Utvärdering av antivirusprogram. Jämförelse av antivirus baserat på effektiviteten av skydd mot den senaste skadliga programvaran. Jämförande analys av datavirus
Introduktion
1. Teoretisk del
1.1 Begreppet informationssäkerhet
1.2 Typer av hot
1.3 Informationssäkerhetsmetoder
2. Designdel
2.1 Klassificering av datavirus
2.2 Konceptet med ett antivirusprogram
2.3 Typer av antivirusprodukter
2.4 Jämförelse av antiviruspaket
Slutsats
Lista över begagnad litteratur
Ansökan
Introduktion
Utveckling av nya informationsteknik och allmän datorisering har lett till att informationssäkerheten inte bara blir obligatorisk, den är också en av informationssystemens kännetecken. Det finns en ganska stor klass av informationsbehandlingssystem i utvecklingen av vilka säkerhetsfaktorn spelar en avgörande roll.
Den massiva användningen av persondatorer är förknippad med uppkomsten av självreplikerande virusprogram som förhindrar normal drift datorer som förstör filstruktur diskar och skadlig information lagrad på datorn.
Trots de lagar som antagits i många länder för att bekämpa databrott och utvecklingen specialprogram Med hjälp av nya antivirusskyddsverktyg växer antalet nya programvirus hela tiden. Detta kräver användaren personlig dator kunskap om virusens natur, metoder för infektion med virus och skydd mot dem.
Virus blir mer sofistikerade för varje dag, vilket resulterar i en betydande förändring av hotprofilen. Men också antivirusmarknaden programvara står inte stilla och erbjuder många produkter. Deras användare, som bara presenterar problemet i allmänna termer, missar ofta viktiga nyanser och slutar med en illusion av skydd istället för själva skyddet.
Syftet med detta kursarbete är att göra en jämförande analys av antiviruspaket.
För att uppnå detta mål löses följande uppgifter i arbetet:
Lär dig begrepp informationssäkerhet, datorvirus och antivirusprodukter;
Bestäm typer av hot mot informationssäkerhet, skyddsmetoder;
Studera klassificeringen av datavirus och antivirusprogram;
Genomföra en jämförande analys av antiviruspaket;
Skapa ett antivirusprogram.
Arbetets praktiska betydelse.
Erhållna resultat och kursens arbetsmaterial kan användas som underlag för oberoende jämförelse av antivirusprogram.
Kursarbetets struktur.
Detta kursarbete består av en introduktion, två avsnitt, en slutsats och en referenslista.
antivirus för datorvirussäkerhet
1. Teoretisk del
I processen att utföra en jämförande analys av antiviruspaket är det nödvändigt att definiera följande begrepp:
1 Informationssäkerhet.
2 Typer av hot.
3 Informationssäkerhetsmetoder.
Låt oss gå vidare till en detaljerad övervägande av dessa begrepp:
1.1 Begreppet informationssäkerhet
Trots ökade ansträngningar för att skapa dataskyddstekniker har deras sårbarhet i moderna förhållanden inte bara minskar inte, utan ökar också konstant. Därför ökar relevansen av problem relaterade till informationsskydd alltmer.
Problemet med informationssäkerhet är mångfacetterat och komplext och omfattar en rad viktiga uppgifter. Till exempel datasekretess, som säkerställs genom att använda olika metoder och medel. Listan över liknande informationssäkerhetsuppgifter kan fortsätta. Intensiv utveckling av modern informationsteknik, och i synnerhet nätverkstekniker, skapar alla förutsättningar för detta.
Informationsskydd är en uppsättning åtgärder som syftar till att säkerställa integriteten, tillgängligheten och, vid behov, konfidentialitet för information och resurser som används för att mata in, lagra, bearbeta och överföra data.
Hittills har två grundläggande principer för informationsskydd formulerats:
1 dataintegritet – skydd mot fel som leder till förlust av information, samt skydd mot obehörigt skapande eller förstörelse av data;
2 informationssekretess.
Skydd mot fel som leder till förlust av information utförs i riktning mot att öka tillförlitligheten hos enskilda element och system som matar in, lagrar, bearbetar och överför data, duplicerar och redundanta enskilda element och system, med hjälp av olika, inklusive autonoma, strömkällor, öka nivån på användarkvalifikationer, skydd mot oavsiktliga och avsiktliga handlingar som leder till utrustningsfel, förstörelse eller förändring (modifiering) av programvara och skyddad information.
Skydd mot obehörigt skapande eller förstörelse av data tillhandahålls fysiskt skydd information, avgränsning och begränsning av åtkomst till delar av skyddad information, stängning av skyddad information i processen för dess direkta behandling, utveckling av mjukvaru- och hårdvarusystem, enheter och specialiserad programvara för att förhindra obehörig åtkomst till skyddad information.
Sekretessen för information säkerställs genom identifiering och autentisering av åtkomstsubjekt vid inloggning i systemet med hjälp av en identifierare och lösenord, identifiering externa enheter genom fysiska adresser, identifiering av program, volymer, kataloger, filer efter namn, kryptering och dekryptering av information, avgränsning och kontroll av åtkomst till den.
Bland de åtgärder som syftar till att skydda information är de främsta tekniska, organisatoriska och juridiska.
Tekniska åtgärder inkluderar skydd mot obehörig åtkomst till systemet, redundans av särskilt viktiga datorundersystem, organisation dator nätverk med möjlighet att omfördela resurser vid fel på enskilda länkar, installera backup-strömförsörjningssystem, utrusta lokaler med lås, installera ett larmsystem och så vidare.
Organisatoriska åtgärder inkluderar: säkerhet i datorcentret (informatikrum); ingå ett kontrakt för underhåll av datorutrustning med en välrenommerad organisation med gott rykte; exklusive möjligheten för obehöriga, slumpmässiga personer och så vidare att arbeta på datorutrustning.
Rättsliga åtgärder inkluderar utveckling av standarder som fastställer ansvar för inaktivering av datorutrustning och förstörelse (ändring) av programvara, offentlig kontroll över utvecklare och användare av datorsystem och program.
Det bör betonas att ingen hårdvara, mjukvara eller några andra lösningar kan garantera absolut tillförlitlighet och säkerhet för data i datorsystem. Samtidigt är det möjligt att minimera risken för förluster, men bara med ett integrerat förhållningssätt till informationsskydd.
1.2 Typer av hot
Passiva hot är främst inriktade på otillåten användning informationsresurser informationssystem utan att det påverkar dess funktion. Till exempel obehörig åtkomst till databaser, avlyssning av kommunikationskanaler och så vidare.
Aktiva hot är avsedda att störa normal funktion informationssystem genom riktat inflytande på dess komponenter. Aktiva hot inkluderar till exempel förstörelse av en dator eller dess operativ system, förstörelse av datorprogramvara, avbrott i kommunikationslinjer och så vidare. Aktiva hot kan komma från hackare, skadlig programvara och liknande.
Avsiktliga hot delas också in i interna (uppstår inom den hanterade organisationen) och externa.
Inre hot bestäms oftast av social spänning och ett svårt moraliskt klimat.
Externa hot kan fastställas av illvilliga handlingar från konkurrenter, ekonomiska förhållanden och andra skäl (till exempel naturkatastrofer).
De främsta hoten mot informationssäkerheten och informationssystemets normala funktion inkluderar:
Läckage av konfidentiell information;
Kompromiss av information;
Otillåten användning av informationsresurser;
Felaktig användning av informationsresurser;
Otillåtet utbyte av information mellan abonnenter;
Avslag på information;
Brott mot informationstjänster;
Olaglig användning av privilegier.
Ett läckage av konfidentiell information är ett okontrollerat utlämnande av konfidentiell information utanför informationssystemet eller den krets av personer som den anförtrotts i deras arbete eller blivit känd under arbetets gång. Denna läcka kan bero på:
Avslöjande av konfidentiell information;
Överföring av information genom olika, främst tekniska, kanaler;
Obehörig åtkomst till konfidentiell information olika sätt.
Utlämnande av information från dess ägare eller innehavare är avsiktliga eller vårdslösa handlingar av tjänstemän och användare till vilka den relevanta informationen anförtrotts på föreskrivet sätt genom deras tjänst eller arbete, vilket ledde till att personer som inte fick ha bekantskap med informationen. tillgång till denna information.
Okontrollerad förlust av konfidentiell information genom visuell-optiska, akustiska, elektromagnetiska och andra kanaler är möjlig.
Obehörig åtkomst är det olagliga avsiktliga förvärvet av konfidentiell information av en person som inte har rätt att få tillgång till skyddad information.
De vanligaste sätten för obehörig åtkomst till information är:
Avlyssning av elektronisk strålning;
Användning av avlyssningsanordningar;
Fjärrfotografering;
Avlyssning av akustisk strålning och återställning av skrivartext;
Kopiera lagringsmedia genom att övervinna säkerhetsåtgärder;
Maskering som registrerad användare;
Maskering som systemförfrågningar;
Användning av mjukvarufällor;
Utnyttja bristerna i programmeringsspråk och operativsystem;
Olaglig anslutning till utrustning och kommunikationslinjer av specialdesignad hårdvara som ger tillgång till information;
Skadligt fel på skyddsmekanismer;
Dekryptering av krypterad information med speciella program;
Informationsinfektioner.
De listade metoderna för obehörig åtkomst kräver ganska mycket teknisk kunskap och lämplig hårdvara eller mjukvaruutveckling från inbrottstjuven. Till exempel används de tekniska kanaler Läckor är fysiska vägar från en källa med konfidentiell information till en angripare genom vilka skyddad information kan erhållas. Orsaken till läckagekanaler är design- och tekniska brister i kretslösningar eller funktionsslitage av element. Allt detta gör det möjligt för hackare att skapa omvandlare som arbetar på vissa fysiska principer och bildar en informationsöverföringskanal som är inneboende i dessa principer - en läckagekanal.
Men det finns också ganska primitiva sätt för obehörig åtkomst:
Stöld av lagringsmedier och dokumentäravfall;
Initiativsamarbete;
Benägenhet till samarbete från inbrottstjuvens sida;
Förfrågan;
Tjuvlyssning;
Observation och andra sätt.
Alla sätt att läcka konfidentiell information kan leda till betydande materiell och moralisk skada både för organisationen där informationssystemet är verksamt och för dess användare.
Det finns och utvecklas hela tiden en enorm variation skadlig programvara, vars syfte är att skada information i databaser och datorprogram. Det stora antalet varianter av dessa program tillåter oss inte att utveckla permanenta och pålitliga sätt att skydda mot dem.
Viruset tros kännetecknas av två huvuddrag:
Förmågan att självreproducera;
Förmågan att ingripa i beräkningsprocessen(för att få förmågan att kontrollera).
Otillåten användning av informationsresurser är å ena sidan konsekvenserna av dess läckage och ett sätt att äventyra det. Å andra sidan har det oberoende betydelse, eftersom det kan orsaka stor skada på det hanterade systemet eller dess abonnenter.
Felaktig användning av informationsresurser, även om den är auktoriserad, kan ändå leda till att dessa resurser förstörs, läcker eller äventyras.
Otillåtet informationsutbyte mellan abonnenter kan leda till att någon av dem får information som han förbjuds att ta del av. Konsekvenserna är desamma som för obehörig åtkomst.
1.3 Informationssäkerhetsmetoder
Skapandet av informationssäkerhetssystem bygger på följande principer:
1 Ett systematiskt tillvägagångssätt för att bygga ett skyddssystem, vilket innebär en optimal kombination av sammanhängande organisation, mjukvara,. Hårdvara, fysiska och andra egenskaper bekräftas av praxis att skapa inhemska och utländska säkerhetssystem och används i alla stadier av infcykeln.
2 Principen om kontinuerlig utveckling av systemet. Denna princip, som är en av de grundläggande principerna för datorinformationssystem, är ännu mer relevant för informationssäkerhetssystem. Metoder för att implementera hot mot information förbättras ständigt, och därför kan det inte vara en engångshandling att säkerställa informationssystemens säkerhet. Detta är en kontinuerlig process som består av motivering och implementering av de mest rationella metoderna, metoderna och sätten att förbättra informationssäkerhetssystem, kontinuerlig övervakning, identifiering av dess flaskhalsar och svagheter, potentiella kanaler för informationsläckage och nya metoder för obehörig åtkomst,
3 Säkerställa skyddssystemets tillförlitlighet, det vill säga omöjligheten att minska tillförlitlighetsnivån i händelse av fel, misslyckanden, avsiktliga handlingar från en hackare eller oavsiktliga fel från användare och underhållspersonal i systemet.
4 Säkerställa kontroll över skyddssystemets funktion, det vill säga skapandet av medel och metoder för att övervaka skyddsmekanismernas funktion.
5 Tillhandahåller alla typer av anti-malware-verktyg.
6 Säkerställa den ekonomiska genomförbarheten av att använda systemet. Skydd, som uttrycks i överskottet av möjlig skada från implementering av hot över kostnaden för att utveckla och driva informationssäkerhetssystem.
Som ett resultat av att lösa informationssäkerhetsproblem bör moderna informationssystem ha följande huvudfunktioner:
Tillgänglighet av information av varierande grad av konfidentialitet;
Säkerställa kryptografiskt skydd av information av varierande grad av konfidentialitet under dataöverföring;
Obligatorisk informationsflödeshantering, som i lokala nätverk, och vid sändning via kommunikationskanaler över långa avstånd;
Förekomsten av en mekanism för registrering och redovisning av obehöriga åtkomstförsök, händelser i informationssystemet och utskrivna dokument;
Obligatorisk säkerställande av programvarans och informationens integritet;
Tillgänglighet av medel för att återställa informationssäkerhetssystemet;
Obligatorisk redovisning av magnetiska medier;
Tillgänglighet av fysisk säkerhet för datorutrustning och magnetiska medier;
Tillgänglighet för en speciell systeminformationssäkerhetstjänst.
Metoder och medel för att säkerställa informationssäkerhet.
Ett hinder är en metod för att fysiskt blockera en angripares väg till skyddad information.
Åtkomstkontroll – metoder för att skydda information genom att reglera användningen av alla resurser. Dessa metoder måste motstå alla möjliga sätt för obehörig åtkomst till information. Åtkomstkontroll inkluderar följande säkerhetsfunktioner:
Identifiering av användare, personal och systemresurser (tilldelning av en personlig identifierare till varje objekt);
Identifiering av ett objekt eller subjekt genom den identifierare som presenteras för dem;
Tillstånd och skapande av arbetsvillkor inom de fastställda reglerna;
Registrering av förfrågningar till skyddade resurser;
Reaktion på försök till obehöriga handlingar.
Krypteringsmekanismer – kryptografisk stängning av information. Dessa skyddsmetoder används i allt större utsträckning både vid bearbetning och lagring av information på magnetiska medier. Vid överföring av information över långdistanskommunikationskanaler är denna metod den enda pålitliga.
Att motverka skadliga attacker innebär en uppsättning olika organisatoriska åtgärder och användning av antivirusprogram.
Hela uppsättningen tekniska medel uppdelad i hårdvara och fysisk.
Hårdvara – enheter inbyggda direkt i datateknik, eller enheter som gränssnitt med den via ett standardgränssnitt.
Fysiska medel inkluderar olika tekniska anordningar och strukturer som förhindrar fysisk penetrering av angripare i skyddade föremål och skyddar personal (personlig säkerhetsutrustning), materiella resurser och ekonomi, information från olagliga handlingar.
Mjukvaruverktyg är specialprogram och mjukvarusystem, utformad för att skydda information i informationssystem.
Bland säkerhetssystemets mjukvaruverktyg är det nödvändigt att markera programvara, implementering av krypteringsmekanismer (kryptografi). Kryptografi är vetenskapen om att säkerställa sekretess och/eller äkthet (äkthet) av överförda meddelanden.
Organisatoriska medel genomför sin komplexa reglering av produktionsverksamhet i informationssystem och utövandes relationer på laglig grund på ett sådant sätt att avslöjande, läckage och obehörig åtkomst till konfidentiell information blir omöjlig eller avsevärt försvårad på grund av organisatoriska åtgärder.
Lagstiftande åtgärder bestäms av landets lagstiftning, som reglerar reglerna för användning, bearbetning och överföring av information begränsad åtkomst och sanktioner införs för brott mot dessa regler.
Moraliska och etiska skyddsmedel omfattar alla typer av beteendenormer som traditionellt har utvecklats tidigare, bildas som informationsspridning i landet och i världen eller är speciellt utvecklade. Moraliska och etiska normer kan vara oskrivna eller formaliserade i en viss uppsättning regler eller förordningar. Dessa normer är som regel inte juridiskt godkända, men eftersom deras bristande efterlevnad leder till en nedgång i organisationens prestige anses de vara obligatoriska.
2. Designdel
I designdelen måste följande steg utföras:
1 Definiera begreppet datavirus och klassificeringen av datavirus.
2 Definiera konceptet för ett antivirusprogram och klassificeringen av antivirusverktyg.
3 Gör en jämförande analys av antiviruspaket.
2.1 Klassificering av datavirus
Ett virus är ett program som kan infektera andra program genom att inkludera i dem en modifierad kopia som har förmågan att ytterligare reproducera sig.
Virus kan delas in i klasser enligt följande huvudegenskaper:
Destruktiva möjligheter
Funktioner hos operationsalgoritmen;
Livsmiljö;
Enligt deras destruktiva kapacitet kan virus delas in i:
Ofarliga, det vill säga de påverkar inte datorns funktion på något sätt (förutom att minska ledigt minne på disken som ett resultat av dess distribution);
Icke-farligt, vars påverkan begränsas av en minskning av ledigt minne på disken och grafik, ljud och andra effekter;
Farliga virus som kan leda till allvarliga datorfel;
Mycket farligt, vars algoritm medvetet innehåller procedurer som kan leda till förlust av program, förstöra data, radera information som är nödvändig för driften av datorn inspelad i systemminnesområden
Funktioner i virusoperationsalgoritmen kan karakteriseras av följande egenskaper:
Bostad;
Användning av stealth-algoritmer;
polymorfism;
Resident virus.
Termen "residence" hänvisar till virusens förmåga att lämna kopior av sig själva i systemminnet, fånga upp vissa händelser och anropsprocedurer för att infektera upptäckta objekt (filer och sektorer). Således är inhemska virus aktiva inte bara medan det infekterade programmet körs, utan även efter att programmet har körts färdigt. Inhemska kopior av sådana virus förblir livskraftiga tills nästa omstart, även om alla infekterade filer på disken förstörs. Ofta är det omöjligt att bli av med sådana virus genom att återställa alla kopior av filer från distributionsdiskar eller säkerhetskopior. Den inhemska kopian av viruset förblir aktiv och infekterar nyskapade filer. Detsamma gäller för startvirus - att formatera en disk när det finns ett inbyggt virus i minnet botar inte alltid disken, eftersom många inhemska virus infekterar disken igen efter att den formaterats.
Icke-residenta virus. Icke-bosatta virus, tvärtom, är aktiva under en ganska kort tid - bara i det ögonblick som det infekterade programmet startas. För att sprida sig söker de efter oinfekterade filer på disken och skriver till dem. Efter att viruskoden överför kontrollen till värdprogrammet, reduceras virusets påverkan på operativsystemets drift till noll tills nästa lansering av något infekterat program. Därför är det mycket lättare att ta bort filer som är infekterade med icke-residenta virus från disken utan att låta viruset infektera dem igen.
Stealth-virus. Stealth-virus döljer på ett eller annat sätt det faktum att de finns i systemet. Användningen av stealth-algoritmer tillåter virus att helt eller delvis gömma sig i systemet. Den vanligaste stealth-algoritmen är att fånga upp operativsystemförfrågningar för att läsa (skriva) infekterade objekt. I det här fallet botar stealthvirus dem antingen tillfälligt eller "ersätter" oinfekterade delar av information i deras ställe. När det gäller makrovirus är den mest populära metoden att inaktivera anrop till makrovisningsmenyn. Stealth-virus av alla slag är kända, med undantag för Windows-virus - startvirus, DOS-filvirus och till och med makrovirus. Uppkomsten av stealth-virus som infekterar Windows-filer, är troligen en tidsfråga.
Polymorfa virus. Självkryptering och polymorfism används av nästan alla typer av virus för att komplicera virusdetektionsproceduren så mycket som möjligt. Polymorfa virus är ganska svåra att upptäcka virus som inte har signaturer, det vill säga de innehåller inte en enda konstant sektion av kod. I de flesta fall kommer två prover av samma polymorfa virus inte att ha en enda matchning. Detta uppnås genom att kryptera huvuddelen av viruset och modifiera dekrypteringsprogrammet.
Polymorfa virus inkluderar de som inte kan upptäckas med hjälp av så kallade virusmasker - avsnitt av konstant kod som är specifik för ett visst virus. Detta uppnås på två huvudsakliga sätt - genom att kryptera huvudviruskoden med ett variabelt rop och en slumpmässig uppsättning dekrypteringskommandon, eller genom att ändra själva den körbara viruskoden. Polymorfism av varierande grad av komplexitet finns i virus av alla typer - från boot- och fil-DOS-virus till Windows-virus.
Baserat på deras livsmiljö kan virus delas in i:
Fil;
Känga;
Makrovirus;
Nätverk.
Fila virus. Filvirus antingen injicerar sig själva i körbara filer på olika sätt, eller skapar dubbletter av filer (kompanjonsvirus), eller använder egenheter i filsystemets organisation (länkvirus).
Ett filvirus kan införas i nästan alla körbara filer i alla populära operativsystem. Idag är virus kända som infekterar alla typer av standardkörbara DOS-objekt: batchfiler (BAT), laddningsbara drivrutiner (SYS, inklusive specialfilerna IO.SYS och MSDOS.SYS) och körbara binära filer (EXE, COM). Det finns virus som infekterar körbara filer från andra operativsystem - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, inklusive Windows 3.x och Windows95 VxD-drivrutiner.
Det finns virus som infekterar filer som innehåller källkoden för program, bibliotek eller objektmoduler. Det är också möjligt att ett virus registreras i datafiler, men detta sker antingen som ett resultat av ett virusfel eller när dess aggressiva egenskaper visar sig. Makrovirus skriver också in sin kod i datafiler - dokument eller kalkylblad, men dessa virus är så specifika att de klassificeras som en separat grupp.
Starta virus. Bootvirus infekterar startsektorn på en diskett och startsektorn eller Master Boot Record (MBR) på en hårddisk. Driftsprincipen för startvirus är baserad på algoritmer för att starta operativsystemet när du slår på eller startar om datorn - efter de nödvändiga testerna av den installerade utrustningen (minne, diskar, etc.), läser systemets startprogram den första fysiska sektorn startdiskett(A:, C: eller CD-ROM beroende på inställda parametrar BIOS inställningar) och överför kontrollen till den.
När det gäller en diskett eller CD tas kontrollen emot av startsektorn, som analyserar diskparametertabellen (BPB - BIOS Parameter Block), beräknar adresserna för operativsystemets filer, läser in dem i minnet och startar dem för avrättning. Systemfiler är vanligtvis MSDOS.SYS och IO.SYS, eller IBMDOS.COM och IBMBIO.COM, eller andra beroende på installerad version DOS, Windows eller andra operativsystem. Om det inte finns några operativsystemfiler på startskivan visar programmet som finns i startsektorn på disken ett felmeddelande och föreslår att du byter ut startskivan.
När det gäller en hårddisk tas kontrollen emot av ett program som finns i hårddiskens MBR. Detta program analyserar diskpartitionstabellen, beräknar adressen för den aktiva startsektorn (vanligtvis är denna sektor startsektorn för enhet C), laddar den i minnet och överför kontrollen till den. Efter att ha fått kontroll, den aktiva startsektorn för hårddisken enhet gör samma åtgärder som startsektorn på disketten.
När du infekterar diskar "ersätter" startvirus sin kod istället för alla program som får kontroll när systemet startar. Infektionsprincipen är därför densamma i alla metoder som beskrivs ovan: viruset "tvingar" systemet, när det startas om, att läsa in i minnet och ge kontroll inte till den ursprungliga bootloader-koden, utan till viruskoden.
Disketter är infekterade på det enda kända sättet - viruset skriver sin kod istället för originalkod startsektorer på disketten. Winchester blir infekterad med tre möjliga sätt– viruset skrivs antingen istället för MBR-koden eller istället för startsektorkoden för startskivan (vanligtvis enhet C, eller ändrar adressen till den aktiva startsektorn i diskpartitionstabellen, som finns i hårddiskens MBR kör.
Makrovirus. Makrovirus infekterar filer som dokument och kalkylblad från flera populära redaktörer. Makrovirus är program skrivna på språk (makrospråk) inbyggda i vissa databehandlingssystem. För att reproducera använder sådana virus funktionerna hos makrospråk och, med deras hjälp, överföra sig själva från en infekterad fil till andra. De mest utbredda är makrovirus för Microsoft Word, Excel och Office97. Det finns även makrovirus som infekterar Ami Pro-dokument och Microsoft Access-databaser.
Nätverksvirus. Nätverksvirus inkluderar virus som aktivt använder protokollen och kapaciteten hos lokala och globala nätverk för att spridas. Huvudprincipen för ett nätverksvirus är förmågan att självständigt överföra sin kod till en fjärrserver eller arbetsstation. "Fullfjädrade" nätverksvirus har också förmågan att köra sin kod på en fjärrdator eller åtminstone "pusha" användaren att köra en infekterad fil. Ett exempel på nätverksvirus är de så kallade IRC-maskarna.
IRC (Internet Relay Chat) är ett speciellt protokoll designat för realtidskommunikation mellan Internetanvändare. Detta protokoll ger dem möjligheten att "konversera" på Internet med hjälp av specialutvecklad programvara. Förutom att delta i allmänna konferenser har IRC-användare möjlighet att chatta en-mot-en med vilken annan användare som helst. Dessutom finns det ett ganska stort antal IRC-kommandon, med hjälp av vilka användaren kan få information om andra användare och kanaler, ändra vissa inställningar för IRC-klienten, och så vidare. Det finns också möjligheten att skicka och ta emot filer - det är denna förmåga som IRC-maskar bygger på. Ett kraftfullt och omfattande kommandosystem av IRC-klienter gör det möjligt, baserat på deras skript, att skapa datavirus som överför deras kod till datorerna hos användare av IRC-nätverk, de så kallade "IRC-maskarna". Funktionsprincipen för dessa IRC-maskar är ungefär densamma. Med hjälp av IRC-kommandon skickas en arbetsskriptfil (script) automatiskt från den infekterade datorn till varje ny användare som ansluter sig till kanalen. Den skickade skriptfilen ersätter standardfilen, och under nästa session kommer den nyligen infekterade klienten att skicka ut masken. Vissa IRC-maskar innehåller också en trojansk komponent: med angivna nyckelord utför de destruktiva åtgärder på de drabbade datorerna. Till exempel, "pIRCH.Events"-masken, vid ett visst kommando, raderar alla filer på användarens disk.
Det finns ett stort antal kombinationer - till exempel filstartvirus som infekterar både filer och startsektorer av diskar. Sådana virus har som regel en ganska komplex driftsalgoritm, använder ofta originalmetoder för att penetrera systemet och använder stealth och polymorfa teknologier. Ett annat exempel på en sådan kombination är ett nätverksmakrovirus som inte bara infekterar dokument som redigeras, utan också skickar kopior av sig själv via e-post.
Utöver denna klassificering bör några ord sägas om annan skadlig programvara som ibland förväxlas med virus. Dessa program har inte förmågan att självföröka sig som virus, men de kan orsaka lika destruktiv skada.
Trojanska hästar (logiska bomber eller tidsinställda bomber).
Trojanska hästar inkluderar program som orsakar destruktiva effekter, det vill säga beroende på vissa förhållanden eller varje gång de startas förstör de information på diskar, "hänger" systemet osv. Som ett exempel kan vi nämna det här fallet - när ett sådant program, under en session på Internet, skickade sina författaridentifierare och lösenord från de datorer där det bodde. De flesta välkända trojanska hästar är program som "fejkar" något slags användbara program, nya versioner av populära verktyg eller tillägg till dem. Mycket ofta skickas de till BBS-stationer eller elektroniska konferenser. Jämfört med virus används inte trojanska hästar i stor utsträckning av följande skäl - de förstör sig själva tillsammans med resten av data på disken, eller avslöjar deras närvaro och förstörs av den drabbade användaren.
2.2 Konceptet med ett antivirusprogram
Metoder för att motverka datavirus kan delas in i flera grupper:
Förebyggande av virusinfektion och minskning av förväntad skada från sådan infektion;
Metoder för att använda antivirusprogram, inklusive neutralisering och borttagning av kända virus;
Metoder för att upptäcka och ta bort ett okänt virus.
Förhindra datorinfektion.
En av de viktigaste metoderna för att bekämpa virus är, som inom medicin, snabb förebyggande. Datorförebyggande innebär att man följer ett litet antal regler, vilket avsevärt kan minska sannolikheten för att få virus och förlora all data.
För att bestämma de grundläggande reglerna för datorhygien är det nödvändigt att ta reda på de huvudsakliga sätten att virus penetrerar en dator och datornätverk.
Den huvudsakliga källan till virus idag är globalt nätverk Internet. Det största antalet virusinfektioner inträffar vid brevväxling i Word/Office97-format. Användaren av en editor infekterad med ett makrovirus, utan att veta om det, skickar infekterade brev till mottagare, som i sin tur skickar nya infekterade brev osv. Du bör undvika kontakt med misstänkta informationskällor och endast använda legitima (licensierade) mjukvaruprodukter.
Återställ skadade föremål.
I de flesta fall av virusinfektion handlar proceduren för att återställa infekterade filer och diskar till att köra ett lämpligt antivirus som kan neutralisera systemet. Om viruset är okänt för något antivirus, räcker det att skicka den infekterade filen till antivirustillverkare och efter ett tag få en "uppdatering" medicin mot viruset. Om tiden inte väntar, måste du neutralisera viruset själv. För de flesta användare är det nödvändigt att ha säkerhetskopior Din information.
Allmänna informationssäkerhetsverktyg är användbara för mer än bara virusskydd. Det finns två huvudtyper av dessa fonder:
1 Kopiera information – skapa kopior av filer och systemområden på diskar.
2 Åtkomstkontroll förhindrar obehörig användning av information, i synnerhet skydd mot ändringar av program och data av virus, felaktiga program och felaktiga användaråtgärder.
Snabb upptäckt av virusinfekterade filer och diskar och fullständig förstörelse av upptäckta virus på varje dator hjälper till att undvika att en virusepidemi sprids till andra datorer.
Huvudvapnet i kampen mot virus är antivirusprogram. De låter dig inte bara upptäcka virus, inklusive virus som använder olika förklädnadsmetoder, utan också att ta bort dem från din dator.
Det finns flera grundläggande virusdetektionsmetoder som används av antivirusprogram. Den mest traditionella metoden att söka efter virus är genomsökning.
För att upptäcka, ta bort och skydda mot datavirus har flera typer av specialprogram utvecklats som låter dig upptäcka och förstöra virus. Sådana program kallas antivirusprogram.
2.3 Typer av antivirusprodukter
Detektorprogram. Detektorprogram söker efter en signatur som är karakteristisk för ett visst virus i random access minne både i filerna och när de upptäcks skickar de ett motsvarande meddelande. Nackdelen med sådana antivirusprogram är att de bara kan hitta virus som är kända för utvecklarna av sådana program.
Läkarprogram. Läkar- eller fagprogram, såväl som vaccinprogram, hittar inte bara filer infekterade med virus, utan "behandlar" dem också, det vill säga de tar bort virusprogrammets kropp från filen och återställer filerna till sitt ursprungliga tillstånd. I början av sitt arbete söker fager efter virus i RAM, förstör dem och fortsätter först sedan med att "rensa" filer. Bland fagerna finns polyfager, det vill säga läkarprogram utformade för att söka efter och förstöra ett stort antal virus. De mest kända av dem: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.
Med tanke på att nya virus ständigt dyker upp blir detektorprogram och läkarprogram snabbt föråldrade och regelbundna versionsuppdateringar krävs.
Revisorprogram (inspektörer) är bland de mest pålitliga sätten att skydda mot virus.
Revisorer (inspektörer) kontrollerar data på disken för osynliga virus. Dessutom får inspektören inte använda operativsystemets verktyg för att komma åt diskar, vilket innebär att ett aktivt virus inte kommer att kunna fånga upp denna åtkomst.
Faktum är att ett antal virus, som introducerar sig själva i filer (det vill säga läggs till i slutet eller början av filen), ersätter poster om denna fil i filallokeringstabellerna i vårt operativsystem.
Revisorer (inspektörer) kommer ihåg det ursprungliga tillståndet för program, kataloger och systemområden på disken när datorn inte är infekterad med ett virus, och jämför sedan regelbundet eller på användarens begäran det aktuella tillståndet med det ursprungliga. Upptäckta ändringar visas på skärmen. Som regel utförs jämförelse av tillstånd omedelbart efter att operativsystemet laddats. Vid jämförelse kontrolleras fillängden, cyklisk kontrollkod (filkontrollsumma), datum och tid för ändringen och andra parametrar. Revisorprogram (inspektörer) har ganska utvecklade algoritmer, upptäcker smygvirus och kan till och med rensa upp ändringar i den version av programmet som kontrolleras från ändringar gjorda av viruset.
Det är nödvändigt att starta revisorn (inspektören) när datorn ännu inte är infekterad, så att den kan skapa en tabell i rotkatalogen på varje disk, med all nödvändig information om filerna som finns på denna disk, samt om dess stövelområde. Tillstånd kommer att begäras för att skapa varje bord. Under efterföljande lanseringar kommer revisorn (inspektören) att skanna diskarna och jämföra data om varje fil med dess register.
Om infektioner upptäcks kommer revisorn (inspektören) att kunna använda sin egen läkningsmodul, som kommer att återställa filen som skadats av viruset. För att återställa filer behöver inspektören inte veta något om en viss typ av virus, det räcker med att använda data om filerna som finns lagrade i tabellerna.
Dessutom kan en antivirusskanner vid behov anropas.
Filtrera program (monitorer). Filterprogram (monitorer) eller "watchmen" är små inbyggda program som är utformade för att upptäcka misstänkta handlingar under datordrift, karakteristiska för virus. Sådana åtgärder kan vara:
Försök att korrigera filer med COM-, EXE-tillägg;
Ändra filattribut;
Skriv direkt till disk på absolut adress;
Skriv till startsektorer på disken;
När något program försöker utföra de angivna åtgärderna, skickar "vakten" ett meddelande till användaren och erbjuder sig att förbjuda eller tillåta motsvarande åtgärd. Filterprogram är mycket användbara eftersom de kan upptäcka ett virus i det tidigaste skedet av dess existens innan replikering. Men de "rensar" inte filer och diskar. För att förstöra virus måste du använda andra program, till exempel fager.
Vacciner eller immuniseringsmedel. Vacciner är inhemska program som förhindrar filinfektioner. Vacciner används om det inte finns några läkarprogram som "behandlar" detta virus. Vaccination är endast möjlig mot kända virus. Vaccinet modifierar programmet eller disken på ett sådant sätt att det inte påverkar dess funktion, och viruset kommer att uppfatta det som infekterat och därför inte slå rot. För närvarande har vaccinprogram begränsad användning.
Scanner. Funktionsprincipen för antivirusskannrar bygger på att kontrollera filer, sektorer och systemminne och söka efter kända och nya (okända för skannern) virus. För att söka efter kända virus används så kallade "masker". Masken för ett virus är en konstant kodsekvens som är specifik för detta virus. Om viruset inte innehåller en permanent mask, eller längden på denna mask inte är tillräckligt lång, används andra metoder. Ett exempel på en sådan metod är ett algoritmiskt språk som beskriver allt möjliga alternativ kod som kan uppstå vid infektering av ett virus av denna typ. Detta tillvägagångssätt används av vissa antivirus för att upptäcka polymorfa virus. Skannrar kan också delas in i två kategorier – "universella" och "specialiserade". Universella skannrar designad för att söka efter och neutralisera alla typer av virus, oavsett i vilket operativsystem skannern är designad att fungera. Specialiserade skannrar är utformade för att neutralisera ett begränsat antal virus eller bara en klass av virus, till exempel makrovirus. Specialiserade skannrar designade endast för makrovirus visar sig ofta vara den mest bekväma och pålitliga lösningen för att skydda dokumenthanteringssystem i MSWord- och MSExcel-miljöer.
Scannrar är också uppdelade i "resident" (monitorer, vakter), som utför skanning i farten, och "icke-resident", som skannar systemet endast på begäran. Som regel ger "resident" skannrar mer pålitligt skydd system, eftersom de omedelbart reagerar på uppkomsten av ett virus, medan en "icke-resident" skanner kan identifiera viruset först vid nästa lansering. Å andra sidan kan en resident scanner sakta ner datorn något, bland annat på grund av eventuella falska positiva resultat.
Fördelarna med skannrar av alla typer inkluderar deras mångsidighet; nackdelarna är den relativt låga hastigheten för virusskanning.
CRC skannrar. Funktionsprincipen för CRC-skannrar är baserad på beräkning av CRC-summor ( kontrollsummor) för filer/systemsektorer som finns på disken. Dessa CRC-belopp lagras sedan i antivirusdatabasen, såväl som en del annan information: fillängder, datum för senaste ändring och så vidare. När CRC-skannrar startas senare jämför de data som finns i databasen med de faktiska beräknade värdena. Om filinformationen som registreras i databasen inte matchar de verkliga värdena, signalerar CRC-skannrar att filen har modifierats eller infekterats med ett virus. CRC-skannrar som använder anti-stealth-algoritmer är ett ganska kraftfullt vapen mot virus: nästan 100 % av virusen upptäcks nästan omedelbart efter att de dyker upp på datorn. Den här typen av antivirus har dock en inneboende brist som avsevärt minskar deras effektivitet. Denna nackdel är att CRC-skannrar inte kan fånga ett virus i det ögonblick det dyker upp i systemet, utan gör detta först en tid senare, efter att viruset har spridit sig över hela datorn. CRC-skannrar kan inte upptäcka ett virus i nya filer (i e-post, på disketter, i filer som återställts från en säkerhetskopia eller vid uppackning av filer från ett arkiv), eftersom deras databaser inte innehåller information om dessa filer. Dessutom dyker det upp periodvis virus som drar fördel av denna "svaghet" hos CRC-skannrar, infekterar endast nyskapade filer och förblir därför osynliga för dem.
Blockerare. Blockerare är inbyggda program som fångar upp "virusfarliga" situationer och meddelar användaren om det. "Virusfarlig" inkluderar anrop att öppna för skrivning till körbara filer, skrivning till startsektorer på diskar eller MBR på en hårddisk, försök av program att förbli inhemska och så vidare, det vill säga anrop som är typiska för virus på ögonblicket av reproduktion. Ibland är vissa blockeringsfunktioner implementerade i inbyggda skannrar.
Fördelarna med blockerare inkluderar deras förmåga att upptäcka och stoppa ett virus i det tidigaste skedet av dess reproduktion. Nackdelar inkluderar förekomsten av sätt att kringgå blockerareskydd och ett stort antal falska positiva.
Det är också nödvändigt att notera en sådan riktning av antivirusverktyg som antivirusblockerare, gjorda i form av hårdvarukomponenter. Det vanligaste är skrivskyddet inbyggt i BIOS i hårddiskens MBR. Men som i fallet med programvarublockerare kan sådant skydd enkelt kringgås genom att skriva direkt till diskkontrollportarna, och att starta DOS-verktyget FDISK orsakar omedelbart en "falsk positiv" av skyddet.
Det finns flera fler universella hårdvarublockerare, men utöver nackdelarna som anges ovan finns det också problem med kompatibilitet med vanliga datorkonfigurationer och komplexiteten i att installera och konfigurera dem. Allt detta gör hårdvarublockerare extremt impopulära jämfört med andra typer av antivirusskydd.
2.4 Jämförelse av antiviruspaket
Oavsett vad informationssystem måste skyddas, den viktigaste parametern när man jämför antivirus är förmågan att upptäcka virus och annan skadlig kod.
Men även om denna parameter är viktig är den långt ifrån den enda.
Faktum är att effektiviteten hos ett antivirusskyddssystem beror inte bara på dess förmåga att upptäcka och neutralisera virus, utan också på många andra faktorer.
Ett antivirus ska vara bekvämt att använda, utan att distrahera datoranvändaren från att utföra sina direkta uppgifter. Om antiviruset irriterar användaren med ihållande förfrågningar och meddelanden, kommer det förr eller senare att inaktiveras. Antivirusgränssnittet bör vara vänligt och begripligt, eftersom inte alla användare har lång erfarenhet av att arbeta med datorprogram. Utan att förstå innebörden av meddelandet som visas på skärmen kan du omedvetet tillåta en virusinfektion även med ett antivirus installerat.
Det bekvämaste antivirusskyddsläget är när alla öppnade filer skannas. Om antiviruset inte kan fungera i det här läget måste användaren köra en genomsökning av alla diskar varje dag för att upptäcka nyligen uppenbarade virus. Denna procedur kan ta tiotals minuter eller till och med timmar om vi pratar om om stora diskar installerade till exempel på en server.
Eftersom nya virus dyker upp varje dag är det nödvändigt att regelbundet uppdatera antivirusdatabasen. Annars kommer effektiviteten av antivirusskydd att vara mycket låg. Moderna antivirus, efter lämplig konfiguration, kan automatiskt uppdatera antivirusdatabaser via Internet, utan att distrahera användare och administratörer från att utföra detta rutinarbete.
När du skyddar ett stort företagsnätverk kommer en sådan parameter för att jämföra antivirus som närvaron av ett nätverkskontrollcenter fram. Om företagsnätverk förenar hundratals och tusentals arbetsstationer, tiotals och hundratals servrar, är det nästan omöjligt att organisera ett effektivt antivirusskydd utan ett nätverkskontrollcenter. En eller flera systemadministratörer kommer inte att kunna kringgå alla arbetsstationer och servrar genom att installera och konfigurera antivirusprogram på dem. Det som behövs här är teknologier som möjliggör centraliserad installation och konfiguration av antivirus på alla datorer i företagsnätverket.
Skydda webbplatser som t.ex e-postservrar, och meddelandetjänstservrar kräver användning av specialiserade antivirusverktyg. Konventionella antivirusprogram utformade för att skanna filer kommer inte att kunna hitta skadlig kod i databaserna på meddelandeservrar eller i dataflödet som passerar genom e-postservrar.
Vanligtvis tas andra faktorer i beaktande när man jämför antivirusprodukter. Statliga myndigheter kan, allt annat lika, föredra inhemskt producerade antivirus som har alla nödvändiga certifikat. Ryktet som ett eller annat antivirusverktyg får bland datoranvändare och systemadministratörer spelar också en betydande roll. Personliga preferenser kan också spela en betydande roll i valet.
Antivirusutvecklare använder ofta oberoende testresultat för att bevisa fördelarna med sina produkter. Samtidigt förstår användarna ofta inte exakt vad och hur som testades i detta test.
I detta arbete utsattes de mest populära för jämförande analys. det här ögonblicket antivirusprogram, nämligen: Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft.
Den brittiska tidningen Virus Bulletin var en av de första som testade antivirusprodukter. De första testerna som publicerades på deras hemsida går tillbaka till 1998. Testet är baserat på WildList-samlingen av skadlig programvara. För att klara testet är det nödvändigt att identifiera alla virus i den här samlingen och visa en nollnivå av falska positiva resultat på en samling "rena" loggfiler. Tester utförs flera gånger per år på olika operativsystem; Produkter som klarar testet får en VB100 % utmärkelse. Figur 1 visar hur många VB100%-priser som mottagits av produkter från olika antivirusföretag.
Naturligtvis kan tidningen Virus Bulletin kallas den äldsta antivirustestaren, men dess status som patriark fritar den inte från kritik av antivirusgemenskapen. För det första inkluderar WildList bara virus och maskar och är endast för Windows-plattformen. För det andra innehåller WildList-samlingen ett litet antal skadliga program och fylls på mycket långsamt: endast ett par dussin nya virus dyker upp i samlingen per månad, medan till exempel AV-Test-samlingen fylls på under denna tid med flera tiotals eller till och med hundratusentals kopior av skadlig programvara.
Allt detta tyder på att WildList-samlingen i sin nuvarande form är moraliskt föråldrad och återspeglar inte den verkliga situationen med virus på Internet. Som ett resultat blir tester baserade på WildList-samlingen allt mer meningslösa. De är bra för att marknadsföra produkter som har passerat dem, men de återspeglar faktiskt inte kvaliteten på antivirusskyddet.
Figur 1 – Antal godkända VB-tester 100 %
Oberoende forskningslaboratorier som AV-Comparatives, AV-Tests testar antivirusprodukter två gånger om året för att upptäcka nivåer av skadlig programvara på begäran. Samtidigt innehåller de samlingar som testas på upp till en miljon skadlig programvara och uppdateras regelbundet. Testresultat publiceras på dessa organisationers webbplatser (www.AV-Comparatives.org, www.AV-Test.org) och i välkända datortidningar PC World, PC Welt. Resultaten av nästa test presenteras nedan:
Figur 2 – Övergripande frekvens för upptäckt av skadlig programvara enligt AV-Test
Om vi pratar om de vanligaste produkterna, är det enligt resultaten av dessa tester endast lösningar från Kaspersky Lab och Symantec som är i topp tre. Avira, ledaren i testerna, förtjänar särskild uppmärksamhet.
Tester från forskningslaboratorier AV-Comparatives och AV-Test, som alla tester, har sina för- och nackdelar. Fördelarna är att testning utförs på stora samlingar av skadlig programvara och att dessa samlingar innehåller en mängd olika typer av skadlig programvara. Nackdelen är att dessa samlingar inte bara innehåller "färska" prov av skadlig programvara, utan också relativt gamla. Vanligtvis används prover som samlats in under de senaste sex månaderna. Dessutom analyserar dessa test resultaten av verifieringen hårddisk på begäran, medan i verkliga livet användaren laddar ner infekterade filer från Internet eller tar emot dem som bilagor via e-post. Det är viktigt att upptäcka sådana filer exakt i det ögonblick de visas på användarens dator.
Ett försök att utveckla en testmetod som inte lider av detta problem gjordes av en av de äldsta brittiska datortidningarna, PC Pro. Deras test använde en samling skadlig programvara som upptäcktes två veckor före testet i trafik som passerade genom MessageLabs servrar. MessageLabs erbjuder sina kunder filtreringstjänster olika typer trafik, och dess insamling av skadliga program speglar verkligen situationen med spridningen av datavirus på Internet.
PC Pro magazine-teamet skannade inte bara infekterade filer, utan simulerade användaråtgärder: infekterade filer bifogades till brev som bilagor, och dessa brev laddades ner till en dator med ett antivirus installerat. Dessutom, med hjälp av specialskrivna skript, laddades infekterade filer ner från en webbserver, det vill säga att surfa på Internet simulerades. Förhållandena under vilka sådana tester utförs är så nära verkliga som möjligt, vilket inte kunde annat än påverka resultaten: detekteringsnivån för de flesta antivirus visade sig vara betydligt lägre än med en enkel skanning på begäran i AV- Jämförelse och AV-Test tester. I sådana tester spelar en viktig roll hur snabbt antivirusutvecklare reagerar på uppkomsten av ny skadlig programvara, samt vilka proaktiva mekanismer som används för att upptäcka skadlig programvara.
Den hastighet med vilken antivirusuppdateringar släpps med signaturer av ny skadlig programvara är en av de viktigaste komponenterna i ett effektivt antivirusskydd. Ju snabbare uppdateringen av signaturdatabasen släpps, desto kortare tid förblir användaren oskyddad.
Figur 3 – Genomsnittlig svarstid på nya hot
Nyligen har ny skadlig programvara dykt upp så ofta att antiviruslaboratorier knappt hinner svara på uppkomsten av nya prover. I en sådan situation uppstår frågan om hur ett antivirus kan motverka inte bara redan kända virus, utan även nya hot för vilka en upptäcktssignatur ännu inte har släppts.
För att upptäcka okända hot används så kallade proaktiva tekniker. Dessa tekniker kan delas in i två typer: heuristik (de upptäcker skadlig kod baserat på analys av deras kod) och beteendeblockerare (de blockerar åtgärder från skadlig programvara när de körs på en dator, baserat på deras beteende).
På tal om heuristik, deras effektivitet har länge studerats av AV-Comparatives, ett forskningslaboratorium som leds av Andreas Climenti. AV-Comparatives-teamet använder en speciell teknik: antivirus kontrolleras mot den aktuella virussamlingen, men de använder ett antivirus med signaturer som är tre månader gamla. Således måste antiviruset kämpa mot skadlig programvara som det inte vet något om. Antivirus kontrolleras genom att skanna en samling skadlig programvara på hårddisken, så endast heuristikens effektivitet testas. En annan proaktiv teknik, en beteendeblockerare, används inte i dessa tester. Även den bästa heuristiken visar för närvarande en detektionsgrad på endast cirka 70 %, och många av dem lider också av falska positiva resultat på rena filer. Allt detta tyder på att denna proaktiva detekteringsmetod för närvarande endast kan användas samtidigt med signaturmetoden.
När det gäller en annan proaktiv teknik - en beteendeblockerare, har inga seriösa jämförande tester genomförts på detta område. För det första har många antivirusprodukter (Doctor Web, NOD32, Avira och andra) ingen beteendeblockerare. För det andra är att genomföra sådana tester behäftat med vissa svårigheter. Faktum är att för att testa effektiviteten hos en beteendeblockerare behöver du inte skanna en disk med en samling skadliga program, utan köra dessa program på din dator och observera hur framgångsrikt antiviruset blockerar deras handlingar. Denna process är mycket arbetskrävande, och endast ett fåtal forskare kan genomföra sådana tester. Allt som för närvarande är tillgängligt för allmänheten är resultaten av individuella produkttester utförda av AV-Comparatives-teamet. Om antivirus under testning lyckades blockera åtgärderna från skadliga program som är okända för dem medan de kördes på datorn, fick produkten Proactive Protection Award. För närvarande har sådana utmärkelser mottagits av F-Secure med DeepGuard beteendeteknik och Kaspersky Anti-Virus med modulen Proactive Protection.
Infektionsförebyggande tekniker baserade på analys av skadlig programvara blir alltmer utbredd, och bristen på omfattande jämförande tester inom detta område är alarmerande. Nyligen höll specialister från forskningslaboratoriet AV-Test en omfattande diskussion om denna fråga, där även utvecklare av antivirusprodukter deltog. Resultatet av denna diskussion blev en ny metod för att testa antivirusprodukters förmåga att motstå okända hot.
En hög nivå av upptäckt av skadlig programvara med hjälp av olika tekniker är en av de viktigaste egenskaperna hos ett antivirus. En lika viktig egenskap är dock frånvaron av falska positiva. Falska positiva kan orsaka inte mindre skada för användaren än en virusinfektion: blockera arbetet nödvändiga program, blockera åtkomst till webbplatser och så vidare.
Under sin forskning genomför AV-Comparatives, tillsammans med att studera antivirusens förmåga att upptäcka skadlig programvara, även tester för falska positiva resultat på samlingar av rena filer. Enligt testet hittades det största antalet falska positiva i Doctor Web och Avira antivirus.
Det finns inget 100% skydd mot virus. Användare stöter då och då på en situation där ett skadligt program har trängt in i deras dator och datorn blir infekterad. Detta händer antingen för att det inte fanns något antivirus på datorn alls, eller för att antiviruset inte upptäckte skadlig programvara med vare sig signatur eller proaktiva metoder. I en sådan situation är det viktigt att när du installerar ett antivirusprogram med nya signaturdatabaser på din dator, kan antivirusprogrammet inte bara upptäcka ett skadligt program, utan också framgångsrikt eliminera alla konsekvenser av dess aktivitet och bota en aktiv infektion. Samtidigt är det viktigt att förstå att virusskapare ständigt förbättrar sina "färdigheter", och vissa av deras skapelser är ganska svåra att ta bort från en dator - skadlig programvara kan olika sätt maskera deras närvaro i systemet (inklusive användning av rootkits) och till och med störa driften av antivirusprogram. Dessutom räcker det inte att bara ta bort eller desinficera en infekterad fil; du måste eliminera alla ändringar som gjorts av den skadliga processen i systemet och helt återställa systemets funktionalitet. Team Ryska portalen Anti-Malware.ru genomförde ett liknande test, dess resultat presenteras i figur 4.
Figur 4 – Behandling av aktiv infektion
Olika tillvägagångssätt för antivirustestning diskuterades ovan, och det visades vilka parametrar för antivirusdrift som beaktas under testningen. Vi kan dra slutsatsen att för vissa antivirus visar sig en indikator vara fördelaktig, för andra - en annan. Samtidigt är det naturligt att antivirusutvecklare i sitt reklammaterial endast fokuserar på de tester där deras produkter intar ledande positioner. Till exempel fokuserar Kaspersky Lab på reaktionshastigheten på uppkomsten av nya hot, Eset på kraften i dess heuristiska teknologier, Doctor Web beskriver dess fördelar vid behandling av aktiva infektioner.
Därför bör en syntes av resultaten från de olika testerna utföras. Detta sammanfattar de positioner som antivirus tog i de granskade testerna, och ger också en integrerad bedömning - vilken plats en viss produkt har i genomsnitt i alla tester. Som ett resultat var de tre bästa vinnarna: Kaspersky, Avira, Symantec.
Baserat på de analyserade antiviruspaketen, en programvara, utformad för att söka och desinficera filer som är infekterade med SVC 5.0-viruset. Detta virus leder inte till otillåten radering eller kopiering av filer, men stör avsevärt den fullständiga driften av datorprogramvara.
Infekterade program är längre än källkoden. Men när du bläddrar i kataloger på en infekterad maskin kommer detta inte att vara synligt, eftersom viruset kontrollerar om den hittade filen är infekterad eller inte. Om en fil är infekterad registreras längden på den oinfekterade filen i DTA.
Du kan upptäcka detta virus enligt följande. I virusdataområdet finns en teckensträng "(c) 1990 by SVC,Ver. 5.0", med vilken viruset, om det finns på disken, kan detekteras.
När du skriver ett antivirusprogram utförs följande sekvens av åtgärder:
1 För varje skannad fil bestäms tiden för dess skapande.
2 Om antalet sekunder är sextio, kontrolleras tre byte med en offset lika med "fillängd minus 8AN". Om de är lika med 35H, 2EN, 30H, är filen infekterad.
3 De första 24 byten av den ursprungliga koden avkodas, vilka är placerade vid offset "fillängd minus 01CFН plus 0BAAN". Avkodningsnycklarna finns vid förskjutningarna "fillängd minus 01CFН plus 0С1АН" och "fillängd minus 01CFН plus 0С1BN".
4 De avkodade byten skrivs om till början av programmet.
5 Filen är "trunkerad" till värdet "fillängd minus 0С1F".
Programmet skapades i TurboPascal-programmeringsmiljön. Texten till programmet presenteras i bilaga A.
Slutsats
I detta kursarbete genomfördes en jämförande analys av antiviruspaket.
Under analysen löstes de uppgifter som ställdes i början av arbetet framgångsrikt. Således studerades begreppen informationssäkerhet, datavirus och antivirusverktyg, typer av hot mot informationssäkerheten, skyddsmetoder identifierades, klassificeringen av datavirus och antivirusprogram övervägdes och en jämförande analys av antivirusprogram. paket genomfördes, skrevs ett program som söker efter infekterade filer.
Resultaten som erhålls under arbetet kan användas vid val av antivirusmedel.
Alla erhållna resultat återspeglas i arbetet med diagram, så att användaren självständigt kan kontrollera slutsatserna som dras i det slutliga diagrammet, som återspeglar syntesen av de identifierade resultaten av olika tester av antivirusprodukter.
Resultaten som erhålls under arbetet kan användas som underlag för oberoende jämförelse av antivirusprogram.
Mot bakgrund av den utbredda användningen av IT-tekniker är det presenterade kursarbetet relevant och uppfyller kraven för det. Under arbetets gång övervägdes de mest populära antivirusverktygen.
Lista över begagnad litteratur
1 Anin B. Skydd av datorinformation. - St. Petersburg. : BHV – St Petersburg, 2000. – 368 sid.
2 Artyunov V.V. Informationsskydd: lärobok. – metod. ersättning. M.: Liberia - Bibinform, 2008. - 55 sid. – (Bibliotekarie och tid. 2000-talet; nummer nr 99).
3 Korneev I.K., E.A. Stepanov Informationsskydd på kontoret: lärobok. – M.: Prospekt, 2008. – 333 sid.
5 Kupriyanov A.I. Grundläggande informationsskydd: lärobok. ersättning. – 2:a uppl. raderas – M.: Akademin, 2007. – 254 sid. – (Högre yrkesutbildning).
6 Semenenko V. A., N. V. Fedorov Informationsskydd för programvara och hårdvara: lärobok. stöd till studenter universitet – M.: MGIU, 2007. – 340 sid.
7 Tsirlov V.L. Grundläggande informationssäkerhet: en kort kurs. – Rostov n/d: Phoenix, 2008. – 254 sid. (Professionell utbildning).
Ansökan
Programlista
ProgramANTIVIRUS;
Använder dos, crt, skrivare;
Typ St80 = String;
FileInfection:File Of Byte;
SearchFile:SearchRec;
Mas: Array av St80;
MasByte:Array of Byte;
Position,I,J,K:Byte;
Num,NumberOfFile,NumberOfInfFile:Word;
Flagga, NextDisk, Error: Boolean;
Key1,Key2,Key3,NumError:Byte;
Masscreen: Array Of Byte Absolute $B800:0000;
Procedur Cure(St: St80);
I: Byte; MasCure: Array Of Byte;
Tilldela(FileInfection,St); Reset(FileInfection);
NumError:=IOResult;
If(NumError<>
Seek(FileInfection,FileSize(FileInfection) - ($0C1F - $0C1A));
NumError:=IOResult;
If(NumError<>0) Sedan börjar Error:=True; Utgång; Slutet;
Read(FileInfection,Key1);
NumError:=IOResult;
If(NumError<>0) Sedan börjar Error:=True; Utgång; Slutet;
Read(FileInfection,Key2);
NumError:=IOResult;
If(NumError<>0) Sedan börjar Error:=True; Utgång; Slutet;
Seek(FileInfection,FileSize(FileInfection) - ($0C1F - $0BAA));
NumError:=IOResult;
If(NumError<>0) Sedan börjar Error:=True; Utgång; Slutet;
För I:=1 till 24 gör
Read(FileInfection,MasCure[i]);
NumError:=IOResult;
If(NumError<>0) Sedan börjar Error:=True; Utgång; Slutet;
Key3:=MasCure[i];
MasCure[i]:=Key3;
Seek(FileInfection,0);
NumError:=IOResult;
If(NumError<>0) Sedan börjar Error:=True; Utgång; Slutet;
För I:=1 till 24 gör Write(FileInfection,MasCure[i]);
Seek(FileInfection,FileSize(FileInfection) - $0C1F);
NumError:=IOResult;
If(NumError<>0) Sedan börjar Error:=True; Utgång; Slutet;
Truncate(FileInfection);
NumError:=IOResult;
If(NumError<>0) Sedan börjar Error:=True; Utgång; Slutet;
Close(FileInfection); NumError:=IOResult;
If(NumError<>0) Sedan börjar Error:=True; Utgång; Slutet;
Procedur F1(St: St80);
FindFirst(St + "*.*", $3F, SearchFile);
Medan (SearchFile.Attr = $10) Och (DosError = 0) And
((SearchFile.Name = ".") Eller (SearchFile.Name = "..")) Gör
FindNext(SearchFile);
Medan (DosError = 0) Gör
Om du trycker på tangenten
If (Ord(ReadKey) = 27) Then Halt;
Om (SearchFile.Attr = $10) Då
Mas[k]:=St + sökfil.namn + "\";
If(SearchFile.Attr<>$10) Då
NumberOfFile:=NumberOfFile + 1;
UnpackTime(SearchFile.Time, DT);
För I:=18 till 70 gör MasScreen:=$20;
Write(St + SearchFile.Name," ");
Om (Dt.Sec = 60) Då
Assign(FileInfection,St + SearchFile.Name);
Reset(FileInfection);
NumError:=IOResult;
If(NumError<>0) Sedan börjar Error:=True; Utgång; Slutet;
Seek(FileInfection,FileSize(FileInfection) - $8A);
NumError:=IOResult;
If(NumError<>0) Sedan börjar Error:=True; Utgång; Slutet;
För I:=1 till 3 gör Read(FileInfection,MasByte[i]);
Close(FileInfection);
NumError:=IOResult;
If(NumError<>0) Sedan börjar Error:=True; Utgång; Slutet;
Om (MasByte = $35) Och (MasByte = $2E) And
(MasByte = $30) Sedan
NumberOfInfFile:=NumberOfInfFile + 1;
Write(St + SearchFile.Name," infected.",
"Ta bort?");
Om (Ord(Ch) = 27) Sedan Avsluta;
Tills (Ch = "Y") Eller (Ch = "y") Eller (Ch = "N")
Om (Ch = "Y") Eller (Ch = "y") Då
Cure(St + SearchFile.Name);
If(NumError<>0) Avsluta sedan;
För I:=0 till 79 gör MasScreen:=$20;
FindNext(SearchFile);
GoToXY(29,1); TextAttr:=$1E; GoToXY(20,2); TextAttr:=$17;
Writeln("Programma dlya poiska i lecheniya fajlov,");
Writeln("zaragennih SVC50.");
TextAttr:=$4F; GoToXY(1,25);
Write(" ESC - avsluta ");
TextAttr:=$1F; GoToXY(1,6);
Write("Kakoj disk provet?");
Om (Ord(Disk) = 27) Sedan Avsluta;
R.Ah:=$0E; R.Dl:=Ord(UpCase(Disk))-65;
Intr($21,R); R.Ah:=$19; Intr($21,R);
Flagga:=(R.Al = (Ord(UpCase(Disk))-65));
St:=UpCase(Disk) + ":\";
Writeln("Testiruetsya disk ",St," ");
Writeln("Testiruetsya fajl");
NumberOfFile:=0;
NumberOfInfFile:=0;
Om (k = 0) Eller Fel Då Flagga:=False;
Om (k > 0) då K:=K-1;
Om (k=0) Då Flagga:=False;
Om (k > 0) då K:=K-1;
Writeln("Verifierad fajlov - ",NumberOfFile);
Writeln("Zarageno fajlov - ",NumberOfInfFile);
Writeln("Izlecheno fajlov - ",Num);
Write("Kontrollera drogdisken?");
Om (Ord(Ch) = 27) Sedan Avsluta;
Till (Ch = "Y") Eller (Ch = "y") Eller (Ch = "N") Eller (Ch = "n");
If (Ch = "N") Eller (Ch = "n") Då NextDisk:=False;
2.1.4 Jämförande analys av antivirala medel.
Det finns många olika antivirusprogram av både inhemskt och icke-inhemskt ursprung. Och för att förstå vilket antivirusprogram som är bättre kommer vi att göra en jämförande analys av dem. För att göra detta, låt oss ta moderna antivirusprogram, såväl som de som oftast används av PC-användare.
Panda Antivirus 2008 3.01.00
Kompatibla system: Windows 2000/XP/Vista
Installation
Det är svårt att föreställa sig en enklare och snabbare installation än vad Panda 2008 erbjuder. Vi får bara veta vilka hot den kommer att skydda mot den här applikationen och utan något val av installationstyp eller uppdateringskälla, på mindre än en minut erbjuder de skydd mot virus, maskar, trojaner, spionprogram och nätfiske, efter att ha skannat datorns minne efter virus. Det stöder dock inte vissa andra avancerade funktioner i moderna antivirus, som att blockera misstänkta webbsidor eller skydda personuppgifter.
Gränssnitt och drift
Programgränssnittet är mycket ljust. De befintliga inställningarna ger en miniminivå av ändringar; endast det väsentliga är tillgängligt. Alls, självkonfiguration valfritt i det här fallet: standardinställningarna passar de flesta användare och ger skydd mot nätfiskeattacker, spionprogram, virus, hackerapplikationer och andra hot.
Panda kan endast uppdateras via Internet. Dessutom rekommenderas det starkt att installera uppdateringen omedelbart efter att antiviruset har installerats, annars kommer Panda regelbundet att kräva åtkomst till "förälder"-servern med ett litet men ganska märkbart fönster längst ner på skärmen, vilket indikerar en låg nivå av nuvarande skydd.
Panda 2008 delar upp alla hot i kända och okända. I det första fallet kan vi inaktivera sökning efter vissa typer av hot; i det andra fallet bestämmer vi om filer, snabbmeddelanden och e-postmeddelanden ska utsättas för djupsökning för att söka efter okända skadliga objekt. Om Panda upptäcker misstänkt beteende i någon applikation kommer den omedelbart att meddela dig, vilket ger skydd mot hot som inte ingår i antivirusdatabasen.
Panda låter dig skanna hela din hårddisk eller enskilda delar av den. Kom ihåg att arkivskanning är inaktiverad som standard. Inställningsmenyn visar filtilläggen för filerna som skannas, om det behövs kan du lägga till dina egna tillägg. Statistiken över upptäckta hot, som presenteras i form av ett cirkeldiagram som tydligt visar andelen av varje typ av hot i det totala antalet skadliga objekt, förtjänar särskilt omnämnande. En rapport över upptäckta objekt kan genereras under en vald tidsperiod.
· lägsta systemkrav: Windows 98/NT/Me/2000/XP.
Hårdvarukraven motsvarar de som anges för det angivna operativsystemet.
Huvudfunktioner:
· skydd mot maskar, virus, trojaner, polymorfa virus, makrovirus, spionprogram, uppringare, adware, hackerverktyg och skadliga skript;
· uppdatering antivirusdatabaser upp till flera gånger per timme, storleken på varje uppdatering är upp till 15 KB;
· kontrollera datorns systemminne för att upptäcka virus som inte existerar i form av filer (till exempel CodeRed eller Slammer);
· en heuristisk analysator som låter dig neutralisera okända hot innan motsvarande virusdatabasuppdateringar släpps.
Installation
I början varnar Dr.Web ärligt för att det inte tänker komma överens med andra antivirusprogram och ber dig att se till att det inte finns några sådana program på din dator. Annat samarbete skulle kunna leda till "oförutsägbara konsekvenser". Välj sedan "Anpassad" eller "Normal" (rekommenderad) installation och börja studera de presenterade huvudkomponenterna:
· skanner för Windows. Kontrollera filer manuellt;
· konsolskanner för Windows. Designad för att startas från kommandofiler;
· SpiDer Guard. Kontrollera filer i farten, förhindra infektioner i realtid;
· SpiDer Mail. Skanna meddelanden som tas emot via POP3-, SMTP-, IMAP- och NNTP-protokoll.
Gränssnitt och drift
Bristen på konsekvens i gränssnittet mellan antivirusmodulerna är slående, vilket skapar ytterligare visuellt obehag med den redan inte särskilt vänliga åtkomsten till Dr.Web-komponenter. Ett stort antal olika inställningar är uppenbarligen inte designade för en nybörjare, men ganska detaljerad hjälp i en tillgänglig form kommer att förklara syftet med vissa parametrar som intresserar dig. Tillgång till den centrala modulen för Dr.Web - en skanner för Windows - utförs inte genom facket, som alla antivirus som diskuterades i recensionen, utan bara genom "Start" - långt ifrån den bästa lösningen, som fixades i Kaspersky Antivirus på en gång.
Uppdateringen är tillgänglig både via Internet och med hjälp av proxyservrar, vilket med tanke på signaturernas ringa storlek gör Dr.Web till ett mycket attraktivt alternativ för medelstora och stora dator nätverk.
Du kan ställa in systemskanningsparametrar, uppdatera ordning och konfigurera driftförhållanden för varje Dr.Web-modul med det praktiska verktyget "Scheduler", som låter dig skapa ett sammanhängande skyddssystem från "designern" av Dr.Web-komponenter.
Som ett resultat får vi en krävande datorresurs, ganska okomplicerat (vid närmare granskning) holistiskt skydd av datorn från alla typer av hot, vars förmåga att motverka skadliga applikationer klart överväger den enda nackdelen som uttrycks av det "brokiga" gränssnittet hos Dr. Webbmoduler.
Låt oss överväga processen att direkt skanna den valda katalogen. En mapp fylld med textdokument, arkiv, musik, videor och andra filer som är inneboende i den genomsnittliga användarens hårddisk. Den totala mängden information var 20 GB. Från början var det planerat att skanna hårddiskpartitionen som systemet installerades på, men Dr.Web hade för avsikt att sträcka ut skanningen i två till tre timmar, genom att noggrant studera systemfiler, som ett resultat tilldelades en separat mapp för "testplatsen". Varje antivirus använde alla tillhandahållna funktioner för att konfigurera det maximala antalet skannade filer.
Förstaplatsen när det gäller tid gick till Panda 2008. Otroligt men sant: skanningen tog bara fem (!) minuter. Dr.Web vägrade att rationellt använda användarens tid och studerade innehållet i mapparna i mer än en och en halv timme. Tiden som Panda visade 2008 väckte vissa tvivel, vilket krävde ytterligare diagnostik av en till synes obetydlig parameter - antalet skannade filer. Tvivel uppstod inte förgäves och fann en praktisk grund under upprepade tester. Vi borde hylla Dr.Web - antiviruset slösade inte så mycket tid förgäves, vilket visade det bästa resultatet: lite mer än 130 tusen filer. Låt oss reservera att det tyvärr inte var möjligt att fastställa det exakta antalet filer i testmappen. Därför ansågs Dr.Web-indikatorn återspegla den verkliga situationen i denna fråga.
Användare har olika attityder till processen med "storskalig" skanning: vissa föredrar att lämna datorn och inte störa genomsökningen, andra vill inte kompromissa med antiviruset och fortsätta att arbeta eller spela. Det sista alternativet, som det visade sig, gör att Panda Antivirus kan implementeras utan problem. Ja, det här programmet, där det visade sig vara omöjligt att lyfta fram nyckelfunktioner, i alla konfigurationer, kommer att orsaka det enda problemet med en grön skylt som meddelar att skanningen har slutförts. Dr.Web fick titeln som den mest stabila konsumenten av RAM, i full load-läge krävde dess drift bara några megabyte mer än under normal drift.
Låt oss nu titta närmare på sådana antivirus som:
1. Kaspersky Anti-Virus 2009;
3. Panda Antivirus 2008;
enligt följande kriterier:
· Bekvämlighetsbetyg användargränssnitt;
· Utvärdera användarvänligheten;
· Rekryteringsanalys tekniska förmågor;
· Kostnadsberäkning.
Av alla antivirus som granskats är det billigaste Panda Antivirus 2008, och det dyraste är NOD 32. Men detta betyder inte att Panda Antivirus 2008 är sämre och detta bevisas av de andra kriterierna. Tre program av de fyra granskade (Kaspersky Anti-Virus, Panda Antivirus, NOD 32) har ett enklare, mer funktionellt och användarvänligt gränssnitt än Dr. Webb, som har många inställningar som är obegripliga för en nybörjare. I programmet kan du använda detaljerad hjälp som förklarar syftet med vissa parametrar du behöver.
Alla program erbjuder tillförlitligt skydd mot maskar, traditionella virus, e-postvirus, spionprogram, trojaner, etc. Kontrollera filer i program som Dr. Web, NOD 32, utförs vid systemstart, men Kaspersky Anti-Virus kontrollerar filerna när de öppnas. Kaspersky Anti-Virus, NOD 32 har, till skillnad från alla andra, ett avancerat proaktivt skyddssystem baserat på heuristiska analysalgoritmer; möjligheten att ställa in ett lösenord och därmed skydda programmet från virus som syftar till att förstöra antivirusskyddet. Dessutom har Kaspersky Anti-Virus 2009 en beteendeblockerare. Panda Antivirus, till skillnad från alla andra, stöder inte blockering av misstänkta webbsidor eller skydd av personuppgifter. Alla dessa antivirus har automatiska databasuppdateringar och en uppgiftsschemaläggare. Dessutom är dessa antivirusprogram helt kompatibla med Vista. Men alla, utom Panda Antivirus, kräver att det utöver dem inte finns några andra liknande program i systemet. Baserat på dessa data kommer vi att skapa en tabell.
Tabell.1 Egenskaper för antivirusprogram
| kriterier | Kaspersky Anti-Virus 2009 | NOD 32 | Dr. webb | Panda antivirus |
| Kostnadsberäkning | - | - | - | + |
| Användbarhetsklassificering för användargränssnitt | + | + | - | |
| Betygsätt användarvänlighet | + | + | +- | - |
| Analys av en uppsättning tekniska förmågor | + | + | + | - |
| Allmänt intryck av programmet | + | + | - |
Vart och ett av de antivirus som övervägs har vunnit sin popularitet på ett eller annat sätt, men absolut perfekt lösning finns inte för alla kategorier av användare.
Enligt min mening är de mest användbara Kaspersky Anti-Virus 2009 och NOD 32. Eftersom de har nästan alla krav som ett antivirusprogram bör ha. Detta är både ett gränssnitt och en uppsättning tekniska möjligheter. I allmänhet har de det du behöver för att skydda din dator från virus.
Slutsats
Som avslutning på detta kursarbete skulle jag vilja säga att det mål jag satte upp - att genomföra en jämförande analys av moderna antivirusverktyg - uppnåddes. I detta avseende löstes följande uppgifter:
1. Litteratur om detta ämne har valts ut.
2. Olika antivirusprogram har studerats.
3. En jämförelse av antivirusprogram gjordes.
När jag slutförde mina kurser stötte jag på ett antal problem relaterade till att söka information, eftersom det i många källor är ganska motsägelsefullt; samt med en jämförande analys av fördelarna och nackdelarna med varje antivirusprogram och uppbyggnaden av en sammanfattningstabell.
Återigen är det värt att notera att det inte finns något universellt antivirusprogram. Ingen av dem kan garantera oss 100% skydd mot virus, och valet av antivirusprogram beror till stor del på användaren.
Litteratur
1. Magasin för persondatoranvändare "PC World"
2. Leontiev V.P. "Persondatorns senaste uppslagsverk"
3. http://www.viruslist.com
Söker efter alla moduler utom Computer Scan-modulen. 1) Anti-spam-modul för Outlook Express och Windows Mail är pluggbar. Efter installation av Eset Smart Security i Outlook Express eller Windows Mail visas ett verktygsfält som innehåller följande funktioner för anti-spam-modulen 2) Anti-spam-modulen fungerar...
Datorvirus. För högkvalitativ och korrekt behandling av ett infekterat program behövs specialiserade antivirus (till exempel Kaspersky antivirus, Dr Web, etc.). KAPITEL 2. JÄMFÖRANDE ANALYS AV ANTI-VIRUSPROGRAM För att bevisa fördelarna med sina produkter använder antivirusutvecklare ofta resultaten av oberoende tester. En av de första som testade antivirus...
Fungerar utmärkt med VirusBulletin ITW-samlingen - och inget mer. Antivirusbetyget i genomsnitt över alla tester visas i fig. 1. (Se bilaga Fig. 1.). Kapitel 2. Använda antivirusprogram 2.1 Antivirusverifiering E-post Om i början av utvecklingen av datorteknik huvudkanalen för spridning av virus var utbyte av programfiler via disketter, då...
... (till exempel att inte ladda ner eller köra okända program från Internet) skulle minska sannolikheten för virusspridning och eliminera behovet av att använda många antivirusprogram. Datoranvändare ska inte arbeta med administratörsrättigheter hela tiden. Om de använde normalt användaråtkomstläge skulle vissa typer av virus inte...
Antivirusprogram finns för att skydda din dator från skadlig kod, virus, trojanska hästar, maskar och spionprogram som kan radera dina filer, stjäla dina personliga data och göra din dator och webbanslutning extremt långsam och problematisk. Att välja ett bra antivirusprogram är därför en viktig prioritet för ditt system.
Idag finns det mer än 1 miljon datavirus i världen. Eftersom virus och annan skadlig kod är så vanliga finns det många olika alternativ för datoranvändare inom området antivirusprogram.
Antivirusprogram blev snabbt big business, med de första kommersiella antivirusprodukterna som kom ut på marknaden i slutet av 1980-talet. Idag kan du hitta många, både betalda och gratis antivirusprogram för att skydda din dator.
Vad gör antivirusprogram?
Antivirusprogram kommer regelbundet att skanna din dator och leta efter virus och annan skadlig kod som kan finnas på din dator. Om programvaran upptäcker ett virus sätter den vanligtvis i karantän, desinficerar eller tar bort det.
Du väljer själv hur ofta skanningen ska ske, även om det generellt rekommenderas att du kör den minst en gång i veckan. Dessutom kommer de flesta antivirusprogram att skydda dig under vardagliga aktiviteter, som att kolla e-post och surfa på webben.
När du laddar ner en fil till din dator från Internet eller från e-post, kommer antivirusprogrammet att skanna den och se till att filen är OK (virusfri eller "ren").
Antivirusprogram kommer också att uppdatera vad som kallas "antivirusdefinitioner". Dessa definitioner uppdateras lika ofta som nya virus och skadlig programvara introduceras och upptäcks.
Nya virus dyker upp varje dag, så det är nödvändigt att regelbundet uppdatera antivirusdatabasen på webbplatsen för antivirusprogrammets tillverkare. När allt kommer omkring, som du vet, kan alla antivirusprogram bara känna igen och neutralisera de virus som tillverkaren har "tränat" det att använda. Och det är ingen hemlighet att det kan gå flera dagar från det att viruset skickas till programutvecklarna tills antivirusdatabaserna uppdateras. Under denna period kan tusentals datorer runt om i världen vara infekterade!
Så se till att du installerar ett av de bästa antiviruspaketen och håll det uppdaterat regelbundet.
BRANDVÄGG (BRANDVÄGG)
Att skydda din dator från virus beror på mer än bara ett antivirusprogram. De flesta användare har fel när de tror att ett antivirus installerat på deras dator är ett universalmedel för alla virus. Din dator kan fortfarande bli infekterad med virus, även om du har ett kraftfullt antivirusprogram. Om din dator har tillgång till Internet räcker det inte med ett antivirusprogram.
Ett antivirus kan ta bort ett virus när det finns direkt på din dator, men om samma virus börjar introduceras i din dator från Internet, till exempel genom att ladda en webbsida, kommer antivirusprogrammet inte att kunna göra någonting med den - tills den inte visar sin aktivitet på datorn. Därför är fullständigt skydd av din dator från virus omöjligt utan en brandvägg - ett speciellt säkerhetsprogram som kommer att meddela dig om närvaron av misstänkt aktivitet när ett virus eller mask försöker ansluta till din dator.
Genom att använda en brandvägg på Internet kan du begränsa antalet oönskade anslutningar utifrån till din dator och minskar avsevärt sannolikheten för att den ska bli infekterad. Förutom skydd mot virus gör det också mycket svårare för inkräktare (hackers) att komma åt din information och försöka ladda ner ett potentiellt farligt program till din dator.
När en brandvägg används i kombination med ett antivirusprogram och operativsystemuppdateringar bibehålls din dators skydd på högsta säkerhetsnivå.
UPPDATERING AV OPERATIVSYSTEMET OCH PROGRAM
Ett viktigt steg för att skydda din dator och data är att systematiskt uppdatera ditt operativsystem med de senaste säkerhetskorrigeringarna. Det rekommenderas att göra detta minst en gång i månaden. Senaste uppdateringarna för operativsystemet och programmen kommer att skapa förhållanden under vilka datorns skydd mot virus kommer att vara på en ganska hög nivå.
Uppdateringar är korrigeringar av programbuggar som hittats över tid. Ett stort antal virus använder dessa fel ("hål") i systemets säkerhet och program för att spridas. Men om du stänger dessa "hål" kommer du inte att vara rädd för virus och din dators skydd kommer att vara på en hög nivå. En ytterligare fördel med regelbundna uppdateringar är mer tillförlitlig drift av systemet på grund av buggfixar.
INLOGGNINGSLÖSENORD
Lösenord för att logga in på ditt system, speciellt för konto"Administratör" hjälper till att skydda din information från obehörig åtkomst lokalt eller över nätverket, och kommer också att skapa en ytterligare barriär mot virus och spionprogram. Se till att du använder ett komplext lösenord eftersom... Många virus använder enkla lösenord för att sprida, till exempel 123, 12345, och börjar med tomma lösenord.
SÄKER WEBSURFING
Att skydda din dator från virus kommer att bli komplicerat om du, medan du surfar och surfar på Internet, accepterar allt och installerar allt. Till exempel under sken av att uppdatera Adobe Flash Spelaren distribueras av en av varianterna av viruset - "Skicka SMS till numret". Öva säker webbsurfning. Läs alltid exakt vad de erbjuder dig att göra, och först då acceptera eller vägra. Om du erbjuds något främmande språk- försök att översätta detta, annars får du gärna vägra.
Många virus finns i e-postbilagor och börjar spridas så snart bilagan öppnas. Vi rekommenderar starkt att du inte öppnar bilagor utan föregående överenskommelse om att ta emot dem.
Antivirus för SIM, flash-kort och USB-enheter
Mobiltelefoner som tillverkas idag har ett brett utbud av gränssnitt och dataöverföringsmöjligheter. Konsumenter bör noggrant granska skyddsmetoderna innan de ansluter några små enheter.
Skyddsmetoder som hårdvara, eventuellt antivirus på USB-enheter eller på SIM, är mer lämpade för konsumenter mobiltelefoner. Den tekniska bedömningen och granskningen av hur man installerar ett antivirusprogram på en mobiltelefon bör betraktas som en skanningsprocess som kan påverka andra legitima applikationer på den telefonen.
Antivirusprogram på SIM med antivirus inbyggt i ett litet minnesområde ger anti-malware/virusskydd, skyddar PIM och telefonanvändarinformation. Antivirus på flash-kort ger användaren möjlighet att utbyta information och använda dessa produkter med olika hårdvaruenheter.
Antivirus, mobila enheter och innovativa lösningar
Ingen kommer att bli förvånad när virus som infekterar personliga och bärbara datorer tar sig till mobila enheter. Fler och fler utvecklare inom detta område erbjuder antivirusprogram för att bekämpa virus och skydda mobiltelefoner. I Mobil enheter Det finns följande typer av viruskontroll:
- § CPU-begränsningar
- § minnesbegränsning
- § identifiera och uppdatera signaturerna för dessa mobila enheter
Antivirusföretag och program
- § AOL® Virus Protection som en del av AOL Safety och Säkerhetscenter
- § ActiveVirusShield från AOL (baserat på KAV 6, gratis)
- § AhnLab
- § Aladdin Knowledge Systems
- § ALWIL-programvara (avast!) från Tjeckien (gratis och betalversioner)
- § ArcaVir från Polen
- § AVZ från Ryssland (gratis)
- § Avira från Tyskland (gratis Klassisk version)
- § Authentium från Storbritannien
- § BitDefender från Rumänien
- § BullGuard från Danmark
- § Computer Associates från USA
- § Comodo Group från USA
- § ClamAV -- GPL-licens -- gratis och öppen källkod källkoder program
- § ClamWin -- ClamAV för Windows
- § Dr.Web från Ryssland
- § Eset NOD32 från Slovakien
- § Fortinet
- § Frisk programvara från Island
- § F-Secure från Finland
- § GeCAD från Rumänien (Microsoft köpte företaget 2003)
- § GFI-programvara
- § GriSoft (AVG) från Tjeckien (gratis och betalversioner)
- §Hauri
- § H+BEDV från Tyskland
- § Kaspersky Anti-Virus från Ryssland
- § McAfee från USA
- § MicroWorld Technologies från Indien
- § NuWave-programvara från Ukraina
- § MKS från Polen
- § Norman från Norge
- § Utpost från Ryssland
- § Panda-programvara från Spanien
- § Quick Heal AntiVirus från Indien
- § Stigande
- § ROSE SWE
- § Sophos från Storbritannien
- § Spyware Doctor
- Stiller Research
- § Sybari Software (Microsoft köpte företaget i början av 2005)
- § Symantec från USA eller Storbritannien
- § Trojanjägare
- § Trend Micro från Japan (nominellt Taiwan-USA)
- § Ukrainska nationella antivirus från Ukraina
- § VirusBlokAda (VBA32) från Vitryssland
- § VirusBuster från Ungern
- § ZoneAlarm AntiVirus (amerikansk)
- § Filskanning med flera antivirus
- § Kontrollera filen med flera antivirusprogram (engelska)
- § Kontrollera filer för virus före nedladdning (engelska)
- § virusinfo.info Portal tillägnad informationssäkerhet (virologkonferens), där du kan begära hjälp.
- § antivse.com Ytterligare en portal där du kan ladda ner de vanligaste antivirusprogrammen, både betalda och gratis.
- § www.viruslist.ru Internetvirusuppslagsverk skapat av Kaspersky Lab
Antivirus
Avast! * AVS * Ashampoo Antivirus * AVG * Avira AntiVir * BitDefender * Clam Antivirus * ClamWin * Comodo Antivirus * Dr. Web * F-Prot *F-Secure Antivirus * Kaspersky Antivirus * McAfee VirusScan * NOD32 * Norton Antivirus * Outpost Antivirus * Panda Antivirus * PC-cillin *Windows Live OneCare
Att jämföra antivirusprogram har aldrig varit en lätt uppgift. När allt kommer omkring har företag som skapar den här typen av produkter alltid kännetecknats av sin iver för förbättringar och ständiga uppdateringar av sin mjukvara. Trots detta är vissa antivirus bättre på sina uppgifter, medan andra är sämre.
Var och en av dem har sina egna fördelar och nackdelar, men inte varje person kan objektivt utvärdera sitt arbete och välja den som är bäst lämpad för driften av sin dator.
Därför bestämde vi oss för att analysera de mest populära antivirusprogrammen på marknaden, Kaspersky, ESET NOD32, McAfee, Symantec, för att ge dig en allmän uppfattning om deras arbete och hjälpa dig att göra rätt val för att skydda din persondator. Resultaten av analysen visades i form av en tabell för att maximera uppfattningen om skillnaden mellan den testade programvaran.
|
Stöd för scenariot "neka som standard" med möjligheten att automatiskt utesluta från scenariot processer och pålitliga uppdateringskällor som är nödvändiga för att systemet ska fungera |
||||
|
Tillåta/blockera program: |
||||
|
Välj från programregistret |
||||
|
Väljer körbara filer från registret |
||||
|
Ange körbar filmetadata |
||||
|
Ange kontrollsummor för körbara filer (MD5, SHA1) |
||||
|
Går in på stigen till körbara filer(lokalt eller UNC) |
||||
|
Välja förinställda appkategorier |
||||
|
Tillåt/blockera appar för enskilda användare/användargrupper Active Directory |
||||
|
Övervakning och begränsning av programaktivitet |
||||
|
Övervaka och prioritera sårbarheter |
||||
|
Tillåter/blockerar åtkomst till webbresurser, varning för fara: |
||||
|
Länkfiltrering |
||||
|
Filtrera innehåll efter förinställda kategorier |
||||
|
Filtrera innehåll efter datatyp |
||||
|
Active Directory-integration |
||||
|
Tillåta/blockera åtkomst till webbresurser enligt ett schema |
||||
|
Generera detaljerade rapporter om PC-användning för att komma åt webbresurser |
||||
|
Policybaserad enhetskontroll: |
||||
|
Efter hamntyp/buss |
||||
|
Efter typ av ansluten enhet |
||||
|
Efter användargrupper i Active Directory |
||||
|
Skapa vitlistor baserat på serie nummer enheter |
||||
|
Flexibel kontroll av åtkomsträttigheter till enheter för läsning/skrivning med möjlighet att konfigurera ett schema |
||||
|
Hantera tillfälliga åtkomstbehörigheter |
||||
|
Neka som standardscenario, tillämpas baserat på prioritet |
Genom att analysera de erhållna uppgifterna kan vi med säkerhet säga att endast ett antivirus, Kaspersky, klarade alla uppgifter, såsom övervakningsprogram, webbplatser och enheter. McAfee Antivirus visade bra resultat i kategorin "enhetskontroll" och fick högsta betyg, men tyvärr är den inte tillförlitlig för webbkontroll och applikationskontroll.
En annan viktig analys av antivirusprogram var deras praktiska forskning för att fastställa kvaliteten på skyddet av persondatorer. För att utföra denna analys lades ytterligare tre antivirusprogram till: Dr. Web, AVG, TrustPort, så bilden av jämförelse av program i detta segment har blivit ännu mer komplett. För testning användes 3 837 infekterade filer med olika instanser av hot, och hur de testade antivirusprogrammen hanterade dem visas i tabellen nedan.
|
Kaspersky |
|||||
|
1 min 10 sek |
|||||
|
5 min 32 sek |
|||||
|
6 min 10 sek |
|||||
|
1 min 10 sek |
Och återigen tog Kaspersky Anti-Virus ledningen, före sina konkurrenter i en så viktig indikator som procentandelen hotdetektion - mer än 96 %. Men, som man säger, det var en fluga i glädjebägaren här. Den tid som ägnades åt att söka efter infekterade filer och resurserna som förbrukades på en persondator var högst bland alla testade produkter.
De snabbaste här var Dr. Web och ESET NOD32, som ägnade drygt en minut åt att söka efter virus, med 77,3 % respektive 50,8 % upptäckt av infekterade filer. Vad som är viktigare - procentandelen virus som upptäcks eller tiden som läggs på sökning - är upp till dig att bestämma. Men glöm inte att säkerheten för din dator bör vara av största vikt.
ESET NICKA32 visade det sämsta resultatet vid upptäckt av hot, endast 50,8 %, vilket är ett oacceptabelt resultat för en PC. TrustPort visade sig vara snabbast, och AVG visade sig vara minst krävande på resurser, men tyvärr kan den låga andelen hot som upptäckts av dessa antivirusprogram inte tillåta dem att konkurrera med ledarna.
Baserat på resultaten av testerna kan Kaspersky Anti-Virus med säkerhet anses vara det bästa alternativet för att skydda din dator, förutsatt att den har en tillräcklig mängd RAM installerat och bra processor. Dessutom är priset på Kaspersky Lab-produkten inte det högsta, vilket inte kan göra annat än att glädja konsumenterna.
