Evaluarea programelor antivirus. Comparația antivirusurilor bazată pe eficiența protecției împotriva celor mai recente programe malware. Analiza comparativă a virușilor informatici
Introducere
1. Partea teoretică
1.1 Conceptul de securitate a informațiilor
1.2 Tipuri de amenințări
1.3 Metode de securitate a informațiilor
2. Partea de proiectare
2.1 Clasificarea virușilor informatici
2.2 Conceptul de program antivirus
2.3 Tipuri de produse antivirus
2.4 Comparația pachetelor antivirus
Concluzie
Lista literaturii folosite
Aplicație
Introducere
Dezvoltarea de noi tehnologia Informatiei si informatizarea generala au dus la faptul ca securitatea informatiei nu numai ca devine obligatorie, ci este si una dintre caracteristicile sistemelor informatice. Există o clasă destul de mare de sisteme de procesare a informațiilor în dezvoltarea cărora factorul de securitate joacă un rol primordial.
Utilizarea masivă a computerelor personale este asociată cu apariția unor programe de virus care se auto-replica care previn operatie normala calculatoare care distrug structura fișierului discuri și informații dăunătoare stocate pe computer.
În ciuda legilor adoptate în multe țări pentru combaterea infracțiunilor informatice și a dezvoltării programe speciale Cu ajutorul noilor instrumente de protecție antivirus, numărul de noi viruși software este în continuă creștere. Acest lucru necesită utilizator calculator personal cunoștințe despre natura virușilor, metodele de infectare cu viruși și protecția împotriva acestora.
Virușii devin din ce în ce mai sofisticați în fiecare zi, ceea ce duce la o schimbare semnificativă a profilului amenințărilor. Dar și piața antivirus software nu sta pe loc, oferind multe produse. Utilizatorii lor, prezentând problema doar în termeni generali, ratează adesea nuanțe importante și ajung să aibă iluzia de protecție în locul protecției în sine.
Scopul acestui curs este de a efectua o analiză comparativă a pachetelor antivirus.
Pentru a atinge acest obiectiv, următoarele sarcini sunt rezolvate în lucrare:
Învață concepte securitatea informatiei, viruși informatici și produse antivirus;
Determinați tipurile de amenințări la adresa securității informațiilor, metode de protecție;
Studiază clasificarea virușilor informatici și a programelor antivirus;
Efectuați o analiză comparativă a pachetelor antivirus;
Creați un program antivirus.
Semnificația practică a lucrării.
Rezultatele obținute și materialul de lucru al cursului pot fi folosite ca bază pentru compararea independentă a programelor antivirus.
Structura lucrării cursului.
Acest curs constă dintr-o introducere, două secțiuni, o concluzie și o listă de referințe.
antivirus pentru securitatea virușilor de computer
1. Partea teoretică
În procesul de efectuare a unei analize comparative a pachetelor antivirus, este necesar să se definească următoarele concepte:
1 Securitatea informațiilor.
2 Tipuri de amenințări.
3 Metode de securitate a informațiilor.
Să trecem la o analiză detaliată a acestor concepte:
1.1 Conceptul de securitate a informațiilor
În ciuda eforturilor tot mai mari de a crea tehnologii de protecție a datelor, vulnerabilitatea acestora în conditii moderne nu numai că nu scade, dar și crește constant. Prin urmare, relevanța problemelor legate de protecția informațiilor este din ce în ce mai mare.
Problema securității informațiilor este multifațetă și complexă și acoperă o serie de sarcini importante. De exemplu, confidențialitatea datelor, care este asigurată prin utilizarea diferitelor metode și mijloace. Lista sarcinilor similare de securitate a informațiilor poate fi continuată. Dezvoltarea intensivă a tehnologiilor informaționale moderne și în special tehnologii de rețea, creează toate premisele pentru aceasta.
Protecția informațiilor este un ansamblu de măsuri care vizează asigurarea integrității, disponibilității și, dacă este cazul, confidențialității informațiilor și resurselor utilizate pentru introducerea, stocarea, prelucrarea și transmiterea datelor.
Până în prezent, au fost formulate două principii de bază pentru protecția informațiilor:
1 integritatea datelor – protecție împotriva defecțiunilor care conduc la pierderea informațiilor, precum și protecție împotriva creării sau distrugerii neautorizate a datelor;
2 confidențialitatea informațiilor.
Protecția împotriva defecțiunilor care conduc la pierderea de informații se realizează în direcția creșterii fiabilității elementelor și sistemelor individuale care introduc, stochează, procesează și transmit date, dublând și redundante elemente și sisteme individuale, folosind diverse, inclusiv surse de energie autonome, creșterea nivelului calificării utilizatorilor, protecție împotriva acțiunilor neintenționate și intenționate care duc la defectarea echipamentului, distrugerea sau modificarea (modificarea) software-ului și a informațiilor protejate.
Se asigură protecție împotriva creării sau distrugerii neautorizate a datelor protectie fizica informare, delimitarea și restricționarea accesului la elementele informațiilor protejate, închiderea informațiilor protejate în procesul de prelucrare directă a acesteia, dezvoltarea de sisteme software și hardware, dispozitive și software specializat pentru prevenirea accesului neautorizat la informațiile protejate.
Confidențialitatea informațiilor este asigurată prin identificarea și autentificarea subiecților de acces la autentificarea în sistem folosind un identificator și o parolă, identificare dispozitive externe prin adrese fizice, identificarea programelor, volumelor, directoarelor, fișierelor după nume, criptarea și decriptarea informațiilor, delimitarea și controlul accesului la acestea.
Dintre măsurile care vizează protecția informațiilor, principalele sunt cele tehnice, organizatorice și juridice.
Măsurile tehnice includ protecția împotriva accesului neautorizat la sistem, redundanța subsistemelor informatice deosebit de importante, organizarea retele de calculatoare cu posibilitatea redistribuirii resurselor în cazul unei defecțiuni a legăturilor individuale, instalarea de sisteme de alimentare de rezervă, dotarea spațiilor cu încuietori, instalarea unui sistem de alarmă etc.
Măsurile organizatorice includ: securitatea centrului de calculatoare (săli de informatică); încheierea unui contract de întreținere a echipamentelor informatice cu o organizație de renume și de bună reputație; excluzând posibilitatea ca persoane neautorizate, persoane aleatorii și așa mai departe, să lucreze la echipamente informatice.
Măsurile legale includ elaborarea de standarde care stabilesc răspunderea pentru dezactivarea echipamentelor informatice și distrugerea (modificarea) software-ului, controlul public asupra dezvoltatorilor și utilizatorilor sistemelor și programelor informatice.
Trebuie subliniat faptul că niciun hardware, software sau orice altă soluție nu poate garanta fiabilitatea și securitatea absolută a datelor din sistemele informatice. În același timp, este posibil să se minimizeze riscul de pierderi, dar numai cu o abordare integrată a protecției informațiilor.
1.2 Tipuri de amenințări
Amenințările pasive vizează în principal utilizarea neautorizată resurse informaționale sistemul informatic fără a afecta funcționarea acestuia. De exemplu, accesul neautorizat la bazele de date, interceptarea canalelor de comunicare și așa mai departe.
Amenințările active sunt menite să perturbe functionare normala sistemul informațional prin influența direcționată asupra componentelor sale. Amenințările active includ, de exemplu, distrugerea unui computer sau a acestuia sistem de operare, distrugerea software-ului de calculator, întreruperea liniilor de comunicație și așa mai departe. Amenințările active pot veni de la hackeri, programe malware și altele asemenea.
Amenințările intenționate sunt, de asemenea, împărțite în interne (care apar în cadrul organizației gestionate) și externe.
Amenințările interne sunt cel mai adesea determinate de tensiunea socială și de un climat moral dificil.
Amenințările externe pot fi determinate de acțiuni rău intenționate ale concurenților, condiții economice și alte motive (de exemplu, dezastre naturale).
Principalele amenințări la adresa securității informațiilor și a funcționării normale a sistemului informațional includ:
Scurgeri de informații confidențiale;
Compromisul informațiilor;
Utilizarea neautorizată a resurselor informaționale;
Utilizarea incorectă a resurselor informaționale;
Schimb neautorizat de informații între abonați;
Refuzul de informare;
Încălcarea serviciilor de informare;
Utilizarea ilegală a privilegiilor.
O scurgere de informații confidențiale este eliberarea necontrolată de informații confidențiale în afara sistemului informațional sau a cercului de persoane cărora le-a fost încredințată în cursul activității lor sau a devenit cunoscută în cursul activității. Această scurgere se poate datora:
Dezvăluirea informațiilor confidențiale;
Transferul de informații prin diverse canale, în principal tehnice;
Acces neautorizat la informații confidențiale căi diferite.
Dezvăluirea informațiilor de către proprietarul sau deținătorul acesteia reprezintă acțiunile intenționate sau neglijente ale funcționarilor și utilizatorilor cărora le-au fost încredințate informațiile relevante în modul prescris prin serviciul sau munca lor, ceea ce a condus la familiarizarea cu acestea de către persoane cărora nu li sa permis să aibă acces la aceste informații.
Este posibilă pierderea necontrolată a informațiilor confidențiale prin canale vizual-optice, acustice, electromagnetice și alte canale.
Accesul neautorizat este achiziția ilegală deliberată de informații confidențiale de către o persoană care nu are dreptul de a accesa informații protejate.
Cele mai comune modalități de acces neautorizat la informații sunt:
Interceptarea radiațiilor electronice;
Utilizarea dispozitivelor de ascultare;
Fotografie de la distanță;
Interceptarea radiațiilor acustice și restaurarea textului imprimantei;
Copierea mediilor de stocare prin depășirea măsurilor de securitate;
Mascarea ca utilizator înregistrat;
Mascarea ca cereri de sistem;
Utilizarea capcanelor software;
Exploatarea deficiențelor limbajelor de programare și ale sistemelor de operare;
Conectare ilegală la echipamente și linii de comunicație ale hardware-ului special conceput care oferă acces la informații;
Defecțiune rău intenționată a mecanismelor de protecție;
Decriptarea informațiilor criptate prin programe speciale;
Infecții informaționale.
Metodele enumerate de acces neautorizat necesită destul de multe cunoștințe tehnice și hardware adecvat sau dezvoltare de software de la hoţ. De exemplu, sunt folosite canale tehnice Scurgerile sunt căi fizice de la o sursă de informații confidențiale la un atacator prin care pot fi obținute informații protejate. Cauza canalelor de scurgere este designul și imperfecțiunile tehnologice ale soluțiilor circuitelor sau uzura operațională a elementelor. Toate acestea permit hackerilor să creeze convertoare care funcționează pe anumite principii fizice, formând un canal de transmitere a informațiilor inerent acestor principii - un canal de scurgere.
Cu toate acestea, există și modalități destul de primitive de acces neautorizat:
Furt de medii de stocare și deșeuri documentare;
Cooperare la inițiativă;
Înclinație spre cooperare din partea hoțului;
Anchetă;
Ascultarea cu urechea;
Observație și alte moduri.
Orice mijloc de scurgere de informații confidențiale poate duce la daune materiale și morale semnificative atât pentru organizația în care funcționează sistemul informațional, cât și pentru utilizatorii săi.
Există și este în curs de dezvoltare o mare varietate malware, al cărui scop este deteriorarea informațiilor din bazele de date și software-ul de calculator. Numărul mare de varietăți ale acestor programe nu ne permite să dezvoltăm mijloace permanente și fiabile de protecție împotriva lor.
Se crede că virusul este caracterizat de două caracteristici principale:
Capacitatea de a se auto-reproduce;
Capacitatea de a interveni în proces de calcul(pentru a dobândi capacitatea de a controla).
Utilizarea neautorizată a resurselor informaționale, pe de o parte, este consecințele scurgerii acesteia și un mijloc de a le compromite. Pe de altă parte, are o semnificație independentă, deoarece poate provoca daune mari sistemului gestionat sau abonaților săi.
Utilizarea eronată a resurselor informaționale, deși autorizată, poate duce totuși la distrugerea, scurgerea sau compromiterea resurselor respective.
Schimbul neautorizat de informații între abonați poate avea ca rezultat ca unul dintre aceștia să primească informații la care i se interzice accesul. Consecințele sunt aceleași ca pentru accesul neautorizat.
1.3 Metode de securitate a informațiilor
Crearea sistemelor de securitate a informațiilor se bazează pe următoarele principii:
1 O abordare sistematică a construirii unui sistem de protecție, adică o combinație optimă de organizare, software, interconectate. Hardware, proprietăți fizice și alte proprietăți confirmate de practica creării sistemelor de securitate interne și externe și utilizate în toate etapele ciclului tehnologic de prelucrare a informațiilor.
2 Principiul dezvoltării continue a sistemului. Acest principiu, care este unul dintre principiile fundamentale pentru sistemele informatice informatice, este și mai relevant pentru sistemele de securitate a informațiilor. Metodele de implementare a amenințărilor la adresa informațiilor sunt în mod constant îmbunătățite și, prin urmare, asigurarea securității sistemelor informaționale nu poate fi un act unic. Acesta este un proces continuu constând în justificarea și implementarea celor mai raționale metode, metode și modalități de îmbunătățire a sistemelor de securitate a informațiilor, monitorizare continuă, identificarea blocajelor și punctelor slabe ale acesteia, canale potențiale de scurgere de informații și noi metode de acces neautorizat,
3 Asigurarea fiabilității sistemului de protecție, adică a imposibilității reducerii nivelului de fiabilitate în cazul defecțiunilor, defecțiunilor, acțiunilor intenționate ale unui hacker sau erorilor neintenționate ale utilizatorilor și personalului de întreținere din sistem.
4 Asigurarea controlului asupra funcționării sistemului de protecție, adică crearea de mijloace și metode de monitorizare a performanței mecanismelor de protecție.
5 Furnizarea de tot felul de instrumente anti-malware.
6 Asigurarea fezabilității economice a utilizării sistemului. Protecția, care se exprimă în excesul de daune posibile din implementarea amenințărilor peste costul dezvoltării și exploatării sistemelor de securitate a informațiilor.
Ca urmare a soluționării problemelor de securitate a informațiilor, sistemele informatice moderne ar trebui să aibă următoarele caracteristici principale:
Disponibilitatea informațiilor de diferite grade de confidențialitate;
Asigurarea protecției criptografice a informațiilor de diferite grade de confidențialitate în timpul transferului de date;
Gestionarea obligatorie a fluxului de informații, ca în rețele locale, și la transmiterea prin canale de comunicație pe distanțe lungi;
Prezența unui mecanism de înregistrare și contabilizare a încercărilor de acces neautorizat, a evenimentelor din sistemul informațional și a documentelor tipărite;
Asigurarea obligatorie a integrității software-ului și a informațiilor;
Disponibilitatea mijloacelor de refacere a sistemului de securitate informatică;
Contabilitatea obligatorie a suporturilor magnetice;
Disponibilitatea securității fizice a echipamentelor informatice și a suporturilor magnetice;
Disponibilitatea unui serviciu special de securitate a informațiilor de sistem.
Metode și mijloace de asigurare a securității informațiilor.
Un obstacol este o metodă de blocare fizică a căii unui atacator către informații protejate.
Controlul accesului – metode de protejare a informațiilor prin reglementarea utilizării tuturor resurselor. Aceste metode trebuie să reziste tuturor căilor posibile de acces neautorizat la informații. Controlul accesului include următoarele caracteristici de securitate:
Identificarea utilizatorilor, personalului și resurselor sistemului (atribuirea unui identificator personal fiecărui obiect);
Identificarea unui obiect sau subiect prin identificatorul care le este prezentat;
Permisiunea si crearea conditiilor de munca in limitele reglementarilor stabilite;
Înregistrarea cererilor către resurse protejate;
Reacția la încercările de acțiuni neautorizate.
Mecanisme de criptare – închiderea criptografică a informațiilor. Aceste metode de protecție sunt din ce în ce mai utilizate atât la procesarea, cât și la stocarea informațiilor pe medii magnetice. Atunci când transmiteți informații prin canale de comunicare la distanță lungă, această metodă este singura de încredere.
Combaterea atacurilor malware implică un set de diferite măsuri organizaționale și utilizarea programelor antivirus.
Întregul set mijloace tehniceîmpărțite în hardware și fizice.
Hardware – dispozitive încorporate direct în tehnologia calculatoarelor, sau dispozitive care interfață cu acesta printr-o interfață standard.
Mijloacele fizice includ diverse dispozitive și structuri de inginerie care împiedică pătrunderea fizică a atacatorilor în obiectele protejate și protejează personalul (echipamentul personal de securitate), resursele materiale și finanțele, informațiile din acțiunile ilegale.
Instrumentele software sunt programe speciale și sisteme software, conceput pentru a proteja informațiile din sistemele informaționale.
Dintre instrumentele software ale sistemului de securitate, este necesar să se evidențieze software, implementând mecanisme de criptare (criptografie). Criptografia este știința de a asigura secretul și/sau autenticitatea (autenticitatea) mesajelor transmise.
Mijloacele organizaționale își desfășoară reglementarea complexă a activităților de producție în sistemele informaționale și a relațiilor dintre artiștii executanți pe o bază legală, astfel încât dezvăluirea, scurgerea și accesul neautorizat la informații confidențiale devin imposibile sau îngreunate semnificativ din cauza măsurilor organizaționale.
Remediile legislative sunt determinate de actele legislative ale țării, care reglementează regulile de utilizare, prelucrare și transmitere a informațiilor. acces limitat iar pentru încălcarea acestor reguli se stabilesc sancţiuni.
Mijloacele morale și etice de protecție includ tot felul de norme de comportament care s-au dezvoltat în mod tradițional anterior, se formează pe măsură ce informațiile se răspândesc în țară și în lume sau sunt dezvoltate special. Standardele morale și etice pot fi nescrise sau formalizate într-un anumit set de reguli sau reglementări. Aceste norme, de regulă, nu sunt aprobate legal, dar întrucât nerespectarea lor duce la o scădere a prestigiului organizației, ele sunt considerate obligatorii.
2. Partea de proiectare
În partea de proiectare, trebuie parcurși următorii pași:
1 Definiți conceptul de virus informatic și clasificarea virușilor informatici.
2 Definiți conceptul de program antivirus și clasificarea instrumentelor antivirus.
3 Efectuați o analiză comparativă a pachetelor antivirus.
2.1 Clasificarea virușilor informatici
Un virus este un program care poate infecta alte programe incluzând în ele o copie modificată care are capacitatea de a se reproduce în continuare.
Virușii pot fi împărțiți în clase în funcție de următoarele caracteristici principale:
Posibilitati distructive
Caracteristici ale algoritmului de operare;
Habitat;
În funcție de capacitățile lor distructive, virușii pot fi împărțiți în:
Inofensive, adică nu afectează în niciun fel funcționarea computerului (cu excepția reducerii memoriei libere de pe disc ca urmare a distribuției sale);
Nepericulos, al cărui impact este limitat de o scădere a memoriei libere pe disc și efecte grafice, sonore și alte efecte;
Viruși periculoși care pot duce la defecțiuni grave ale computerului;
Foarte periculos, al cărui algoritm conține în mod deliberat proceduri care pot duce la pierderea programelor, distrugerea datelor, ștergerea informațiilor necesare funcționării computerului înregistrate în zonele de memorie ale sistemului
Caracteristicile algoritmului de operare a virusului pot fi caracterizate prin următoarele proprietăți:
Şedere;
Utilizarea algoritmilor stealth;
Polimorfism;
Viruși rezidenți.
Termenul „reședință” se referă la capacitatea virușilor de a lăsa copii ale lor în memoria sistemului, de a intercepta anumite evenimente și de a apela proceduri pentru infectarea obiectelor detectate (fișiere și sectoare). Astfel, virușii rezidenți sunt activi nu numai în timp ce programul infectat rulează, ci și după ce programul a terminat de rulat. Copiile rezidente ale unor astfel de viruși rămân viabile până la următoarea repornire, chiar dacă toate fișierele infectate de pe disc sunt distruse. Adesea, este imposibil să scapi de astfel de viruși prin restaurarea tuturor copiilor de fișiere de pe discurile de distribuție sau a copiilor de rezervă. Copia rezidentă a virusului rămâne activă și infectează fișierele nou create. Același lucru este valabil și pentru virușii de boot - formatarea unui disc atunci când există un virus rezident în memorie nu vindecă întotdeauna discul, deoarece mulți viruși rezidenți infectează discul din nou după ce este formatat.
Virușii nerezidenți. Virușii nerezidenți, dimpotrivă, sunt activi pentru o perioadă destul de scurtă - doar în momentul lansării programului infectat. Pentru a se răspândi, ei caută fișiere neinfectate de pe disc și le scriu. După ce codul virusului transferă controlul către programul gazdă, impactul virusului asupra funcționării sistemului de operare este redus la zero până la următoarea lansare a oricărui program infectat. Prin urmare, este mult mai ușor să ștergeți fișierele infectate cu viruși nerezidenți de pe disc fără a permite virusului să le infecteze din nou.
Virușii furtivi. Virușii stealth într-un fel sau altul ascund faptul prezenței lor în sistem. Utilizarea algoritmilor ascunși permite virușilor să se ascundă complet sau parțial în sistem. Cel mai obișnuit algoritm de stealth este interceptarea solicitărilor sistemului de operare de a citi (scrie) obiecte infectate. În acest caz, virușii stealth fie îi vindecă temporar, fie „înlocuiesc” secțiuni de informații neinfectate în locul lor. În cazul virușilor macro, cea mai populară metodă este dezactivarea apelurilor către meniul de vizualizare macro. Sunt cunoscuți viruși stealth de toate tipurile, cu excepția virușilor Windows - viruși de boot, viruși de fișiere DOS și chiar viruși macro. Apariția virușilor stealth care infectează fișiere Windows, este cel mai probabil o chestiune de timp.
Viruși polimorfi. Auto-criptarea și polimorfismul sunt folosite de aproape toate tipurile de viruși pentru a complica cât mai mult procedura de detectare a virusului. Virușii polimorfi sunt destul de dificil de detectat virușii care nu au semnături, adică nu conțin o singură secțiune constantă de cod. În cele mai multe cazuri, două mostre ale aceluiași virus polimorf nu vor avea o singură potrivire. Acest lucru se realizează prin criptarea corpului principal al virusului și modificarea programului de decriptare.
Virușii polimorfi îi includ pe cei care nu pot fi detectați folosind așa-numitele măști de virus - secțiuni de cod constant specifice unui anumit virus. Acest lucru se realizează în două moduri principale - prin criptarea codului principal al virusului cu un strigăt variabil și un set aleatoriu de comenzi de decriptare sau prin schimbarea codului virusului executabil în sine. Polimorfismul de diferite grade de complexitate se găsește în viruși de toate tipurile - de la viruși de boot și fișiere DOS până la viruși Windows.
În funcție de habitatul lor, virușii pot fi împărțiți în:
Fişier;
Cizma;
Macrovirusuri;
Reţea.
Fișieră viruși. Virușii de fișiere fie se injectează în fișierele executabile în diferite moduri, fie creează fișiere duplicate (viruși însoțitori), fie folosesc particularitățile organizării sistemului de fișiere (virusuri link).
Un virus de fișier poate fi introdus în aproape toate fișierele executabile ale tuturor sistemelor de operare populare. Astăzi sunt cunoscuți viruși care infectează toate tipurile de obiecte executabile standard DOS: fișiere batch (BAT), drivere încărcabile (SYS, inclusiv fișiere speciale IO.SYS și MSDOS.SYS) și fișiere binare executabile (EXE, COM). Există viruși care infectează fișierele executabile ale altor sisteme de operare - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, inclusiv driverele Windows 3.x și Windows95 VxD.
Există viruși care infectează fișiere care conțin codul sursă al programelor, bibliotecii sau modulelor obiect. De asemenea, este posibil ca un virus să fie înregistrat în fișierele de date, dar acest lucru se întâmplă fie ca urmare a unei erori de virus, fie atunci când proprietățile sale agresive se manifestă. Virușii macro-și își scriu codul în fișiere de date - documente sau foi de calcul, dar acești viruși sunt atât de specifici încât sunt clasificați ca un grup separat.
Porniți viruși. Virușii de boot infectează sectorul de boot al unei dischete și sectorul de boot sau Master Boot Record (MBR) al unui hard disk. Principiul de funcționare al virușilor de boot se bazează pe algoritmi de pornire a sistemului de operare atunci când porniți sau reporniți computerul - după testele necesare ale echipamentului instalat (memorie, discuri etc.), programul de pornire a sistemului citește primul sector fizic disc de pornire(A:, C: sau CD-ROM în funcție de parametrii setați în Configurarea BIOS-ului) și îi transferă controlul.
În cazul unei dischete sau CD, controlul este primit de sectorul de boot, care analizează tabelul cu parametrii discului (BPB - BIOS Parameter Block), calculează adresele fișierelor sistemului de operare, le citește în memorie și le lansează pt. execuţie. Fișierele de sistem sunt de obicei MSDOS.SYS și IO.SYS sau IBMDOS.COM și IBMBIO.COM sau altele, în funcție de versiunea instalată DOS, Windows sau alte sisteme de operare. Dacă nu există fișiere de sistem de operare pe discul de pornire, programul situat în sectorul de pornire al discului afișează un mesaj de eroare și sugerează înlocuirea discului de pornire.
În cazul unui hard disk, controlul este primit de un program situat în MBR-ul hard disk-ului. Acest program analizează tabelul de partiții ale discului, calculează adresa sectorului de pornire activ (de obicei acest sector este sectorul de pornire al unității C), îl încarcă în memorie și îi transferă controlul. După ce a primit controlul, sectorul de pornire activ al hardului unitatea face aceleași acțiuni ca sectorul de boot al dischetei.
Când infectează discurile, virușii de pornire își „înlocuiesc” codul în locul oricărui program care capătă control atunci când sistemul pornește. Prin urmare, principiul infecției este același în toate metodele descrise mai sus: virusul „forțează” sistemul, atunci când este repornit, să citească în memorie și să dea control nu codului original de bootloader, ci codului virusului.
Dischetele sunt infectate în singurul mod cunoscut - virusul își scrie codul în loc de codul original sectoarele de pornire ale dischetei. Winchester se infectează cu trei moduri posibile– virusul este scris fie în locul codului MBR, fie în locul codului sectorului de boot al discului de boot (de obicei, unitatea C, sau modifică adresa sectorului de boot activ în Tabelul de partiții ale discului, situat în MBR-ul hard-ului). conduce.
Viruși macro. Virușii macro infectează fișiere precum documentele și foile de calcul ale mai multor editori populari. Virușii macro sunt programe scrise în limbi (limbi macro) încorporate în unele sisteme de procesare a datelor. Pentru a se reproduce, astfel de viruși folosesc capabilitățile limbilor macro și, cu ajutorul lor, se transferă dintr-un fișier infectat în alții. Cei mai răspândiți sunt virușii macro pentru Microsoft Word, Excel și Office97. Există și viruși macro care infectează documentele Ami Pro și bazele de date Microsoft Access.
Viruși de rețea. Virușii de rețea includ viruși care utilizează în mod activ protocoalele și capabilitățile rețelelor locale și globale pentru a se răspândi. Principiul principal de funcționare al unui virus de rețea este capacitatea de a-și transfera în mod independent codul pe un server sau o stație de lucru la distanță. Virușii de rețea „cu drepturi depline” au și capacitatea de a-și rula codul pe un computer la distanță sau, cel puțin, de a „împinge” utilizatorul să ruleze un fișier infectat. Un exemplu de viruși de rețea sunt așa-numiții viermi IRC.
IRC (Internet Relay Chat) este un protocol special conceput pentru comunicarea în timp real între utilizatorii de Internet. Acest protocol le oferă posibilitatea de a „conversa” pe Internet folosind un software special dezvoltat. Pe lângă participarea la conferințe generale, utilizatorii IRC au posibilitatea de a discuta individual cu orice alt utilizator. În plus, există un număr destul de mare de comenzi IRC, cu ajutorul cărora utilizatorul poate obține informații despre alți utilizatori și canale, poate modifica unele setări ale clientului IRC și așa mai departe. Există, de asemenea, capacitatea de a trimite și primi fișiere - aceasta este capacitatea pe care se bazează viermii IRC. Un sistem de comandă puternic și extins al clienților IRC permite, pe baza scripturilor lor, să creeze viruși informatici care își transmit codul către computerele utilizatorilor rețelelor IRC, așa-numiții „viermi IRC”. Principiul de funcționare al acestor viermi IRC este aproximativ același. Folosind comenzile IRC, un fișier script de lucru (script) este trimis automat de pe computerul infectat fiecărui utilizator nou care se alătură canalului. Fișierul script trimis îl înlocuiește pe cel standard, iar în timpul următoarei sesiuni clientul nou infectat va trimite viermele. Unii viermi IRC conțin și o componentă troiană: folosind cuvinte cheie specificate, efectuează acțiuni distructive asupra computerelor afectate. De exemplu, viermele „pIRCH.Events”, la o anumită comandă, șterge toate fișierele de pe discul utilizatorului.
Există un număr mare de combinații - de exemplu, viruși de pornire a fișierelor care infectează atât fișierele, cât și sectoarele de boot ale discurilor. Astfel de viruși, de regulă, au un algoritm de operare destul de complex, folosesc adesea metode originale de pătrundere în sistem și folosesc tehnologii ascunse și polimorfe. Un alt exemplu de astfel de combinație este un virus macro de rețea care nu numai că infectează documentele în curs de editare, ci și trimite copii ale lui prin e-mail.
Pe lângă această clasificare, ar trebui spuse câteva cuvinte despre alte programe malware care sunt uneori confundate cu viruși. Aceste programe nu au capacitatea de a se autopropaga precum virușii, dar pot provoca daune la fel de distructive.
Cai troieni (bombe logice sau bombe cu ceas).
Caii troieni includ programe care provoacă orice efecte distructive, adică în funcție de anumite condiții sau de fiecare dată când sunt lansate, distrug informațiile de pe discuri, „atârnă” sistemul etc. Ca exemplu, putem cita acest caz - când un astfel de program, în timpul unei sesiuni pe Internet, și-a trimis identificatorii de autor și parolele de pe computerele în care locuia. Cei mai cunoscuți cai troieni sunt programe care „falsifică” un fel programe utile, versiuni noi de utilitare populare sau completări la acestea. Foarte des sunt trimise la posturi BBS sau conferințe electronice. În comparație cu virușii, caii troieni nu sunt folosiți pe scară largă din următoarele motive - fie se distrug împreună cu restul datelor de pe disc, fie își demască prezența și sunt distruși de utilizatorul afectat.
2.2 Conceptul de program antivirus
Metodele de contracarare a virușilor informatici pot fi împărțite în mai multe grupuri:
Prevenirea infecției virale și reducerea daunelor așteptate de la o astfel de infecție;
Metode de utilizare a programelor antivirus, inclusiv neutralizarea și eliminarea virușilor cunoscuți;
Metode pentru detectarea și eliminarea unui virus necunoscut.
Prevenirea infectării computerului.
Una dintre principalele metode de combatere a virușilor este, ca și în medicină, prevenirea în timp util. Prevenirea computerului presupune respectarea unui număr mic de reguli, care pot reduce semnificativ probabilitatea de a obține un virus și de a pierde orice date.
Pentru a determina regulile de bază ale „igienei” computerului, este necesar să aflați principalele modalități prin care un virus pătrunde într-un computer și în rețelele de calculatoare.
Principala sursă de viruși astăzi este retea globala Internet. Cel mai mare număr de infecții cu virusuri apare la schimbul de litere în formatele Word/Office97. Utilizatorul unui editor infectat cu un virus macro, fără să știe, trimite scrisori infectate către destinatari, care la rândul lor trimit noi scrisori infectate etc. Ar trebui să evitați contactul cu surse suspecte de informații și să utilizați numai produse software legitime (licențiate).
Restaurarea obiectelor deteriorate.
În majoritatea cazurilor de infectare cu virus, procedura de restaurare a fișierelor și discurilor infectate se reduce la rularea unui antivirus adecvat care poate neutraliza sistemul. Dacă virusul este necunoscut de vreun antivirus, atunci este suficient să trimiteți fișierul infectat producătorilor de antivirus și după un timp să primiți un medicament „actualizat” împotriva virusului. Dacă timpul nu așteaptă, atunci va trebui să neutralizați singur virusul. Pentru majoritatea utilizatorilor este necesar să aibă copii de rezervă Informatia ta.
Instrumentele generale de securitate a informațiilor sunt utile pentru mai mult decât protecția împotriva virușilor. Există două tipuri principale ale acestor fonduri:
1 Copierea informațiilor – crearea de copii ale fișierelor și ale zonelor de sistem ale discurilor.
2 Controlul accesului previne utilizarea neautorizată a informațiilor, în special, protecția împotriva modificărilor programelor și datelor cauzate de viruși, programe care funcționează defectuos și acțiunile eronate ale utilizatorului.
Detectarea în timp util a fișierelor și discurilor infectate cu viruși și distrugerea completă a virușilor detectați pe fiecare computer ajută la evitarea răspândirii unei epidemii de viruși la alte computere.
Principala armă în lupta împotriva virușilor sunt programele antivirus. Acestea vă permit nu numai să detectați viruși, inclusiv viruși care folosesc diverse metode de deghizare, ci și să îi eliminați de pe computer.
Există mai multe metode de bază de detectare a virușilor care sunt utilizate de programele antivirus. Cea mai tradițională metodă de căutare a virușilor este scanarea.
Pentru a detecta, elimina și proteja împotriva virușilor informatici, au fost dezvoltate mai multe tipuri de programe speciale care vă permit să detectați și să distrugeți virușii. Astfel de programe se numesc programe antivirus.
2.3 Tipuri de produse antivirus
Programe detectoare. Programele detectoare caută o caracteristică de semnătură a unui anumit virus în memorie cu acces aleator atât în fișiere, cât și atunci când sunt detectate, emit un mesaj corespunzător. Dezavantajul unor astfel de programe antivirus este că pot găsi doar viruși care sunt cunoscuți de dezvoltatorii unor astfel de programe.
Programe medicale. Programele doctor sau fagi, precum și programele de vaccin, nu numai că găsesc fișiere infectate cu viruși, ci și le „tratează”, adică elimină corpul programului de virus din fișier, readucând fișierele la starea inițială. La începutul activității lor, fagii caută viruși în RAM, distrugându-i și abia apoi procedează la „curățarea” fișierelor. Printre fagi se numără polifagi, adică programe medicale menite să caute și să distrugă un număr mare de viruși. Cele mai cunoscute dintre ele: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.
Având în vedere că apar în mod constant noi viruși, programele de detectare și programele medicale devin rapid depășite și sunt necesare actualizări regulate ale versiunilor.
Programele de auditor (inspectori) sunt printre cele mai fiabile mijloace de protecție împotriva virușilor.
Auditorii (inspectorii) verifică datele de pe disc pentru viruși invizibili. Mai mult, inspectorul nu poate folosi instrumentele sistemului de operare pentru a accesa discuri, ceea ce înseamnă că un virus activ nu va putea intercepta acest acces.
Faptul este că o serie de viruși, introducându-se în fișiere (adică adăugându-se la sfârșitul sau începutul fișierului), înlocuiesc înregistrările despre acest fișier în tabelele de alocare de fișiere ale sistemului nostru de operare.
Auditorii (inspectorii) își amintesc starea inițială a programelor, directoarelor și zonelor de sistem ale discului atunci când computerul nu este infectat cu un virus, apoi compară periodic sau la cererea utilizatorului starea actuală cu cea originală. Modificările detectate sunt afișate pe ecranul monitorului. De regulă, compararea stărilor se efectuează imediat după încărcarea sistemului de operare. La comparare, sunt verificate lungimea fișierului, codul de control ciclic (suma de verificare a fișierului), data și ora modificării și alți parametri. Programele de auditor (inspectorii) au algoritmi destul de dezvoltați, detectează virușii ascunși și pot chiar curăța modificările versiunii programului verificat din modificările aduse de virus.
Este necesar să lansați auditorul (inspectorul) atunci când computerul nu este încă infectat, astfel încât acesta să poată crea un tabel în directorul rădăcină al fiecărui disc, cu toate informațiile necesare despre fișierele care se află pe acest disc, precum și despre zona sa de portbagaj. Se va solicita permisiunea de a crea fiecare tabel. În timpul lansărilor ulterioare, auditorul (inspectorul) va scana discurile, comparând datele despre fiecare fișier cu înregistrările sale.
Dacă sunt detectate infecții, auditorul (inspectorul) va putea folosi propriul modul de vindecare, care va restaura fișierul deteriorat de virus. Pentru a restaura fișierele, inspectorul nu trebuie să știe nimic despre un anumit tip de virus; este suficient să folosească datele despre fișierele stocate în tabele.
În plus, dacă este necesar, poate fi apelat un scanner antivirus.
Programe de filtrare (monitoare). Programele de filtrare (monitoarele) sau „watchmen” sunt mici programe rezidente concepute pentru a detecta acțiunile suspecte în timpul funcționării computerului, caracteristice virușilor. Astfel de acțiuni pot fi:
Încercări de corectare a fișierelor cu extensii COM, EXE;
Modificarea atributelor fișierului;
Scriere directă pe disc la adresa absolută;
Scrieți în sectoarele de pornire ale discului;
Când orice program încearcă să efectueze acțiunile specificate, „garda” trimite un mesaj utilizatorului și se oferă să interzică sau să permită acțiunea corespunzătoare. Programele de filtrare sunt foarte utile deoarece sunt capabile să detecteze un virus în cel mai timpuriu stadiu al existenței sale înainte de replicare. Cu toate acestea, nu „curăță” fișierele și discurile. Pentru a distruge virușii, trebuie să utilizați alte programe, cum ar fi fagii.
Vaccinuri sau imunizatoare. Vaccinurile sunt programe rezidente care previn infecțiile fișierelor. Vaccinurile sunt folosite dacă nu există programe medicale care să „trateze” acest virus. Vaccinarea este posibilă numai împotriva virusurilor cunoscute. Vaccinul modifică programul sau discul în așa fel încât să nu afecteze funcționarea acestuia, iar virusul îl va percepe ca fiind infectat și, prin urmare, nu va prinde rădăcini. În prezent, programele de vaccinare au o utilizare limitată.
Scanner. Principiul de funcționare al scanerelor antivirus se bazează pe verificarea fișierelor, sectoarelor și memoriei sistemului și căutarea acestora pentru viruși cunoscuți și noi (necunoscuți de scaner). Pentru a căuta viruși cunoscuți, sunt folosite așa-numitele „măști”. Masca unui virus este o secvență constantă de cod specifică acestui virus anume. Dacă virusul nu conține o mască permanentă sau lungimea acestei măști nu este suficient de lungă, atunci se folosesc alte metode. Un exemplu de astfel de metodă este un limbaj algoritmic care descrie totul opțiuni posibile cod care poate apărea atunci când este infectat cu un virus de acest tip. Această abordare este folosită de unii antivirusuri pentru a detecta viruși polimorfi. Scanerele pot fi, de asemenea, împărțite în două categorii – „universale” și „specializate”. Scanere universale conceput pentru a căuta și neutraliza toate tipurile de viruși, indiferent de sistemul de operare în care este proiectat să funcționeze scanerul. Scanerele specializate sunt concepute pentru a neutraliza un număr limitat de viruși sau o singură clasă de viruși, de exemplu macrovirusuri. Scanerele specializate concepute numai pentru macrovirusuri se dovedesc adesea a fi cea mai convenabilă și fiabilă soluție pentru protejarea sistemelor de gestionare a documentelor în mediile MSWord și MSExcel.
Scanerele sunt, de asemenea, împărțite în „rezident” (monitoare, paznici), care efectuează scanare din mers și „nerezident”, care scanează sistemul doar la cerere. De regulă, scanerele „rezidente” oferă mai mult protecţie fiabilă sisteme, deoarece acestea răspund imediat la apariția unui virus, în timp ce un scaner „nerezident” este capabil să identifice virusul doar în timpul următoarei lansări. Pe de altă parte, un scaner rezident poate încetini oarecum computerul, inclusiv din cauza unor posibile fals pozitive.
Avantajele scanerelor de toate tipurile includ versatilitatea lor; dezavantajele sunt viteza relativ scăzută a scanării virușilor.
Scanere CRC. Principiul de funcționare al scanerelor CRC se bazează pe calcularea sumelor CRC ( sume de control) pentru fișierele/sectoarele de sistem prezente pe disc. Aceste sume CRC sunt apoi stocate în baza de date antivirus, precum și alte informații: lungimea fișierelor, datele ultimei modificări și așa mai departe. Atunci când sunt lansate ulterior, scanerele CRC compară datele conținute în baza de date cu valorile reale calculate. Dacă informațiile despre fișiere înregistrate în baza de date nu se potrivesc cu valorile reale, atunci scanerele CRC semnalează că fișierul a fost modificat sau infectat cu un virus. Scanerele CRC care folosesc algoritmi anti-stealth sunt o armă destul de puternică împotriva virușilor: aproape 100% dintre viruși sunt detectați aproape imediat după ce apar pe computer. Cu toate acestea, acest tip de antivirus are un defect inerent care le reduce semnificativ eficacitatea. Acest dezavantaj este că scanerele CRC nu sunt capabile să prindă un virus în momentul în care acesta apare în sistem, dar face acest lucru doar ceva timp mai târziu, după ce virusul s-a răspândit în computer. Scanerele CRC nu pot detecta un virus în fișiere noi (în e-mail, pe dischete, în fișiere restaurate dintr-o copie de rezervă sau la despachetarea fișierelor dintr-o arhivă), deoarece bazele lor de date nu conțin informații despre aceste fișiere. Mai mult, apar periodic viruși care profită de această „slăbiciune” a scanerelor CRC, infectând doar fișierele nou create și rămânând astfel invizibile pentru acestea.
Blocante. Blocantele sunt programe rezidente care interceptează situații „periculoase pentru virus” și informează utilizatorul despre acestea. „Periculoase pentru viruși” includ apeluri de deschidere pentru scriere în fișiere executabile, scriere în sectoare de pornire ale discurilor sau MBR-ul unui hard disk, încercările programelor de a rămâne rezidente și așa mai departe, adică apelurile tipice pentru viruși la momentul reproducerii. Uneori, unele funcții de blocare sunt implementate în scanerele rezidente.
Avantajele blocantelor includ capacitatea lor de a detecta și opri un virus în cel mai timpuriu stadiu al reproducerii acestuia. Dezavantajele includ existența unor modalități de a ocoli protecția blocantului și un număr mare de fals pozitive.
De asemenea, este necesar să se remarce o astfel de direcție a instrumentelor antivirus precum blocantele antivirus, realizate sub formă de componente hardware ale computerului. Cea mai comună este protecția la scriere încorporată în BIOS în MBR-ul hard diskului. Cu toate acestea, ca și în cazul blocatorilor de software, o astfel de protecție poate fi ocolită cu ușurință prin scrierea directă pe porturile controlerului de disc, iar lansarea utilitarului DOS FDISK provoacă imediat un „fals pozitiv” al protecției.
Există mai multe blocante hardware mai universale, dar pe lângă dezavantajele enumerate mai sus, există și probleme de compatibilitate cu configurațiile standard ale computerelor și de complexitate în instalarea și configurarea acestora. Toate acestea fac blocantele hardware extrem de nepopulare în comparație cu alte tipuri de protecție antivirus.
2.4 Comparația pachetelor antivirus
Indiferent de ce Sistem informatic trebuie protejate, cel mai important parametru la compararea antivirusurilor este capacitatea de a detecta viruși și alte programe malware.
Cu toate acestea, deși acest parametru este important, este departe de a fi singurul.
Cert este că eficacitatea unui sistem de protecție antivirus depinde nu numai de capacitatea sa de a detecta și neutraliza virușii, ci și de mulți alți factori.
Un antivirus ar trebui să fie convenabil de utilizat, fără a distrage atenția utilizatorului de computer de la îndeplinirea sarcinilor sale directe. Dacă antivirusul deranjează utilizatorul cu solicitări și mesaje persistente, mai devreme sau mai târziu va fi dezactivat. Interfața antivirus ar trebui să fie prietenoasă și ușor de înțeles, deoarece nu toți utilizatorii au o experiență vastă de lucru cu programe de calculator. Fără a înțelege semnificația mesajului care apare pe ecran, poți permite fără să vrei o infecție cu virus chiar și cu un antivirus instalat.
Cel mai convenabil mod de protecție antivirus este atunci când toate fișierele deschise sunt scanate. Dacă antivirusul nu poate funcționa în acest mod, utilizatorul va trebui să execute o scanare a tuturor discurilor în fiecare zi pentru a detecta virușii nou apăruti. Această procedură poate dura zeci de minute sau chiar ore dacă despre care vorbim despre discuri mari instalate, de exemplu, pe un server.
Deoarece în fiecare zi apar noi viruși, este necesară actualizarea periodică a bazei de date antivirus. În caz contrar, eficiența protecției antivirus va fi foarte scăzută. Antivirusurile moderne, după configurarea corespunzătoare, pot actualiza automat bazele de date antivirus prin Internet, fără a distrage atenția utilizatorilor și administratorilor de la efectuarea acestei lucrări de rutină.
Atunci când protejați o rețea corporativă mare, un astfel de parametru pentru compararea antivirusurilor ca prezența unui centru de control al rețelei iese în prim-plan. Dacă rețeaua corporativă reunește sute și mii de stații de lucru, zeci și sute de servere, este aproape imposibil să organizezi o protecție antivirus eficientă fără un centru de control al rețelei. Una sau mai multe administratorii de sistem nu va putea ocoli toate stațiile de lucru și serverele instalând și configurând programe antivirus pe acestea. Aici este nevoie de tehnologii care să permită instalarea și configurarea centralizată a antivirusurilor pe toate computerele din rețeaua corporativă.
Protejarea site-urilor de internet precum servere de mail, iar serverele de servicii de mesagerie necesită utilizarea unor instrumente antivirus specializate. Programele antivirus convenționale concepute pentru scanarea fișierelor nu vor putea găsi cod rău intenționat în bazele de date ale serverelor de mesagerie sau în fluxul de date care trece prin serverele de e-mail.
De obicei, alți factori sunt luați în considerare atunci când se compară produsele antivirus. Agențiile guvernamentale pot, în egală măsură, prefera antivirusurile produse pe plan intern, care au toate certificatele necesare. Reputația câștigată de unul sau altul instrument antivirus în rândul utilizatorilor de computere și al administratorilor de sistem joacă, de asemenea, un rol semnificativ. Preferințele personale pot juca, de asemenea, un rol semnificativ în alegere.
Dezvoltatorii de antivirus folosesc adesea rezultatele testelor independente pentru a demonstra beneficiile produselor lor. În același timp, de multe ori utilizatorii nu înțeleg ce anume și cum a fost testat în acest test.
În această lucrare, cele mai populare au fost supuse analizei comparative. acest moment programe antivirus, și anume: Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft.
Revista britanică Virus Bulletin a fost una dintre primele care au testat produse antivirus. Primele teste publicate pe site-ul lor datează din 1998. Testul se bazează pe colecția de programe malware WildList. Pentru a trece cu succes testul, este necesar să identificați toți virușii din această colecție și să demonstrați un nivel zero de fals pozitive pe o colecție de fișiere jurnal „curate”. Testarea se efectuează de mai multe ori pe an pe diverse sisteme de operare; Produsele care trec cu succes testul primesc un premiu VB100%. Figura 1 arată câte premii VB100% au fost primite de produse de la diferite companii antivirus.
Desigur, revista Virus Bulletin poate fi numită cel mai vechi tester antivirus, dar statutul său de patriarh nu o scutește de criticile comunității antivirus. În primul rând, WildList include doar viruși și viermi și este doar pentru platforma Windows. În al doilea rând, colecția WildList conține un număr mic de programe rău intenționate și este completată foarte lent: doar câteva zeci de viruși noi apar în colecție pe lună, în timp ce, de exemplu, colecția AV-Test este completată în acest timp cu câteva zeci sau chiar și sute de mii de copii de software rău intenționat.
Toate acestea sugerează că, în forma sa actuală, colecția WildList este depășită din punct de vedere moral și nu reflectă situația reală cu virușii de pe Internet. Ca urmare, testele bazate pe colecția WildList devin din ce în ce mai lipsite de sens. Sunt bune pentru a face publicitate produselor care le-au trecut, dar nu reflectă de fapt calitatea protecției antivirus.
Figura 1 – Numărul de teste VB trecute cu succes 100%
Laboratoare independente de cercetare, cum ar fi AV-Comparatives, AV-Tests testează produse antivirus de două ori pe an pentru nivelurile de detectare a malware la cerere. În același timp, colecțiile pe care se efectuează testarea conțin până la un milion de malware și sunt actualizate în mod regulat. Rezultatele testelor sunt publicate pe site-urile web ale acestor organizații (www.AV-Comparatives.org, www.AV-Test.org) și în cunoscutele reviste de computere PC World, PC Welt. Rezultatele următoarelor teste sunt prezentate mai jos:
Figura 2 – Rata generală de detectare a malware-ului conform AV-Test
Dacă vorbim despre cele mai comune produse, atunci conform rezultatelor acestor teste, doar soluțiile de la Kaspersky Lab și Symantec sunt în primele trei. Avira, liderul la teste, merită o atenție deosebită.
Testele de la laboratoarele de cercetare AV-Comparatives și AV-Test, ca orice teste, au avantajele și dezavantajele lor. Avantajele sunt că testarea este efectuată pe colecții mari de malware și că aceste colecții conțin o mare varietate de tipuri de malware. Dezavantajul este că aceste colecții conțin nu numai mostre „proaspete” de malware, ci și unele relativ vechi. În mod obișnuit, sunt utilizate probe colectate în ultimele șase luni. În plus, aceste teste analizează rezultatele verificării hard disk la cerere, în timp ce în viata reala utilizatorul descarcă fișiere infectate de pe Internet sau le primește ca atașamente prin e-mail. Este important să detectați astfel de fișiere exact în momentul în care apar pe computerul utilizatorului.
O încercare de a dezvolta o metodologie de testare care să nu sufere de această problemă a fost făcută de una dintre cele mai vechi reviste britanice de computere, PC Pro. Testul lor a folosit o colecție de programe malware descoperite cu două săptămâni înainte de testarea traficului care trece prin serverele MessageLabs. MessageLabs oferă clienților săi servicii de filtrare tipuri variate trafic, iar colecția sa de programe rău intenționate reflectă într-adevăr situația cu răspândirea virușilor informatici pe Internet.
Echipa revistei PC Pro nu a scanat pur și simplu fișiere infectate, ci a simulat acțiuni ale utilizatorului: fișierele infectate au fost atașate scrisorilor ca atașamente, iar aceste scrisori au fost descărcate pe un computer cu un antivirus instalat. În plus, folosind scripturi scrise special, fișierele infectate au fost descărcate de pe un server Web, adică navigarea pe Internet a fost simulată. Condițiile în care sunt efectuate astfel de teste sunt cât mai apropiate de cele reale, care nu au putut decât să afecteze rezultatele: nivelul de detectare al majorității antivirusurilor s-a dovedit a fi semnificativ mai scăzut decât cu o simplă scanare la cerere în AV- Comparative și teste AV-Test. În astfel de teste, un rol important îl joacă cât de repede dezvoltatorii de antivirus răspund la apariția noilor programe malware, precum și ce mecanisme proactive sunt folosite pentru a detecta malware.
Viteza cu care sunt lansate actualizările antivirus cu semnăturile noilor malware este una dintre cele mai importante componente ale protecției antivirus eficiente. Cu cât actualizarea bazei de date de semnături este lansată mai rapid, cu atât utilizatorul va rămâne neprotejat mai puțin timp.
Figura 3 – Timpul mediu de răspuns la noile amenințări
Recent, noile programe malware apar atât de frecvent încât laboratoarele antivirus abia au timp să răspundă la apariția de noi mostre. Într-o astfel de situație, se pune întrebarea cum un antivirus poate contracara nu numai virușii deja cunoscuți, ci și noile amenințări pentru care o semnătură de detectare nu a fost încă eliberată.
Pentru a detecta amenințările necunoscute, sunt folosite așa-numitele tehnologii proactive. Aceste tehnologii pot fi împărțite în două tipuri: euristice (detectă malware pe baza analizei codului lor) și blocante comportamentale (blochează acțiunile malware-ului atunci când rulează pe un computer, în funcție de comportamentul lor).
Vorbind de euristică, eficacitatea lor a fost mult timp studiată de AV-Comparatives, un laborator de cercetare condus de Andreas Climenti. Echipa AV-Comparatives folosește o tehnică specială: antivirusurile sunt verificate față de colecția actuală de viruși, dar folosesc un antivirus cu semnături vechi de trei luni. Astfel, antivirusul trebuie să lupte împotriva programelor malware despre care nu știe nimic. Antivirușii sunt verificați prin scanarea unei colecții de malware de pe hard disk, astfel încât este testată doar eficiența euristicii. O altă tehnologie proactivă, un blocant comportamental, nu este utilizată în aceste teste. Chiar și cele mai bune euristici arată în prezent o rată de detectare de numai aproximativ 70% și multe dintre ele suferă și de fals pozitive pe fișierele curate. Toate acestea sugerează că deocamdată această metodă de detectare proactivă poate fi folosită doar simultan cu metoda semnăturii.
În ceea ce privește o altă tehnologie proactivă - un blocant comportamental, nu au fost efectuate teste comparative serioase în acest domeniu. În primul rând, multe produse antivirus (Doctor Web, NOD32, Avira și altele) nu au un blocant comportamental. În al doilea rând, efectuarea unor astfel de teste este plină de unele dificultăți. Faptul este că pentru a testa eficacitatea unui blocant comportamental, nu trebuie să scanați un disc cu o colecție de programe rău intenționate, ci să rulați aceste programe pe computer și să observați cât de cu succes le blochează antivirusul acțiunile. Acest proces necesită foarte multă muncă și doar câțiva cercetători sunt capabili să efectueze astfel de teste. Tot ceea ce este disponibil publicului larg în prezent sunt rezultatele testelor individuale ale produselor efectuate de echipa AV-Comparatives. Dacă, în timpul testării, antivirusurile au blocat cu succes acțiunile unor programe rău intenționate necunoscute de ei în timp ce rulau pe computer, atunci produsul a primit Premiul de protecție proactivă. În prezent, astfel de premii au fost primite de F-Secure cu tehnologia comportamentală DeepGuard și de Kaspersky Anti-Virus cu modulul de protecție proactivă.
Tehnologiile de prevenire a infecțiilor bazate pe analiza comportamentului malware devin din ce în ce mai răspândite, iar lipsa unor teste comparative cuprinzătoare în acest domeniu este alarmantă. Recent, specialiștii din laboratorul de cercetare AV-Test au susținut o discuție amplă pe această problemă, la care au participat și dezvoltatorii de produse antivirus. Rezultatul acestei discuții a fost o nouă metodologie de testare a capacității produselor antivirus de a rezista amenințărilor necunoscute.
Un nivel ridicat de detectare a malware-ului folosind diverse tehnologii este una dintre cele mai importante caracteristici ale unui antivirus. Cu toate acestea, o caracteristică la fel de importantă este absența unor fals pozitive. Fals pozitive pot provoca nu mai puțin rău utilizatorului decât o infecție cu virus: blocați munca programele necesare, blocați accesul la site-uri și așa mai departe.
În cursul cercetărilor sale, AV-Comparatives, împreună cu studierea capacităților antivirusurilor de a detecta malware, efectuează și teste pentru fals pozitive pe colecții de fișiere curate. Potrivit testului, cel mai mare număr de fals pozitive a fost găsit în antivirusurile Doctor Web și Avira.
Nu există protecție 100% împotriva virușilor. Din când în când, utilizatorii se confruntă cu o situație în care un program rău intenționat a pătruns în computerul lor și computerul este infectat. Acest lucru se întâmplă fie pentru că nu exista niciun antivirus pe computer, fie pentru că antivirusul nu a detectat malware-ul folosind nici semnătură, fie metode proactive. Într-o astfel de situație, este important ca atunci când instalați un antivirus cu baze de date de semnături proaspete pe computer, antivirusul nu poate doar să detecteze un program rău intenționat, ci și să elimine cu succes toate consecințele activității sale și să vindece o infecție activă. În același timp, este important să înțelegem că creatorii de viruși își îmbunătățesc în mod constant „abilitățile”, iar unele dintre creațiile lor sunt destul de greu de eliminat de pe un computer - malware poate căi diferite masca prezența acestora în sistem (inclusiv utilizarea rootkit-urilor) și chiar interferează cu funcționarea programelor antivirus. În plus, nu este suficient să ștergeți sau dezinfectați pur și simplu un fișier infectat; trebuie să eliminați toate modificările făcute de procesul rău intenționat în sistem și să restabiliți complet funcționalitatea sistemului. Echipă portal rusesc Anti-Malware.ru a efectuat un test similar, rezultatele sale sunt prezentate în Figura 4.
Figura 4 – Tratamentul infecției active
Mai sus au fost discutate diferite abordări ale testării antivirus și s-au arătat care parametri ai funcționării antivirus sunt luați în considerare în timpul testării. Putem concluziona că pentru unele antivirusuri un indicator se dovedește a fi avantajos, pentru alții - altul. În același timp, este firesc ca în materialele lor publicitare, dezvoltatorii de antivirus să se concentreze doar pe acele teste în care produsele lor ocupă poziții de lider. De exemplu, Kaspersky Lab se concentrează pe viteza de reacție la apariția noilor amenințări, Eset pe puterea tehnologiilor sale euristice, Doctor Web își descrie avantajele în tratarea infecțiilor active.
Prin urmare, ar trebui efectuată o sinteză a rezultatelor diferitelor teste. Aceasta rezumă pozițiile pe care le-au luat antivirusurile în testele revizuite și oferă, de asemenea, o evaluare integrată - ce loc ocupă în medie un anumit produs în toate testele. Drept urmare, primii trei câștigători au fost: Kaspersky, Avira, Symantec.
Pe baza pachetelor antivirus analizate, a software, conceput pentru a căuta și dezinfecta fișierele infectate cu virusul SVC 5.0. Acest virus nu duce la ștergerea sau copierea neautorizată a fișierelor, dar interferează semnificativ cu funcționarea completă a software-ului computerului.
Programele infectate sunt mai lungi decât codul sursă. Cu toate acestea, atunci când răsfoiți directoare pe o mașină infectată, acest lucru nu va fi vizibil, deoarece virusul verifică dacă fișierul găsit este infectat sau nu. Dacă un fișier este infectat, lungimea fișierului neinfectat este înregistrată în DTA.
Puteți detecta acest virus după cum urmează. În zona de date virus există un șir de caractere „(c) 1990 by SVC,Ver. 5.0”, prin care virusul, dacă este pe disc, poate fi detectat.
Când scrieți un program antivirus, se efectuează următoarea secvență de acțiuni:
1 Pentru fiecare fișier scanat, se determină momentul creării acestuia.
2 Dacă numărul de secunde este de șaizeci, atunci trei octeți sunt verificați la un offset egal cu „lungimea fișierului minus 8AN”. Dacă sunt egale cu 35H, 2EN, respectiv 30H, atunci fișierul este infectat.
3 Sunt decodați primii 24 de octeți ai codului original, care sunt localizați la offset „lungimea fișierului minus 01CFН plus 0BAAN”. Cheile de decodare sunt situate la decalajele „lungimea fișierului minus 01CFН plus 0С1АН” și „lungimea fișierului minus 01CFН plus 0С1BN”.
4 Octeții decodați sunt rescriși la începutul programului.
5 Fișierul este „trunchiat” la valoarea „lungimea fișierului minus 0С1F”.
Programul a fost creat în mediul de programare TurboPascal. Textul programului este prezentat în Anexa A.
Concluzie
În cadrul acestui curs a fost efectuată o analiză comparativă a pachetelor antivirus.
Pe parcursul analizei, sarcinile puse la începutul lucrării au fost rezolvate cu succes. Astfel, au fost studiate conceptele de securitate a informațiilor, viruși informatici și instrumente antivirus, au fost identificate tipuri de amenințări la adresa securității informațiilor, metode de protecție, s-a avut în vedere clasificarea virușilor informatici și a programelor antivirus și o analiză comparativă a antivirusului. au fost efectuate pachete, a fost scris un program care caută fișiere infectate.
Rezultatele obținute în timpul lucrului pot fi folosite atunci când alegeți un agent antivirus.
Toate rezultatele obținute sunt reflectate în lucru folosind diagrame, astfel încât utilizatorul poate verifica în mod independent concluziile trase în diagrama finală, care reflectă sinteza rezultatelor identificate ale diferitelor teste de produse antivirus.
Rezultatele obținute în timpul lucrului pot fi folosite ca bază pentru compararea independentă a programelor antivirus.
Având în vedere utilizarea pe scară largă a tehnologiilor IT, lucrarea de curs prezentată este relevantă și îndeplinește cerințele pentru aceasta. În timpul lucrărilor, au fost luate în considerare cele mai populare instrumente antivirus.
Lista literaturii folosite
1 Anin B. Protecția informațiilor informatice. - St.Petersburg. : BHV – Sankt Petersburg, 2000. – 368 p.
2 Artyunov V.V. Protecția informațiilor: manual. – metoda. indemnizatie. M.: Liberia - Bibinform, 2008. - 55 p. – (Bibliotecarul și timpul. Secolul XXI; numărul nr. 99).
3 Korneev I.K., E.A. Stepanov Protecția informațiilor în birou: manual. – M.: Prospekt, 2008. – 333 p.
5 Kupriyanov A.I. Fundamentele protecției informațiilor: manual. indemnizatie. – Ed. a II-a. sters – M.: Academia, 2007. – 254 p. – (Studii profesionale superioare).
6 Semenenko V. A., N. V. Fedorov Protecția informațiilor software și hardware: manual. ajutor pentru elevi universități – M.: MGIU, 2007. – 340 p.
7 Tsirlov V.L. Fundamentele securității informațiilor: un curs scurt. – Rostov n/d: Phoenix, 2008. – 254 p. (Educatie profesionala).
Aplicație
Lista de programe
ProgramANTIVIRUS;
Utilizează dos,crt,printer;
Tip St80 = String;
FileInfection:Fișier de octet;
CăutareFișier:SearchRec;
Mas: Matrice de St80;
MasByte:Matrice de octeți;
Poziție, I, J, K: Octet;
Num,NumărFișier,NumărFișierInf:Cuvânt;
Flag, NextDisk, Eroare: Boolean;
Key1,Key2,Key3,NumError:Byte;
MasScreen:Matrice de octeți absolut $B800:0000;
Cură de procedură (St: St80);
I: Octet; MasCure: Array Of Byte;
Assign(FileInfection,St); Resetare (FileInfection);
NumError:=IOResult;
Dacă(NumărEroare<>
Seek(FileInfection, FileSize(FileInfection) - ($0C1F - $0C1A));
NumError:=IOResult;
Dacă(NumărEroare<>0) Apoi Begin Error:=True; Ieșire; Sfârşit;
Citiți(FileInfection,Key1);
NumError:=IOResult;
Dacă(NumărEroare<>0) Apoi Begin Error:=True; Ieșire; Sfârşit;
Citiți(FileInfection,Key2);
NumError:=IOResult;
Dacă(NumărEroare<>0) Apoi Begin Error:=True; Ieșire; Sfârşit;
Seek(FileInfection, FileSize(FileInfection) - ($0C1F - $0BAA));
NumError:=IOResult;
Dacă(NumărEroare<>0) Apoi Begin Error:=True; Ieșire; Sfârşit;
Pentru I:=1 până la 24 nu
Citiți (FileInfection, MasCure[i]);
NumError:=IOResult;
Dacă(NumărEroare<>0) Apoi Begin Error:=True; Ieșire; Sfârşit;
Key3:=MasCure[i];
MasCure[i]:=Key3;
Seek(FileInfection,0);
NumError:=IOResult;
Dacă(NumărEroare<>0) Apoi Begin Error:=True; Ieșire; Sfârşit;
Pentru I:=1 până la 24, scrieți(FileInfection,MasCure[i]);
Seek(FileInfection, FileSize(FileInfection) - $0C1F);
NumError:=IOResult;
Dacă(NumărEroare<>0) Apoi Begin Error:=True; Ieșire; Sfârşit;
Truncate(FileInfection);
NumError:=IOResult;
Dacă(NumărEroare<>0) Apoi Begin Error:=True; Ieșire; Sfârşit;
Închidere (FileInfection); NumError:=IOResult;
Dacă(NumărEroare<>0) Apoi Begin Error:=True; Ieșire; Sfârşit;
Procedura F1(St: St80);
FindFirst(St + "*.*", $3F, SearchFile);
În timp ce (SearchFile.Attr = $10) Și (DosError = 0) Și
((SearchFile.Name = ".") Sau (SearchFile.Name = ".."))
FindNext(SearchFile);
În timp ce (DosError = 0) Do
Dacă tasta este apăsată, atunci
Dacă (Ord(ReadKey) = 27) Then Halt;
Dacă (SearchFile.Attr = $10) Atunci
Mas[k]:=St + SearchFile.Name + "\";
Dacă(SearchFile.Attr<>$10) Atunci
NumberOfFile:=NumberOfFile + 1;
UnpackTime(SearchFile.Time, DT);
Pentru I:=18 până la 70 face MasScreen:=20$;
Write(St + SearchFile.Name," ");
Dacă (Dt.Sec = 60) Atunci
Atribuire(FileInfection,St + SearchFile.Name);
Resetare (FileInfection);
NumError:=IOResult;
Dacă(NumărEroare<>0) Apoi Begin Error:=True; Ieșire; Sfârşit;
Seek(FileInfection, FileSize(FileInfection) - $8A);
NumError:=IOResult;
Dacă(NumărEroare<>0) Apoi Begin Error:=True; Ieșire; Sfârşit;
Pentru I:=1 până la 3 faceți Citire(FileInfection,MasByte[i]);
Închidere (FileInfection);
NumError:=IOResult;
Dacă(NumărEroare<>0) Apoi Begin Error:=True; Ieșire; Sfârşit;
Dacă (MasByte = $35) Și (MasByte = $2E) Și
(MasByte = 30 USD) Atunci
NumberOfInfFile:=NumberOfInfFile + 1;
Write(St + SearchFile.Name," infectat.",
"Șterge? ");
Dacă (Ord(Ch) = 27) Atunci Ieșire;
Până la (Ch = "Y") Sau (Ch = "y") Sau (Ch = "N")
Dacă (Ch = "Y") Sau (Ch = "y") Atunci
Cure(St + SearchFile.Name);
Dacă(NumărEroare<>0) Apoi Ieșire;
Pentru I:=0 până la 79 face MasScreen:=$20;
FindNext(SearchFile);
GoToXY(29,1); TextAttr:=$1E; GoToXY(20,2); TextAttr:=$17;
Writeln("Programa dlya poiska i lecheniya fajlov,");
Writeln("zaragennih SVC50.");
TextAttr:=$4F; GoToXY(1,25);
Scrie ("ESC - ieșire");
TextAttr:=$1F; GoToXY(1,6);
Scrie ("Kakoj disc dovedit?");
If (Ord(Disk) = 27) Then Exit;
R.Ah:=$0E; R.Dl:=Ord(UpCase(Disc))-65;
Intr($21,R); R.Ah:=19$; Intr($21,R);
Flag:=(R.Al = (Ord(UpCase(Disk))-65));
St:=UpCase(Disc) + ":\";
Writeln("Testiruetsya disc ",St," ");
Writeln("Testiruetsya fajl");
NumberOfFile:=0;
NumberOfInfFile:=0;
Dacă (k = 0) sau eroare, atunci flag:=fals;
Dacă (k > 0) atunci K:=K-1;
Dacă (k=0) Atunci Flag:=Fals;
Dacă (k > 0) atunci K:=K-1;
Writeln("Fișier verificat - ",NumărFișier);
Writeln("Zarageno fajlov - ",NumberOfInfFile);
Writeln("Izlecheno fajlov - ",Num);
Write("Verificați discul de droguri?");
Dacă (Ord(Ch) = 27) Atunci Ieșire;
Până la (Ch = "Y") Sau (Ch = "y") Sau (Ch = "N") Sau (Ch = "n");
Dacă (Ch = "N") Sau (Ch = "n") Atunci NextDisk:=False;
2.1.4 Analiza comparativă a agenților antivirale.
Există multe programe antivirus diferite, atât de origine domestică, cât și non-domestică. Și pentru a înțelege care program antivirus este mai bun, vom efectua o analiză comparativă a acestora. Pentru a face acest lucru, să luăm programele antivirus moderne, precum și cele care sunt cel mai des folosite de utilizatorii de computere.
Panda Antivirus 2008 3.01.00
Sisteme compatibile: Windows 2000/XP/Vista
Instalare
Este greu de imaginat o instalare mai simplă și mai rapidă decât oferă Panda 2008. Ni se spune doar împotriva amenințărilor împotriva cărora se va proteja aceasta aplicațieși fără a alege tipul de instalare sau sursa de actualizare, în mai puțin de un minut oferă protecție împotriva virușilor, viermilor, troienilor, spyware și phishing, după scanarea memoriei computerului pentru viruși. Cu toate acestea, nu acceptă alte funcții avansate ale antivirusurilor moderne, cum ar fi blocarea paginilor web suspecte sau protejarea datelor personale.
Interfață și funcționare
Interfața programului este foarte luminoasă. Setările existente oferă un nivel minim de modificări; doar elementele esențiale sunt disponibile. Deloc, autoconfigurare opțional în acest caz: setările implicite se potrivesc majorității utilizatorilor, oferind protecție împotriva atacurilor de phishing, spyware, viruși, aplicații de hacker și alte amenințări.
Panda poate fi actualizat numai prin Internet. Mai mult, este recomandat să instalați actualizarea imediat după instalarea antivirusului, altfel Panda va necesita în mod regulat acces la serverul „părinte” cu o fereastră mică, dar destul de vizibilă în partea de jos a ecranului, indicând un nivel scăzut de protecție curentă.
Panda 2008 împarte toate amenințările în cunoscute și necunoscute. În primul caz, putem dezactiva scanarea pentru anumite tipuri de amenințări; în al doilea caz, determinăm dacă să supunem fișierele, mesajele IM și e-mailurile la o scanare profundă pentru a căuta obiecte rău intenționate necunoscute. Dacă Panda detectează comportament suspect în orice aplicație, vă va anunța imediat, oferind astfel protecție împotriva amenințărilor neincluse în baza de date antivirus.
Panda vă permite să scanați întregul hard disk sau secțiuni individuale ale acestuia. Vă rugăm să rețineți că scanarea arhivelor este dezactivată în mod implicit. Meniul de setări prezintă extensiile fișierelor scanate; dacă este necesar, puteți adăuga propriile extensii. Mențiune specială merită statisticile amenințărilor detectate, care sunt prezentate sub forma unei diagrame circulare care demonstrează clar ponderea fiecărui tip de amenințare în numărul total de obiecte rău intenționate. Un raport al obiectelor detectate poate fi generat pentru o perioadă de timp selectată.
· cerințe minime de sistem: Windows 98/NT/Me/2000/XP.
Cerințele hardware corespund celor menționate pentru sistemul de operare specificat.
Caracteristici funcționale principale:
· protecție împotriva viermilor, virușilor, troienilor, virușilor polimorfi, virușilor macro, spyware, dialers, adware, utilitare hacker și scripturi rău intenționate;
· Actualizați baze de date antivirus de până la mai multe ori pe oră, dimensiunea fiecărei actualizări este de până la 15 KB;
· verificarea memoriei de sistem a computerului pentru a detecta viruși care nu există sub formă de fișiere (de exemplu, CodeRed sau Slammer);
· un analizor euristic care vă permite să neutralizați amenințările necunoscute înainte ca actualizările corespunzătoare ale bazei de date viruși să fie lansate.
Instalare
La început, Dr.Web avertizează sincer că nu intenționează să se înțeleagă cu alte aplicații antivirus și vă cere să vă asigurați că nu există astfel de aplicații pe computer. In caz contrar colaborare ar putea duce la „consecințe imprevizibile”. Apoi, selectați instalarea „Personalizată” sau „Normală” (recomandată) și începeți să studiați componentele principale prezentate:
· scaner pentru Windows. Verificarea manuală a fișierelor;
· scaner consolă pentru Windows. Proiectat pentru a fi lansat din fișierele de comandă;
· Garda Pianjen. Verificarea fișierelor din mers, prevenind infecțiile în timp real;
· SpiDer Mail. Scanați mesajele primite prin protocoale POP3, SMTP, IMAP și NNTP.
Interfață și funcționare
Este izbitoare lipsa de consecvență a interfeței dintre modulele antivirus, ceea ce creează un disconfort vizual suplimentar cu accesul deja nu foarte prietenos la componentele Dr.Web. Un număr mare de setări diferite nu sunt în mod clar concepute pentru un utilizator începător, cu toate acestea, un ajutor destul de detaliat într-o formă accesibilă va explica scopul anumitor parametri care vă interesează. Accesul la modulul central al Dr.Web - un scanner pentru Windows - nu se realizează prin tavă, ca toate antivirusurile discutate în recenzie, ci doar prin „Start” - departe de cea mai bună soluție, care a fost remediată în Kaspersky Anti-Virus la un moment dat.
Actualizarea este disponibilă atât prin internet, cât și folosind servere proxy, ceea ce, având în vedere dimensiunea mică a semnăturilor, face din Dr.Web o opțiune foarte atractivă pentru medii și mari. retele de calculatoare.
Puteți seta parametrii de scanare a sistemului, ordinea de actualizare și puteți configura condițiile de operare pentru fiecare modul Dr.Web folosind instrumentul convenabil „Scheduler”, care vă permite să creați un sistem de protecție coerent din „proiectantul” componentelor Dr.Web.
Drept urmare, obținem o resursă computerizată nesolicitantă, destul de necomplicată (la o examinare mai atentă) o protecție holistică a computerului de tot felul de amenințări, ale cărei capacități de a contracara aplicațiile rău intenționate depășesc în mod clar singurul dezavantaj exprimat de interfața „pestriță” a lui Dr. module web.
Să luăm în considerare procesul de scanare directă a directorului selectat. Un dosar plin cu documente text, arhive, muzică, videoclipuri și alte fișiere inerente hard disk-ului utilizatorului obișnuit. Cantitatea totală de informații a fost de 20 GB. Inițial, s-a planificat să scaneze partiția hard disk-ului pe care a fost instalat sistemul, dar Dr.Web a intenționat să prelungească scanarea timp de două până la trei ore, studiind amănunțit. fișiere de sistem, ca urmare, un folder separat a fost alocat pentru „site-ul de testare”. Fiecare antivirus a folosit toate capabilitățile oferite pentru a configura numărul maxim de fișiere scanate.
Primul loc în ceea ce privește timpul petrecut a fost Panda 2008. Incredibil, dar adevărat: scanarea a durat doar cinci (!) minute. Dr.Web a refuzat să folosească în mod rațional timpul utilizatorului și a studiat conținutul folderelor timp de mai bine de o oră și jumătate. Timpul afișat de Panda 2008 a ridicat unele îndoieli, necesitând diagnostice suplimentare ale unui parametru aparent nesemnificativ - numărul de fișiere scanate. Îndoielile au apărut nu în zadar și au găsit o bază practică în timpul testelor repetate. Ar trebui să aducem un omagiu lui Dr.Web - antivirusul nu a pierdut atât de mult timp în zadar, demonstrând cel mai bun rezultat: puțin mai mult de 130 de mii de fișiere. Să facem o rezervare că, din păcate, nu a fost posibil să stabilim numărul exact de fișiere din folderul de testare. Prin urmare, indicatorul Dr.Web a fost considerat ca reflectând situația reală în această problemă.
Utilizatorii au atitudini diferite față de procesul de scanare „la scară largă”: unii preferă să părăsească computerul și să nu interfereze cu scanarea, alții nu vor să facă compromisuri cu antivirusul și să continue să lucreze sau să se joace. Ultima opțiune, după cum s-a dovedit, permite implementarea Panda Antivirus fără probleme. Da, acest program, în care s-a dovedit imposibil de evidențiat caracteristici cheie, în orice configurație, va provoca singura îngrijorare cu un semn verde care anunță finalizarea cu succes a scanării. Dr.Web a primit titlul de cel mai stabil consumator de RAM; în modul de încărcare completă, funcționarea sa a necesitat doar câțiva megaocteți mai mult decât în timpul funcționării normale.
Acum să aruncăm o privire mai atentă la astfel de antivirusuri precum:
1. Kaspersky Anti-Virus 2009;
3. Panda Antivirus 2008;
dupa urmatoarele criterii:
· Evaluare de confort interfața cu utilizatorul;
· Evaluarea ușurinței de utilizare;
· Analiza recrutarii capabilități tehnice;
· Cost estimat.
Dintre toate antivirusurile revizuite, cel mai ieftin este Panda Antivirus 2008, iar cel mai scump este NOD 32. Dar asta nu înseamnă că Panda Antivirus 2008 este mai rău și acest lucru este dovedit de celelalte criterii. Trei programe din cele patru revizuite (Kaspersky Anti-Virus, Panda Antivirus, NOD 32) au o interfață mai simplă, mai funcțională și mai ușor de utilizat decât Dr. Web, care are multe setări care sunt de neînțeles pentru un utilizator începător. În program, puteți folosi ajutor detaliat care va explica scopul anumitor parametri de care aveți nevoie.
Toate programele oferă protecție fiabilă împotriva viermilor, virușilor tradiționali, viruși de e-mail, spyware, troieni etc. Verificarea fișierelor în programe precum Dr. Web, NOD 32, se realizează la pornirea sistemului, dar Kaspersky Anti-Virus verifică fișierele în momentul în care sunt accesate. Kaspersky Anti-Virus, NOD 32, spre deosebire de toate celelalte, are un sistem avansat de protecție proactivă bazat pe algoritmi de analiză euristică; capacitatea de a seta o parolă și, prin urmare, de a proteja programul de viruși care vizează distrugerea protecției antivirus. În plus, Kaspersky Anti-Virus 2009 are un blocant comportamental. Panda Antivirus, spre deosebire de toate celelalte, nu acceptă blocarea paginilor web suspecte sau protejarea datelor personale. Toate aceste antivirusuri au actualizări automate ale bazei de date și un planificator de sarcini. De asemenea, aceste programe antivirus sunt pe deplin compatibile cu Vista. Dar toate acestea, cu excepția Panda Antivirus, necesită ca, pe lângă ele, să nu existe alte programe similare în sistem. Pe baza acestor date, vom crea un tabel.
Tabel.1 Caracteristicile programelor antivirus
| criterii | Kaspersky Anti-Virus 2009 | NOD 32 | Dr. Web | Panda Antivirus |
| Cost estimat | - | - | - | + |
| Evaluare de utilizare a interfeței cu utilizatorul | + | + | - | |
| Evaluarea ușurinței de utilizare | + | + | +- | - |
| Analiza unui set de capabilități tehnice | + | + | + | - |
| Impresie generală a programului | + | + | - |
Fiecare dintre antivirusurile luate în considerare și-a câștigat popularitatea într-un fel sau altul, dar absolut solutie perfecta nu există pentru toate categoriile de utilizatori.
După părerea mea, cele mai utile sunt Kaspersky Anti-Virus 2009 și NOD 32. Deoarece au aproape toate cerințele pe care ar trebui să le aibă un program antivirus. Aceasta este atât o interfață, cât și un set de capabilități tehnice. În general, au ceea ce aveți nevoie pentru a vă proteja computerul de viruși.
Concluzie
În încheierea acestui curs, aș dori să spun că scopul pe care mi l-am propus - de a efectua o analiză comparativă a instrumentelor antivirus moderne - a fost atins. În acest sens, au fost rezolvate următoarele sarcini:
1. Literatura pe această temă a fost selectată.
2. Au fost studiate diverse programe antivirus.
3. A fost efectuată o comparație a programelor antivirus.
La finalizarea cursului, am întâmpinat o serie de probleme legate de căutarea informațiilor, deoarece în multe surse aceasta este destul de contradictorie; precum si cu o analiza comparativa a avantajelor si dezavantajelor fiecarui program antivirus si construirea unui tabel rezumativ.
Încă o dată, merită remarcat faptul că nu există un program antivirus universal. Niciuna dintre ele nu ne poate garanta protecție 100% împotriva virușilor, iar alegerea unui program antivirus depinde în mare măsură de utilizator.
Literatură
1. Revista pentru utilizatorii de computere personale „PC World”
2. Leontiev V.P. „Cea mai recentă enciclopedie a computerului personal”
3. http://www.viruslist.com
Scanează pentru toate modulele, cu excepția modulului Computer Scan. 1) Modulul anti-spam pentru Outlook Express și Windows Mail este conectabil. După instalarea Eset Smart Security în Outlook Express sau Windows Mail, apare o bară de instrumente care conține următoarele funcții ale modulului anti-spam 2) Modulul anti-spam funcționează...
Virușii informatici. Pentru tratarea corectă și de înaltă calitate a unui program infectat, sunt necesare antivirusuri specializate (de exemplu, antivirus Kaspersky, Dr Web etc.). CAPITOLUL 2. ANALIZA COMPARATIVA A PROGRAMELOR ANTI-VIRUS Pentru a demonstra avantajele produselor lor, dezvoltatorii de antivirus folosesc adesea rezultatele testelor independente. Unul dintre primii care a testat antivirusul...
Funcționează excelent cu colecția VirusBulletin ITW - și nimic mai mult. Evaluarea antivirus în medie pentru toate testele este prezentată în Fig. 1. (Vezi Anexa Fig. 1.). Capitolul 2. Utilizarea programelor antivirus 2.1 Verificarea antivirus E-mail Dacă în zorii dezvoltării tehnologiei informatice principalul canal de răspândire a virușilor era schimbul de fișiere de program prin dischete, atunci...
... (de exemplu, nedescărcarea sau rularea de programe necunoscute de pe Internet) ar reduce probabilitatea de răspândire a virușilor și ar elimina necesitatea de a utiliza multe programe antivirus. Utilizatorii de computere nu ar trebui să lucreze cu drepturi de administrator tot timpul. Dacă ar folosi modul normal de acces al utilizatorului, atunci unele tipuri de viruși nu ar...
Există programe antivirus pentru a vă proteja computerul de malware, viruși, cai troieni, viermi și programe spion care vă pot șterge fișierele, vă pot fura datele personale și vă pot face computerul și conexiunea web extrem de lentă și problematică. Prin urmare, alegerea unui program antivirus bun este o prioritate importantă pentru sistemul dumneavoastră.
Astăzi există peste 1 milion de viruși informatici în lume. Deoarece virușii și alte programe malware sunt atât de comune, există multe opțiuni diferite pentru utilizatorii de computere în domeniul software-ului antivirus.
Programe antivirus a devenit rapid o mare afacere, primele produse antivirus comerciale au apărut pe piață la sfârșitul anilor 1980. Astăzi puteți găsi multe programe antivirus, atât plătite, cât și gratuite, pentru a vă proteja computerul.
Ce fac programele antivirus?
Programele antivirus vă vor scana în mod regulat computerul, căutând viruși și alte programe malware care ar putea fi pe computer. Dacă software-ul detectează un virus, de obicei îl va pune în carantină, îl va dezinfecta sau îl va elimina.
Tu alegi cât de des va avea loc scanarea, deși în general este recomandat să o rulezi cel puțin o dată pe săptămână. În plus, majoritatea programelor antivirus vă vor proteja în timpul activităților de zi cu zi, cum ar fi verificarea e-mailului și navigarea pe web.
Ori de câte ori descărcați un fișier pe computer de pe Internet sau de pe e-mail, antivirusul îl va scana și se va asigura că fișierul este OK (fără viruși sau „curat”).
Programele antivirus vor actualiza, de asemenea, ceea ce se numește „definiții antivirus”. Aceste definiții sunt actualizate la fel de des pe măsură ce sunt introduși și descoperiti noi viruși și programe malware.
În fiecare zi apar noi viruși, așa că este necesar să actualizați în mod regulat baza de date antivirus pe site-ul web al producătorului programului antivirus. La urma urmei, după cum știți, orice program antivirus poate recunoaște și neutraliza doar acei viruși pe care producătorul i-a „antrenat” să îi folosească. Și nu este un secret pentru nimeni că pot trece câteva zile din momentul în care virusul este trimis către dezvoltatorii programului și până când bazele de date antivirus sunt actualizate. În această perioadă, mii de computere din întreaga lume pot fi infectate!
Așadar, asigurați-vă că instalați unul dintre cele mai bune pachete antivirus și îl mențineți actualizat în mod regulat.
FIREWALL (FIREWALL)
Protejarea computerului de viruși depinde de mai mult decât un singur program antivirus. Majoritatea utilizatorilor se înșală când cred că un antivirus instalat pe computerul lor este un panaceu pentru toți virușii. Computerul dvs. se poate infecta în continuare cu un virus, chiar dacă aveți un program antivirus puternic. Dacă computerul dvs. are acces la Internet, un antivirus nu este suficient.
Un antivirus poate elimina un virus atunci când acesta se află direct pe computerul dvs., dar dacă același virus începe să fie introdus în computerul dvs. de pe Internet, de exemplu, prin încărcarea unei pagini web, atunci programul antivirus nu va putea face nimic cu el - până când nu își va arăta activitatea pe PC. Prin urmare, protecția completă a computerului dvs. împotriva virușilor este imposibilă fără un firewall - un program special de securitate care vă va anunța despre prezența Activitate suspicioasa când un virus sau vierme încearcă să se conecteze la computer.
Utilizarea unui firewall pe Internet vă permite să limitați numărul de conexiuni nedorite din exterior la computer și reduce semnificativ probabilitatea ca acesta să fie infectat. Pe lângă protecția împotriva virușilor, este mult mai dificil pentru intruși (hackeri) să vă acceseze informațiile și să încerce să descărcați un program potențial periculos pe computer.
Atunci când un firewall este utilizat în combinație cu un program antivirus și cu actualizări ale sistemului de operare, protecția computerului dvs. este menținută la cel mai înalt nivel de securitate.
ACTUALIZAREA SISTEMULUI DE OPERARE SI PROGRAMELE
Un pas important pentru a vă proteja computerul și datele este actualizarea sistematică a sistemului de operare cu cele mai recente corecții de securitate. Este recomandat să faceți acest lucru cel puțin o dată pe lună. Ultimele actualizări pentru sistemul de operare și programele vor crea condiții în care protecția computerului împotriva virușilor va fi la un nivel destul de ridicat.
Actualizările sunt corecții ale erorilor software găsite de-a lungul timpului. Un număr mare de viruși folosesc aceste erori („găuri”) în securitatea sistemului și a programelor pentru a se răspândi. Cu toate acestea, dacă închideți aceste „găuri”, atunci nu vă va fi frică de viruși și protecția computerului dvs. va fi la un nivel ridicat. Un avantaj suplimentar al actualizărilor regulate este funcționarea mai fiabilă a sistemului datorită remedierii erorilor.
PAROLA DE LOGARE
Parola pentru autentificarea în sistemul dvs., în special pentru cont„Administrator” vă va proteja informațiile împotriva accesului neautorizat local sau prin rețea și va crea, de asemenea, o barieră suplimentară pentru viruși și spyware. Asigurați-vă că utilizați o parolă complexă, deoarece... Mulți viruși folosesc parole simple pentru a se răspândi, de exemplu 123, 12345, începând cu parole goale.
SURFING SIGUR PE WEB
Protejarea computerului de viruși va fi complicată dacă, în timp ce navighezi și navighezi pe internet, ești de acord cu totul și instalezi totul. De exemplu, sub pretextul actualizării Adobe Flash Playerul este distribuit de una dintre soiurile de virus - „Trimite SMS la număr”. Practicați navigarea sigură pe internet. Citiți întotdeauna ce anume vă oferă ei să faceți și abia apoi acceptați sau refuzați. Dacă vi se oferă ceva limbă străină- încercați să traduceți, altfel nu ezitați să refuzați.
Mulți viruși sunt conținuti în atașamentele de e-mail și încep să se răspândească de îndată ce atașamentul este deschis. Nu vă recomandăm să deschideți atașamente fără acordul prealabil pentru a le primi.
Antivirusuri pentru SIM, carduri flash și dispozitive USB
Telefoanele mobile produse astăzi au o gamă largă de interfețe și capacități de transfer de date. Consumatorii ar trebui să revizuiască cu atenție metodele de protecție înainte de a conecta orice dispozitive mici.
Metodele de protecție precum hardware, eventual antivirusuri pe dispozitive USB sau pe SIM, sunt mai potrivite pentru consumatori telefoane mobile. Evaluarea tehnică și revizuirea modului de instalare a unui program antivirus pe un telefon mobil ar trebui să fie considerată un proces de scanare care poate afecta alte aplicații legitime de pe acel telefon.
Programele antivirus de pe SIM cu antivirus încorporat într-o zonă mică de memorie oferă protecție anti-malware/virus, protejând PIM și informațiile utilizatorului telefonului. Antivirusurile de pe carduri flash oferă utilizatorului posibilitatea de a schimba informații și de a utiliza aceste produse cu diverse dispozitive hardware.
Antivirusuri, dispozitive mobile și soluții inovatoare
Nimeni nu va fi surprins când virușii care infectează computerele personale și laptopurile își vor ajunge pe dispozitivele mobile. Tot mai mulți dezvoltatori din acest domeniu oferă programe antivirus pentru combaterea virușilor și protejarea telefoanelor mobile. ÎN dispozitive mobile Există următoarele tipuri de control al virușilor:
- § Limitări CPU
- § limitarea memoriei
- § identificarea și actualizarea semnăturilor acestor dispozitive mobile
Companii și programe antivirus
- § AOL® Virus Protection ca parte a AOL Safety and Centru de securitate
- § ActiveVirusShield de la AOL (bazat pe KAV 6, gratuit)
- § AhnLab
- § Sisteme de cunoștințe Aladdin
- § Software ALWIL (avast!) din Republica Cehă (versiuni gratuite și cu plată)
- § ArcaVir din Polonia
- § AVZ din Rusia (gratuit)
- § Avira din Germania (gratuit Varianta clasica)
- § Authentium din Marea Britanie
- § BitDefender din România
- § BullGuard din Danemarca
- § Computer Associates din SUA
- § Comodo Group din SUA
- § ClamAV -- Licență GPL -- gratuit și open source codurile sursă programe
- § ClamWin -- ClamAV pentru Windows
- § Dr.Web din Rusia
- § Eset NOD32 din Slovacia
- § Fortinet
- § Software Frisk din Islanda
- § F-Secure din Finlanda
- § GeCAD din România (Microsoft a cumpărat compania în 2003)
- § Software-ul GFI
- § GriSoft (AVG) din Republica Cehă (versiuni gratuite și cu plată)
- §Hauri
- § H+BEDV din Germania
- § Kaspersky Anti-Virus din Rusia
- § McAfee din SUA
- § Tehnologii MicroWorld din India
- § NuWave Software din Ucraina
- § MKS din Polonia
- § Norman din Norvegia
- § Avanpost din Rusia
- § Software Panda din Spania
- § Quick Heal AntiVirus din India
- § În creștere
- § ROSE SWE
- § Sophos din Marea Britanie
- § Spyware Doctor
- Stiller Research
- § Sybari Software (Microsoft a cumpărat compania la începutul anului 2005)
- § Symantec din SUA sau Marea Britanie
- § Troian Hunter
- § Trend Micro din Japonia (nominal Taiwan-SUA)
- § Antivirus național ucrainean din Ucraina
- § VirusBlokAda (VBA32) din Belarus
- § VirusBuster din Ungaria
- § ZoneAlarm AntiVirus (american)
- § Scanarea fișierelor cu mai multe antivirusuri
- § Verificarea fișierului cu mai multe antivirusuri (engleză)
- § Verificarea fișierelor pentru viruși înainte de descărcare (engleză)
- § virusinfo.info Portal dedicat securității informațiilor (conferința virologilor), unde puteți solicita ajutor.
- § antivse.com Un alt portal de unde poți descărca cele mai comune programe antivirus, atât plătite, cât și gratuite.
- § www.viruslist.ru Enciclopedie de viruși de internet creată de Kaspersky Lab
Antivirusuri
Avast! * AVS * Ashampoo Antivirus * AVG * Avira AntiVir * BitDefender * Clam Antivirus * ClamWin * Comodo Antivirus * Dr. Web * F-Prot *F-Secure Antivirus * Kaspersky Antivirus * McAfee VirusScan * NOD32 * Norton Antivirus * Outpost Antivirus * Panda Antivirus * PC-cillin *Windows Live OneCare
Compararea programelor antivirus nu a fost niciodată o sarcină ușoară. La urma urmei, companiile care creează aceste tipuri de produse s-au distins întotdeauna prin zelul lor pentru îmbunătățirea și actualizarea constantă a software-ului lor. În ciuda acestui fapt, unele antivirusuri sunt mai bune în sarcinile lor, în timp ce altele sunt mai rele.
Fiecare dintre ele are propriile avantaje și dezavantaje, dar nu fiecare persoană este capabilă să își evalueze în mod obiectiv munca și să aleagă pe cea mai potrivită pentru funcționarea computerului său.
Prin urmare, am decis să analizăm cele mai populare programe antivirus de pe piață, Kaspersky, ESET NOD32, McAfee, Symantec, pentru a vă oferi o idee generală despre activitatea lor și pentru a vă ajuta să faceți alegerea corectă pentru a vă proteja computerul personal. Rezultatele analizei au fost afișate sub forma unui tabel pentru a maximiza percepția asupra diferenței dintre software-ul testat.
|
Suport pentru scenariul „refuz implicit” cu posibilitatea de a exclude automat din scenariu procesele și sursele de actualizare de încredere necesare pentru ca sistemul să funcționeze |
||||
|
Permiterea/blocarea programelor: |
||||
|
Selectarea din registrul programului |
||||
|
Selectarea fișierelor executabile din registry |
||||
|
Introducerea metadatelor fișierului executabil |
||||
|
Introducerea sumelor de control ale fișierelor executabile (MD5, SHA1) |
||||
|
Intrând pe calea către fișiere executabile(local sau UNC) |
||||
|
Selectarea categoriilor de aplicații presetate |
||||
|
Permite/blochează aplicații pentru utilizatori individuali/grupuri de utilizatori Director activ |
||||
|
Monitorizarea și limitarea activității programului |
||||
|
Monitorizarea și prioritizarea vulnerabilităților |
||||
|
Permiterea/blocarea accesului la resursele web, avertizare despre pericol: |
||||
|
Filtrarea linkurilor |
||||
|
Filtrați conținutul după categorii prestabilite |
||||
|
Filtrați conținutul după tipul de date |
||||
|
Integrare Active Directory |
||||
|
Permiterea/blocarea accesului la resursele web într-un program stabilit |
||||
|
Generarea de rapoarte detaliate privind utilizarea PC-ului pentru a accesa resursele web |
||||
|
Controlul dispozitivului bazat pe politici: |
||||
|
După tipul de port/autobuz |
||||
|
După tipul de dispozitiv conectat |
||||
|
După grupuri de utilizatori în Active Directory |
||||
|
Crearea listelor albe pe baza numere de serie dispozitive |
||||
|
Control flexibil al drepturilor de acces la dispozitivele pentru citire/scriere cu posibilitatea de a configura un program |
||||
|
Gestionarea permisiunilor de acces temporare |
||||
|
Scenariul de respingere implicit, aplicat în funcție de prioritate |
Analizând datele obținute, putem spune cu încredere că un singur antivirus, Kaspersky, a făcut față tuturor sarcinilor, precum programele de monitorizare, site-urile de internet și dispozitivele. McAfee Antivirus a dat rezultate bune la categoria „controlul dispozitivului”, primind ratingul maxim, dar, din păcate, nu este de încredere pentru controlul web și controlul aplicațiilor.
O altă analiză importantă a programelor antivirus a fost cercetarea lor practică pentru a determina calitatea protecției computerelor personale. Pentru realizarea acestei analize au fost adăugate încă trei programe antivirus: Dr. Web, AVG, TrustPort, astfel imaginea de comparare a programelor din acest segment a devenit și mai completă. Pentru testare, au fost utilizate 3.837 de fișiere infectate cu diverse instanțe de amenințări și modul în care programele antivirus testate le-au tratat este prezentat în tabelul de mai jos.
|
Kaspersky |
|||||
|
1 min 10 sec |
|||||
|
5 min 32 sec |
|||||
|
6 min 10 sec |
|||||
|
1 min 10 sec |
Și din nou, Kaspersky Anti-Virus a preluat conducerea, înaintea concurenților săi într-un indicator atât de important precum procentul de detectare a amenințărilor - mai mult de 96%. Dar, după cum se spune, aici era o muscă în unguent. Timpul petrecut căutând fișiere infectate și resursele consumate pe un computer personal au fost cele mai mari dintre toate produsele testate.
Cei mai rapizi aici au fost Dr. Web și ESET NOD32, care au petrecut puțin peste un minut căutând viruși, cu 77,3% și, respectiv, 50,8% detecție a fișierelor infectate. Ceea ce este mai important - procentul de viruși detectați sau timpul petrecut căutării - rămâne la latitudinea dvs. să decideți. Dar nu uitați că securitatea computerului dvs. ar trebui să fie primordială.
ESET DA DIN CAP32 a arătat cel mai rău rezultat în detectarea amenințărilor, doar 50,8%, ceea ce este un rezultat inacceptabil pentru un PC. TrustPort s-a dovedit a fi cel mai rapid, iar AVG s-a dovedit a fi cel mai puțin pretențios la resurse, dar, din păcate, procentul scăzut de amenințări detectate de aceste programe antivirus nu le permite să concureze cu liderii.
Pe baza rezultatelor testelor, Kaspersky Anti-Virus poate fi considerat cu încredere cea mai bună opțiune pentru protejarea computerului, cu condiția ca acesta să aibă o cantitate suficientă de RAM instalată și procesor bun. În plus, prețul produsului Kaspersky Lab nu este cel mai mare, ceea ce nu poate decât să mulțumească consumatorii.
