Доклад - Антивирусни програми 7

Антивирусна програма(antivirus) първоначално е програма за откриване и дезинфекция на злонамерени обекти или заразени файлове, както и за превенция - предотвратяване на файл или операционна система от заразяване със зловреден код.

Много съвременни антивирусни програми също ви позволяват да откривате и премахвате троянски коне и други злонамерени програми. Има и програми - защитни стени, които също помагат за защита на компютърни мрежи или отделни възли от неоторизиран достъп, но тяхната основна задача е да не пропускат (филтрират) пакети, които не отговарят на критериите, определени в конфигурацията, т.е. от неоторизиран достъп отвън или, обратно, за ограничаване на връзката на програми с външни източници поради възможно изтичане на информация.

Първите най-прости антивирусни програми се появиха почти веднага след появата на вирусите. Сега големи компании се занимават с разработването на антивируси. Подобно на създателите на вируси, в тази област също са създадени оригинални техники - но вече за търсене и борба с вируси. Съвременните антивирусни програми могат да открият стотици хиляди вируси, но никой от тях няма да осигури 100% защита.

Антивирусният софтуер се състои от подпрограми, които се опитват да открият, предотвратят и премахнат компютърни вируси и друг зловреден софтуер.

Методи за откриване на вируси

  • Откриване на подозрително поведение на някоя от програмите, подобно на поведението на заразена програма.

Метод за съпоставяне на определението за вируси в речника

Това е метод, при който антивирусна програма сканира файл и получава достъп до антивирусни бази данни, компилирани от производителя на антивирусната програма. Когасъответствие на който и да е раздел от кода на разглежданата програма с известния код (сигнатура) на вируса в базите данни, антивирусната програма може при поискване да извърши едно от следните действия:

  1. Изтрийте заразения файл.
  2. Блокирайте достъпа до заразения файл.
  3. Изпратете файла в карантина (т.е. направете го недостъпен за изпълнение, за да предотвратите по-нататъшното разпространение на вируса).
  4. Опитайте се да "излекувате" файла, като премахнете тялото на вируса от файла.
  5. Ако дезинфекцията/премахването не е възможна, изпълнете тази процедура при следващото рестартиране на операционната система.

За да може такава антивирусна програма да работи успешно дълго време, данните за новите вируси трябва периодично да се качват в базата данни със сигнатури на вируси (обикновено през Интернет). Ако бдителни и технически разбиращи потребители открият вирус по горещо преследване, те могат да изпратят заразените файлове на разработчиците на антивирусен софтуер, които след това добавят информация за нови вируси към своите бази данни.

Много антивирусни програми с база данни със сигнатури се характеризират с проверка на файлове в момента, в който операционната система създава, отваря, затваря или изпраща файлове по пощата. По този начин,

Метод за откриване на странно поведение на програмата

Антивирусите, които използват метода за откриване на подозрително поведение на програми, не се опитват да идентифицират известни вируси, вместо това проследяват поведението на всички програми. Ако програма се опита да запише някои данни в изпълним файл (.EXE файл), антивирусната програма може да маркира този файл, да предупреди потребителя и да попита какво трябва да направи.

Понастоящем такива превантивни методи за откриване на зловреден код под една или друга форма са широко разпространенисе използват като модул на антивирусна програма, а не като отделен продукт.

Други имена: проактивна защита, блокер на поведението, система за предотвратяване на проникване в хост (HIPS).

За разлика от метода за търсене на съвпадение с вирусна дефиниция в антивирусните бази данни, методът за откриване на подозрително поведение осигурява защита срещу нови вируси, които все още не са в антивирусните бази данни. Трябва обаче да се има предвид, че програмите или модулите, изградени по този метод, също издават голям брой предупреждения (в някои режими на работа), което прави потребителя по-малко възприемчив към всички предупреждения. Напоследък този проблем се влоши още повече, тъй като започнаха да се появяват все повече програми без злонамерен софтуер, които модифицират други exe файлове, въпреки съществуващия проблем с погрешни предупреждения. Въпреки наличието на голям брой предупредителни диалогови прозорци, този метод се използва все повече и повече в модерния антивирусен софтуер. И така, през 2006 г. бяха пуснати няколко продукта, които за първи път внедриха този метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe-n-Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenseWall. Много програми за защитна стена отдавна включват модул за откриване на странно поведение на програмата.

Метод за откриване на емулация

Някои антивирусни програми се опитват да симулират началото на изпълнението на кода на всяка нова програма, извикана за изпълнение, преди да прехвърлят управлението към нея. Ако дадена програма използва самопроменящ се код или се държи като вирус (т.е. веднага започва да търси други .EXE файлове), такава програма ще се счита за злонамерена, способна да зарази други файлове. Въпреки това, този метод също е пълен с голям брой погрешнипредупреждения.

Метод на белия списък

Често срещана технология за защита от зловреден софтуер е белият списък. Вместо да търси само известен злонамерен софтуер, тази технология предотвратява изпълнението на целия компютърен код, с изключение на тези, които преди това са определени като безопасни от системния администратор. Като изберете тази опция за отказ по подразбиране, можете да избегнете ограниченията, които са специфични за актуализациите на вирусни сигнатури. Освен това тези приложения на компютъра, които системният администратор не иска да инсталира, не се изпълняват, тъй като не са в "белия списък". Тъй като днешните предприятия имат много надеждни приложения, отговорността за ограничаване на използването на тази технология е на системните администратори и техния съответен бял списък на надеждни приложения. Работата на антивирусните програми с такава технология включва инструменти за автоматизиране на списъка и използване на действията за бели списъци.

Важни бележки

  • Понякога е необходимо да деактивирате антивирусната защита при инсталиране на софтуерни актуализации, като например Windows Service Packs. Антивирусна програма, работеща по време на инсталирането на актуализации, може да доведе до неправилно инсталиране на модификации или напълно да отмени инсталирането на модификации. Преди да надстроите Windows 98, Windows 98 SE или Windows ME до Windows XP, най-добре е да изключите защитата от вируси, в противен случай процесът на надстройка може да се провали.
  • Някои антивирусни програми всъщност са шпионски софтуер, който се маскира като тях. Най-добре е да проверите дали антивирусната програма, която изтегляте, наистина е такава. Още по-добре е да използвате софтуер от известни производители и да го изтеглитедистрибуции само от сайта на разработчика.
  • Обучението на потребителите може да бъде ефективно допълнение към антивирусния софтуер. Простото обучение на потребителите как да използват компютъра си безопасно (например да не изтеглят или стартират непознати програми от интернет) би намалило шанса за разпространение на вируси и би премахнало необходимостта от използване на много антивирусни програми.
  • Потребителите на компютри не трябва да работят с администраторски права през цялото време. Ако използваха стандартен потребителски режим на достъп, тогава някои видове вируси нямаше да могат да се разпространяват (или поне щетите от действието на вирусите биха били по-малки). Това е една от причините вирусите да са сравнително редки в Unix-подобни системи.
  • Методът за откриване на вируси чрез търсене на съвпадение в речника не винаги е достатъчен поради продължаващото създаване на все повече и повече нови вируси, методът за подозрително поведение не работи достатъчно добре поради големия брой погрешни решения за принадлежност към вируси на незаразени програми.
  • Различни методи за криптиране и опаковане на злонамерен софтуер правят дори известните вируси неоткриваеми от антивирусния софтуер. Откриването на тези "маскирани" вируси изисква мощна машина за декомпресия, която може да дешифрира файлове, преди да бъдат сканирани. Много антивирусни програми обаче нямат тази функция и следователно често е невъзможно да се открият криптирани вируси.
  • Някои антивирусни програми могат значително да забавят производителността. Потребителите могат да деактивират антивирусната защита, за да предотвратят забавяне, което от своя страна увеличава риска от вирусна инфекция. За максимална сигурностантивирусният софтуер винаги трябва да бъде свързан, въпреки загубата на производителност. Някои антивирусни програми (като AVG за Windows) не влияят много на производителността.
  • Някои от по-добрите продукти за откриване използват множество машини за намиране и премахване на вируси и шпионски софтуер. Например софтуерът NuWave използва пет ядра едновременно (три за сканиране на вируси и две за сканиране на шпионски софтуер).

Класификация на антивирусите

Юджийн Касперски през 1992 г. използва следната класификация на антивирусите в зависимост от техния принцип на работа (дефинираща функционалност) [1] :

  • Скенери(остаряла версия - "полифаги") - определят наличието на вирус чрез базата данни със сигнатури, която съхранява сигнатурите (или техните контролни суми) на вирусите. Тяхната ефективност се определя от релевантността на вирусната база данни и наличието на евристичен анализатор (виж: Евристично сканиране).
  • Одитори(клас, близък до IDS) - запомня състоянието на файловата система, което прави възможно анализирането на промените в бъдеще.
  • Пазачи (монитори)— следят потенциално опасни операции, като издават съответната заявка на потребителя за разрешаване/забрана на операцията.
  • Ваксини— променете присадения файл по такъв начин, че вирусът, срещу който се прави ваксината, вече счита файла за заразен. В съвременни (2007 г.) условия, когато броят на възможните вируси се измерва в стотици хиляди, този подход е неприложим.

Съвременните антивируси комбинират всички горепосочени функции.

Антивирусите също могат да бъдат разделени на:

  • Продукти за домашни потребители:

  • Комбинирани продукти (напр.към класическата антивирусна програма са добавени анти-спам, защитна стена, анти-руткит и др.);
  • Антивируси на работни станции („крайна точка“).

Фалшиви антивируси (фалшиви антивируси)

През 2009 г. различни доставчици на антивирусни програми [2] започнаха да съобщават за широкото използване на нов тип антивирусна програма, rogueware или rogueware. Всъщност тези програми или изобщо не са антивирусни (т.е. не са в състояние да се борят със зловреден софтуер), или дори вируси (те крадат данни от кредитни карти и т.н.).

Измамните антивируси се използват за изнудване на пари от потребителите чрез измама. Един от начините за заразяване на компютър с фалшива антивирусна програма е следният. Потребителят се отвежда до "заразен" сайт, който му дава предупредително съобщение като: "В компютъра ви е открит вирус." След това потребителят получава подкана да изтегли безплатна програма (фалшива антивирусна програма), за да премахне вируса. След инсталирането фалшивата антивирусна програма сканира компютъра и уж открива много вируси на компютъра. За да премахне зловреден софтуер, фалшива антивирусна програма предлага да закупи платена версия на програмата. Шокираният потребител плаща (сума от $50 до $80) и фалшива антивирусна програма почиства компютъра от несъществуващи вируси.

Антивируси на SIM, флаш карти и USB устройства

Антивируси, мобилни устройства и иновативни решения

  • ограничения на процесора
  • ограничение на паметта
  • идентифициране и актуализиране на подписите на тези мобилни устройства