Оцінка антивірусних програм. Порівняння антивірусів щодо ефективності захисту від нових шкідливих програм. Порівняльний аналіз комп'ютерних вірусів

Вступ

1. Теоретична частина

1.1 Поняття захисту інформації

1.2 Види загроз

1.3 Методи захисту інформації

2. Проектна частина

2.1 Класифікація комп'ютерних вірусів

2.2 Поняття антивірусної програми

2.3 Види антивірусних засобів

2.4 Порівняння антивірусних пакетів

Висновок

Список використаної літератури

додаток

Вступ

Розвиток нових інформаційних технологійі загальна комп'ютеризація призвели до того, що інформаційна безпека не тільки стає обов'язковою, вона ще одна з характеристик інформаційних систем. Існує досить великий клас систем обробки інформації, розробки яких чинник безпеки грає першорядну роль.

Масове застосування персональних комп'ютерів пов'язане з появою програм, що самовідтворюються, вірусів, що перешкоджають нормальній роботікомп'ютера, що руйнують файлову структурудисків і завдають шкоди інформації, що зберігається в комп'ютері.

Незважаючи на ухвалені в багатьох країнах закони про боротьбу з комп'ютерними злочинами та розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно зростає. Це вимагає від користувача персонального комп'ютеразнань про природу вірусів, способи зараження вірусами та захисту від них.

З кожним днем ​​віруси стають дедалі витонченішими, що призводить до суттєвої зміни профілю загроз. Але й ринок антивірусного програмного забезпеченняне стоїть на місці, пропонуючи безліч продуктів. Їхні користувачі, представляючи проблему лише в загальних рисах, нерідко упускають важливі нюанси і в результаті отримують ілюзію захисту замість захисту.

Метою даної курсової роботиє проведення порівняльного аналізу антивірусних пакетів.

Для досягнення цієї мети у роботі вирішуються такі завдання:

Вивчити поняття інформаційної безпеки, комп'ютерних вірусів та антивірусних засобів;

Визначити види загроз безпеці інформації, методи захисту;

Вивчити класифікацію комп'ютерних вірусів та антивірусних програм;

Провести порівняльний аналіз антивірусних пакетів;

Створити програму-антивірус.

Практична значущість роботи.

Отримані результати, матеріал курсової можна використовувати як основу для самостійного порівняння антивірусних програм.

Структура курсової роботи.

Ця курсова робота складається з вступу, двох розділів, висновків, списку використовуваної літератури.

комп'ютерний вірус безпека антивірусний

1. Теоретична частина

У процесі проведення порівняльного аналізу антивірусних пакетів необхідно визначити такі поняття:

1 Інформаційна безпека.

2 Види загроз.

3 Методи захисту.

Перейдемо до докладного розгляду цих понять:

1.1 Поняття захисту інформації

Незважаючи на всі зростаючі зусилля щодо створення технологій захисту даних, їх вразливість у сучасних умовахяк не зменшується, а й постійно зростає. Тому актуальність проблем, пов'язаних із захистом інформації, все більше посилюється.

Проблема захисту інформації є багатоплановою та комплексною та охоплює низку важливих завдань. Наприклад, конфіденційність даних, що забезпечується застосуванням різних методів та засобів. Перелік аналогічних завдань захисту інформації може бути продовжено. Інтенсивний розвиток сучасних інформаційних технологій, і особливо мережевих технологійстворює для цього всі передумови.

Захист інформації – комплекс заходів, спрямованих на забезпечення цілісності, доступності та, якщо потрібно, конфіденційності інформації та ресурсів, які використовуються для введення, зберігання, обробки та передачі даних.

На сьогоднішній день сформульовано два базові принципи захисту інформації:

1 цілісність даних – захист від збоїв, які ведуть до втрати інформації, і навіть захист від неавторизованого створення чи знищення даних;

2 конфіденційність інформації.

Захист від збоїв, що ведуть до втрати інформації, ведеться у напрямку підвищення надійності окремих елементів та систем, що здійснюють введення, зберігання, обробку та передачу даних, дублювання та резервування окремих елементів та систем, використання різних, у тому числі автономних, джерел живлення, підвищення рівня кваліфікації користувачів, захисту від ненавмисних та навмисних дій, що ведуть до виходу з ладу апаратури, знищення або зміни (модифікації) програмного забезпечення та інформації, що захищається.

Захист від неавторизованого створення чи знищення даних забезпечується фізичним захистомінформації, розмежуванням та обмеженням доступу до елементів інформації, що захищається, закриттям інформації, що захищається в процесі безпосередньої її обробки, розробкою програмно-апаратних комплексів, пристроїв та спеціалізованого програмного забезпечення для попередження несанкціонованого доступу до інформації, що захищається.

Конфіденційність інформації забезпечується ідентифікацією та перевіркою справжності суб'єктів доступу при вході в систему за ідентифікатором та паролем, ідентифікацією зовнішніх пристроївза фізичними адресами, ідентифікацією програм, томів, каталогів, файлів за іменами, шифруванням та дешифруванням інформації, розмежуванням та контролем доступу до неї.

Серед заходів, спрямованих на захист інформації, основними є технічні, організаційні та правові.

До технічних заходів можна віднести захист від несанкціонованого доступу до системи, резервування особливо важливих комп'ютерних підсистем, організацію обчислювальних мережз можливістю перерозподілу ресурсів у разі порушення працездатності окремих ланок, встановлення резервних систем електроживлення, оснащення приміщень замками, встановлення сигналізації тощо.

До організаційних заходів належать: охорона обчислювального центру (кабінетів інформатики); укладання договору обслуговування комп'ютерної техніки з солідної, має гарну репутацію організацією; виключення можливості роботи на комп'ютерній техніці сторонніх, випадкових осіб тощо.

До правових заходів відносяться розробка норм, що встановлюють відповідальність за виведення з ладу комп'ютерної техніки та знищення (зміну) програмного забезпечення, громадський контроль над розробниками та користувачами комп'ютерних систем та програм.

Слід зазначити, що жодні апаратні, програмні та будь-які інші рішення не зможуть гарантувати абсолютну надійність та безпеку даних у комп'ютерних системах. Водночас звести ризик втрат до мінімуму можливо, але лише за комплексного підходу до захисту інформації.

1.2 Види загроз

Пасивні загрози спрямовані в основному на несанкціоноване використання інформаційних ресурсів інформаційної системи, не впливаючи на її функціонування. Наприклад, несанкціонований доступ до баз даних, прослуховування каналів зв'язку тощо.

Активні загрози мають на меті порушення нормального функціонуванняінформаційної системи шляхом цілеспрямованого на її компоненти. До активних загроз належать, наприклад, виведення з ладу комп'ютера чи його операційної системи, руйнування програмного забезпечення комп'ютерів, порушення роботи ліній зв'язку тощо. Джерелом активних загроз можуть бути дії зломщиків, шкідливі програми тощо.

Умисні загрози поділяються також на внутрішні (що виникають усередині керованої організації) та зовнішні.

Внутрішні загрози найчастіше визначаються соціальною напруженістю та важким моральним кліматом.

Зовнішні загрози можуть визначатись зловмисними діями конкурентів, економічними умовами та іншими причинами (наприклад, стихійними лихами).

До основних загроз безпеці інформації та нормального функціонування інформаційної системи належать:

Витік конфіденційної інформації;

компрометація інформації;

несанкціоноване використання інформаційних ресурсів;

Помилкове використання інформаційних ресурсів;

несанкціонований обмін інформацією між абонентами;

Відмова від інформації;

Порушення інформаційного обслуговування;

Незаконне використання привілеїв.

Витік конфіденційної інформації – це безконтрольний вихід конфіденційної інформації за межі інформаційної системи або кола осіб, яким вона була довірена по службі або стала відома у процесі роботи. Цей витік може бути наслідком:

Розголошення конфіденційної інформації;

Відходу інформації з різних, головним чином технічних, каналів;

Несанкціонований доступ до конфіденційної інформації у різний спосіб.

Розголошення інформації її власником або власником є ​​навмисними або необережними діями посадових осіб та користувачів, яким відповідні відомості в установленому порядку були довірені по службі або роботі, що призвели до ознайомлення з ним осіб, не допущених до цих відомостей.

Можливий безконтрольний догляд конфіденційної інформації з візуально-оптичних, акустичних, електромагнітних та інших каналів.

Несанкціонований доступ – це протиправне навмисне оволодіння конфіденційною інформацією особою, яка не має права доступу до інформації, що охороняється.

Найбільш поширеними шляхами несанкціонованого доступу до інформації є:

Перехоплення електронних випромінювань;

застосування підслуховуючих пристроїв;

Дистанційне фотографування;

Перехоплення акустичних випромінювань та відновлення тексту принтера;

Копіювання носіїв інформації з подолання заходів захисту;

Маскування під зареєстрованого користувача;

Маскування під запити системи;

Використання програмних пасток;

Використання недоліків мов програмування та операційних систем;

Незаконне підключення до апаратури та ліній зв'язку спеціально розроблених апаратних засобів, що забезпечують доступ інформації;

Зловмисне виведення з ладу механізмів захисту;

Розшифрування спеціальними програмами зашифрованої інформації;

Інформаційні інфекції.

Перераховані шляхи несанкціонованого доступу вимагають досить великих технічних знань та відповідних апаратних або програмних розробокз боку хакера. Наприклад, використовуються технічні каналивитоку - це фізичні шляхи від джерела конфіденційної інформації до зловмисника, за допомогою яких можливе отримання відомостей, що охороняються. Причиною виникнення каналів витоку є конструктивні та технологічні недосконалості схемних рішень або експлуатаційне зношування елементів. Усе це дозволяє зломщикам створювати які у певних фізичних принципах перетворювачі, утворюють властивий цим принципам канал передачі – канал витоку.

Проте є й досить примітивні шляхи несанкціонованого доступу:

Розкрадання носіїв інформації та документальних відходів;

Ініціативна співпраця;

Схиляння до співпраці з боку хакера;

Випитування;

Підслуховування;

Спостереження та інші шляхи.

Будь-які способи витоку конфіденційної інформації можуть спричинити значні матеріальні та моральні збитки як для організації, де функціонує інформаційна система, так і для її користувачів.

Існує і постійно розробляється безліч шкідливих програм, мета яких – псування інформації в базах даних та програмному забезпеченні комп'ютерів. Велика кількість різновидів цих програм не дозволяє розробити постійні та надійні засоби захисту проти них.

Вважається, що вірус характеризується двома основними особливостями:

Здатністю до саморозмноження;

Здатністю до втручання в обчислювальний процес(До отримання можливості управління).

Несанкціоноване використання інформаційних ресурсів, з одного боку, є наслідками її витоку та засобом її компрометації. З іншого боку, воно має самостійне значення, оскільки може завдати великої шкоди керованій системі або її абонентам.

Помилкове використання інформаційних ресурсів, будучи санкціонованим, може призвести до руйнування, витоку або компрометації зазначених ресурсів.

Несанкціонований обмін інформацією між абонентами може призвести до отримання однієї з них відомостей, доступ до яких йому заборонено. Наслідки – ті ж, що й за несанкціонованого доступу.

1.3 Методи захисту інформації

Створення систем інформаційної безпеки ґрунтується на наступних принципах:

1 Системний підхід до побудови системи захисту, що означає оптимальне поєднання взаємозалежних організаційних, програмних,. Апаратних, фізичних та інших властивостей, підтверджених практикою створення вітчизняних та зарубіжних систем захисту та застосовуваних на всіх етапах технологічного циклу обробки інформації.

2 Принцип безперервного розвитку системи. Цей принцип, що є одним із основоположних для комп'ютерних інформаційних систем, ще актуальніший для систем інформаційної безпеки. Способи реалізації загроз інформації безперервно вдосконалюються, а тому забезпечення безпеки інформаційних систем не може бути одноразовим актом. Це безперервний процес, що полягає в обґрунтуванні та реалізації найбільш раціональних методів, способів та шляхів удосконалення систем інформаційної безпеки, безперервному контролі, виявленні її вузьких та слабких місць, потенційних каналів витоку інформації та нових способів несанкціонованого доступу,

3 Забезпечення надійності системи захисту, тобто неможливість зниження рівня надійності у разі виникнення в системі збоїв, відмов, навмисних дій зломщика або ненавмисних помилок користувачів та обслуговуючого персоналу.

4 Забезпечення контролю над функціонуванням системи захисту, тобто створення засобів і методів контролю працездатності механізмів захисту.

5 Забезпечення різноманітних засобів боротьби зі шкідливими програмами.

6 Забезпечення економічної доцільності використання системи. Захисту, що виражається у перевищенні можливої ​​шкоди від реалізації загроз над вартістю розробки та експлуатації систем інформаційної безпеки.

В результаті вирішення проблем безпеки інформації сучасні інформаційні системи повинні мати такі основні ознаки:

Наявністю інформації різного ступеня конфіденційності;

Забезпечення криптографічного захисту інформації різного ступеня конфіденційності при передачі даних;

Обов'язковим управлінням потоками інформації, як локальних мережах, і під час передачі каналами зв'язку далекі відстані;

Наявністю механізму реєстрації та обліку спроб несанкціонованого доступу, подій в інформаційній системі та документів, що виводяться на друк;

Обов'язковим забезпеченням цілісності програмного забезпечення та інформації;

Наявність засобів відновлення системи захисту інформації;

Обов'язковий облік магнітних носіїв;

Наявністю фізичної охорони засобів обчислювальної техніки та магнітних носіїв;

Наявність спеціальної служби інформаційної безпеки системи.

Методи та засоби забезпечення безпеки інформації.

Перешкода – метод фізичного перегородження шляху зловмиснику до інформації, що захищається.

Управління доступом – методи захисту інформації регулювання використання всіх ресурсів. Ці методи мають протистояти всім можливим шляхам несанкціонованого доступу до інформації. Управління доступом включає такі функції захисту:

Ідентифікацію користувачів, персоналу та ресурсів системи (присвоєння кожному об'єкту персонального ідентифікатора);

Упізнання об'єкта чи суб'єкта по пред'явленому їм ідентифікатору;

Дозвіл та створення умов роботи в межах встановленого регламенту;

Реєстрацію звернень до ресурсів, що захищаються;

Реагування під час спроб несанкціонованих дій.

Механізми шифрування – криптографічне закриття інформації. Ці методи захисту дедалі ширше застосовуються як із обробці, і при зберіганні інформації на магнітних носіях. При передачі інформації каналами зв'язку великої протяжності цей метод єдино надійним.

Протидія атакам шкідливих програм передбачає комплекс різноманітних заходів організаційного характеру та використання антивірусних програм.

Вся сукупність технічних засобівпідрозділяється на апаратні та фізичні.

Апаратні засоби - пристрої, що вбудовуються безпосередньо в обчислювальну техніку, або пристрої, які сполучаються з нею за стандартним інтерфейсом.

Фізичні засоби включають різні інженерні пристрої та споруди, що перешкоджають фізичному проникненню зловмисників на об'єкти захисту та здійснюють захист персоналу (особисті засоби безпеки), матеріальних засобів та фінансів, інформації від протиправних дій.

Програмні засоби – це спеціальні програми та програмні комплексипризначені для захисту інформації в інформаційних системах.

Із засобів програмного забезпечення системи захисту необхідно виділити ще програмні засоби, що реалізують механізми шифрування (криптографії) Криптографія – це наука про забезпечення таємності та/або автентичності (справжності) повідомлень, що передаються.

Організаційні засоби здійснюють своїм комплексом регламентацію виробничої діяльності в інформаційних системах та взаємин виконавців на нормативно-правовій основі таким чином, що розголошення, витік та несанкціонований доступ до конфіденційної інформації стає неможливим або суттєво утруднюється за рахунок проведення організаційних заходів.

Законодавчі засоби захисту визначаються законодавчими актами країни, якими регламентуються правила користування, обробки та передачі інформації обмеженого доступута встановлюються заходи відповідальності за порушення цих правил.

Морально-етичні засоби захисту включають всілякі норми поведінки, які традиційно склалися раніше, складаються в міру поширення інформації в країні та світі або спеціально розробляються. Морально-етичні норми може бути неписані чи оформлені у певний звід правил чи розпоряджень. Ці норми, зазвичай, є законодавчо затвердженими, але оскільки їх недотримання призводить до падіння престижу організації, вони вважаються обов'язковими виконання.

2. Проектна частина

У проектній частині необхідно виконати такі етапи:

1 Визначити поняття комп'ютерного вірусу та класифікації комп'ютерних вірусів.

2 Визначити поняття антивірусної програми та класифікації антивірусних засобів.

3 Провести порівняльний аналіз антивірусних пакетів.

2.1 Класифікація комп'ютерних вірусів

Вірус – програма, яка може заражати інші програми шляхом включення до них модифікованої копії, що має здатність до подальшого розмноження.

Віруси можна розділити на класи за такими основними ознаками:

Деструктивні можливості

особливості алгоритму роботи;

Середовище проживання;

За деструктивними можливостями віруси можна поділити на:

Нешкідливі, тобто не впливають працювати комп'ютера (крім зменшення вільної пам'яті на диску внаслідок свого поширення);

Небезпечні, вплив яких обмежується зменшенням вільної пам'яті на диску та графічними, звуковими та іншими ефектами;

Небезпечні віруси, які можуть призвести до серйозних збоїв у роботі комп'ютера;

Дуже небезпечні, алгоритм роботи яких свідомо закладено процедури, які можуть призвести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті

Особливості алгоритму роботи вірусів можна охарактеризувати такими властивостями:

резидентність;

використання стелс-алгоритмів;

Поліморфічність;

резидентні віруси.

Під терміном «резидентність» розуміється здатність вірусів залишати свої копії в системній пам'яті, перехоплювати деякі події та викликати при цьому процедури зараження виявлених об'єктів (файлів та секторів). Таким чином, резидентні віруси активні не тільки в момент роботи зараженої програми, а й після того, як програма закінчила свою роботу. Резидентні копії таких вірусів залишаються життєздатними до чергового перезавантаження, навіть якщо на диску знищені всі заражені файли. Часто таких вірусів неможливо позбутися відновленням усіх копій файлів з дистрибутивних дисків або backup-копій. Резидентна копія вірусу залишається активною і заражає новостворені файли. Те ж саме і для завантажувальних вірусів - форматування диска за наявності в пам'яті резидентного вірусу не завжди виліковує диск, оскільки багато резидентних вірусів заражає диск повторно після того, як він відформатований.

Нерезидентні віруси Нерезидентні віруси, навпаки, активні досить нетривалий час – лише у момент запуску зараженої програми. Для свого поширення вони шукають на диску незаражені файли та записуються у них. Після того, як код вірусу передає управління програмі-носія, вплив вірусу на роботу операційної системи зводиться до нуля аж до чергового запуску будь-якої зараженої програми. Тому файли, заражені нерезидентними вірусами, значно простіше видалити з диска і при цьому не дозволити вірусу заразити їх повторно.

Стелс віруси. Стелс-віруси тими чи іншими способами приховують факт своєї присутності у системі. Використання стелс-алгоритмів дозволяє вірусам повністю або частково приховати себе у системі. Найбільш поширеним стелс-алгоритмом є перехоплення запитів операційної системи читання (запис) заражених об'єктів. Стелс-віруси у своїй або тимчасово лікують їх, або «підставляють» замість себе незаражені ділянки інформації. У разі макро-вірусів найпопулярніший спосіб – заборона викликів меню перегляду макросів. Відомі стелс-віруси всіх типів, крім Windows-вірусів – завантажувальні віруси, файлові DOS-віруси і навіть макро-віруси. Поява стелс-вірусів, що заражають файли Windows, є швидше за все справою часу.

Поліморфік-віруси. Самошифрування та поліморфічність використовуються практично всіма типами вірусів для того, щоб максимально ускладнити процедуру детектування вірусу. Поліморфік-віруси - це досить важко виявити віруси, що не мають сигнатур, тобто не містять жодної постійної ділянки коду. У більшості випадків два зразки одного і того ж поліморфік-вірусу не матимуть жодного збігу. Це досягається шифруванням основного тіла вірусу та модифікаціями програми-розшифровника.

До поліморфік-вірусів належать ті з них, детектування яких неможливо здійснити за допомогою так званих вірусних масок - ділянок постійного коду, специфічних для конкретного вірусу. Досягається це двома основними способами - шифруванням основного коду вірусу з непостійним кличем і випадковим набором команд розшифровувача або зміною коду вірусу, що виконується. Поліморфізм різного ступеня складності зустрічається у вірусах всіх типів – від завантажувальних та файлових DOS-вірусів до Windows-вірусів.

За середовищем проживання віруси можна розділити на:

Файлові;

Завантажувальні;

Макровіруси;

Мережеві.

Файлові віруси Файлові віруси або різними методами впроваджуються у виконувані файли, або створюють файли-двійники (компаньон-вирусы), або застосовують особливості організації файлової системи (link-вирусы).

Використання файлового вірусу можливе практично у всі файли всіх популярних операційних систем. На сьогоднішній день відомі віруси, що вражають усі типи виконуваних об'єктів стандартної DOS: командні файли (BAT), драйвери (SYS, в тому числі спеціальні файли IO.SYS і MSDOS.SYS), що завантажуються і виконуються двійкові файли (EXE, COM). Існують віруси, що вражають файли інших операційних систем, що виконуються - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, включаючи VxD-драйвера Windows 3.x і Windows95.

Існують віруси, що заражають файли, які містять вихідні тексти програм, бібліотечні чи об'єктні модулі. Можливий запис вірусу й у файли даних, але це відбувається або внаслідок помилки вірусу, або при прояві його агресивних властивостей. Макро-віруси також записують свій код у файли даних - документи або електронні таблиці, проте ці віруси настільки специфічні, що винесені до окремої групи.

Завантажувальні віруси. Завантажувальні віруси заражають завантажувальний (boot) сектор флоппі-диска та boot-сектор або Master Boot Record (MBR) вінчестера. Принцип дії завантажувальних вірусів ґрунтується на алгоритмах запуску операційної системи при включенні або перезавантаженні комп'ютера – після необхідних тестів встановленого обладнання (пам'яті, дисків тощо) програма системного завантаження зчитує перший фізичний сектор завантажувального диска(A:, C: або CD-ROM залежно від параметрів, встановлених у BIOS Setup) та передає на нього управління.

У разі дискети або компакт-диска керування отримує boot-сектор, який аналізує таблицю параметрів диска (BPB – BIOS Parameter Block), вираховує адреси системних файлів операційної системи, зчитує їх в пам'ять і запускає на виконання. Системними файлами зазвичай є MSDOS.SYS та IO.SYS, або IBMDOS.COM та IBMBIO.COM, або інших залежно від встановленої версії DOS, Windows або інших операційних систем. Якщо на завантажувальному диску відсутні файли операційної системи, програма, розташована в boot-секторі диска, видає повідомлення про помилку і пропонує замінити завантажувальний диск.

У випадку вінчестера управління отримує програму, розташовану в MBR вінчестера. Ця програма аналізує таблицю розбиття диска (Disk Partition Table), обчислює адресу активного boot-сектору (зазвичай цим сектором є boot-сектор диска C, завантажує його в пам'ять і передає на нього керування. Отримавши керування, активний boot-сектор вінчестера робить ті ж самі дії, як і boot-сектор дискети.

При зараженні дисків завантажувальні віруси «підставляють» свій код замість будь-якої програми, яка отримує керування під час завантаження системи. Принцип зараження, таким чином, однаковий у всіх описаних вище способах: вірус «примушує» систему при її перезапуску рахувати на згадку і віддати управління не оригінальному коду завантажувача, але коду вірусу.

Зараження дискет проводиться єдиним відомим способом - вірус записує свій код замість оригінального коду boot-сектор дискети. Вінчестер заражається трьома можливими способами– вірус записується або замість коду MBR, або замість коду boot-сектора завантажувального диска (зазвичай диска C, або модифікує адресу активного boot-сектора Disk Partition Table, розташованої в MBR вінчестера.

Макро-віруси. Макро-віруси заражають файли – документи та електронні таблиці кількох популярних редакторів. Макро-віруси (macro viruses) є програмами мовами (макро-мовах), вбудованих у деякі системи обробки даних. Для свого розмноження такі віруси використовують можливості макромов і за їхньої допомоги переносять себе з одного зараженого файлу в інші. Найбільшого поширення набули макро-віруси для Microsoft Word, Excel та Office97. Існують також макро-віруси, що заражають документи Ami Pro та бази даних Microsoft Access.

Мережеві віруси. До мережевих відносяться віруси, які для свого поширення активно використовують протоколи та можливості локальних та глобальних мереж. Основним принципом роботи вірусу є можливість самостійно передати свій код на віддалений сервер або робочу станцію. "Повноцінні" мережеві віруси при цьому мають ще й можливість запустити на виконання свій код на віддаленому комп'ютері або, принаймні, "підштовхнути" користувача до запуску зараженого файлу. Приклад мережевих вірусів – так звані IRC-хробаки.

IRC (Internet Relay Chat) – це спеціальний протокол, розроблений для комунікації користувачів Інтернету у реальному часі. Цей протокол надає їм можливість Ітрернет-«розмови» за допомогою спеціально розробленого програмного забезпечення. Крім відвідування спільних конференцій користувачі IRC мають можливість спілкуватися віч-на-віч з будь-яким іншим користувачем. Крім цього існує досить велика кількість IRC-команд, за допомогою яких користувач може отримати інформацію про інших користувачів та каналів, змінювати деякі установки IRC-клієнта та інше. Існує також можливість передавати та приймати файли – саме на цій можливості і базуються IRC-хробаки. Потужна та розгалужена система команд IRC-клієнтів дозволяє на основі їхніх скриптів створювати комп'ютерні віруси, що передають свій код на комп'ютери користувачів мереж IRC, так звані IRC-хробаки. Принцип дії таких IRC-хробаків приблизно однаковий. За допомогою IRC-команд файл сценарію роботи (скрипт) автоматично надсилається з зараженого комп'ютера кожному користувачу, який знову приєднався до каналу. Надісланий файл-сценарій замінює стандартний і при наступному сеансі роботи вже знову заражений клієнт розсилатиме хробака. Деякі IRC-хробаки також містять троянський компонент: за заданими ключовими словами роблять руйнівні дії на уражених комп'ютерах. Наприклад, черв'як «pIRCH.Events» за певною командою стирає всі файли на диску користувача.

Існує велика кількість поєднань - наприклад, файлово-завантажувальні віруси, що заражають як файли, так і завантажувальні сектори дисків. Такі віруси зазвичай мають досить складний алгоритм роботи, часто застосовують оригінальні методи проникнення в систему, використовують стелс і поліморфік-технології. Інший приклад такого поєднання – мережевий макро-вірус, який не тільки заражає редаговані документи, але й розсилає свої копії електронною поштою.

На додаток до цієї класифікації слід сказати кілька слів про інші шкідливі програми, які іноді плутають з вірусами. Ці програми не мають здатності до самопоширення як віруси, але здатні завдати такої ж руйнівної шкоди.

Троянські коні (логічні бомби чи тимчасові бомби).

До троянських коней відносяться програми, що завдають будь-яких руйнівних дій, тобто в залежності від будь-яких умов або при кожному запуску знищує інформацію на дисках, що «завішує» систему, та інше. Як приклад можна навести і такий випадок – коли така програма під час сеансу роботи в Інтернеті пересилала своєму автору ідентифікатори та паролі з комп'ютерів, де вона мешкала. Більшість відомих троянських коней є програмами, які «підробляють» під будь-які корисні програми, нові версії популярних утиліт або додатків до них. Дуже часто вони розсилаються BBS-станціям або електронним конференціям. Порівняно з вірусами «троянські коні» не набувають широкого поширення з таких причин – вони або знищують себе разом з іншими даними на диску, або демаскують свою присутність і знищуються користувачем.

2.2 Поняття антивірусної програми

Способи протидії комп'ютерним вірусам можна поділити на кілька груп:

Профілактика вірусного зараження та зменшення передбачуваної шкоди від такого зараження;

Методика використання антивірусних програм, у тому числі знешкодження та видалення відомого вірусу;

Способи виявлення та видалення невідомого вірусу.

Профілактика зараження комп'ютера.

Одним із основних методів боротьби з вірусами є, як і в медицині, своєчасна профілактика. Комп'ютерна профілактика передбачає дотримання небагатьох правил, що дозволяє значно знизити ймовірність зараження вірусом і втрати будь-яких даних.

Щоб визначити основні правила комп'ютерної «гігієни», необхідно з'ясувати основні шляхи проникнення вірусу в комп'ютер і комп'ютерні мережі.

Основним джерелом вірусів на сьогоднішній день є глобальна мережа Internet. Найбільше зараження вірусом відбувається під час обміну листами у форматах Word/Office97. Користувач зараженого макро-вірусом редактора, сам того не підозрюючи, розсилає заражені листи адресатам, які у свою чергу надсилають нові заражені листи і таке інше. Слід уникати контактів із підозрілими джерелами інформації та користуватися лише законними (ліцензійними) програмними продуктами.

Відновлення уражених об'єктів.

Найчастіше зараження вірусом процедура відновлення заражених файлів і дисків зводиться до запуску відповідного антивіруса, здатного знешкодити систему. Якщо ж вірус невідомий жодному антивірусу, достатньо відіслати заражений файл фірмам-виробникам антивірусів і через деякий час отримати ліки-«апдейт» проти вірусу. Якщо ж час не чекає, то знешкодження вірусу доведеться зробити самостійно. Для більшості користувачів необхідно мати резервні копіїсвоєї інформації.

Загальні засоби захисту корисні не тільки для захисту від вірусів. Є два основні різновиди цих коштів:

1 Копіювання інформації – створення копій файлів та системних областей дисків.

2 Розмежування доступу запобігає несанкціонованому використанню інформації, зокрема, захисту від змін програм і даних вірусами, неправильно працюючими програмами та помилковими діями користувачів.

Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення виявлених вірусів кожному комп'ютері дозволяють уникнути поширення вірусної епідемії інші комп'ютери.

Головною зброєю у боротьбі з вірусами є антивірусні програми. Вони дозволяють не тільки виявити віруси, у тому числі віруси, що використовують різні методи маскування, але видалити їх з комп'ютера.

Існує кілька основних методів пошуку вірусів, які застосовуються антивірусними програмами. Найбільш традиційним методом пошуку вірусів є сканування.

Для виявлення, видалення та захисту від комп'ютерних вірусів розроблено кілька видів спеціальних програм, які дозволяють виявляти та знищувати віруси. Такі програми називають антивірусними.

2.3 Види антивірусних засобів

Програми-детектори. Програми-детектори здійснюють пошук характерної для конкретного вірусу сигнатури оперативної пам'ятіі у файлах та при виявленні видають відповідне повідомлення. Недоліком таких антивірусних програм є те, що вони можуть знаходити ті віруси, які відомі розробникам таких програм.

Програми-лікарі. Програми-лікарі чи фаги, і навіть програми-вакцини як знаходять заражені вірусами файли, а й «лікують» їх, тобто видаляють з файлу тіло програми-вірусу, повертаючи файли у вихідний стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх і лише потім переходять до «лікування» файлів. Серед фагів виділяють поліфаги, тобто програми-лікарі, призначені для пошуку та знищення великої кількості вірусів. Найбільш відомі з них: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.

Враховуючи, що постійно з'являються нові віруси, програми-детектори та програми-лікарі швидко застарівають, і потрібне регулярне оновлення версій.

Програми-ревізори (інспектори) відносяться до найнадійніших засобів захисту від вірусів.

Ревізори (інспектори) перевіряють дані на диску щодо вірусів-невидимок. Причому інспектор може не користуватися засобами операційної системи для звернення до дисків, а отже активний вірус не зможе перехопити це звернення.

Справа в тому, що ряд вірусів, впроваджуючись у файли (тобто дописуючись в кінець або початок файлу), підмінюють записи про цей файл у таблицях розміщення файлів нашої операційної системи.

Ревізори (інспектори) запам'ятовують вихідний стан програм, каталогів та системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни відображаються на екрані монітора. Як правило, порівняння станів роблять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файлу, код циклічного контролю (контрольна сума файлу), дата та час модифікації та інші параметри. Програми-ревізори (інспектори) мають досить розвинені алгоритми, виявляють стелс-віруси і можуть навіть очистити зміни версії програми, що перевіряється від змін, внесених вірусом.

Запускати ревізора (інспектора) треба тоді, коли комп'ютер ще не заражений, щоб він міг створити в кореневій директорії кожного диска по таблиці, з усією необхідною інформацією про файли, що є на цьому диску, а також про завантажувальну область. На створення кожної таблиці буде запрошено дозвіл. При наступних запусках ревізор (інспектор) переглядатиме диски, порівнюючи дані про кожен файл зі своїми записами.

У разі виявлення заражень ревізор (інспектор) зможе використовувати свій власний модуль, який відновить зіпсований вірусом файл. Для відновлення файлів інспектору не потрібно нічого знати про конкретний тип вірусу, достатньо скористатися даними про файли, збережені в таблицях.

Крім того, у разі потреби може бути викликаний антивірусний сканер.

Програми-фільтри (монітори). Програми-фільтри (монітори) або «сторожі» є невеликими резидентними програмами, призначеними для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:

Спроби корекції файлів із розширеннями COM, EXE;

Зміна атрибутів файлу;

Прямий запис на диск за абсолютною адресою;

Запис у завантажувальні сектори диска;

При спробі будь-якої програми зробити зазначені дії «сторож» надсилає користувачеві повідомлення та пропонує заборонити чи дозволити відповідну дію. Програми-фільтри дуже корисні, оскільки здатні виявити вірус на ранній стадії його існування до розмноження. Однак, вони не "лікують" файли та диски. Для знищення вірусів потрібно застосувати інші програми, наприклад, фаги.

Вакцини чи імунізатори. Вакцини – це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-лікарі, які «лікують» цей вірус. Вакцинація можлива лише від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їхній роботі, а вірус сприйматиме їх зараженими і тому не впровадиться. В даний час програми-вакцини мають обмежене застосування.

Сканер. Принцип роботи антивірусних сканерів заснований на перевірці файлів, секторів та системної пам'яті та пошуку в них відомих та нових (невідомих сканеру) вірусів. Для пошуку відомих вірусів використовують так звані «маски». Маскою вірусу є деяка стала послідовність коду, специфічна для цього конкретного вірусу. Якщо вірус не містить постійної маски або довжина цієї маски недостатньо велика, то використовуються інші методи. Прикладом такого методу є алгоритмічна мова, яка описує все можливі варіантикоду, які можуть зустрітися під час зараження подібного типу вірусом. Такий підхід використовують деякі антивіруси для детектування поліморфік-вірусів. Сканери також можна розділити на дві категорії – «універсальні» та «спеціалізовані». Універсальні сканерирозраховані на пошук та знешкодження всіх типів вірусів незалежно від операційної системи, на роботу в якій розрахований сканер. Спеціалізовані сканери призначені для знешкодження обмеженої кількості вірусів або лише одного їх класу, наприклад макро-вірусів. Спеціалізовані сканери, розраховані тільки на макро-віруси, часто виявляються найбільш зручним та надійним рішенням для захисту систем документообігу у середовищах MSWord та MSExcel.

Сканери також поділяються на «резидентні» (монітори, сторожа), які проводять сканування «нальоту», та «нерезидентні», що забезпечують перевірку системи лише за запитом. Як правило, "резидентні" сканери забезпечують більше надійний захистсистеми, оскільки вони негайно реагують на появу вірусу, тоді як «нерезидентний» сканер здатний упізнати вірус лише під час чергового запуску. З іншого боку резидентний сканер може дещо сповільнити роботу комп'ютера, зокрема, і через можливі помилкові спрацьовування.

До переваг сканерів всіх типів належить їхня універсальність, до недоліків – відносно невелику швидкість пошуку вірусів.

CRC-сканери. Принцип роботи CRC-сканерів заснований на підрахунку CRC-сум ( контрольних сум) для присутніх на диску файлів/системних секторів. Ці CRC-суми потім зберігаються в базі даних антивірусу, як, втім, і інша інформація: довжини файлів, дати їх останньої модифікації і так далі. При наступному запуску CRC-сканери звіряють дані, що містяться в базі даних, з реально підрахованими значеннями. Якщо інформація про файл, записана в базі даних, не збігається з реальними значеннями, то CRC-сканери сигналізують про те, що файл змінено або заражено вірусом. CRC-сканери, що використовують анти-стелс алгоритми, є досить сильною зброєю проти вірусів: практично 100% вірусів виявляються виявленими майже відразу після появи на комп'ютері. Однак цей тип антивірусів має вроджений недолік, який помітно знижує їх ефективність. Цей недолік полягає в тому, що CRC-сканери не здатні зловити вірус у момент його появи в системі, а роблять це лише через деякий час, вже після того, як вірус розійшовся комп'ютером. CRC-сканери не можуть визначити вірус у нових файлах (в електронній пошті, на дискетах, у файлах, що відновлюються з backup або під час розпакування файлів з архіву), оскільки в їх базах даних відсутня інформація про ці файли. Більше того, періодично з'являються віруси, які використовують цю «слабкість» CRC-сканерів, заражають тільки нові файли і залишаються, таким чином, невидимими для них.

Блокувальники. Блокувальники – це резидентні програми, що перехоплюють «вірусонебезпечні» ситуації та повідомляють про це користувачеві. До «вірусо-небезпечних» відносяться виклики на відкриття для запису у виконувані файли, запис у boot-секторі дисків або MBR вінчестера, спроби програм залишитися резидентно і так далі, тобто виклики, які характерні для вірусів у моменти з розмноження. Іноді деякі функції блокувальників реалізовані у резидентних сканерах.

До переваг блокувальників відноситься їх здатність виявляти і зупиняти вірус на ранній стадії його розмноження. До недоліків відносяться існування шляхів обходу захисту блокувальників та велика кількість помилкових спрацьовувань.

Необхідно також відзначити такий напрямок антивірусних засобів, як антивірусні блокувальники, виконані у вигляді апаратних компонентів комп'ютера. Найбільш поширеною є вбудований в BIOS захист від запису MBR вінчестера. Однак, як і у випадку з програмними блокувальниками, такий захист легко обійти прямим записом у порти контролера диска, а запуск DOS-утиліти FDISK негайно викликає «хибне спрацювання» захисту.

Існує кілька більш універсальних апаратних блокувальників, але до перерахованих вище недоліків додаються також проблеми сумісності зі стандартними конфігураціями комп'ютерів та складності при їх встановленні та налаштуванні. Усе це робить апаратні блокувальники вкрай непопулярними і натомість інших типів антивірусного захисту.

2.4 Порівняння антивірусних пакетів

Незалежно від того, яку інформаційну системупотрібно захищати, найважливіший параметр при порівнянні антивірусів – здатність виявляти віруси та інші шкідливі програми.

Однак цей параметр хоч і важливий, але не єдиний.

Справа в тому, що ефективність системи антивірусного захисту залежить не тільки від її здатності виявляти та нейтралізувати віруси, а й від багатьох інших факторів.

Антивірус має бути зручним у роботі, не відволікаючи користувача комп'ютера від виконання його обов'язків. Якщо антивірус дратуватиме користувача наполегливими проханнями та повідомленнями, рано чи пізно його буде вимкнено. Інтерфейс антивірусу повинен бути дружнім і зрозумілим, так як далеко не всі користувачі мають великий досвід роботи з комп'ютерними програмами. Не розібравшись зі змістом повідомлення, що з'явилося на екрані, можна мимоволі допустити вірусне зараження навіть при встановленому антивірусі.

Найбільш зручний режим антивірусного захисту, коли перевірці піддаються всі файли, що відкриваються. Якщо антивірус не здатний працювати в такому режимі, користувачеві доведеться для виявлення вірусів, що знову з'явилися, кожен день запускати сканування всіх дисків. На цю процедуру можуть піти десятки хвилин або навіть годинник, якщо мова йдепро диски великого обсягу, встановлені, наприклад, на сервері.

Оскільки нові віруси з'являються щодня, необхідно періодично оновлювати базу даних антивірусу. В іншому випадку ефективність антивірусного захисту буде дуже низькою. Сучасні антивіруси після відповідного налаштування можуть автоматично оновлювати антивірусні бази даних через Інтернет, не відволікаючи користувачів та адміністраторів на виконання цієї рутинної роботи.

При захисті великої корпоративної мережі передній план висувається такий параметр порівняння антивірусів, як наявність мережевого центру управління. Якщо корпоративна мережаоб'єднує сотні та тисячі робочих станцій, десятки та сотні серверів, то без мережевого центру управління ефективний антивірусний захист організувати практично неможливо. Один або кілька системних адміністраторів не зможуть обійти всі робочі станції та сервери, встановивши на них та настроївши антивірусні програми. Тут необхідні технології, що допускають централізовану установку та налаштування антивірусів на всі комп'ютери корпоративної мережі.

Захист вузлів Інтернету, таких як поштові сервери, та серверів служб обміну повідомленнями вимагає застосування спеціалізованих антивірусних засобів. Звичайні антивіруси, призначені для перевірки файлів, не зможуть знайти шкідливий програмний код у базах даних серверів обміну повідомленнями або потоку даних, що проходять через поштові сервери.

Зазвичай при порівнянні антивірусних засобів враховують інші чинники. Державні установи можуть за інших рівних умов віддати перевагу антивірусам вітчизняного виробництва, які мають усі необхідні сертифікати. Неабияку роль грає і репутація, отримана тим чи іншим антивірусним засобом серед користувачів комп'ютерів та системних адміністраторів. Чималу роль при виборі можуть відігравати й особисті переваги.

Для підтвердження переваг своїх продуктів розробники антивірусів часто використовують результати незалежних тестів. При цьому користувачі часто не розуміють, що саме і як перевірялося в цьому тесті.

У цій роботі порівняльному аналізу зазнали найбільш популярні на Наразіантивірусні програми, а саме: Антивірус Касперського, Symantec/Norton, Доктор Веб, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft.

Одним із перших тестувати антивірусні продукти розпочав британський журнал Virus Bulletin. Перші тести, опубліковані на їхньому сайті, відносяться до 1998 року. Основу тесту складає колекція шкідливих програм WildList. Для успішного проходження тесту необхідно виявити всі віруси цієї колекції та продемонструвати нульовий рівень помилкових спрацьовувань на колекції «чистих» файлів журналу. Тестування проводиться кілька разів на рік на різних операційних системах; продукти, що успішно пройшли тест, отримують нагороду VB100%. На малюнку 1 відображено, скільки нагород VB100% було отримано продуктами різних антивірусних компаній.

Безумовно, журнал Virus Bulletin можна назвати найстарішим антивірусним тестером, але статус патріарха не позбавляє його критики антивірусної спільноти. По-перше, WildList включає тільки віруси і черв'яки і тільки для платформи Windows. По-друге, колекція WildList містить невелику кількість шкідливих програм і дуже повільно поповнюється: за місяць у колекції з'являється лише кілька десятків нових вірусів, тоді як, наприклад, колекція AV-Test за цей час поповнюється кількома десятками або навіть сотнями тисяч екземплярів шкідливого програмного забезпечення .

Все це говорить про те, що у цьому вигляді колекція WildList морально застаріла і не відображає реальної ситуації з вірусами в мережі Інтернет. В результаті тести, засновані на колекції WildList, стають все більш безглуздими. Вони хороші для реклами продуктів, які їх пройшли, але реально якість антивірусного захисту вони не відображають.

Малюнок 1 – Кількість успішно пройдених тестів VB 100%

Незалежні дослідні лабораторії, такі як AV-Comparatives, AV-Tests, двічі на рік проводять тестування антивірусних продуктів на рівень виявлення шкідливих програм на вимогу. Колекції, на яких проводиться тестування, містять до мільйона шкідливих програм і регулярно оновлюються. Результати тестів публікуються на сайтах цих організацій (www.AV-Comparatives.org, www.AV-Test.org) та у відомих комп'ютерних журналах PC World, PC Welt. Підсумки чергових тестів наведені нижче:

Рисунок 2 – Загальний рівень виявлення шкідливого програмного забезпечення на думку AV-Test

Якщо говорити про найбільш поширені продукти, то за результатами цих тестів до трійки лідерів входять лише рішення Лабораторії Касперського та Symantec. На окрему увагу заслуговує Avira, що лідирує в тестах.

Тести дослідницьких лабораторій AV-Comparatives та AV-Test, так само як і будь-які тести, мають свої плюси та свої мінуси. Плюси полягають у тому, що тестування проводиться на великих колекціях шкідливого програмного забезпечення, і в тому, що в цих колекціях представлені різноманітні типи шкідливих програм. Мінуси ж у тому, що у цих колекціях містяться не лише «свіжі» зразки шкідливих програм, а й відносно старі. Як правило, використовуються зразки, зібрані останні півроку. Крім того, під час цих тестів аналізуються результати перевірки жорсткого дискана вимогу, тоді як у реального життякористувач завантажує заражені файли з Інтернету або отримує їх як вкладення електронною поштою. Важливо виявляти такі файли саме в момент їх появи на комп'ютері користувача.

Спробу виробити методику тестування, яка не страждає від цієї проблеми, зробив один із найстаріших британських комп'ютерних журналів – PC Pro. У їхньому тесті використовувалася колекція шкідливих програм, виявлених за два тижні до проведення тесту у трафіку, що проходить через сервери компанії MessageLabs. MessageLabs пропонує своїм клієнтам сервіси з фільтрації різних видівтрафіку та її колекція шкідливих програм реально відображає ситуацію з поширенням комп'ютерних вірусів у Мережі.

Команда журналу PC Pro не просто сканувала заражені файли, а моделювала дії користувача: заражені файли прикріплювалися до листів у вигляді вкладень і ці листи завантажувалися на комп'ютер встановленим антивірусом. Крім того, за допомогою спеціально написаних скриптів заражені файли завантажувалися з Web-сервера, тобто моделювався серфінг користувача в Інтернеті. Умови, в яких проводяться подібні тести, максимально наближені до реальних, що не могло не вплинути на результати: рівень виявлення у більшості антивірусів виявився істотно нижчим, ніж при простій перевірці на вимогу в тестах AV-Comparatives і AV-Test. У таких тестах важливу роль відіграє те, наскільки швидко розробники антивіруса реагують на появу нових шкідливих програм, а також які проактивні механізми використовуються для виявлення шкідливих програм.

Швидкість випуску оновлень антивірусу із сигнатурами нових шкідливих програм – це одна з найважливіших складових ефективного антивірусного захисту. Чим швидше буде випущено оновлення баз сигнатур, тим менший час залишиться незахищеним.

Рисунок 3 – Середній час реакцію нові загрози

Останнім часом нові шкідливі програми з'являються настільки часто, що антивірусні лабораторії ледве встигають реагувати на появу нових зразків. У подібній ситуації постає питання про те, як антивірус може протистояти не тільки вже відомим вірусам, а й новим загрозам, для виявлення яких ще не випущено сигнатури.

Для виявлення невідомих загроз використовуються звані проактивні технології. Можна розділити ці технології на два види: евристики (виявляють шкідливі програми на основі аналізу їх коду) та поведінкові блокатори (блокують дії шкідливих програм при їх запуску на комп'ютері, ґрунтуючись на їх поведінці).

Якщо говорити про евристиків, то їхня ефективність уже давно вивчає AV-Comparatives – дослідницька лабораторія під керівництвом Андреаса Клименті. Команда AV-Comparatives застосовує особливу методику: антивіруси перевіряються на актуальній вірусній колекції, але при цьому використовується антивірус із сигнатурами тримісячної давності. Таким чином, антивірус доводиться протистояти шкідливим програмам, про які він нічого не знає. Антивіруси перевіряються шляхом сканування колекції шкідливого програмного забезпечення на жорсткому диску, тому перевіряється лише ефективність евристики. Інша проактивна технологія – поведінковий блокатор – у цих тестах не задіяна. Навіть найкращі евристики на даний момент показують рівень виявлення лише близько 70%, а багато з них ще й хворіють на помилкові спрацьовування на чистих файлах. Все це говорить про те, що поки що цей проактивний метод виявлення може використовуватися тільки одночасно з сигнатурним методом.

Що ж до іншої проактивної технології – поведінкового блокатора, то у цій галузі серйозних порівняльних тестів не проводилося. По-перше, у багатьох антивірусних продуктах («Доктор Веб», NOD32, Avira та інших) відсутній поведінковий блокатор. По-друге, проведення таких тестів пов'язане з деякими труднощами. Справа в тому, що для перевірки ефективності поведінкового блокатора необхідно не сканувати диск із колекцією шкідливих програм, а запускати ці програми на комп'ютері та спостерігати, наскільки успішно антивірус блокує їх дії. Цей процес дуже трудомісткий, і лише небагато дослідників здатні взятися за проведення таких тестів. Все, що поки доступне широкому загалу, це результати тестування окремих продуктів, проведеного командою AV-Comparatives. Якщо під час тестування антивіруси успішно блокували дії невідомих шкідливих програм під час їх запуску на комп'ютері, то продукт отримував нагороду Proactive Protection Award. Наразі такі нагороди отримали F-Secure з поведінковою технологією DeepGuard та «Антивірус Касперського» з модулем «Проактивний захист».

Технології попередження зараження, засновані на аналізі поведінки шкідливих програм, набувають все більшого поширення, і відсутність комплексних порівняльних тестів у цій галузі не може не турбувати. Нещодавно фахівці дослідницької лабораторії AV-Test провели широке обговорення цього питання, в якому брали участь розробники антивірусних продуктів. Підсумком цього обговорення стала нова методика тестування здатності антивірусних продуктів протистояти невідомим загрозам.

Високий рівень виявлення шкідливих програм з різних технологій є однією з найважливіших характеристик антивірусу. Однак не менш важливою характеристикою є відсутність хибних спрацьовувань. Помилкові спрацьовування можуть завдати не меншої шкоди користувачу, ніж вірусне зараження: заблокувати роботу потрібних програм, перекрити доступ до сайтів тощо.

У ході своїх досліджень AV-Comparatives, поряд з вивченням можливостей антивірусів щодо виявлення шкідливого програмного забезпечення, проводить і тести на помилкові спрацьовування на колекціях чистих файлів. Згідно з тестом найбільшу кількість помилкових спрацьовувань виявлено у антивірусів «Доктор Веб» та Avira.

Стовідсоткового захисту від вірусів немає. Користувачі іноді стикаються з ситуацією, коли шкідлива програма проникла на комп'ютер і комп'ютер виявився заражений. Це відбувається через те, що на комп'ютері взагалі не було антивірусу, або тому, що антивірус не виявив шкідливу програму ні сигнатурними, ні проактивними методами. У такій ситуації важливо, щоб при встановленні антивірусу зі свіжими базами сигнатур на комп'ютері антивірус зміг не тільки виявити шкідливу програму, але й успішно ліквідувати всі наслідки її діяльності, вилікувати активне зараження. При цьому важливо розуміти, що творці вірусів постійно вдосконалюють свою «майстерність», і деякі їх витвори досить важко видалити з комп'ютера – шкідливі програми можуть різними способамимаскувати свою присутність у системі (у тому числі за допомогою руткітів) і навіть протидіяти роботі антивірусних програм. Крім того, мало просто видалити або вилікувати заражений файл, потрібно ліквідувати всі зміни, зроблені шкідливим процесом в системі і повністю відновити працездатність системи. Команда російського порталу Anti-Malware.ru провели подібний тест, його результати представлені малюнку 4.

Рисунок 4 – Лікування активного зараження

Вище розглянуто різні підходи до тестування антивірусів, показано, які параметри роботи антивірусів розглядаються при тестуванні. Можна дійти невтішного висновку, що з одних антивірусів виграшним виявляється один показник, в інших – інший. При цьому природно, що у своїх рекламних матеріалах розробники антивірусів наголошують тільки на ті тести, де їх продукти займають лідируючі позиції. Так, наприклад, «Лабораторія Касперського» наголошує на швидкості реакції на появу нових загроз, Еset – на силі своїх евристичних технологій, «Доктор Веб» описує свої переваги у лікуванні активного зараження.

Отже, слід провести синтез результатів різних тестів. Так зведено позиції, які антивіруси зайняли в розглянутих тестах, а також виведена інтегрована оцінка – яке в середньому за всіма тестами займає той чи інший продукт. У результаті в трійці призерів: Касперський, Avira, Symantec.

На основі проаналізованих антивірусних пакетів було створено програмний продукт, призначений для пошуку та лікування файлів, заражених вірусом SVC 5.0 Цей вірус не призводить до несанкціонованого видалення або копіювання файлів, проте значно заважає повноцінній роботі з програмним забезпеченням комп'ютера.

Заражені програми мають більшу довжину, ніж вихідний код. Однак при перегляді каталогів на зараженій машині цього видно не буде, оскільки вірус перевіряє, чи заражений знайдений файл чи ні. Якщо файл заражений, то DTA записується довжина незараженого файла.

Виявити цей вірус можна наступним чином. В області даних вірусу є символьний рядок "(c) 1990 by SVC, Ver. 5.0", за яким вірус, якщо він є на диску, можна виявити.

Під час написання антивірусної програми виконується така послідовність дій:

1 Для кожного файлу, що перевіряється, визначається час його створення.

2 Якщо число секунд дорівнює шістдесяти, то перевіряються три байти зі зміщення, що дорівнює "довжина файлу мінус 8АН". Якщо вони рівні відповідно 35Н, 2ЕН, 30Н, файл заражений.

3 Виконується декодування перших 24 байт оригінального коду, які розташовані за усуненням "довжина файлу мінус 01CFН плюс 0BAAН". Ключі для декодування розташовані за усунення "довжина файлу мінус 01CFН плюс 0С1AН" і "довжина файлу мінус 01CFН плюс 0С1BН".

4 Розкодовані байти переписуються на початок програми.

5 Файл "усікається" до величини "довжина файлу мінус 0С1F".

Програма створена серед програмування TurboPascal. Текст програми викладено у Додатку А.

Висновок

У цій роботі був проведений порівняльний аналіз антивірусних пакетів.

У процесі проведення аналізу успішно вирішено завдання, поставлені на початку роботи. Так було вивчено поняття інформаційної безпеки, комп'ютерних вірусів та антивірусних засобів, визначено види загроз безпеці інформації, методи захисту, розглянуто класифікацію комп'ютерних вірусів та антивірусних програм та проведено порівняльний аналіз антивірусних пакетів, написано програму, яка здійснює пошук заражених файлів.

Результати, отримані в процесі роботи, можуть бути застосовані при виборі антивірусного засобу.

Усі отримані результати відбито у роботі з допомогою діаграм, тому користувач може самостійно перевірити висновки, зроблені у підсумковій діаграмі, що відбиває синтез виявлених результатів різних тестів антивірусних засобів.

Результати, отримані в процесі роботи, можуть бути застосовані як основа для самостійного порівняння антивірусних програм.

У світлі широкого використання IT-технологій представлена ​​курсова робота є актуальною та відповідає пред'явленим до неї вимогам. У процесі роботи було розглянуто найпопулярніші антивірусні засоби.

Список використаної літератури

1 Анін Б. Захист комп'ютерної інформації. - СПб. : БХВ - Санкт - Петербург, 2000. - 368 с.

2 Артюнов В. В. Захист інформації: навч. – метод. допомога. М.: Ліберія - Бібінформ, 2008. - 55 с. – (Бібліотекар та час. 21 століття; вип. №99).

3 Корнєєв І. К., Є. А. Степанов Захист інформації в офісі: підручник. - М.: Проспект, 2008. - 333 с.

5 Купріянов А. І. Основи захисту інформації: навч. допомога. - 2-ге вид. стер. - М.: Академія, 2007. - 254 с. – (Вища професійна освіта).

6 Семененко В. А., Н. В. Федоров Програмно - апаратний захист інформації: навч. посібник для студ. вишів. - М.: МДІУ, 2007. - 340 с.

7 Цирлов В. Л. Основи інформаційної безпеки: короткий курс. - Ростов н / Д: Фенікс, 2008. - 254 с. (Професійну освіту).

додаток

Лістинг програми

ProgramANTIVIRUS;

Uses dos,crt,printer;

Type St80 = String;

FileInfection:File Of Byte;

SearchFile:SearchRec;

Mas: Array of St80;

MasByte:Array of Byte;

Position,I,J,K:Byte;

Num,NumberOfFile,NumberOfInfFile:Word;

Flag,NextDisk,Error:Boolean;

Key1,Key2,Key3,NumError:Byte;

MasScreen:Array Of Byte Absolute $B800:0000;

Procedure Cure(St: St80);

I: Byte; MasCure: Array Of Byte;

Assign(FileInfection,St); Reset (FileInfection);

NumError:=IOResult;

If (NumError<>

Seek(FileInfection,FileSize(FileInfection) - ($0C1F - $0C1A));

NumError:=IOResult;

If (NumError<>0) Then Begin Error:=True; Exit; End;

Read(FileInfection,Key1);

NumError:=IOResult;

If (NumError<>0) Then Begin Error:=True; Exit; End;

Read(FileInfection,Key2);

NumError:=IOResult;

If (NumError<>0) Then Begin Error:=True; Exit; End;

Seek (FileInfection, FileSize (FileInfection) - ($ 0C1F - $ 0BAA));

NumError:=IOResult;

If (NumError<>0) Then Begin Error:=True; Exit; End;

For I:=1 to 24 do

Read (FileInfection, MasCure [i]);

NumError:=IOResult;

If (NumError<>0) Then Begin Error:=True; Exit; End;

Key3:=MasCure[i];

MasCure[i]:=Key3;

Seek(FileInfection,0);

NumError:=IOResult;

If (NumError<>0) Then Begin Error:=True; Exit; End;

For I:=1 to 24 do Write(FileInfection,MasCure[i]);

Seek(FileInfection,FileSize(FileInfection) - $0C1F);

NumError:=IOResult;

If (NumError<>0) Then Begin Error:=True; Exit; End;

Truncate (FileInfection);

NumError:=IOResult;

If (NumError<>0) Then Begin Error:=True; Exit; End;

Close(FileInfection); NumError:=IOResult;

If (NumError<>0) Then Begin Error:=True; Exit; End;

Procedure F1(St: St80);

FindFirst(St + "*.*", $3F, SearchFile);

While (SearchFile.Attr = $10) And (DosError = 0) And

((SearchFile.Name = ".") Or (SearchFile.Name = "..")) Do

FindNext(SearchFile);

While (DosError = 0) Do

If KeyPressed Then

If (Ord(ReadKey) = 27) Then Halt;

If (SearchFile.Attr = $10) Then

Mas[k]:=St + SearchFile.Name + "\";

If (SearchFile.Attr<>$10) Then

NumberOfFile:=NumberOfFile + 1;

UnpackTime(SearchFile.Time, DT);

For I:=18 to 70 do MasScreen:=$20;

Write(St + SearchFile.Name," ");

If (Dt.Sec = 60) Then

Assign(FileInfection,St + SearchFile.Name);

Reset (FileInfection);

NumError:=IOResult;

If (NumError<>0) Then Begin Error:=True; Exit; End;

Seek (FileInfection, FileSize (FileInfection) - $ 8A);

NumError:=IOResult;

If (NumError<>0) Then Begin Error:=True; Exit; End;

For I:=1 to 3 do Read(FileInfection,MasByte[i]);

Close(FileInfection);

NumError:=IOResult;

If (NumError<>0) Then Begin Error:=True; Exit; End;

If (MasByte = $35) And (MasByte = $2E) And

(MasByte = $30) Then

NumberOfInfFile:=NumberOfInfFile + 1;

Write(St + SearchFile.Name," inficirovan. ",

"Udalit? ");

If (Ord(Ch) = 27) Then Exit;

Until (Ch = "Y") Or (Ch = "y") Or (Ch = "N")

If (Ch = "Y") Or (Ch = "y")

Cure(St + SearchFile.Name);

If (NumError<>0) Then Exit;

For I:=0 to 79 do MasScreen:=$20;

FindNext(SearchFile);

GoToXY (29,1); TextAttr:=$1E; GoToXY (20,2); TextAttr:=$17;

Writeln("Programma для poiska і леченія fajlov,");

Writeln("zaragennih SVC50.");

TextAttr:=$4F; GoToXY(1,25);

Write("ESC - exit");

TextAttr:=$1F; GoToXY(1,6);

Write("Kakoj disk proverit? ");

If (Ord(Disk) = 27) Then Exit;

R.Ah:=$0E; R.Dl: = Ord (UpCase (Disk))-65;

Intr($21,R); R.Ah: = $ 19; Intr($21,R);

Flag:=(R.Al = (Ord(UpCase(Disk))-65));

St:=UpCase(Disk) + ":\";

Writeln("Testiruetsya disk ",St," ");

Writeln("Testiruetsya fajl ");

NumberOfFile:=0;

NumberOfInfFile:=0;

If (k = 0) або Error Then Flag:=False;

If (k> 0) Then K: = K-1;

If (k=0) Then Flag:=False;

If (k> 0) Then K: = K-1;

Writeln("Provereno fajlov - ",NumberOfFile);

Writeln("Zarageno fajlov - ",NumberOfInfFile);

Writeln("Izlecheno fajlov - ",Num);

Write("Proverit drugoj disk? ");

If (Ord(Ch) = 27) Then Exit;

Until (Ch = "Y") Or (Ch = "y") Or (Ch = "N") Or (Ch = "n");

If (Ch = "N") або (Ch = "n") Then NextDisk:=False;

2.1.4 Порівняльний аналіз антивірусних засобів.

Існує багато різних антивірусних програм як вітчизняного, і невітчизняного походження. І щоб зрозуміти яка з антивірусних програм краще, проведемо їх порівняльний аналіз. Для цього візьмемо сучасні антивірусні програми, а також такі, що найчастіше використовуються користувачами ПК.

Panda Antivirus 2008 3.01.00

Сумісні системи: Windows 2000/XP/Vista

Встановлення

Складно уявити собі простішу та швидшу установку, ніж пропонує Panda 2008. Нам лише повідомляють, від яких загроз захистить цей додатокі без будь-якого вибору типу установки або джерела оновлень менш ніж за хвилину пропонують захист від вірусів, черв'яків, троянів, spyware та фішингу, попередньо здійснивши сканування пам'яті комп'ютера щодо наявності вірусів. При цьому деякі інші розширені функції сучасних антивірусів, такі як блокування підозрілих веб-сторінок або захист особистих даних, він не підтримує.

Інтерфейс та робота

Інтерфейс програми дуже яскравий. Присутні налаштування забезпечують мінімальний рівень змін, є тільки найнеобхідніше. Взагалі, самостійне налаштуванняв даному випадку не є обов'язковою: параметри за замовчуванням відповідають більшості користувачів, забезпечуючи захист від атак фішингу, spyware, вірусів, хакерських додатків та інших загроз.

Оновлюватись Panda може тільки через інтернет. Причому оновлення настійно рекомендується встановити відразу після встановлення антивіруса, в іншому випадку, Panda невеликим, але досить помітним віконцем внизу екрана регулярно вимагатиме доступ до "батьківського" сервера, вказуючи на низький рівень поточного захисту.

Усі загрози Panda 2008 поділяє на відомі та невідомі. У першому випадку ми можемо вимкнути перевірку тих чи інших видів загроз, у другому випадку визначаємо, чи піддавати файли, IM-повідомлення та електронні листи глибокому скануванню для пошуку невідомих шкідливих об'єктів. Якщо Panda виявляє підозрілу поведінку якоїсь програми, то негайно повідомить вас, забезпечуючи таким чином захист від загроз, не включених до бази даних антивірусу.

Panda дозволяє виконувати сканування всього жорсткого диска або окремих його ділянок. При цьому слід пам'ятати, що за замовчуванням перевірку архівів вимкнено. У меню налаштувань представлені розширення файлів, що піддаються скануванню, у разі потреби можна додати власні розширення. На окрему згадку заслуговує статистика виявлених загроз, яка представлена ​​у вигляді кругової діаграми, що наочно демонструє частку кожного виду загрози в загальній кількості шкідливих об'єктів. Звіт виявлених об'єктів можна формувати за вибраним проміжком часу.

· Мінімальні системні вимоги: наявність Windows 98/NT/Me/2000/XP.

Апаратні вимоги відповідають заявленим зазначеним ОС.

Основні функціональні особливості:

· Захист від черв'яків, вірусів, троянів, поліморфних вірусів, макровірусів, spyware, програм-дзвонювачів, adware, хакерських утиліт та шкідливих скриптів;

· Оновлення антивірусних баздо кількох разів на годину, розмір кожного оновлення до 15 KB;

· Перевірка системної пам'яті комп'ютера, що дозволяє виявити віруси, які не існують у вигляді файлів (наприклад, CodeRed або Slammer);

· Евристичний аналізатор, що дозволяє знешкодити невідомі загрози до виходу відповідних оновлень вірусних баз.

Встановлення

Спочатку Dr.Web чесно попереджає, що не збирається вживатися з іншими антивірусними програмами і вимагає переконатися у відсутності таких на комп'ютері. В іншому випадку спільна роботаможе призвести до "непередбачуваних наслідків". Далі вибираємо "Вибіркову" або "Звичайну" (рекомендовану) установку та приступаємо до вивчення представлених основних компонентів:

· Сканер для Windows. Перевірка файлів у ручному режимі;

· Консольний сканер для Windows. Призначений для запуску із командних файлів;

· SpiDer Guard. Перевірка файлів "на льоту", запобігання зараженням у режимі реального часу;

· SpiDer Mail. Перевірка повідомлень, що надходять через протоколи POP3, SMTP, IMAP та NNTP.

Інтерфейс та робота

В очі впадає відсутність узгодженості у питанні інтерфейсу між модулями антивірусу, що створює додатковий візуальний дискомфорт при і так не надто доброзичливому доступі до компонентів Dr.Web. Велика кількість всіляких налаштувань явно не розрахована на початківця, проте досить докладна довідка в доступній формі пояснить призначення тих чи інших параметрів, що вас цікавлять. Доступ до центрального модуля Dr.Web – сканер для Windows – здійснюється не через трей, як у всіх розглянутих в огляді антивірусів, а лише через "Пуск" – далеко не найкраще рішення, яке свого часу було виправлено в Антивірусі Касперського.

Оновлення доступне як через Інтернет, так і за допомогою проксі-серверів, що при невеликих розмірах сигнатур представляє Dr.Web дуже привабливим варіантом для середніх та великих комп'ютерних мереж.

Задати параметри перевірки системи, порядок оновлення та налаштування умов роботи кожного модуля Dr.Web можна за допомогою зручного інструменту "Планувальник", який дозволяє створити злагоджену систему захисту із "конструктора" компонентів Dr.Web.

У результаті ми отримуємо невибагливу до ресурсів комп'ютера, досить нескладний (при найближчому розгляді) цілісний захист комп'ютера від всіляких загроз, чиї можливості протидії шкідливим додаткам однозначно переважують єдиний недолік, виражений "різношерстим" інтерфейсом модулів Dr.Web.

Розглянемо процес безпосереднього сканування обраної директорії. Як "піддослідний" використовувалася папка, заповнена текстовими документами, архівами, музикою, відео та іншими файлами, властивими вінчестеру середньостатистичного користувача. Загальний обсяг інформації становив 20 GB. Спочатку передбачалося сканування розділу вінчестера, на якому була встановлена ​​система, але Dr.Web мав намір розтягнути перевірку на дві-три години, досконально вивчаючи системні файли, в результаті під полігон була відведена окрема папка. У кожному антивірусі були використані всі надані можливості з налаштування максимальної кількості файлів, що перевіряються.

Перше місце по відношенню до витраченого часу дісталося Panda 2008. Неймовірно, але факт: сканування зайняло лише п'ять (!) хвилин. Dr.Web відмовився раціонально використовувати час користувача і більше півтори години вивчав вміст папок. Час, показаний Panda 2008, викликав деякі сумніви, що вимагали додаткової діагностики, здавалося б, незначного параметра кількості перевірених файлів. Сумніви з'явилися не дарма, і знайшли практичну основу під час повторних випробувань. Слід віддати належне Dr.Web - антивірус не дарма витратив стільки часу, продемонструвавши найкращий результат: трохи більше 130 тисяч файлів. Обмовимося, що, на жаль, визначити точну кількість файлів у тестовій папці не було можливо. Тому показник Dr.Web було прийнято як відбиває реальне становище у цьому питанні.

До процесу "великомасштабного" сканування користувачі ставляться по-різному: одні вважають за краще залишати комп'ютер і не заважати перевірці, інші не бажають йти на компроміс з антивірусом і продовжують працювати чи грати. Останній варіант, як виявилось, без проблем дозволяє здійснити Panda Antivirus. Так, ця програма, в якій виявилося неможливим виділити ключові особливостіПри будь-якій конфігурації завдасть єдине занепокоєння зеленою табличкою, що сповіщає про успішне завершення сканування. Звання найбільш стабільного споживача оперативної пам'яті отримав Dr.Web, в режимі повного завантаження його функціонування зажадало лише на кілька мегабайт більше, ніж за нормальної роботи.

Тепер розглянемо докладніше такі антивіруси як:

1. Антивірус Касперського 2009;

3. Panda Antivirus 2008;

за такими критеріями:

· Оцінка зручності інтерфейсу користувача;

· Оцінка зручності у роботі;

· Аналіз набору технічних можливостей;

· Оцінка вартості.

З усіх розглянутих антивірусів найдешевшим є Panda Antivirus 2008, а найдорожчим NOD 32. Але це не означає, що Panda Antivirus 2008 гірше і про це говорять інші критерії. Три програми з чотирьох розглянутих (Антивірус Касперського, Panda Antivirus, NOD 32) мають більш простий, функціональний та зручний інтерфейс, ніж Dr. Web, який має безліч налаштувань, незрозумілих початківцю. У програмі можна скористатися докладною довідкою, яка пояснить призначення тих чи інших необхідних вам параметрів.

Всі програми пропонують надійний захист від хробаків, традиційних вірусів, поштових вірусів, шпигунських програм, троянських програм і т.д. Перевірка файлів у таких програмах як Dr. Web, NOD 32 здійснюється при запуску системи, а ось Антивірус Касперського перевіряє файли в момент звернення до них. Антивірус Касперського, NOD 32 на відміну від інших володіють просунутою системою проактивного захисту, що базується на алгоритмах евристичного аналізу; можливістю поставити пороль і тим самим захистити програму від вірусів, націлених на руйнування антивірусного захисту. Крім цього Антивірус Касперського 2009 має поведінковий блокатор. Panda Antivirus на відміну від інших не підтримує блокування підозрілих веб-сторінок або захист особистих даних. Всі ці антивіруси мають автоматичне оновлення баз та планувальник завдань. Також ці антивірусні програми повністю сумісні з Vista. Але всі вони крім Panda Antivirus вимагають, щоб, крім них, у системі не було інших подібних програм. На основі цих даних складемо таблицю.

Таблиця.1 Характеристика антивірусних програм

критерії	Антивірус Касперського 2009	NOD 32	Dr. Web	Panda Antivirus
Оцінка вартості	-	-	-	+
Оцінка зручності інтерфейсу користувача	+	+	-
Оцінка зручності у роботі	+	+	+-	-
Аналіз набору технічних можливостей	+	+	+	-
Загальне враження про програму	+	+		-

Кожен із розглянутих антивірусів за тими чи іншими показниками заслужив свою популярність, але абсолютно ідеального рішеннядля всіх категорій користувачів немає.

На мою думку, найбільш корисними є Антивірус Касперського 2009 і NOD 32. Так як вони мають майже всі вимоги, якими повинна мати антивірусна програма. Це інтерфейс та набір технічних можливостей. Загалом у них є те, що необхідно для того, щоб убезпечити свій комп'ютер від вірусів.

Висновок

На закінчення цієї курсової роботи хотілося б сказати про те, що поставлена ​​мною мета - проведення порівняльного аналізу сучасних антивірусних засобів - було досягнуто. У зв'язку з цим було вирішено такі:

1. Підібрано літературу на цю тему.

2. Вивчено різні антивірусні програми.

3. Проведено порівняння антивірусних програм.

При виконанні курсової зіткнулася з низкою проблем, пов'язаних з пошуком інформації, тому що в багатьох джерелах вона досить суперечлива; а також з порівняльним аналізом переваг та недоліків кожної антивірусної програми та побудовою зведеної таблиці.

Ще раз слід зазначити, що універсальної антивірусної програми немає. Жодна з них не може гарантувати нам 100% захисту від вірусів, і багато в чому вибір антивірусної програми залежить від користувача.

Література

1. Журнал для користувачів персональних комп'ютерів "Світ ПК"

2. Леонтьєв В.П. «Нова енциклопедія персонального комп'ютера»

3. http://www.viruslist.com

Сканування для всіх модулів, за винятком модуля «Сканування комп'ютера». 1) Модуль захисту від небажаної пошти для Outlook Express та Windows Mail підключається. Після інсталяції програми Eset Smart Security в Outlook Express або Windows Mail з'являється панель інструментів, яка містить такі функції модуля захисту від небажаної пошти 2) Модуль захисту від небажаної пошти працює...

Комп'ютерні віруси. Для якісного та коректного лікування зараженої програми необхідні спеціалізовані антивіруси (наприклад, антивірус Касперського, Dr. Web тощо). РОЗДІЛ 2. ПОРІВНЯЛЬНИЙ АНАЛІЗ АНТИВІРУСНИХ ПРОГРАМ Для доказу переваг своїх продуктів розробники антивірусів часто використовують результати незалежних тестів. Одним із перших тестувати антивірусні...

Чудово справляється з ITW-колекцією VirusBulletin – і нічого більше. Середній за всіма тестами рейтинг антивірусів наведено на рис.1. (Див. Додатки рис.1.). Глава 2. Використання антивірусних програм 2.1 Антивірусна перевірка електронної поштиЯкщо на початку розвитку комп'ютерних технологій основним каналом поширення вірусів був обмін файлами програм через дискети, то...

... (наприклад, не завантажувати і не запускати на виконання невідомі програми з Інтернету) знизило б ймовірність поширення вірусів і позбавило б потреби користуватися багатьма антивірусними програмами. Користувачі комп'ютерів не повинні працювати з правами адміністратора. Якби вони користувалися режимом доступу звичайного користувача, то деякі різновиди вірусів не використовуються.

Антивірусні програми (antivirus) існують для захисту вашого комп'ютера від шкідливих програм, вірусів, троянів, черв'яків та шпигунських програм, які можуть видалити ваші файли, вкрасти ваші особисті дані та зробити роботу вашого комп'ютера та веб-з'єднання надзвичайно повільною та проблематичною. Отже, вибір хорошої антивірусної програми є важливим пріоритетом для вашої системи.

На сьогоднішній день у світі існує понад 1 мільйон комп'ютерних вірусів. Через таку широку поширеність вірусів та інших шкідливих програм, є багато різних варіантів для користувачів комп'ютерів у галузі антивірусного програмного забезпечення.

Антивірусні програми швидко перетворилися на великий бізнес, а перші комерційні антивіруси з'явилися на ринку наприкінці 1980-х років. Сьогодні ви можете знайти безліч як платних, так і безкоштовних антивірусних програм для захисту вашого комп'ютера.

Що антивірусні програми роблять

Антивірусні програми регулярно сканують ваш комп'ютер у пошуках вірусів та інших шкідливих програм, які можуть бути на вашому ПК. Якщо програмне забезпечення виявить вірус, воно, як правило, поміщає його в карантин, лікує або видаляє його.

Ви самі вибираєте, як часто сканування відбуватиметься, хоча, як правило, рекомендується, щоб ви запускали його принаймні раз на тиждень. Крім того, більшість антивірусних програм будуть захищати вас у повсякденній діяльності, такій, наприклад, як перевірка електронної пошти та веб-серфінг.

Щоразу, коли ви завантажуєте будь-який файл на свій комп'ютер з Інтернету або з e-mail, антивірус перевірить його та переконається, що файл OK (вільний від вірусів або “чистий”).

Антивірусні програми також оновлюватимуть те, що називається “антивірусні визначення”. Ці визначення оновлюються так часто, як з'являються та виявляються нові віруси та шкідливі програми.

Нові віруси з'являються щодня, тому необхідно регулярно оновлювати антивірусну базу на веб-сайті виробника антивірусної програми. Адже, як відомо, будь-яка антивірусна програма вміє розпізнавати та знешкоджувати лише ті віруси, яким її "навчив" виробник. І не секрет, що від моменту, як вірус відправляється розробникам програми, до моменту оновлення антивірусних баз може пройти кілька днів. У цей період можуть бути заражені тисячі комп'ютерів по всьому світу!

Отже, переконайтеся, що Ви встановили один із найкращих антивірусних пакетів, і регулярно оновлюйте його.

ФАЄРВОЛ (БРАНДМАУЕР)

Захист комп'ютера від вірусів залежить від однієї антивірусної програми. Більшість користувачів помиляються, вважаючи, що встановлений на комп'ютері антивірус є панацеєю всіх вірусів. Комп'ютер все ж таки може заразитися вірусом, навіть маючи в наявності потужну антивірусну програму. Якщо ваш комп'ютер має вихід в інтернет, одного антивіруса мало.

Антивірус може видалити вірус, коли той безпосередньо знаходиться на Вашому комп'ютері, але якщо той самий вірус почне впроваджуватися у Ваш комп'ютер з Інтернету, наприклад, із завантаженням веб-сторінки, то антивірусна програма нічого з ним зробити не зможе - доти, доки він не виявить своєї активності на ПК. Тому повноцінний захист комп'ютера від вірусів неможливий без фаєрволу - спеціальної захисної програми, яка сповістить про наявність підозрілої активності, коли вірус або хробака намагаються підключитися до комп'ютера.

Використання фаєрволу в Інтернеті дозволяє обмежувати кількість небажаних підключень ззовні до Вашого комп'ютера, і значно знижує ймовірність його зараження. Крім захисту від вірусів, також значно утруднюється доступ зловмисників (хакерів) до Вашої інформації та спроба завантажити потенційно небезпечну програму на Ваш комп'ютер.

Коли фаєрвол використовується у поєднанні з антивірусною програмою та оновленнями операційної системи, захист комп'ютера підтримується на максимально високому рівні безпеки.

ОБНОВЛЕННЯ ОПЕРАЦІЙНОЇ СИСТЕМИ І ПРОГРАМ

Важливим кроком захисту Вашого комп'ютера та даних є систематичне оновлення операційної системи новітніми патчами безпеки. Рекомендується робити це щонайменше один раз на місяць. Останні оновленнядля ОС та програм дозволять створити умови, за яких захист комп'ютера від вірусів буде на досить високому рівні.

Оновлення – це виправлення знайдених з часом помилок у програмному забезпеченні. Велика кількість вірусів використовують ці помилки (“дірки”) у безпеці системи та програм для свого поширення. Однак, якщо Ви закриєте ці "дірки", то віруси Вам не страшні та захист комп'ютера буде на високому рівні. Додатковий плюс регулярного оновлення – більш надійна робота системи внаслідок виправлення помилок.

ПАРОЛЬ ВХОДУ В СИСТЕМУ

Пароль для входу до Вашої системи, особливо для облікового запису"Адміністратор" допоможе захистити Вашу інформацію від несанкціонованого доступу локально або по мережі, до того ж створить додаткову перешкоду вірусам і шпигунським програмам. Переконайтеся, що Ви використовуєте складний пароль – т.к. безліч вірусів для поширення використовують прості паролі, наприклад 123, 12345, починаючи підбір з порожніх паролів.

БЕЗПЕЧНИЙ WEB-СЕРФІНГ

Захист комп'ютера від вірусів буде ускладнений, якщо, переглядаючи сайти та блукаючи інтернетом, Ви погоджуєтесь з усім і встановлюєте все підряд. Наприклад, під виглядом оновити Adobe Flash Player поширюється один з різновидів вірусу - "Надайте sms на номер". Практикуйте безпечний веб-серфінг. Завжди читайте, що конкретно Вам пропонують зробити, і лише потім погоджуйтесь або відмовляйтеся. Якщо Вам пропонують щось на іноземною мовою- спробуйте це перекласти, інакше сміливо відмовляйтеся.

Багато вірусів містяться у вкладеннях електронної пошти і починають поширюватися відразу після відкриття вкладення. Переконливо не рекомендуємо Вам відкривати вкладення без попередньої домовленості щодо його отримання.

Антивіруси на SIM, флеш-картах та USB пристроях

Мобільні телефони, що випускаються сьогодні, володіють широким спектром інтерфейсів і можливостями передачі даних. Споживачам слід ретельно вивчити методи захисту, перш ніж під'єднувати якісь невеликі пристрої.

Такі методи захисту, як апаратні, можливо, антивіруси на USB-пристроях або на SIM, більше підійдуть споживачам мобільних телефонів. Технічна оцінка та огляд того, як встановити антивірусну програму на мобільний телефон, повинні розглядатися як процес сканування, який може вплинути на інші легальні програми на цьому телефоні.

Антивірусні програми на SIM з антивірусом, вбудованим у зону пам'яті невеликої ємності, забезпечують боротьбу зі шкідливим програмним забезпеченням/вірусами, захищаючи PIM та інформацію користувача телефону. Антивіруси на флеш-картах дають користувачеві можливість обмінюватися інформацією та використовувати ці продукти з різними апаратними пристроями.

Антивіруси, мобільні пристрої та інноваційні рішення

Нікого не здивує, коли віруси, які заражають персональні та портативні комп'ютери, перейдуть і на мобільні пристрої. Все більше розробників цієї галузі пропонують антивірусні програми для боротьби з вірусами та захисту мобільних телефонів. У мобільних пристрояхє такі види боротьби з вірусами:

• § обмеження процесора
• § обмеження пам'яті
• § визначення та оновлення сигнатур цих мобільних пристроїв

Антивірусні компанії та програми

• § AOL® Virus Protection у складі AOL Safety and Security Center
• § ActiveVirusShield від AOL (на базі KAV 6, безкоштовна)
• § AhnLab
• § Aladdin Knowledge Systems
• § ALWIL Software (avast!) з Чехії (безкоштовна та платна версії)
• § ArcaVir з Польщі
• § AVZ з Росії (безкоштовна)
• § Avira з Німеччини (є безкоштовна версія Classic)
• § Authentium з Великобританії
• § BitDefender з Румунії
• § BullGuard з Данії
• § Computer Associates зі США
• § Comodo Group зі США
• § ClamAV - Ліцензія GPL - безкоштовний з відкритим вихідними кодамипрограми
• § ClamWin -- ClamAV для Windows
• § Dr.Web з Росії
• § Eset NOD32 зі Словаччини
• § Fortinet
• § Frisk Software з Ісландії
• § F-Secure з Фінляндії
• § GeCAD з Румунії (Microsoft купив компанію в 2003)
• § GFI Software
• § GriSoft (AVG) з Чехії (безкоштовна та платна версії)
• § Hauri
• § H+BEDV з Німеччини
• § Антивірус Касперського з Росії
• § McAfee зі США
• § MicroWorld Technologies з Індії
• § NuWave Software з України
• § MKS з Польщі
• § Norman з Норвегії
• § Outpost з Росії
• § Panda Software з Іспанії
• § Quick Heal AntiVirus з Індії
• § Rising
• § ROSE SWE
• § Sophos з Великобританії
• § Spyware Doctor
• § Stiller Research
• § Sybari Software (Microsoft купив компанію на початку 2005)
• § Symantec зі США або Великобританія
• § Trojan Hunter
• § Trend Micro з Японії (номінально Тайвань-США)
• § Український Національний Антивірус з України
• § ВірусБлокАда (VBA32) з Білорусі
• § VirusBuster з Угорщини
• § ZoneAlarm AntiVirus (Американський)

• § Перевірка файлу кількома антивірусами
• § Перевірка файлу кількома антивірусами (англ.)
• § Перевірка файлів на віруси до завантаження (англ.)
• § virusinfo.info Портал присвячений інформаційній безпеці (конференція вірусологів), на якому можна запросити допомогу.
• § antivse.com Ще один портал, звідки можна завантажити найпоширеніші антивірусні програми, як платні, так і безкоштовні.
• § www.viruslist.ru вірусна інтернет-енциклопедія, створювана «Лабораторією Касперського»

Антивіруси

Avast! * AVS * Ashampoo Antivirus * AVG * Avira AntiVir * BitDefender * Clam Antivirus * ClamWin * Comodo Antivirus * Dr. Web * F-Prot * F-Secure Antivirus * Антивірус Касперського * McAfee VirusScan * NOD32 * Norton Antivirus * Outpost Antivirus * Panda Antivirus * PC-cillin *Windows Live OneCare

Порівняння антивірусних програм завжди було завданням нелегким. Адже компанії, що створюють подібні продукти, завжди відрізнялися своїм прагненням до удосконалення та постійного оновлення свого програмного забезпечення. Незважаючи на це, одні антивіруси краще справляються зі своїми завданнями, інші гірші.

У кожного з них є свої переваги та недоліки, але не кожна людина здатна об'єктивно оцінити їхню роботу і вибрати саме ту, яка краще підійде для роботи її комп'ютера.

Тому ми вирішили провести аналіз найбільш затребуваних на ринку антивірусних програм Kaspersky, ESET NOD32, McAfee, Symantec з метою дати Вам загальне уявлення про їхню роботу та допомогти зробити правильний вибір для захисту Вашого персонального комп'ютера. Результати аналізу були відображені у вигляді таблиці для максимального сприйняття різниці між програмними засобами, що тестуються.

Підтримка сценарію «заборона за замовчуванням» з можливістю автоматичного виключення зі сценарію необхідних для роботи системи процесів та довірених джерел оновлень
Дозвіл / блокування програм:
Вибір із реєстру програм
Вибір із реєстру виконуваних файлів
Введення метаданих виконуваних файлів
Введення контрольних сум виконуваних файлів (MD5, SHA1)
Введення шляху до виконуваним файлам(локального або UNC)
Вибір встановлених категорій додатків
Дозвіл/блокування програм для окремих користувачів/груп користувачів Active Directory
Моніторинг та обмеження активності програм
Моніторинг та пріоритезація вразливостей
Дозвіл/блокування доступу до веб-ресурсів, оповіщення про небезпеку:
Фільтрування посилань
Фільтрування вмісту за встановленими категоріями
Фільтрування вмісту за типом даних
Інтеграція з Active Directory
Дозвіл/блокування доступу до веб-ресурсів за розкладом
Формування докладних звітів про використання ПК для доступу до веб-ресурсів
Контроль пристроїв на основі політик:
За типом порту/шині
За типом пристрою, що підключається
За групами користувачів у Active Directory
Створення білих списків на основі серійних номерівпристроїв
Гнучке керування правами доступу до пристроїв для читання/запису з можливістю налаштування розкладу
Управління тимчасовими дозволами на доступ
Сценарій «заборона за замовчуванням», що застосовується з урахуванням пріоритетності

Аналізуючи отримані дані, можна з упевненістю заявити, що з усіма завданнями, такими як контроль програм, інтернет-сайтів та пристроїв, впорався лише один антивірус – Касперський. Антивірус McAfeeпоказав непогані результати в номінації "контроль пристроїв", отримавши максимальну оцінку, але, на жаль, для веб-контролю та контролю програм він не є надійним.

Ще одним важливим аналізом антивірусних програм стало їхнє практичне дослідження для визначення якості захисту персональних комп'ютерів. Для проведення даного аналізу було додано ще три антивірусні програми: Dr. Web, AVG, TrustPort, таким чином картина порівняння програм цього сегменту стала ще повнішою. Для тестування було задіяно 3837 заражених файлів з різними екземплярами загроз, і те, як впоралися з ними антивірусні програми, що тестуються, відображено в таблиці нижче.

Касперський
			1 хв 10 сек
			5 хв 32 сек
			6 хв 10 сек
			1 хв 10 сек

І знову першість здобув антивірус Касперського, випередивши своїх конкурентів за таким важливим показником як відсоток визначення погроз – понад 96%. Але, як кажуть, без ложки дьогтю тут не обійшлося. Час, витрачений на пошук заражених файлів і споживані ресурси персонального комп'ютера, виявилися найбільшими серед усіх продуктів, що тестуються.

Найшвидшими тут виявилися Dr. Web та ESET NOD32, що витратили на пошук вірусів трохи більше однієї хвилини, з 77,3% та 50,8% виявлення заражених файлів відповідно. Що важливіше - відсоток визначення вірусів або час, витрачений на пошук - вирішувати Вам. Але не забувайте, що безпека Вашого комп'ютера має бути понад усе.

ESET NOD32 показав найгірший результат виявлення загроз, лише 50,8%, що є неприпустимим результатом для ПК. Найшвидшим виявився TrustPort, а невибагливим до ресурсів - AVG, але, на жаль, низький відсоток визначення погроз цими антивірусними програмами не може дозволити їм конкурувати з лідерами.

Виходячи з результатів проведених тестів, антивірус Касперського можна з упевненістю вважати найкращим варіантом для захисту Вашого комп'ютера, за умови, що на ньому встановлено достатню кількість оперативної пам'яті та хороший процесор. До того ж ціна на продукт Касперського лабораторії не є найвищою, що не може не радувати споживачів.