretter Start Error:=True; Exit; Slutt;
Truncate(FileInfection);
NumError:=IOResult;
If(NumError<>0) Deretter Start Error:=True; Exit; Slutt;
Close(FileInfection); NumError:=IOResult;
If(NumError<>0) Deretter Start Error:=True; Exit; Slutt;
Prosedyre F1(St: St80);
FindFirst(St + "*.*", $3F, SearchFile);
Mens (SearchFile.Attr = $10) Og (DosError = 0) And
((SearchFile.Name = ".") Eller (SearchFile.Name = "..")) Gjør
FinnNeste(SearchFile);
Mens (DosError = 0) Gjør
Hvis tasten trykkes deretter
Hvis (Ord(ReadKey) = 27) Så stopp;
Hvis (SearchFile.Attr = $10) Da
Mas[k]:=St + SearchFile.Name + "\";
If(SearchFile.Attr<>$10) Deretter
NumberOfFile:=NumberOfFile + 1;
UnpackTime(SearchFile.Time, DT);
For I:=18 til 70 gjør Mas Screen:=$20;
Write(St + SearchFile.Name," ");
Hvis (Dt.Sec = 60) Da
Assign(FileInfection,St + SearchFile.Name);
Reset(FileInfection);
NumError:=IOResult;
If(NumError<>0) Deretter Start Error:=True; Exit; Slutt;
Seek(FileInfection,FileSize(FileInfection) - $8A);
NumError:=IOResult;
If(NumError<>0) Deretter Start Error:=True; Exit; Slutt;
For I:=1 til 3 gjør Read(FileInfection,MasByte[i]);
Close(FileInfection);
NumError:=IOResult;
If(NumError<>0) Deretter Start Error:=True; Exit; Slutt;
Hvis (MasByte = $35) Og (MasByte = $2E) And
(MasByte = $30) Deretter
NumberOfInfFile:=NumberOfInfFile + 1;
Write(St + SearchFile.Name," infected.",
"Slette?");
Hvis (Ord(Ch) = 27) Så Avslutt;
Inntil (Ch = "Y") Eller (Ch = "y") Eller (Ch = "N")
Hvis (Ch = "Y") Eller (Ch = "y") Da
Cure(St + SearchFile.Name);
If(NumError<>0) Deretter Avslutt;
For I:=0 til 79 gjør Mas Screen:=$20;
FinnNeste(SearchFile);
GoToXY(29,1); TextAttr:=$1E; GoToXY(20,2); TextAttr:=$17;
Writeln("Programma dlya poiska i lecheniya fajlov,");
Writeln("zaragennih SVC50.");
TextAttr:=$4F; GoToXY(1,25);
Write(" ESC - exit ");
TextAttr:=$1F; GoToXY(1,6);
Write("Kakoj disk prove?");
Hvis (Ord(Disk) = 27) Så Avslutt;
R.Ah:=$0E; R.Dl:=Ord(UpCase(Disk))-65;
Intr($21,R); R.Ah:=$19; Intr($21,R);
Flagg:=(R.Al = (Ord(UpCase(Disk))-65));
St:=UpCase(Disk) + ":\";
Writeln("Testiruetsya disk ",St," ");
Writeln("Testiruetsya fajl");
NumberOfFile:=0;
NumberOfInfFile:=0;
Hvis (k = 0) eller feil, flagg:=False;
Hvis (k > 0) så K:=K-1;
Hvis (k=0) Da Flagg:=False;
Hvis (k > 0) så K:=K-1;
Writeln("Verifisert fajlov - ",NumberOfFile);
Writeln("Zarageno fajlov - ",NumberOfInfFile);
Writeln("Izlecheno fajlov - ",Num);
Write("Sjekk drugoj disk?");
Hvis (Ord(Ch) = 27) Så Avslutt;
Inntil (Ch = "Y") Eller (Ch = "y") Eller (Ch = "N") Eller (Ch = "n");
If (Ch = "N") Eller (Ch = "n") Så NextDisk:=False;
2.1.4 Sammenlignende analyse av antivirale midler.
Det finnes mange forskjellige antivirusprogrammer av både innenlandsk og utenlandsk opprinnelse. Og for å forstå hvilket antivirusprogram som er bedre, vil vi gjennomføre en sammenlignende analyse av dem. For å gjøre dette, la oss ta moderne antivirusprogrammer, så vel som de som oftest brukes av PC-brukere.
Panda Antivirus 2008 3.01.00
Kompatible systemer: Windows 2000/XP/Vista
Installasjon
Det er vanskelig å forestille seg en enklere og raskere installasjon enn Panda 2008. Vi får kun beskjed om hvilke trusler den vil beskytte mot denne søknaden og uten noe valg av installasjonstype eller oppdateringskilde, tilbyr de på mindre enn ett minutt beskyttelse mot virus, ormer, trojanere, spyware og phishing, etter å ha skannet datamaskinens minne for virus. Den støtter imidlertid ikke noen andre avanserte funksjoner i moderne antivirus, for eksempel blokkering av mistenkelige nettsider eller beskyttelse av personlige data.
Grensesnitt og drift
Programgrensesnittet er veldig lyst. De eksisterende innstillingene gir et minimumsnivå av endringer; bare det viktigste er tilgjengelig. I det hele tatt, selvkonfigurasjon valgfritt i dette tilfellet: standardinnstillingene passer de fleste brukere, og gir beskyttelse mot phishing-angrep, spionprogrammer, virus, hackerapplikasjoner og andre trusler.
Panda kan bare oppdateres via Internett. Dessuten anbefales det sterkt å installere oppdateringen umiddelbart etter at antiviruset er installert, ellers vil Panda regelmessig kreve tilgang til "foreldre"-serveren med et lite, men ganske merkbart vindu nederst på skjermen, noe som indikerer et lavt nivå av gjeldende beskyttelse.
Panda 2008 deler alle trusler inn i kjente og ukjente. I det første tilfellet kan vi deaktivere skanning etter visse typer trusler; i det andre tilfellet bestemmer vi om filer, direktemeldinger og e-poster skal utsettes for dyp skanning for å søke etter ukjente skadelige objekter. Hvis Panda oppdager mistenkelig oppførsel i en applikasjon, vil den umiddelbart varsle deg, og dermed gi beskyttelse mot trusler som ikke er inkludert i antivirusdatabasen.
Panda lar deg skanne hele harddisken eller individuelle deler av den. Husk at arkivskanning er deaktivert som standard. Innstillingsmenyen viser filtypene til filene som skannes; om nødvendig kan du legge til dine egne utvidelser. Statistikken over oppdagede trusler, som presenteres i form av et kakediagram som tydelig viser andelen av hver type trussel i det totale antallet ondsinnede objekter, fortjener spesiell omtale. En rapport over oppdagede objekter kan genereres for en valgt tidsperiode.
· minimum systemkrav: Windows 98/NT/Me/2000/XP.
Maskinvarekravene tilsvarer de som er oppgitt for det angitte operativsystemet.
Hovedfunksjonelle funksjoner:
· beskyttelse mot ormer, virus, trojanere, polymorfe virus, makrovirus, spyware, dialers, adware, hackerverktøy og ondsinnede skript;
· Oppdater antivirus databaser opptil flere ganger i timen, størrelsen på hver oppdatering er opptil 15 KB;
· sjekke datamaskinens systemminne for å oppdage virus som ikke eksisterer i form av filer (for eksempel CodeRed eller Slammer);
· en heuristisk analysator som lar deg nøytralisere ukjente trusler før de tilsvarende virusdatabaseoppdateringene utgis.
Installasjon
I begynnelsen advarer Dr.Web ærlig om at den ikke har til hensikt å komme overens med andre antivirusprogrammer og ber deg sørge for at det ikke finnes slike programmer på datamaskinen din. Ellers samarbeid kan føre til «uforutsigbare konsekvenser». Deretter velger du "Egendefinert" eller "Normal" (anbefalt) installasjon og begynner å studere de presenterte hovedkomponentene:
· skanner for Windows. Sjekke filer manuelt;
· konsollskanner for Windows. Designet for å bli lansert fra kommandofiler;
· SpiDer Guard. Sjekke filer på farten, forhindre infeksjoner i sanntid;
· SpiDer Mail. Skann meldinger mottatt via POP3-, SMTP-, IMAP- og NNTP-protokoller.
Grensesnitt og drift
Mangelen på konsistens i grensesnittet mellom antivirusmodulene er slående, noe som skaper ytterligere visuelt ubehag med den allerede lite vennlige tilgangen til Dr.Web-komponenter. Et stort antall forskjellige innstillinger er tydeligvis ikke designet for en nybegynner, men ganske detaljert hjelp i en tilgjengelig form vil forklare formålet med visse parametere som interesserer deg. Tilgang til den sentrale modulen til Dr.Web - en skanner for Windows - utføres ikke gjennom skuffen, som alle antivirusene som ble diskutert i anmeldelsen, men bare gjennom "Start" - langt fra den beste løsningen, som ble fikset i Kaspersky Antivirus på en gang.
Oppdateringen er tilgjengelig både via Internett og ved bruk av proxy-servere, noe som, gitt den lille størrelsen på signaturene, gjør Dr.Web til et svært attraktivt alternativ for mellomstore og store datanettverk.
Du kan angi systemskanningsparametere, oppdatere rekkefølge og konfigurere driftsbetingelser for hver Dr.Web-modul ved å bruke det praktiske "Scheduler"-verktøyet, som lar deg lage et sammenhengende beskyttelsessystem fra "designeren" av Dr.Web-komponenter.
Som et resultat får vi en lite krevende datamaskinressurs, ganske ukomplisert (ved nærmere undersøkelse) helhetlig beskyttelse av datamaskinen mot alle slags trusler, hvis evner til å motvirke ondsinnede applikasjoner klart oppveier den eneste ulempen uttrykt av det "varierte" grensesnittet til Dr. Nettmoduler.
La oss vurdere prosessen med å skanne den valgte katalogen direkte. En mappe fylt med tekstdokumenter, arkiver, musikk, videoer og andre filer som er iboende i den gjennomsnittlige brukerens harddisk. Den totale informasjonsmengden var 20 GB. Opprinnelig var det planlagt å skanne harddiskpartisjonen som systemet ble installert på, men Dr.Web hadde til hensikt å strekke ut skanningen i to til tre timer, og studere grundig systemfiler, som et resultat ble det tildelt en egen mappe for "teststedet". Hvert antivirus brukte alle de medfølgende egenskapene til å konfigurere maksimalt antall skannede filer.
Førsteplassen når det gjelder tidsbruk gikk til Panda 2008. Utrolig, men sant: skanningen tok bare fem (!) minutter. Dr.Web nektet å bruke brukerens tid rasjonelt og studerte innholdet i mappene i mer enn en og en halv time. Tiden vist av Panda 2008 vakte noen tvil, og krevde ytterligere diagnostikk av en tilsynelatende ubetydelig parameter - antall skannede filer. Tvilen oppsto ikke forgjeves, og fant et praktisk grunnlag under gjentatte tester. Vi bør hylle Dr.Web - antiviruset kastet ikke bort så mye tid forgjeves, og demonstrerte det beste resultatet: litt mer enn 130 tusen filer. La oss ta forbehold om at det dessverre ikke var mulig å fastslå nøyaktig antall filer i testmappen. Derfor ble Dr.Web-indikatoren tatt for å gjenspeile den virkelige situasjonen i denne saken.
Brukere har forskjellige holdninger til prosessen med "storskala" skanning: noen foretrekker å forlate datamaskinen og ikke forstyrre skanningen, andre vil ikke gå på akkord med antiviruset og fortsette å jobbe eller spille. Det siste alternativet, som det viste seg, lar Panda Antivirus implementeres uten problemer. Ja, dette programmet, der det viste seg å være umulig å fremheve nøkkelegenskaper, i alle konfigurasjoner, vil forårsake den eneste bekymringen med et grønt skilt som kunngjør vellykket fullføring av skanningen. Dr.Web fikk tittelen den mest stabile forbrukeren av RAM, i full load-modus krevde driften bare noen få megabyte mer enn under normal drift.
La oss nå se nærmere på slike antivirus som:
1. Kaspersky Anti-Virus 2009;
3. Panda Antivirus 2008;
etter følgende kriterier:
· Bekvemmelighetsvurdering brukergrensesnitt;
· Evaluering av brukervennlighet;
· Rekrutteringsanalyse tekniske evner;
· Kostnadsberegning.
Av alle antivirusene som er gjennomgått, er den billigste Panda Antivirus 2008, og den dyreste er NOD 32. Men dette betyr ikke at Panda Antivirus 2008 er dårligere, og dette bevises av de andre kriteriene. Tre programmer av de fire vurderte (Kaspersky Anti-Virus, Panda Antivirus, NOD 32) har et enklere, mer funksjonelt og brukervennlig grensesnitt enn Dr. Web, som har mange innstillinger som er uforståelige for en nybegynner. I programmet kan du bruke detaljert hjelp som vil forklare formålet med visse parametere du trenger.
Alle programmer tilbyr pålitelig beskyttelse mot ormer, tradisjonelle virus, mail virus, spyware, trojanere, etc. Sjekke filer i programmer som Dr. Web, NOD 32, utføres ved systemstart, men Kaspersky Anti-Virus sjekker filene når de åpnes. Kaspersky Anti-Virus, NOD 32 har, i motsetning til alle andre, et avansert proaktivt beskyttelsessystem basert på heuristiske analysealgoritmer; muligheten til å angi et passord og dermed beskytte programmet mot virus som tar sikte på å ødelegge antivirusbeskyttelsen. I tillegg har Kaspersky Anti-Virus 2009 en atferdsblokker. Panda Antivirus, i motsetning til alle andre, støtter ikke blokkering av mistenkelige nettsider eller beskyttelse av personlige data. Alle disse antivirusene har automatiske databaseoppdateringer og en oppgaveplanlegger. Disse antivirusprogrammene er også fullt kompatible med Vista. Men alle av dem, bortsett fra Panda Antivirus, krever at det i tillegg til dem ikke finnes andre lignende programmer i systemet. Basert på disse dataene vil vi lage en tabell.
Tabell.1 Kjennetegn ved antivirusprogrammer
| kriterier | Kaspersky Anti-Virus 2009 | NOD 32 | Dr. Web | Panda Antivirus |
| Kostnadsberegning | - | - | - | + |
| Rangering av brukergrensesnitt | + | + | - | |
| Ranger brukervennlighet | + | + | +- | - |
| Analyse av et sett med tekniske evner | + | + | + | - |
| Generelt inntrykk av programmet | + | + | - |
Hvert av antivirusene som vurderes har vunnet sin popularitet på en eller annen måte, men absolutt perfekt løsning eksisterer ikke for alle kategorier brukere.
Etter min mening er de mest nyttige Kaspersky Anti-Virus 2009 og NOD 32. Siden de har nesten alle kravene som et antivirusprogram bør ha. Dette er både et grensesnitt og et sett med tekniske muligheter. Generelt har de det du trenger for å beskytte datamaskinen din mot virus.
Konklusjon
Som avslutning på dette kursarbeidet vil jeg si at målet jeg satte meg - å gjennomføre en komparativ analyse av moderne antivirusverktøy - ble oppnådd. I denne forbindelse ble følgende oppgaver løst:
1. Litteratur om dette emnet er valgt.
2. Ulike antivirusprogrammer er studert.
3. En sammenligning av antivirusprogrammer ble utført.
Da jeg fullførte kursene mine, møtte jeg en rekke problemer knyttet til å søke etter informasjon, siden det i mange kilder er ganske motstridende; samt med en komparativ analyse av fordelene og ulempene ved hvert antivirusprogram og konstruksjonen av en oppsummeringstabell.
Nok en gang er det verdt å merke seg at det ikke er noe universelt antivirusprogram. Ingen av dem kan garantere oss 100 % beskyttelse mot virus, og valget av antivirusprogram avhenger i stor grad av brukeren.
Litteratur
1. Magasin for PC-brukere "PC World"
2. Leontiev V.P. "Den siste leksikonet om den personlige datamaskinen"
3. http://www.viruslist.com
Skanner etter alle moduler unntatt Computer Scan-modulen. 1) Anti-spam-modul for Outlook Express og Windows Mail kan plugges. Etter å ha installert Eset Smart Security i Outlook Express eller Windows Mail, vises en verktøylinje som inneholder følgende funksjoner til anti-spam-modulen 2) Anti-spam-modulen fungerer...
Datavirus. For høykvalitets og korrekt behandling av et infisert program er det nødvendig med spesialiserte antivirus (for eksempel Kaspersky antivirus, Dr Web, etc.). KAPITTEL 2. SAMMENLIGNENDE ANALYSE AV ANTI-VIRUSPROGRAMMER For å bevise fordelene med produktene deres, bruker antivirusutviklere ofte resultatene av uavhengige tester. En av de første som testet antivirus...
Fungerer utmerket med VirusBulletin ITW-samlingen – og ingenting mer. Antivirusvurderingen i gjennomsnitt over alle tester er vist i fig. 1. (Se vedlegg Fig. 1.). Kapittel 2. Bruke antivirusprogrammer 2.1 Antivirusverifisering E-post Hvis ved begynnelsen av utviklingen av datateknologi var hovedkanalen for spredning av virus utveksling av programfiler via disketter, så ...
... (for eksempel å ikke laste ned eller kjøre ukjente programmer fra Internett) vil redusere sannsynligheten for spredning av virus og eliminere behovet for å bruke mange antivirusprogrammer. Databrukere bør ikke jobbe med administratorrettigheter hele tiden. Hvis de brukte normal brukertilgangsmodus, ville noen typer virus ikke...
Antivirusprogrammer finnes for å beskytte datamaskinen din mot skadelig programvare, virus, trojanske hester, ormer og spionprogrammer som kan slette filene dine, stjele dine personlige data og gjøre datamaskinen og nettforbindelsen ekstremt treg og problematisk. Derfor er valg av et godt antivirusprogram en viktig prioritet for systemet ditt.
I dag er det mer enn 1 million datavirus i verden. Fordi virus og annen skadelig programvare er så vanlig, er det mange forskjellige alternativer for databrukere innen antivirusprogramvare.
Antivirus programmer ble raskt big business, med de første kommersielle antivirusproduktene på markedet på slutten av 1980-tallet. I dag kan du finne mange, både betalte og gratis antivirusprogrammer for å beskytte datamaskinen din.
Hva gjør antivirusprogrammer?
Antivirusprogrammer vil regelmessig skanne datamaskinen din og lete etter virus og annen skadelig programvare som kan være på PC-en din. Hvis programvaren oppdager et virus, vil den vanligvis settes i karantene, desinfisere eller fjerne det.
Du velger selv hvor ofte skanningen skal skje, selv om det generelt anbefales at du kjører den minst en gang i uken. I tillegg vil de fleste antivirusprogrammer beskytte deg under daglige aktiviteter, som å sjekke e-post og surfe på nettet.
Hver gang du laster ned en fil til datamaskinen din fra Internett eller fra e-post, vil antivirusprogrammet skanne den og sørge for at filen er OK (virusfri eller "ren").
Antivirusprogrammer vil også oppdatere det som kalles "antivirusdefinisjoner." Disse definisjonene oppdateres så ofte som nye virus og skadelig programvare introduseres og oppdages.
Nye virus vises hver dag, så det er nødvendig å regelmessig oppdatere antivirusdatabasen på nettstedet til produsenten av antivirusprogrammet. Tross alt, som du vet, kan ethvert antivirusprogram gjenkjenne og nøytralisere bare de virusene som produsenten har "trent" det til å bruke. Og det er ingen hemmelighet at det kan gå flere dager fra det øyeblikket viruset sendes til programutviklerne til antivirusdatabasene er oppdatert. I løpet av denne perioden kan tusenvis av datamaskiner rundt om i verden bli infisert!
Så sørg for at du installerer en av de beste antiviruspakkene og holder den oppdatert regelmessig.
BRANNMUR (BRANNMUR)
Beskyttelse av datamaskinen mot virus avhenger av mer enn bare ett antivirusprogram. De fleste brukere tar feil når de tror at et antivirus installert på datamaskinen deres er et universalmiddel for alle virus. Datamaskinen din kan fortsatt bli infisert med et virus, selv om du har et kraftig antivirusprogram. Hvis datamaskinen din har tilgang til Internett, er ikke ett antivirus nok.
Et antivirus kan fjerne et virus når det er direkte på datamaskinen din, men hvis det samme viruset begynner å bli introdusert til datamaskinen din fra Internett, for eksempel ved å laste inn en nettside, vil ikke antivirusprogrammet kunne gjøre noe med den - til den ikke vil vise aktiviteten sin på PC-en. Derfor er full beskyttelse av datamaskinen din mot virus umulig uten en brannmur - et spesielt sikkerhetsprogram som vil varsle deg om tilstedeværelsen av mistenkelig aktivitet når et virus eller en orm prøver å koble til datamaskinen din.
Ved å bruke en brannmur på Internett kan du begrense antall uønskede tilkoblinger utenfra til datamaskinen din og reduserer betydelig sannsynligheten for at den blir infisert. I tillegg til beskyttelse mot virus, gjør det det også mye vanskeligere for inntrengere (hackere) å få tilgang til informasjonen din og forsøke å laste ned et potensielt farlig program til datamaskinen din.
Når en brannmur brukes i kombinasjon med et antivirusprogram og operativsystemoppdateringer, opprettholdes datamaskinens beskyttelse på det høyeste sikkerhetsnivået.
OPPDATERING AV OPERATIVSYSTEMET OG PROGRAMMERNE
Et viktig skritt for å beskytte datamaskinen og dataene dine er å systematisk oppdatere operativsystemet med de nyeste sikkerhetsoppdateringene. Det anbefales å gjøre dette minst en gang i måneden. Siste oppdateringer for operativsystemet og programmene vil skape forhold der datamaskinens beskyttelse mot virus vil være på et ganske høyt nivå.
Oppdateringer er korrigeringer av programvarefeil funnet over tid. Et stort antall virus bruker disse feilene ("hullene") i sikkerheten til systemet og programmene for å spre seg. Men hvis du lukker disse "hullene", vil du ikke være redd for virus, og datamaskinens beskyttelse vil være på et høyt nivå. En ekstra fordel med regelmessige oppdateringer er mer pålitelig drift av systemet på grunn av feilrettinger.
INNLOGGINGS PASSORD
Passord for å logge på systemet ditt, spesielt for regnskap"Administrator" vil bidra til å beskytte informasjonen din mot uautorisert tilgang lokalt eller over nettverket, og vil også skape en ekstra barriere for virus og spionprogrammer. Pass på at du bruker et komplekst passord fordi... Mange virus bruker enkle passord for å spre, for eksempel 123, 12345, og starter med tomme passord.
TRYGG NETTSURFING
Å beskytte datamaskinen mot virus vil være komplisert hvis du godtar alt og installerer alt mens du surfer og surfer på Internett. For eksempel under dekke av oppdatering Adobe Flash Spilleren distribueres av en av variantene av viruset - "Send SMS til nummeret". Øv på sikker nettsurfing. Les alltid nøyaktig hva de tilbyr deg å gjøre, og bare da godta eller nekte. Hvis du blir tilbudt noe fremmed språk- prøv å oversette dette, ellers avslå gjerne.
Mange virus finnes i e-postvedlegg og begynner å spre seg så snart vedlegget åpnes. Vi anbefaler på det sterkeste ikke at du åpner vedlegg uten forhåndsavtale om å motta dem.
Antivirus for SIM, flash-kort og USB-enheter
Mobiltelefoner som produseres i dag har et bredt spekter av grensesnitt og dataoverføringsmuligheter. Forbrukere bør nøye gjennomgå beskyttelsesmetoder før de kobler til små enheter.
Beskyttelsesmetoder som maskinvare, muligens antivirus på USB-enheter eller på SIM, er mer egnet for forbrukere mobiltelefoner. Den tekniske vurderingen og gjennomgangen av hvordan du installerer et antivirusprogram på en mobiltelefon bør betraktes som en skanneprosess som kan påvirke andre legitime applikasjoner på den telefonen.
Antivirusprogrammer på SIM med antivirus innebygd i et lite minneområde gir anti-malware/virusbeskyttelse, og beskytter PIM og telefonbrukerinformasjon. Antivirus på flash-kort gir brukeren muligheten til å utveksle informasjon og bruke disse produktene med ulike maskinvareenheter.
Antivirus, mobile enheter og innovative løsninger
Ingen vil bli overrasket når virus som infiserer personlige og bærbare datamaskiner kommer til mobile enheter. Flere og flere utviklere på dette området tilbyr antivirusprogrammer for å bekjempe virus og beskytte mobiltelefoner. I mobile enheter Det finnes følgende typer viruskontroll:
- § CPU-begrensninger
- § minnebegrensning
- § identifisere og oppdatere signaturene til disse mobile enhetene
Antivirus selskaper og programmer
- § AOL® Virus Protection som en del av AOL Safety og Sikkerhetssenter
- § ActiveVirusShield fra AOL (basert på KAV 6, gratis)
- § AhnLab
- § Aladdin kunnskapssystemer
- § ALWIL-programvare (avast!) fra Tsjekkia (gratis og betalte versjoner)
- § ArcaVir fra Polen
- § AVZ fra Russland (gratis)
- § Avira fra Tyskland (gratis Klassisk versjon)
- § Autentium fra Storbritannia
- § BitDefender fra Romania
- § BullGuard fra Danmark
- § Computer Associates fra USA
- § Comodo Group fra USA
- § ClamAV -- GPL-lisens -- gratis og åpen kildekode kildekoder programmer
- § ClamWin -- ClamAV for Windows
- § Dr.Web fra Russland
- § Eset NOD32 fra Slovakia
- § Fortinet
- § Frisk-programvare fra Island
- § F-Secure fra Finland
- § GeCAD fra Romania (Microsoft kjøpte selskapet i 2003)
- § GFI-programvare
- § GriSoft (AVG) fra Tsjekkia (gratis og betalte versjoner)
- §Hauri
- § H+BEDV fra Tyskland
- § Kaspersky Anti-Virus fra Russland
- § McAfee fra USA
- § MicroWorld Technologies fra India
- § NuWave-programvare fra Ukraina
- § MKS fra Polen
- § Norman fra Norge
- § Utpost fra Russland
- § Panda-programvare fra Spania
- § Quick Heal AntiVirus fra India
- § Stiger
- § ROSE SWE
- § Sophos fra Storbritannia
- § Spyware Doctor
- Stiller Research
- § Sybari Software (Microsoft kjøpte selskapet tidlig i 2005)
- § Symantec fra USA eller Storbritannia
- § Trojan Hunter
- § Trend Micro fra Japan (nominelt Taiwan-USA)
- § Ukrainsk nasjonalt antivirus fra Ukraina
- § VirusBlokAda (VBA32) fra Hviterussland
- § VirusBuster fra Ungarn
- § ZoneAlarm AntiVirus (amerikansk)
- § Filskanning med flere antivirus
- § Sjekke filen med flere antivirus (engelsk)
- § Sjekke filer for virus før nedlasting (engelsk)
- § virusinfo.info Portal dedikert til informasjonssikkerhet (virologkonferanse), hvor du kan be om hjelp.
- § antivse.com Nok en portal hvor du kan laste ned de vanligste antivirusprogrammene, både betalt og gratis.
- § www.viruslist.ru Internett-virusleksikon laget av Kaspersky Lab
Antivirus
Avast! * AVS * Ashampoo Antivirus * AVG * Avira AntiVir * BitDefender * Clam Antivirus * ClamWin * Comodo Antivirus * Dr. Web * F-Prot *F-Secure Antivirus * Kaspersky Antivirus * McAfee VirusScan * NOD32 * Norton Antivirus * Outpost Antivirus * Panda Antivirus * PC-cillin *Windows Live OneCare
Å sammenligne antivirusprogrammer har aldri vært en enkel oppgave. Tross alt har selskaper som lager denne typen produkter alltid vært preget av deres iver etter forbedring og konstant oppdatering av programvaren. Til tross for dette er noen antivirus bedre i oppgavene sine, mens andre er dårligere.
Hver av dem har sine egne fordeler og ulemper, men ikke hver person er i stand til objektivt å evaluere arbeidet sitt og velge den som er best egnet for driften av datamaskinen hans.
Derfor bestemte vi oss for å analysere de mest populære antivirusprogrammene på markedet, Kaspersky, ESET NOD32, McAfee, Symantec, for å gi deg en generell idé om arbeidet deres og hjelpe deg med å ta det riktige valget for å beskytte din personlige datamaskin. Resultatene av analysen ble vist i form av en tabell for å maksimere oppfatningen av forskjellen mellom den testede programvaren.
|
Støtte for "nekt som standard"-scenariet med muligheten til automatisk å ekskludere fra scenariet prosesser og pålitelige oppdateringskilder som er nødvendige for at systemet skal fungere |
||||
|
Tillate/blokkere programmer: |
||||
|
Velg fra programregisteret |
||||
|
Velge kjørbare filer fra registeret |
||||
|
Oppgi kjørbar filmetadata |
||||
|
Legge inn kontrollsummer for kjørbare filer (MD5, SHA1) |
||||
|
Går inn på stien til kjørbare filer(lokalt eller UNC) |
||||
|
Velge forhåndsinnstilte appkategorier |
||||
|
Tillat/blokker applikasjoner for individuelle brukere/brukergrupper Active Directory |
||||
|
Overvåke og begrense programaktivitet |
||||
|
Overvåking og prioritering av sårbarheter |
||||
|
Tillater/blokkerer tilgang til nettressurser, advarsel om fare: |
||||
|
Link filtrering |
||||
|
Filtrer innhold etter forhåndsinnstilte kategorier |
||||
|
Filtrer innhold etter datatype |
||||
|
Active Directory-integrasjon |
||||
|
Tillate/blokkere tilgang til nettressurser etter en tidsplan |
||||
|
Genererer detaljerte rapporter om PC-bruk for å få tilgang til nettressurser |
||||
|
Policybasert enhetskontroll: |
||||
|
Etter havnetype/buss |
||||
|
Etter type tilkoblet enhet |
||||
|
Etter brukergrupper i Active Directory |
||||
|
Opprette hvitelister basert på serienummer enheter |
||||
|
Fleksibel kontroll av tilgangsrettigheter til enheter for lesing/skriving med mulighet til å konfigurere en tidsplan |
||||
|
Administrere midlertidige tilgangstillatelser |
||||
|
Avvis som standard scenario, brukt basert på prioritet |
Ved å analysere dataene som er oppnådd, kan vi trygt si at bare ett antivirus, Kaspersky, taklet alle oppgaver, for eksempel overvåkingsprogrammer, Internett-sider og enheter. McAfee Antivirus viste gode resultater i kategorien "enhetskontroll", og fikk maksimal vurdering, men dessverre er den ikke pålitelig for webkontroll og applikasjonskontroll.
En annen viktig analyse av antivirusprogrammer var deres praktiske forskning for å bestemme kvaliteten på beskyttelsen av personlige datamaskiner. For å utføre denne analysen ble ytterligere tre antivirusprogrammer lagt til: Dr. Web, AVG, TrustPort, dermed er bildet av sammenligning av programmer i dette segmentet blitt enda mer komplett. For testing ble det brukt 3 837 infiserte filer med ulike forekomster av trusler, og hvordan de testede antivirusprogrammene håndterte dem er vist i tabellen nedenfor.
|
Kaspersky |
|||||
|
1 min 10 sek |
|||||
|
5 min 32 sek |
|||||
|
6 min 10 sek |
|||||
|
1 min 10 sek |
Og igjen tok Kaspersky Anti-Virus ledelsen, foran sine konkurrenter på en så viktig indikator som prosentandelen av trusseldeteksjon - mer enn 96 %. Men som de sier, det var en flue i salven her. Tiden brukt på å søke etter infiserte filer og ressursene som ble brukt på en personlig datamaskin var høyest blant alle testede produkter.
De raskeste her var Dr. Web og ESET NOD32, som brukte litt over ett minutt på å søke etter virus, med henholdsvis 77,3 % og 50,8 % påvisning av infiserte filer. Hva som er viktigere - prosentandelen av virus oppdaget eller tiden brukt på søk - er opp til deg å bestemme. Men ikke glem at sikkerheten til datamaskinen din bør være avgjørende.
ESET NIKKE32 viste det dårligste resultatet i å oppdage trusler, kun 50,8 %, noe som er et uakseptabelt resultat for en PC. TrustPort viste seg å være den raskeste, og AVG viste seg å være minst ressurskrevende, men dessverre kan den lave prosentandelen av trusler oppdaget av disse antivirusprogrammene ikke tillate dem å konkurrere med lederne.
Basert på resultatene av testene, kan Kaspersky Anti-Virus trygt betraktes som det beste alternativet for å beskytte datamaskinen din, forutsatt at den har en tilstrekkelig mengde RAM installert og god prosessor. I tillegg er ikke prisen på Kaspersky Lab-produktet den høyeste, noe som ikke kan annet enn å glede forbrukerne.
