Virustorjuntaohjelmien luettelo parhaista. Millaisia ​​virustorjuntaohjelmia on olemassa? Nykyaikaiset virustorjuntapaketit

Virustorjunta(tai virustorjuntaohjelma) on tietyntyyppinen ohjelma, joka on luotu havaitsemaan, tunnistamaan ja myöhemmin poistamaan haitalliset koodit, ohjelmat, tartunnan saaneet tiedostot, roskapostit ja muut ongelmat. Lisäksi virustorjunta pystyy estämään ei-toivottujen koodien tunkeutumisen tietokoneen tai mobiililaitteen käyttöjärjestelmään sekä käsittelemään jo tartunnan saaneita tiedostoja estäen niiden poistamisen.

Virustorjuntaohjelmisto: Kohdeympäristöt

Nykyaikainen virustorjuntaohjelmisto on kehitetty ensisijaisesti Windows- ja Microsoft-käyttöjärjestelmille sen eri sukupolvissa. Syynä tähän on valtava määrä virusohjelmat ja koodit, jotka on luotu erityisesti tätä alustaa varten.

Saatavilla on monia viruskehitystyökaluja, joista monet ovat ilmaisia. Näitä ovat virusgeneraattorit ja erikoisohjelmat, jotka luovat viruksia, matoja ja kaikenlaista haitallista ilkeyttä. On syytä huomata, että useimmat virustorjuntaohjelmat selviävät täydellisesti ilmaisten virusohjelmien mahdollisuuksista.

Sen jälkeen kun haitallisia koodeja alettiin kehittää sellaisille alustoille, kuten Linux ja Mac OS X, jotka ovat aina olleet kuuluisia luotettavuudestaan, näihin järjestelmiin ilmestyi virustorjuntatuotteita.

Mobiili digitaalisten laitteiden leviämisen myötä tuli tarpeelliseksi luoda niille virustorjuntaohjelmia, koska myös mobiilikäyttöjärjestelmät ovat vaarassa haitallisilta koodeilta. Käyttöjärjestelmien ohella henkilökohtaiset tietokoneet ja kannettavat tietokoneet, nykyaikaiset virustorjuntaohjelmat tukevat alustoja, kuten Apple iOS, Windows Mobile, Symbian, Android, BlackBerry, Windows Puhelin 7 ja muut.

Virustorjuntatuotteiden systematisointi

Virustorjuntatuotteiden systematisointiin tarvitaan integroitu lähestymistapa. Virustorjuntatuotteet luokitellaan kolmen peruskriteerin mukaan: kohdealustat, toiminnallisuus ja käytettyjen virustentorjuntatyökalujen tyypit.

Luokittelu kohdealustojen mukaan:

  • Viruksentorjuntatuotteet Windows- ja Microsoft-käyttöjärjestelmille;
  • Viruksentorjuntatuotteet *NIX-perheen käyttöjärjestelmille, kuten BSD OS, Linux, Mac OS X ja muut;
  • Virustorjuntatuotteet mobiililaitteiden käyttöjärjestelmille (Apple iOS, Windows Mobile, Symbian, Android, BlackBerry, Windows Phone 7 ja muut);

Luokittelu toiminnallisuuden mukaan:

  • Virustorjuntatuotteet (tarjoavat yksinomaan virustorjuntaa);
  • Yhdistetyt tuotteet (suojauksen lisäksi ne tarjoavat roskapostin suodatuksen, varmuuskopioida ja tietojen salaus jne.);

Luokittelu käytetyn virussuojauksen tyypin mukaan:

  • Klassiset virustorjuntatuotteet (käytetään yksinomaan allekirjoituksen tunnistusmenetelmää, jossa ohjelma vertaa olemassa olevia tiedostojen ja pakettien koodeja luetteloon haitallisista koodeista, jotka ohjelman luojat ovat sisällyttäneet sanakirjatietokantaan);
  • Ennakoivan virussuojauksen tuotteet (käytetään yksinomaan ennakoivia suojausjärjestelmiä - tekniikoita, jotka estävät järjestelmän tartunnan);
  • Yhdistetyt tuotteet (allekirjoitus ja ennakoivat suojatyypit yhdistetään).

Miten virustorjuntaohjelma toimii?

Koska yleisin käyttöjärjestelmä käyttäjien keskuudessa on Windows, Microsoft, katsotaanpa esimerkiksi virustentorjunnan vaikutusta tällä alustalla. Tyypillinen virustorjuntaohjelman toimintakaavio on seuraava:

  • Virustutkiminen virusten allekirjoituksia varten;
  • Jos tietokoneen muistista (pysyvä tai toimiva) havaitaan ei-toivottua toimintaa, virustorjunta estää sen ja asettaa sen karanteeniin;
  • Viimeinen vaihe on poisto. Yleensä voit luottaa tietokoneen puhdistamiseen virukselta, jos sinulla on rekisteröity virustorjuntatuote. Muussa tapauksessa virustorjunta vaatii rekisteröinnin, mikä jättää järjestelmän edelleen haavoittuvaiseksi.

Virustentorjuntatietokannat

Virustorjuntaohjelmien työ perustuu suurelta osin niiden omiin virustorjuntatietokantoihin. Tässä sitä säilytetään tarvittavat tiedot olemassa olevasta Tämä hetki viruksia. Koska haittaohjelmien ja koodien määrä kasvaa joka kerta ja niiden työn tyyppi vaihtelee, virustentorjuntaohjelmien on jatkuvasti seurattava tietyn viruksen esiintymistä. Viruksen koodi ja sen käyttäytyminen määritetään, minkä jälkeen on mahdollista valita tapa torjua sitä.

Useimmiten virustoiminta tapahtuu käyttöjärjestelmän käynnistyessä. Tässä tapauksessa riittää, että poistat sen käynnistysmerkkijonot rekisteristä. On kuitenkin monimutkaisempia viruksia, jotka voivat saastuttaa tiedostoja. Niiden joukossa voi olla tärkeitä järjestelmätiedostot ja jopa virustorjuntaohjelman tiedostot, jotka haitallisen koodin saastuttuaan alkavat toimia ehtojensa mukaisesti. Onneksi myös virustentorjuntatuotteet parantavat suojausmenetelmiään edistyneemmillä ohjelmointikielillä. Uhka kuitenkin virushyökkäykset on edelleen tärkeä, varsinkin kun otetaan huomioon, että kopiosuojattujen virusten määrän ennustetaan kasvavan.

Suosituimmat virustorjuntamerkit

Jotkut suosituimmista virustorjuntabrändeistä ovat seuraavat:

  • ESET NOD. Tämä monimoduulinen ulkomainen virustorjuntaohjelma on kuuluisa nopeasta ja laadukkaasta virusten havaitsemisesta ja poistamisesta.
  • Kaspersky Lab. Tämä kotimainen virustorjunta on saavuttanut laajan suosion Internetin virusuhkien torjunnan laadusta ja toimintojen vaihtelevuudesta johtuen;
  • DR. Web. Tämä kotimainen yritys on kuuluisa pääasiassa tehokkaasta apuohjelmastaan ​​nimeltä Dr. Web CureIt, sekä helppokäyttöisyys ja vaatimattomuus järjestelmävaatimuksissa;
  • Avast. Tämä eurooppalainen yritys tarjoaa luotettavia ja mikä tärkeintä, ilmaisia ​​virustorjuntatuotteita, joita jaetaan menestyksekkäästi useimmilla maailman alueilla.

Pörssiyhtiöiden lisäksi Norton, Panda, Zone Alarm ja muut valmistavat korkealaatuisia ja suosittuja virustorjuntatuotteita, mutta käsittelemme niitä alla yksityiskohtaisesti.

Osa: Virustentorjunta › Artikkeliluettelo

Kuvaus virustorjuntatuotteen NOD32 (NOD32) eduista ja haitoista suhteessa kilpaileviin tuotteisiin

Virustorjunta on yleisin tapa varmistaa IT-infrastruktuurin tietoturva yrityssektorilla. Kuitenkin vain 74 % venäläisistä yrityksistä käyttää suojaukseen virustentorjuntaratkaisuja Kaspersky Labin yhdessä analyyttisen B2B Internationalin kanssa tekemän tutkimuksen mukaan (syksy 2013).

Raportissa todetaan myös, että kyberuhkien räjähdysmäisen kasvun keskellä, jolta yrityksiä suojellaan yksinkertaisilla virustorjuntaohjelmilla, Venäjän bisnes alkaa käyttää yhä enemmän monimutkaisia ​​suojaustyökaluja. Suurelta osin tästä syystä tietojen salaustyökalujen käyttö siirrettävillä tietovälineillä lisääntyi 7 % (24 %). Lisäksi yritykset ovat halukkaampia eriyttämään tietoturvapolitiikkaa poistettavat laitteet. Myös IT-infrastruktuurin eri osien pääsytasojen eriytyminen on lisääntynyt (49 %). Samaan aikaan pienet ja keskisuuret yritykset kiinnittävät enemmän huomiota irrotettavien laitteiden ohjaukseen (35 %) ja sovellusten hallintaan (31 %).

Tutkijat havaitsivat myös, että uusien ohjelmistohaavoittuvuuksien jatkuvasta löytämisestä huolimatta venäläiset yritykset eivät vieläkään kiinnitä tarpeeksi huomiota säännöllisiin ohjelmistopäivityksiin. Lisäksi korjaukseen osallistuneiden organisaatioiden määrä laski viime vuodesta vain 59 prosenttiin.

Nykyaikaiset virustorjuntaohjelmat voivat havaita tehokkaasti haitalliset kohteet ohjelmatiedostoista ja asiakirjoista. Joissakin tapauksissa virustorjunta voi poistaa haitallisen objektin rungon tartunnan saaneesta tiedostosta ja palauttaa tiedoston itse. Useimmissa tapauksissa virustentorjunta pystyy poistamaan haittaohjelmaobjektin paitsi ohjelmatiedostosta myös Office-asiakirjatiedostosta vahingoittamatta sen eheyttä. Virustorjuntaohjelmien käyttö ei vaadi korkeaa pätevyyttä, ja se on lähes jokaisen tietokoneen käyttäjän saatavilla.

Useimmat virustentorjuntaohjelmat yhdistävät toimintoja pysyvä suoja(virustorjuntamonitori) ja käyttäjän vaatimat suojaustoiminnot (virustarkistus).

Virustorjuntaluokitus

2019: Kaksi kolmasosaa Androidin virustorjuntaohjelmista osoittautui hyödyttömiksi

Maaliskuussa 2019 itävaltalainen virustorjuntaohjelmistojen testaamiseen erikoistunut laboratorio AV-Comparatives julkaisi tulokset tutkimuksesta, joka osoitti useimpien tällaisten ohjelmien hyödyttömyyden Androidille.

Vain 23 virallisessa Google Play Kaupan luettelossa olevaa virustorjuntaa tunnistaa haittaohjelmat tarkasti 100 % tapauksista. Muut ohjelmistot eivät joko vastaa mobiiliuhkiin tai erehtyvät niille täysin turvallisiin sovelluksiin.

Asiantuntijat tutkivat 250 virustorjuntaa ja raportoivat, että vain 80 % niistä pystyy havaitsemaan yli 30 % haittaohjelmista. Näin ollen 170 hakemusta epäonnistui testissä. Testit läpäisseet tuotteet sisälsivät pääasiassa ratkaisuja suuret valmistajat, mukaan lukien Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro ja Trustwave.

Osana kokeilua tutkijat asensivat jokaisen virustorjuntasovelluksen erilliseen laitteeseen (ilman emulaattoria) ja automatisoivat laitteet käynnistämään selaimen, lataamaan ja asentamaan haittaohjelmia. Jokainen laite testattiin kahta tuhatta yleisintä Android-virusta vastaan ​​vuonna 2018.

AV-Comparativesin laskelmien mukaan suurin osa virustorjuntaratkaisut Androidille ovat väärennettyjä. Kymmenien sovellusten käyttöliittymä on lähes identtinen, ja niiden tekijöitä kiinnostaa selvästi enemmän mainosten näyttäminen kuin toimivan virustorjuntaohjelman kirjoittaminen.

Jotkut virustorjuntaohjelmat "näkevät" uhan kaikissa sovelluksissa, jotka eivät sisälly niiden " Valkoinen lista" Tämän vuoksi useissa erittäin anekdoottisissa tapauksissa he herättivät hälytyksen omasta omia tiedostoja, koska kehittäjät unohtivat mainita ne "valkoisella listalla".

2017: Microsoft Security Essentials on tunnustettu yhdeksi huonoimmista virustorjuntaohjelmista

Lokakuussa 2017 saksalainen virustorjuntalaboratorio AV-Test julkaisi tulokset kattava testaus virustorjunta. Tutkimuksen mukaan Microsoftin oma ohjelmisto, joka on suunniteltu suojaamaan haitallisilta toimilta, on lähes huonoin tehtävänsä.

Heinä-elokuussa 2017 tehtyjen testien tulosten perusteella AV-Testin asiantuntijat nimesivät paras virustorjunta Windows 7:lle Kaspersky Internet Security -ratkaisu, joka sai 18 pistettä arvioitaessa suojaustasoa, suorituskykyä ja helppokäyttöisyyttä.

Kolmen parhaan joukkoon kuuluivat Trend Micro Internet Security ja Bitdefender Internet Security, jotka ansaitsivat kumpikin 17,5 pistettä. Voit saada tietoa muiden tutkimukseen sisältyneiden virustorjuntayritysten tuotteiden tilasta alla olevista kuvista:

Monet skannerit käyttävät myös heuristisia skannausalgoritmeja, ts. analysoidaan tarkistettavan kohteen komentojen järjestystä, kerätään tilastotietoja ja tehdään päätös jokaisesta tarkistettavasta objektista.

Skannerit voidaan myös jakaa kahteen luokkaan - yleiskäyttöön ja erikoistuneeseen. Yleisskannerit suunniteltu tunnistamaan ja neutraloimaan kaikentyyppiset virukset riippumatta käyttöjärjestelmästä, jossa skanneri on suunniteltu toimimaan. Erikoisskannerit on suunniteltu neutraloimaan rajoitettu määrä virukset tai vain yksi luokka niistä, esimerkiksi makrovirukset.

Skannerit on myös jaettu paikallisiin (monitoreihin), jotka skannaavat lennossa, ja ulkopuolisiin, jotka skannaavat järjestelmän vain pyynnöstä. Residenssiskannerit tarjoavat pääsääntöisesti luotettavamman järjestelmän suojauksen, koska ne reagoivat välittömästi viruksen ilmestymiseen, kun taas ulkopuolinen skanneri pystyy tunnistamaan viruksen vain seuraavan käynnistyksen yhteydessä.

CRC-skannerit

CRC-skannerien toimintaperiaate perustuu CRC-summien laskemiseen ( tarkistussummat) levyllä oleville tiedostoille/järjestelmäsektoreille. Nämä CRC-summat tallennetaan sitten virustorjuntatietokantaan, samoin kuin joitain muita tietoja: tiedostojen pituudet, viimeisimmän muokkauksen päivämäärät jne. Myöhemmin käynnistettäessä CRC-skannerit vertaavat tietokannan sisältämiä tietoja todellisiin laskettuihin arvoihin. Jos tietokantaan tallennetut tiedostotiedot eivät vastaa todellisia arvoja, CRC-skannerit ilmoittavat, että tiedostoa on muokattu tai se on saanut viruksen.

CRC-skannerit eivät pysty saamaan virusta kiinni sillä hetkellä, kun se ilmestyy järjestelmään, mutta tekevät tämän vasta jonkin ajan kuluttua, kun virus on levinnyt koko tietokoneeseen. CRC-skannerit eivät pysty havaitsemaan virusta uusista tiedostoista (sähköpostista, levykkeiltä, ​​varmuuskopiosta palautetuista tiedostoista tai purettaessa tiedostoja arkistosta), koska niiden tietokannat eivät sisällä tietoja näistä tiedostoista. Lisäksi ajoittain ilmaantuu viruksia, jotka hyödyntävät tätä CRC-skannerien heikkoutta ja tartuttavat vain uudelleen luodut tiedostot ja pysyä siten näkymättöminä heille.

Salpaajat

Virustentorjuntaohjelmat ovat paikallisia ohjelmia, jotka sieppaavat viruksille vaaralliset tilanteet ja ilmoittavat niistä käyttäjälle. Viruksille vaarallisia ovat kutsut avautua kirjoitusta varten suoritettaviin tiedostoihin, kirjoittaminen levyjen käynnistyssektoreihin tai kiintolevyn MBR:ään, ohjelmien yritykset pysyä paikoillaan jne. eli kutsut, jotka ovat tyypillisiä viruksille lisääntymisen aikana.

Salpaajien etuja ovat niiden kyky havaita ja pysäyttää virus sen lisääntymisen varhaisessa vaiheessa. Haittoja ovat se, että on olemassa tapoja ohittaa estosuojaus ja suuri määrä väärät positiiviset.

Rokotteet

Rokotteet jaetaan kahteen tyyppiin: rokotteet, jotka ilmoittavat infektiosta, ja immunisaattorit, jotka estävät infektion. Ensimmäiset kirjoitetaan yleensä tiedostojen loppuun (tiedostoviruksen periaatteella) ja aina kun tiedosto käynnistetään, ne tarkistavat, onko siinä muutoksia. Tällaisilla rokotteilla on vain yksi haittapuoli, mutta se on tappava: ehdoton kyvyttömyys ilmoittaa varkain viruksen aiheuttamasta tartunnasta. Siksi tällaisia ​​immunisoijia, kuten salpaajia, ei käytännössä käytetä tällä hetkellä.

Toinen immunisaatiotyyppi suojaa järjestelmää tietyntyyppiseltä virustartunnalta. Levyillä olevia tiedostoja muokataan siten, että virus havaitsee ne jo tartunnan saaneiksi. Suojatakseen paikalliselta virukselta tietokoneen muistiin syötetään ohjelma, joka simuloi viruksen kopiota. Kun virus käynnistetään, se kohtaa sen ja uskoo, että järjestelmä on jo saanut tartunnan.

Tämän tyyppinen immunisointi ei voi olla universaali, koska on mahdotonta immunisoida tiedostoja kaikkia tunnettuja viruksia vastaan.

Antivirusten luokittelu ajan vaihtelun perusteella

Valeri Konyavskyn mukaan virustentorjuntatyökalut voidaan jakaa kahteen suureen ryhmään - niihin, jotka analysoivat tietoja ja niihin, jotka analysoivat prosesseja.

Tietojen analysointi

Tietojen analysointi sisältää auditoijat ja polyfaagit. Tilintarkastajat analysoivat toiminnan seurauksia tietokonevirukset ja muut haittaohjelmat. Seuraukset ilmenevät tietojen muuttamisessa, jota ei pitäisi muuttaa. Juuri se, että tiedot ovat muuttuneet, on merkki haittaohjelmatoiminnasta tarkastajan näkökulmasta. Toisin sanoen tarkastajat valvovat tietojen eheyttä ja tekevät eheysloukkauksen perusteella päätöksen haittaohjelmien esiintymisestä tietokoneympäristössä.

Polyfagit toimivat eri tavalla. Data-analyysin perusteella ne tunnistavat fragmentteja vahingoittava koodi(esimerkiksi sen allekirjoituksella) ja tämän perusteella he tekevät johtopäätöksen haittaohjelmien olemassaolosta. Virusten saastuttamien tietojen poistaminen tai käsittely mahdollistaa haittaohjelmien suorittamisen kielteisten seurausten estämisen. Näin staattisen analyysin perusteella estetään dynamiikassa syntyviä seurauksia.

Sekä auditoijien että polyfaagien työskentelykaavio on lähes sama - vertaa tietoja (tai niiden tarkistussummaa) yhteen tai useampaan vertailunäytteeseen. Dataa verrataan dataan. Siten viruksen löytämiseksi tietokoneeltasi sen on oltava jo toiminut, jotta sen toiminnan seuraukset näkyvät. Tällä menetelmällä voidaan löytää vain tunnetut virukset, joiden koodifragmentit tai allekirjoitukset on kuvattu etukäteen. Tällaista suojaa tuskin voidaan kutsua luotettavaksi.

Prosessianalyysi

Prosessianalyysiin perustuvat virustorjuntatyökalut toimivat hieman eri tavalla. Heuristiset analysaattorit, kuten yllä kuvatut, analysoivat tietoja (levyllä, kanavassa, muistissa jne.). Perusteellista eroa koostuu siitä, että analyysi suoritetaan olettaen, että analysoitava koodi ei ole dataa, vaan komentoja (koneissa, joissa on von Neumann -arkkitehtuuri, data ja komennot eivät ole erotettavissa toisistaan, joten analyysin aikana on tehtävä yksi tai toinen oletus .)

Heuristinen analysaattori tunnistaa toimintosarjan, antaa kullekin niistä tietyn vaaraluokituksen ja tekee vaaran kokonaisuuden perusteella päätöksen, onko tämä toimintosarja osa haitallista koodia. Itse koodia ei suoriteta.

Toinen prosessianalyysiin perustuvien virustentorjuntatyökalujen tyyppi ovat käyttäytymisen estäjät. Tässä tapauksessa epäilyttävää koodia suoritetaan vaiheittain, kunnes koodin käynnistämä toimintosarja on arvioitu vaaralliseksi (tai turvalliseksi) käytökseksi. Tässä tapauksessa koodi suoritetaan osittain, koska haitallisen koodin valmistuminen voidaan havaita yksinkertaisemmilla data-analyysimenetelmillä.

Virusten havaitsemistekniikat

Virustentorjuntatekniikat voidaan jakaa kahteen ryhmään:

  • Allekirjoitusanalyysitekniikat
  • Todennäköisyysanalyysin tekniikat

Allekirjoitusanalyysitekniikat

Allekirjoitusanalyysi on menetelmä virusten havaitsemiseen, joka sisältää virustunnisteiden tarkistamisen tiedostoista. Allekirjoitusanalyysi on tunnetuin menetelmä virusten havaitsemiseen, ja sitä käytetään lähes kaikissa nykyaikaisissa virustorjuntaohjelmissa. Tarkistuksen suorittamiseksi virustorjunta vaatii joukon virustunnisteita, jotka on tallennettu virustentorjuntatietokantaan.

Koska allekirjoitusanalyysiin kuuluu tiedostojen tarkistaminen virustunnisteiden varalta, virustentorjuntatietokanta on päivitettävä säännöllisesti, jotta virustorjunta pysyy ajan tasalla. Allekirjoitusanalyysin toimintaperiaate määrittää myös sen toimivuuden rajat - kyky havaita vain jo tunnetut virukset - allekirjoitustarkistus on voimaton uusia viruksia vastaan.

Toisaalta virusten allekirjoitusten esiintyminen viittaa hoidon mahdollisuuteen saastuneet tiedostot, havaittu allekirjoitusanalyysin avulla. Hoito ei kuitenkaan ole mahdollista kaikille viruksille - troijalaisia ​​ja useimpia matoja ei voida hoitaa niiden suunnitteluominaisuuksien vuoksi, koska ne ovat kiinteitä moduuleja, jotka on luotu aiheuttamaan vahinkoa.

Virustunnisteen asianmukaisen toteutuksen avulla voit havaita tunnetut virukset sataprosenttisella todennäköisyydellä.

Todennäköisyysanalyysin tekniikat

Todennäköisyysanalyysitekniikat puolestaan ​​​​jaetaan kolmeen luokkaan:

  • Heuristinen analyysi
  • Käyttäytymisanalyysi
  • Tarkistussumma-analyysi

Heuristinen analyysi

Heuristinen analyysi on todennäköisyysalgoritmeihin perustuva tekniikka, jonka tuloksena on epäilyttävien kohteiden tunnistaminen. Heuristisen analyysin yhteydessä tarkistetaan tiedostorakenne ja sen yhteensopivuus virusmalleja. Suosituin heuristinen tekniikka on tarkistaa tiedoston sisällöstä jo tunnettujen virustunnisteiden ja niiden yhdistelmien muutoksia. Tämä auttaa tunnistamaan hybridit ja uudet versiot aiemmin tunnetuista viruksista ilman lisäpäivitys virustorjuntatietokanta.

Heuristista analyysiä käytetään tuntemattomien virusten havaitsemiseen, eikä siihen siksi liity hoitoa. Tämä tekniikka ei pysty 100-prosenttisesti määrittämään, onko virus sen edessä vai ei, ja kuten mikä tahansa todennäköisyysalgoritmi, se kärsii vääristä positiivisista tuloksista.

Käyttäytymisanalyysi

Käyttäytymisanalyysi on tekniikka, jossa päätös testattavan kohteen luonteesta tehdään sen suorittamien toimintojen analyysin perusteella. Käyttäytymisanalyysi on käytännössä hyvin suppeasti sovellettavissa, koska suurin osa viruksille ominaisista toiminnoista voidaan suorittaa tavallisilla sovelluksilla. Tunnetuimmat ovat skriptien ja makrojen käyttäytymisanalysaattorit, koska vastaavat virukset suorittavat melkein aina useita samanlaisia ​​​​toimintoja.

BIOSiin sisäänrakennetut turvatoimenpiteet voidaan myös luokitella käyttäytymisanalysaattoreiksi. Kun yrität tehdä muutoksia tietokoneen MBR:ään, analysaattori estää toiminnon ja näyttää vastaavan ilmoituksen käyttäjälle.

Lisäksi käyttäytymisanalysaattorit voivat valvoa yrityksiä päästä suoraan tiedostoihin ja tehdä niihin muutoksia käynnistyksen syöttö levykkeet, kovaa muotoilua levyt jne.

Käyttäytymisanalysaattorit eivät käytä virustietokantojen kaltaisia ​​lisäobjekteja toimiessaan, minkä vuoksi ne eivät pysty erottamaan tunnettuja ja tuntemattomia viruksia - kaikki epäilyttäviä ohjelmia katsotaan a priori tuntemattomiksi viruksiksi. Vastaavasti käyttäytymisanalyysiteknologioita toteuttavien työkalujen toimintaominaisuudet eivät tarkoita hoitoa.

Tarkistussumma-analyysi

Tarkistussumma-analyysi on tapa seurata muutoksia tietokonejärjestelmäobjekteissa. Muutosten luonteen - samanaikaisuus, massaesiintyvyys, identtiset muutokset tiedostopituuksissa - analyysin perusteella voimme päätellä, että järjestelmä on saastunut. Tarkistussumma-analysaattoreita (kutsutaan myös muutosauditoreiksi), kuten käyttäytymisanalysaattoreita, ei käytetä työssä lisäobjekteja ja antaa tuomion viruksen esiintymisestä järjestelmässä yksinomaan asiantuntija-arvion perusteella. Samanlaisia ​​tekniikoita käytetään käytönaikaisissa skannereissa - ensimmäisen tarkistuksen aikana tiedostosta poistetaan tarkistussumma ja se asetetaan välimuistiin ennen saman tiedoston seuraavaa tarkistusta, tarkistussumma poistetaan uudelleen, verrataan, ja jos niitä ei ole muutoksia, tiedostoa pidetään saastumattomana.

Virustorjuntakompleksit

Virustorjuntakompleksi - sarja virustentorjuntaohjelmia, jotka käyttävät samaa virustentorjuntaydintä tai -ytimiä ja jotka on suunniteltu ratkaisemaan käytännön ongelmia tietokonejärjestelmien virustorjuntaturvallisuuden varmistamisessa. Virustorjuntakompleksi sisältää myös pakollinen sisältää työkalut virustorjuntatietokantojen päivittämiseen.

Lisäksi virustorjuntakompleksi voi sisältää lisäksi käyttäytymisanalysaattoreita ja muutostarkastuksia, jotka eivät käytä virustorjuntaydintä.

Kohokohta seuraavat tyypit virustorjuntakompleksit:

  • Virustorjuntakompleksi työasemien suojaamiseen
  • Virustorjuntakompleksi tiedostopalvelimien suojaamiseen
  • Virustorjuntakompleksi sähköpostijärjestelmien suojaamiseen
  • Virustorjuntakompleksi yhdyskäytävien suojaamiseen.

Pilvi ja perinteinen työpöydän virustorjunta: mitä valita?

(Perustuu Webroot.comin materiaaliin)

Nykyaikaiset virustorjuntamarkkinat koostuvat pääasiassa perinteisistä ratkaisuista työpöytäjärjestelmät, jonka suojausmekanismit on rakennettu allekirjoitusmenetelmien perusteella. Vaihtoehtoinen tapa virustorjunta - heuristisen analyysin käyttö.

Ongelmia perinteisessä virustorjuntaohjelmistossa

SISÄÄN Viime aikoina Perinteiset virustorjuntatekniikat ovat yhä vähemmän tehokkaita ja vanhenevat nopeasti, mikä johtuu useista tekijöistä. Allekirjoitusten tunnistamien virusuhkien määrä on jo niin suuri, että käyttäjien tietokoneiden allekirjoitustietokantojen oikea-aikaisen 100 % päivityksen varmistaminen on usein epärealistista. Hakkerit ja kyberrikolliset käyttävät yhä enemmän bottiverkkoja ja muita tekniikoita, jotka nopeuttavat nollapäivän virusuhkien leviämistä. Lisäksi kohdistettujen hyökkäysten yhteydessä vastaavien virusten allekirjoituksia ei luoda. Lopuksi käytetään uusia tekniikoita virustentorjunnan estämiseksi: haittaohjelmien salaus, polymorfisten virusten luominen palvelinpuolelle, virushyökkäyksen laadun alustava testaus.

Perinteinen virustorjunta on useimmiten rakennettu "paksu asiakas" -arkkitehtuuriin. Tämä tarkoittaa, että asiakkaan tietokoneelle on asennettu suuri määrä ohjelmistokoodia. Sen avulla saapuvat tiedot tarkistetaan ja virusuhkien esiintyminen havaitaan.

Tällä lähestymistavalla on useita haittoja. Ensinnäkin haittaohjelmien etsiminen ja allekirjoitusten vertailu vaatii huomattavan laskentakuormituksen, joka vie käyttäjältä. Tämän seurauksena tietokoneen tuottavuus heikkenee ja virustentorjunta joskus häiritsee rinnakkaisia ​​sovellustehtäviä. Joskus käyttäjän järjestelmän kuormitus on niin huomattava, että käyttäjät poistavat virustorjuntaohjelmat käytöstä, mikä poistaa esteen mahdolliselta virushyökkäykseltä.

Toiseksi jokainen päivitys käyttäjän koneella edellyttää tuhansien uusien allekirjoitusten lähettämistä. Siirrettävän tiedon määrä on yleensä noin 5 Mt päivässä konetta kohden. Tiedonsiirto hidastaa verkkoa ja häiritsee enemmän järjestelmäresurssit, vaatii osallistumista järjestelmänvalvojat ohjaamaan liikennettä.

Kolmanneksi verkkovierailut tai etäällä kiinteästä työpaikasta sijaitsevat käyttäjät ovat puolustuskyvyttömiä nollapäivähyökkäyksiä vastaan. Saadakseen päivitetyn osan allekirjoituksista heidän on muodostettava yhteys VPN-verkkoon, johon he eivät pääse etäyhteyden kautta.

Virustorjunta pilvestä

Kun vaihdat virustorjuntaan pilvestä, ratkaisun arkkitehtuuri muuttuu merkittävästi. Käyttäjän tietokoneelle asennetaan "kevyt" asiakas, jonka päätehtävänä on etsiä uusia tiedostoja, laskea hash-arvoja ja lähettää tietoja pilvipalvelimelle. Pilvessä suoritetaan täysimittainen vertailu, joka suoritetaan suurelle kerättyjen allekirjoitusten tietokannalle. Tätä tietokantaa päivitetään jatkuvasti ja oikea-aikaisesti virustorjuntayritysten lähettämien tietojen perusteella. Asiakas saa raportin tarkastuksen tuloksista.

Näin ollen virustentorjunnan pilviarkkitehtuurilla on useita etuja:

  • laskennan määrä käyttäjän tietokoneella osoittautuu mitättömäksi paksuun asiakaskoneeseen verrattuna, joten käyttäjän tuottavuus ei laske;
  • virustentorjuntaliikenteellä ei ole katastrofaalista vaikutusta läpijuoksu verkot: on lähetettävä kompakti tieto, joka sisältää vain muutama tusina hash-arvoa, päivittäisen liikenteen keskimääräinen määrä ei ylitä 120 kt;
  • pilvitallennus sisältää valtavia allekirjoituksia, paljon suurempia kuin käyttäjien tietokoneisiin tallennetut;
  • pilvessä käytetyt allekirjoitusten vertailualgoritmit ovat huomattavasti älykkäämpiä verrattuna yksinkertaistettuihin malleihin, joita käytetään paikallisten asemien tasolla, ja kiitos enemmän korkea suorituskyky tietojen vertailu vie vähemmän aikaa;
  • pilvi virustorjuntapalvelut työskennellä virustentorjuntalaboratorioista, tietoturvakehittäjiltä, ​​yritys- ja yksityiskäyttäjiltä saatujen todellisten tietojen kanssa; Nollapäivän uhat estetään samanaikaisesti niiden tunnistamisen kanssa ilman viivettä, joka johtuu tarpeesta päästä käyttäjien tietokoneisiin;
  • käyttäjät verkkovierailut tai ilman pääsyä päätyöasemiinsa saavat suojan nollapäivähyökkäyksiä vastaan ​​samanaikaisesti Internetin käytön kanssa;
  • Järjestelmänvalvojien työmäärä vähenee: heidän ei tarvitse käyttää aikaa virustorjuntaohjelmistojen asentamiseen käyttäjien tietokoneille sekä allekirjoitustietokantojen päivittämiseen.

Miksi perinteiset virustentorjuntaohjelmat epäonnistuvat

Nykyaikainen haittakoodi voi:

  • Ohita virustorjuntaloukut luomalla yritykselle erityinen kohdevirus
  • Ennen kuin virustorjunta luo allekirjoituksen, se kiertää polymorfismin, transkoodauksen, dynaamisen DNS:n ja URL-osoitteiden avulla
  • Kohdennettu luominen yritykselle
  • Polymorfismi
  • Koodi tuntematon kenellekään - ei allekirjoitusta

Vaikea puolustaa

Nopea virustorjunta 2011

Venäläinen riippumaton tieto- ja analyyttinen keskus Anti-Malware.ru julkaisi toukokuussa 2011 seuraavan 20 suurimman vertailutestin tulokset. suosittuja virustorjuntaohjelmia suorituskykyyn ja järjestelmäresurssien kulutukseen.

Tämän testin tarkoituksena on osoittaa, mitkä henkilökohtaiset virustentorjuntaohjelmat vaikuttavat vähiten käyttäjän tyypillisiin toimintoihin tietokoneella, hidastavat sen toimintaa vähemmän ja kuluttavat mahdollisimman vähän järjestelmäresursseja.

Virustorjuntamonitoreista (reaaliaikaiset skannerit) koko tuoteryhmä osoitti erittäin suurta toimintanopeutta, mukaan lukien: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro ja Dr.Web. Kun nämä virustorjuntaohjelmat olivat mukana, testikokoelman kopioinnin hidastuminen oli alle 20 % verrattuna standardiin. Virustorjuntamonitorit BitDefender, PC Tools, Outpost, F-Secure, Norton ja Emsisoft osoittivat myös korkean suorituskyvyn, 30-50 %:n välillä. Virustorjuntamonitorit BitDefender, PC Tools, Outpost, F-Secure, Norton ja Emsisoft osoittivat myös korkean suorituskyvyn, 30-50 %:n välillä.

Samaan aikaan Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost ja PC Tools voivat todellisissa olosuhteissa olla paljon nopeampia myöhempien tarkistusten optimoinnin ansiosta.

Avira antivirus osoitti parhaan on-demand-skannausnopeuden. Se oli hieman huonompi kuin Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus ja Outpost. Ensimmäisen tarkistuksen nopeuden suhteen nämä virustentorjuntaohjelmat ovat vain hieman huonompia kuin johtaja, samalla kun niillä kaikilla on arsenaalissaan tehokkaita teknologioita toistuvien tarkastusten optimointi.

Toinen tärkeä virustorjuntaohjelman nopeuden ominaisuus on sen vaikutus sellaisten sovellusohjelmien toimintaan, joiden kanssa käyttäjä usein työskentelee. Testiin valittiin viisi: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader ja Adobe Photoshop. Vähiten hidastumista näiden lanseerauksessa toimisto-ohjelmat näytti Eset virustorjunta, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost ja G Data.

Oppitunti "Virustorjuntaohjelmat"

Kun tietokoneesi on saanut viruksen, on tärkeää havaita se. Tämän tekemiseksi sinun on tiedettävä Virusten tärkeimmät merkit:

Aiemmin onnistuneesti toimineiden ohjelmien toiminnan lopettaminen tai virheellinen toiminta:
- hidas työ tietokone
- kyvyttömyys ladata käyttöjärjestelmää
- tiedostojen ja hakemistojen katoaminen tai niiden sisällön vioittuminen
- tiedoston muokkauksen päivämäärän ja kellonajan muuttaminen
- tiedostokoon muuttaminen
- levyllä olevien tiedostojen määrän odottamaton merkittävä kasvu
- ilmaisen koon merkittävä pienentäminen RAM-muisti
- odottamattomien viestien tai kuvien näyttäminen näytöllä
- antaa odottamattomia äänimerkkejä
- usein jäätyy ja tietokoneen toimintahäiriöt

Voit suojautua viruksilta käyttämällä:

v yleiset tietojen suojaustyökalut, jotka ovat hyödyllisiä myös vakuutuksena levyjen fyysisten vaurioiden, toimintahäiriöiden ohjelmien tai virheellisten käyttäjän toimien varalta;

v ennaltaehkäisevät toimenpiteet virustartunnan todennäköisyyden vähentämiseksi;

v erikoistuneet ohjelmat suojaamaan viruksia vastaan.

Yleiset tietoturvatoimenpiteet hyödyllinen paitsi viruksilta suojaamiseen:

  1. tietojen kopioiminen - tiedostojen ja levyjen järjestelmäalueiden kopioiden luominen;
  2. kulunvalvonta estää tietojen luvattoman käytön, erityisesti suojauksen ohjelmien ja tietojen muutoksilta viruksilta, toimintahäiriöiltä ja virheellisiltä käyttäjän toimilta.

Ennaltaehkäisevät toimenpiteet

v Älä käytä kyseenalaisia ​​levyjä tai muita tallennusvälineitä

v Rajoita pääsyä ohjelmatiedostoihin tekemällä niistä vain luku -muotoisia, jos mahdollista

v Kun työskentelet verkossa, älä kutsu ohjelmia muiden tietokoneiden muistista, jos mahdollista.

v Tallenna ohjelmat ja tiedot arkistoon levyille ja eri alihakemistoihin kovalevy.

v Älä kopioi ohjelmia omiin tarpeisiisi satunnaisista kopioista.

v Varmista, että sinulla on virustentorjuntaohjelma

Erikoisohjelmat virustentorjuntaan

Virustentorjuntaohjelmat avulla voit suojata, havaita ja poistaa tietokoneviruksia. Kaikki virustorjuntaohjelmat voidaan jakaa useisiin tyyppeihin:

Ø ilmaisimet,

Ø lääkärit (faagit),

Ø tilintarkastajat,

Ø lääkärit-tarkastajat,

Ø suodattimet ja rokotteet (immunisaattorit).

ILMAISINOHJELMAT avulla voit havaita tiedostoja, jotka ovat saastuttaneet yhden useista tunnetuista viruksista. Nämä ohjelmat tarkistavat, onko tiedostot päällä käyttäjän määrittelemä levylle ominaista tästä viruksesta tavujen yhdistelmä. Kun se havaitaan missä tahansa tiedostossa, vastaava viesti näkyy näytöllä. Monilla ilmaisimilla on tilat tartunnan saaneiden tiedostojen parantamiseksi tai tuhoamiseksi.

On korostettava, että tunnistusohjelmat voivat havaita vain viruksia, jotka ovat "tuntemia". Jotkut ilmaisinohjelmat voidaan konfiguroida uudentyyppisille viruksille, niiden tarvitsee vain osoittaa näille viruksille ominaiset tavuyhdistelmät. On kuitenkin mahdotonta kehittää sellaista ohjelmaa, joka tunnistaisi minkä tahansa aiemmin tuntemattoman viruksen.

Siten siitä tosiasiasta, että ilmaisimet eivät tunnista ohjelmaa tartunnan saaneeksi, ei seuraa, että se on terve - se voi sisältää joitain uusi virus tai vähän muokattu versio vanha virus, tunnistusohjelmille tuntematon.

Useimmissa ilmaisinohjelmissa on "lääkäri"-toiminto, ts. ne yrittävät palauttaa tartunnan saaneet tiedostot tai levyalueet alkuperäiseen tilaansa. Tiedostot, joita ei voitu palauttaa, tehdään yleensä toimimattomiksi tai poistetaan.

Dr.Web ohjelman loi vuonna 1994 I. A. Danilov ja kuuluu lääkärinilmaisimien luokkaan, siinä on niin kutsuttu "heuristinen analysaattori" - algoritmi, jonka avulla voit havaita tuntemattomat virukset. "The Healing Web", kuten ohjelman nimi on käännetty englannista, tuli kotimaisten ohjelmoijien reaktio itsemuovautuvien mutanttivirusten hyökkäykseen. Jälkimmäiset muokkaavat lisääntymisen aikana vartaloaan siten, että jäljelle ei jää yhtään ominaista tavuketjua, joka oli läsnä alkuperäinen versio virus.

Tätä ohjelmaa tukee se tosiasia, että pääosasto osti suuren lisenssin (2000 tietokoneelle) tietolähteitä Venäjän federaation presidentin alaisuudessa, ja toiseksi suurin verkon ostaja on Inkombank.

Aidstest - ohjelman keksi vuonna 1988 D.N. Lozinsky ja on ilmaisinlääkäri. Aidstest-ohjelma on suunniteltu korjaamaan ohjelmat, jotka ovat saaneet tavallisia (ei-polymorfisia) viruksia, jotka eivät muuta koodiaan. Tämä rajoitus johtuu siitä, että tämä ohjelma etsii viruksia tunnistuskoodeilla. Mutta samalla saavutetaan erittäin nopea tiedostojen tarkistusnopeus.

TILINTARKASTAJAT työssä on kaksi vaihetta. Ensin ne muistavat tiedot ohjelmien tilasta ja levyjen järjestelmäalueista (käynnistyssektori ja sektori, jossa on kiintolevyn osiotaulukko). Oletetaan, että tällä hetkellä ohjelmat ja järjestelmän levyalueet eivät ole saastuneet. Tämän jälkeen voit verrata ohjelmien tilaa ja järjestelmälevyalueita alkuperäiseen tilaan milloin tahansa auditointiohjelman avulla. Mahdollisista havaituista eroista ilmoitetaan käyttäjälle.

ADinf (Advanced Diskinfoscope) kuuluu tilintarkastusohjelmien luokkaan. Tämäohjelman loi D. Yu vuonna 1991.

Virustentorjuntaohjelmalla on suuri toimintanopeus ja se pystyy vastustamaan menestyksekkäästi muistissa olevia viruksia. Sen avulla voit hallita levyä lukemalla se sektori sektorilta BIOSin kautta ja ilman DOS-järjestelmän keskeytyksiä, jotka virus voi siepata.

Tartunnan saaneiden tiedostojen korjaamiseen käytetään ADinf Cure -moduulia, joka ei sisälly ADinf-pakettiin ja toimitetaan erikseen. Moduulin toimintaperiaate on tallentaa pieni tietokanta, joka kuvaa ohjattuja tiedostoja. Yhdessä toimivat ohjelmat voivat havaita ja poistaa noin 97 % tiedostovirukset ja 100 % käynnistyssektorin viruksista. Esimerkiksi sensaatiomainen SatanBug-virus havaittiin helposti ja sen saastuttamat tiedostot palautettiin automaattisesti. Lisäksi jopa ne käyttäjät, jotka ostivat ADinfin ja ADinf Cure Modulen useita kuukausia ennen tämän viruksen ilmestymistä, pääsivät eroon siitä vaikeuksitta.

AVP (Anti-Virus Protection) ohjelma yhdistää ilmaisimen, lääkärin ja tarkastajan, ja siinä on jopa joitain suodatintoimintoja (estää kirjoittamisen tiedostoihin, joissa on READ ONLY -attribuutti). Virustorjuntapaketti, joka on laajennettu versio kuuluisasta virustorjuntasarjasta "Doctor Kaspersky". Kun ohjelma on käynnissä, se testaa tuntemattomia viruksia. Sarja sisältää myös pysyvän ohjelman, joka valvoo tietokoneella suoritettuja epäilyttäviä toimia ja mahdollistaa muistikortin katselun. Erityinen apuohjelmasarja auttaa havaitsemaan uusia viruksia ja ymmärtämään niitä.

Virustorjunta voi hoitaa sekä tunnettuja että tuntemattomia viruksia, ja käyttäjä voi itse ilmoittaa ohjelmalle, kuinka jälkimmäistä hoidetaan. Lisäksi AVP voi hoitaa itsestään muuntuvia ja Stealth-viruksia.

Norton Antivirus - Virustorjuntapaketti on "aseta ja unohda" -tyyppinen työkalu. Kaikki vaaditut parametrit kokoonpanot ja ajoitetut toiminnot (levyn tarkistaminen, uusien ja muokattujen ohjelmien tarkistaminen, Windowsin Auto-Protect-apuohjelman käynnistäminen, aseman A: käynnistyssektorin tarkistaminen ennen uudelleenkäynnistystä) on asennettu oletusarvoisesti. Levyn tarkistusohjelma on saatavilla DOS- ja Windows-käyttöjärjestelmille. Norton AntiVirus muun muassa tunnistaa ja tuhoaa jopa polymorfisia viruksia sekä reagoi menestyksekkäästi viruksen kaltaiseen toimintaan ja taistelee tuntemattomia viruksia vastaan.

SUODATTIMET tai VARTIJA tai MONITORIT, jotka sijaitsevat tietokoneen RAM-muistissa ja sieppaavat ne käyttöjärjestelmän puhelut, joita virukset käyttävät lisääntymiseen ja vahingon aiheuttamiseen, ja ilmoittavat niistä käyttäjälle. Käyttäjä voi sallia tai kieltää vastaavan toiminnon.

Jotkin suodatinohjelmat eivät ota kiinni epäilyttävistä toimista, vaan tarkistavat suoritettaviksi kutsutut ohjelmat virusten varalta. Tämä hidastaa tietokonettasi.

Suodatinohjelmien käytön edut ovat kuitenkin erittäin merkittäviä - niiden avulla voit havaita monet virukset hyvin varhaisessa vaiheessa, kun virus ei ole vielä ehtinyt lisääntyä ja pilata mitään. Näin voit minimoida viruksen aiheuttamat menetykset.

ROKOTTEET, tai RUOTTEET, muokata ohjelmia ja levyjä siten, että tämä ei vaikuta ohjelmien toimintaan, mutta virus, jota vastaan ​​rokotetaan, pitää nämä ohjelmat tai levyt jo saastuneina. Nämä ohjelmat ovat erittäin tehottomia. Tarkkaile mahdollisesti vaarallisia toimintoja ja anna käyttäjälle asianmukainen pyyntö sallia/kiellä toiminto.

Vikoja virustorjuntaohjelmat

Ø Mikään olemassa olevista virustorjuntatekniikoista ei voi tarjota täydellistä suojaa viruksia vastaan.

Ø Virustentorjuntaohjelma vie osan laskentatehosta järjestelmäresurssit, Ladataan prosessori ja kovalevy. Tämä voi olla erityisen havaittavissa heikossa tietokoneessa. Taustahidastus voi olla jopa 380 %.

Ø Virustorjuntaohjelmat voivat nähdä uhan siellä, missä sitä ei ole (väärät positiiviset).

Ø Virustorjuntaohjelmat lataavat päivityksiä Internetistä ja tuhlaavat siten kaistanleveyttä.

Ø Erilaiset salaus- ja haittaohjelmien pakkaustekniikat tekevät jopa tunnetuista viruksista virustorjuntaohjelmiston havaitsemattomia. Näiden "naamioitujen" virusten havaitseminen vaatii tehokkaan purkukoneen, joka voi purkaa tiedostojen salauksen ennen niiden tarkistamista. Monissa virustorjuntaohjelmissa ei kuitenkaan ole tätä ominaisuutta, ja sen seurauksena on usein mahdotonta havaita salattuja viruksia.

On olemassa suuri määrä maksullisia ja ilmaisia ​​virustorjuntaohjelmia. Seuraavat suositut voidaan tunnistaa tavaramerkkejä:

Joten mikä on virustorjunta? Jostain syystä monet ihmiset uskovat, että virustorjunta voi havaita minkä tahansa viruksen, eli suorittamalla virustorjuntaohjelman voit olla täysin varma niiden luotettavuudesta. Tämä näkökulma ei ole täysin oikea.

Tosiasia on, että virustorjunta on myös ohjelma, tietysti ammattilaisen kirjoittama. Mutta nämä ohjelmat pystyvät tunnistamaan ja tuhoamaan vain tunnetut virukset. Toisin sanoen virustorjunta tiettyä virusta vastaan ​​voidaan kirjoittaa vain, jos ohjelmoijalla on vähintään yksi kopio tästä viruksesta. Joten tämä loputon sota virusten ja virustentorjuntaohjelmien tekijöiden välillä on käynnissä, vaikka jostain syystä ensimmäisiä on maassamme aina enemmän kuin jälkimmäisiä.

Mutta virustorjuntaohjelmien luojilla on myös etu! Tosiasia on, että on olemassa suuri määrä viruksia, joiden algoritmi on käytännössä kopioitu muiden virusten algoritmista. Yleensä tällaisia ​​muunnelmia luovat epäammattimaiset ohjelmoijat, jotka jostain syystä päättivät kirjoittaa viruksen. Tällaisten "kopioiden" torjumiseksi on keksitty uusi ase - heuristiset analysaattorit. Heidän avullaan virustorjunta pystyy löytämään samanlaisia ​​​​analogeja tunnetuista viruksista ilmoittaen käyttäjälle, että hänellä näyttää olevan virus. Heuristisen analysaattorin luotettavuus ei luonnollisesti ole 100 %, mutta silti sen kerroin hyödyllistä toimintaa enemmän kuin 0,5.

Niinpä tässä informaatiosodassa, kuten todellakin missä tahansa muussakin, vahvimmat jäävät jäljelle. Vain kokeneimmat ja pätevimmat ohjelmoijat voivat kirjoittaa viruksia, joita virustentorjuntaohjelmat eivät tunnista.

Huomautus: Luennolla käsitellään kotitietokoneiden täydelliseen ja tehokkaaseen suojaamiseen haitallisilta vaikutuksilta tarvittavien ohjelmien tarkoitusta ja toimintaperiaatteita.

Yleistä tietoa

Suurin ero kotitietokoneen ja tavallisen teollisuustietokoneen välillä on työasema- tämä on sen monipuolisuus. Jos organisaatioissa tietokonelaitteet ostetaan yleensä tiettyyn tarkoitukseen: kirjoittamiseen, ammattimaisiin grafiikkapaketteihin piirtämiseen tai ohjelmointiin, niin kotitietokonetta käytetään usein paitsi työajan ulkopuolella myös tietokonepelit, henkilökohtainen kirjeenvaihto, tietojen etsiminen ja katselu Internetissä elokuvien ja musiikin toistamiseen. Jossa hallinto Suurimmassa osassa tapauksista kotitietokoneen asennuksen suorittaa yksinomaan omistaja itse.

Siksi kaikki ohjelmat on suunniteltu kotikäyttöön, niillä on läpinäkyvä käyttöliittymä, ne on helppo asentaa ja hallita, ja niiden mukana tulee välttämättä dokumentaatio, joka on ymmärrettävää myös ei-asiantuntijalle. Virustorjuntaohjelmien on myös täytettävä kaikki yllä olevat vaatimukset.

Ohjelmia, jotka ovat välttämättömiä kotitietokoneiden täydelliseen ja tehokkaaseen suojaamiseen ohjelmien haitallisilta vaikutuksilta, ovat:

  • Viruksentorjuntaohjelma, joka vastaa tiedostojen ja muiden tiedostojärjestelmäobjektien virusten varalta ja, jos niitä havaitaan, suorittaa käyttäjän määrittämiä toimia niiden suhteen
  • Ohjelmat, jotka suojaavat luvattomalta käytöltä ja verkkohakkerihyökkäyksiä vastaan sisältyy usein virustorjuntaohjelmistoon tai sisäänrakennettu käyttöjärjestelmään
  • Roskapostisuodattimet- Tämä lisätoimenpide, mikä joissakin tapauksissa mahdollistaa merkittävästi vähentää virustentorjuntaohjelmiston kuormitusta, mikä lisää suojauksen luotettavuutta

Luettelossa olevat ohjelmat voivat joko olla osa yhtä kompleksia kotitietokoneesi suojaamiseksi tai ne voidaan asentaa erikseen. Ensimmäisen menetelmän tärkein etu on yhden ohjausrajapinnan läsnäolo ja kunkin moduulin täydentävyys, jonka ohjelman luojat ovat miettineet. Erityisesti yksittäisten ohjelmien asentaminen eri valmistajia, vain joissakin tapauksissa siitä voi olla hyötyä, esimerkiksi silloin, kun syystä tai toisesta se on välttämätöntä erityisiä toimintoja, mutta mikään yksittäinen kattava tuote ei voi tarjota niitä. Kotikäyttäjän tapauksessa tämä on erittäin harvinaista, ja jos kaikki kolme moduulia on asennettava, se kannattaa tehdä kokonaisvaltaisella ratkaisulla.

Viruksentorjuntaohjelma

Virustentorjuntaohjelman tärkein ja myös pakollinen elementti on tietysti virustorjuntaohjelma. Ilman sitä emme voi puhua tehokkaasta virustentorjuntaturvasta me puhumme tietokoneesta, joka pystyy vaihtamaan tietoja muiden kanssa ulkoisista lähteistä. Jopa käyttäjän kaikkien tietokoneen hygieniasääntöjen noudattaminen ei takaa haittaohjelmien puuttumista, jos virustorjuntaa ei käytetä.

Virustorjunta ohjelmisto- se on aika monimutkaista ohjelmistopaketti, sen luominen vaatii erittäin pätevien virusanalyytikoiden, asiantuntijoiden ja ohjelmoijien ponnisteluja, joilla on monen vuoden kokemus ja erittäin erityiset tiedot ja taidot. Ydintekniikka virustorjuntatarkistus - allekirjoitusanalyysi tarkoittaa jatkuvaa työtä virustapahtumien seurannassa ja säännöllistä virustorjuntatietokantojen päivitysten julkaisemista. Näistä ja muista syistä virustorjuntaohjelmia ei ole sisäänrakennettu käyttöjärjestelmiin. Sisäänrakennettu suodatin voi olla vain yksinkertainen suodatin, joka ei tarjoa täydellistä virustorjuntatarkistusta.

Työaseman virussuojauksen pääelementit tai verkkopalvelin- Tämä on jatkuva reaaliaikainen tarkistus, on-demand -tarkistus ja mekanismi virustentorjuntatietokantojen päivittämiseen. Niitä tarvitaan myös kotitietokoneesi suojaamiseen.

Reaaliaikainen vahvistus

Pääsääntöisesti kotitietokoneessa tapahtuu jatkuvaa tiedonvaihtoa ulkoisten lähteiden kanssa: tiedostot ladataan Internetistä, kopioidaan CD-levyiltä tai kotiverkon kautta ja avataan ja käynnistetään myöhemmin. Siksi kotitietokoneen virustorjunta-arsenaalin tärkein työkalu on reaaliaikainen skannaus. Sen tehtävänä on estää järjestelmän saastuminen.

Kotitietokoneessa on erittäin suositeltavaa käyttää jatkuvaa skannausta aina, kun se on päällä - riippumatta siitä, onko se tällä hetkellä yhteydessä verkkoon, käytetäänkö jonkun muun mobiilitallennusvälinettä vai suoritetaanko vain joitain sisäisiä tehtäviä. Jatkuvalle skannaukselle on ominaista sen toiminnan edellyttämät vähimmäisjärjestelmävaatimukset, ja siksi tässä tilassa käynnistetty virustorjunta jää useimmissa tapauksissa käyttäjälle huomaamatta ja ilmestyy vain, kun viruksia tai muita epäilyttäviä ohjelmia havaitaan.

Voit usein jättää lähtevien sähköpostiviestien ja arkistojen tarkistuksen pois reaaliaikaisesta tarkistuksesta ilman, että kotitietokoneesi virussuojauksen laatu heikkenee, mutta kaikki muut objektit on suositeltavaa tarkistaa.

Skannaus pyynnöstä

Kuten edellä mainittiin, tietoa vaihdetaan usein kotitietokoneella CD-levyjen, levykkeiden ja muiden mobiilitallennusvälineiden avulla: uusia pelejä asennetaan, e-kirjoja ja oppikirjoja kopioidaan, elokuvia ja musiikkia kopioidaan. On-demand-skannausta käytetään havaitsemaan järjestelmään saapunut haittakoodi. Kaikkia kotikäyttäjiä suositellaan tarkastamaan kaikki epäilyttävät tallennusvälineet virusten varalta aina ennen tiedostojen lukemista tai kopioimista niiltä. Tämä yksinkertainen vaihe vie vähän aikaa, mutta voi merkittävästi vähentää todennäköisyyttä, että haittaohjelmat tunkeutuvat tietokoneellesi. Lisäksi on suositeltavaa tarkistaa virusten varalta vähintään kerran viikossa. kaikki kovaa levy.

Skannausasetusten kannalta tämä tila on erityisen perusteellinen - on-demand-tarkistuksessa yleensä kaikki tiedostojärjestelmän objektit tarkistetaan.

Virustentorjuntatietokantojen päivittäminen

Virustentorjuntatietokannat

Vain virustorjuntatietokantojen oikea-aikainen päivitys voi taata oikean ja tehokasta työtä Luotettavin osa virustentorjuntaa on allekirjoitusanalyysi.

Virustorjuntatietokannat ovat tiedostoja, jotka sisältävät virustunnisteet. Ne ovat virustentorjuntayritysten tuottamia, ja vastaavasti ne ovat erilaisia ​​eri ohjelmille - esimerkiksi Kaspersky Anti-Virus ei pysty toimimaan Dr. antivirus -tietokantojen kanssa. Web ja päinvastoin.

Hanki eniten uusimmat versiot Voit ladata tarvittavat tietokannat valmistajan verkkosivuilta virustorjuntaohjelman sisäänrakennetuilla työkaluilla tai kopioimalla tiedostoja verkkosivustolta itse. Normaalitilanteissa on suositeltavaa päivittää ensimmäisellä menetelmällä, toinen on monimutkaisempi ja tarkoitettu poikkeuksellisiin tilanteisiin, esimerkiksi jos epäillään väärä toiminta sisäänrakennetut päivitysmoduulit tai kyvyttömyys muodostaa suora yhteys Internetiin.

Tämä tarkoittaa, että virustentorjuntatietokantojen päivittämiseksi kotikäyttäjän tarvitsee yleensä vain muodostaa yhteys Internetiin ja napsauttaa virustorjuntaohjelman käyttöliittymässä olevaa painiketta, joka käynnistää päivitysprosessin. Jos Internet-yhteyttä ei ole saatavilla, ainoa tapa päästä eroon on siirtyä virustentorjuntaohjelmiston valmistajan verkkosivustolle toisella tietokoneella, ladata ja kopioida tietokannat tietokoneellesi mobiililaitteella. Yksityiskohtainen kuvaus Tämä menettely löytyy ohjelman käyttöoppaasta tai dokumentaatiosta.

Virustentorjuntatietokantojen pitäminen ajan tasalla

Internetin laajeneminen yhdistettynä eri tietokoneverkkojen välisten viestintäkanavien paranemiseen nopeuttaa tiedonvaihtoa merkittävästi. Tietovirtojen voiman kasvun myötä myös virusten leviämisnopeus kasvaa. Nykyään viruksen leviämisestä maailmaan joukkotuhon alkamiseen kuluu muutama tunti ja joskus jopa minuutti. Tällaisessa tilanteessa hallitseva kriteeri viruksentorjuntatyökalujen valinnassa on virustorjuntaohjelmistojen valmistajan virustentorjuntatietokantapäivitysten julkaisutiheys sekä vasteaika epidemian ilmaantumisen yhteydessä. Nykyään tällä alalla johtavassa asemassa on Kaspersky Lab, jolla on paras indikaattori julkaisemalla virustorjuntatietokantoja, julkaisemalla päivityksiä tunneittain, kun taas useimmat muut yritykset asettuivat päivittäisiin päivityksiin.

Kotitietokoneiden kaistanleveys on kuitenkin usein hyvin rajallinen, varsinkin kun ne on yhdistetty tavallisen kautta puhelinlinja. Tämän seurauksena tällaisten käyttäjien voi olla vaikeaa tarkistaa uusia virustorjuntatietokantoja tunnin välein. Siksi optimaalinen päivitysaikataulu riippuu suuresti verkkoyhteystavasta. Tämän parametrin perusteella voidaan erottaa seuraavat kotikäyttäjien luokat:

  • Aina kytketty- tässä tapauksessa virustorjuntatietokannan päivitys on määritetty ajamaan aikataulun mukaan - kerran kolmessa tunnissa (ellei virustorjuntaohjelman valmistaja toisin suosittele)
  • Säännöllinen yhteys ei salli päivittämistä kolmen tunnin välein. Siksi tässä tilassa on optimaalista tarkistaa uusien virustorjuntatietokantojen olemassaolo joka kerta, kun muodostat yhteyden Internetiin, mutta vähintään kerran päivässä
  • Internet-yhteyden puute- suurin osa vaikea vaihtoehto. Tässä tapauksessa päivitysten toimitus on järjestettävä mobiilimedian avulla. Koska tällaiset tietokoneet kuitenkin yleensä rajoittavat myös tiedonvaihtoa ulkoisten lähteiden kanssa, päivittäminen virustorjuntatietokannat yleensä mahdollista kolmen päivän välein

Tietokoneiden ja niiden käyttöjärjestelmien ilmaantuessa alkoi ilmestyä haittaohjelmia, joita kutsutaan viruksiksi analogisesti lääketieteellisen terminologian kanssa. Tätä ilmiötä piti käsitellä jollain tavalla, joten jo noina kaukaisina aikoina kehitettiin ensimmäinen virustorjunta. Tämä oli itse asiassa ainoa suoja uhkia vastaan, joilla oli alun perin tuhoisa vaikutus tietokonejärjestelmään. Nykyään virukset ovat kehittyneet. Virustentorjuntaohjelmat ovat muuttuneet vastaavasti.

Virustorjunta: mikä se on?

Katsotaanpa ensin virustorjuntaohjelmiston kehityksen historiaa. Jos vertaamme ensimmäisiä suojakeinoja ja nykyaikainen kehitys, voimme sanoa sen tämän päivän virustorjunta- Tämä kattava suoja sekä käyttöjärjestelmä että asennettu käyttäjäohjelmat, ja käyttäjän henkilötiedot, kaikki muut luottamukselliset tai salassapitotiedot.

Miksi niin? Katsotaanpa mitä tahansa moderni virustorjunta. Sen toimintaan liittyviä peruskäsitteitä käsitellään erikseen, mutta toistaiseksi kannattaa edetä siitä, miten uhat ovat muuttuneet ensimmäisestä esiintymisestään.

Itse asiassa aiemmin uhkien vaikutus kohdistui pääasiassa vain käyttöjärjestelmän poistamiseen. Ensimmäiset hakkerit loivat sellaisia ​​ohjelmia, kuten nykyään sanotaan, puhtaasti urheilua varten. Ajan myötä heidän aikeensa alkoivat mennä jopa lain ulkopuolelle. Varkaudet ovat alkaneet salaiseksi luokiteltu tieto, mainosten aktivointi, tietokoneiden täyttö turhaa roskaa järjestelmän kuormituksen lisäämiseksi jne. Siksi nykymaailmassa virustorjunta ei rajoitu tuhoavien uhkien havaitsemiseen. He käyttävät aktiivisesti vakoiluohjelmien ja mainosten torjuntamoduuleja, jotka tarjoavat täydellisimmän suojan kaikkea virukseksi katsottavaa vastaan. Mutta on mahdotonta suojautua aivan kaikelta, koska virukset näkyvät nykyään kuin sieniä sateen jälkeen.

Virustentorjuntaohjelma on... Virustentorjuntatyypit

Mitä tulee nykyaikaisiin virustorjuntaohjelmiin, niiden luokitus on puhtaasti ehdollinen, koska useimmat paketit ovat täysin varusteltuja komplekseja, jotka on suunniteltu havaitsemaan, eristämään tai poistamaan kaikentyyppisiä uhkia.

Ainoat poikkeukset ovat skannerit, jotka ovat kannettavat tai ajetaan ennen käyttöjärjestelmän käynnistymistä ja jotka on suunniteltu tunnistamaan uhkia. tiettyä tyyppiä. Esimerkiksi sovellukset, joilla on yleinen nimi Pelastuslevy käynnistyy ennen järjestelmän käynnistystä ja havaitsee virukset, joilla on kriittinen vaikutus järjestelmään ja jotka häiritsevät sen käynnistystä.

Sovellukset, kuten AdwCleaner ja muut ohjelmistotuotteita Malwarebytes keskittyvät pääasiassa mainonnan ja niihin liittyvien vakoiluohjelmamoduulien poistamiseen. Siten asennettavat tai kannettavat sovellukset eivät aina tarjoa täydellistä suojaa, ja niitä voidaan käyttää pääasiassa tietyntyyppisten uhkien etsimiseen.

Toisaalta useiden virustorjuntaohjelmien asentaminen järjestelmään on ehdottoman epäkäytännöllistä. Parhaimmillaan voit käyttää esimerkiksi ESET Smart Securityä ja jotain Malwarebytes-tuotetta. Mutta jos asennat samanaikaisesti viruksentorjuntaohjelmia, kuten NOD32 ja Kaspersky ilmainen, konflikteja ei voida välttää (ne "kilpailevat" keskenään). Kerran Internetissä yksi käyttäjistä puhui tästä aiheesta ja sanoi, että kahden tällaisen paketin asentaminen yhteen olisi kuin Stalinin ja Hitlerin laittaminen samaan soluun. Ja tässä on jonkin verran totuutta.

Nykyaikaisten virustorjuntaohjelmien toimintaperiaatteet

Nyt muutama sana siitä, kuinka moderni virustorjunta toimii. Tämä prosessi sisältää vaiheittaisen tarkistuksen pyynnöstä, uhkien tunkeutumisen eston, joka perustuu useisiin Internetin mahdollisesti vaarallisten tiedostojen tai resurssien analysointiin, sekä uhan eristämisen tai täydellisen tuhoamisen.

Virusten havaitsemistyökaluina käytetään kahden tyyppistä analyysiä: allekirjoitus ja todennäköisyysanalyysi.

Allekirjoitusanalyysi

Tämäntyyppinen analyysi perustuu suoraan osoitteeseen erityiset tietokannat tiedot, jotka sisältävät tietoa jo tunnetuista viruksista.

Tarkistaessaan mahdollisesti vaarallista kohdetta ohjelma vertaa sen rakennetta muiden havaittujen uhkien jo tunnettuihin rakenteisiin. Siksi voimme turvallisesti sanoa, että nykyaikainen virustorjunta on sovellus, jota varten tällaisia ​​​​tietokantoja on päivitettävä säännöllisesti, koska uusia tietoja syötetään niihin melkein päivittäin. Kuten jo mainittiin, virukset kehittyvät paljon nopeammin kuin virustorjuntaohjelmistot. Siksi myös virustentorjuntaversio on päivitettävä, koska sisäänrakennetut moduulit vanhentuvat eivätkä välttämättä selviä niille määrättyjen toimintojen kanssa ajan myötä.

Todennäköisyysanalyysi

Tämän tyyppinen verifiointi koostuu kolmesta alatyypistä: heuristinen ja käyttäytymisanalyysi sekä tarkistussummavertailumenetelmä.

Jokainen näistä kolmesta tyypistä voitaisiin jakaa itsenäisiin kategorioihin, mutta maailmankäytännössä ne yhdistetään yhdeksi tyypiksi alaosien muodossa. Katsotaanpa jokaista niistä.

Heuristinen analyysi

Heuristinen analyysi on pohjimmiltaan hyvin samanlainen kuin allekirjoitusanalyysi, koska se perustuu uhkarakenteen vertailuun jo tunnettujen yksittäisten uhkien perusteella.

Ainoa ero on, että se mahdollistaa myös virukseen sisäänrakennettujen algoritmien määrittämisen, jonka perusteella tunnistetaan todennäköinen tapa, jolla haitallinen koodi voi vaikuttaa tietokonejärjestelmään.

Käyttäytymisanalyysi

Tämän tyyppisen testauksen nimen perusteella on helppo arvata, että se liittyy heuristiseen analyysiin ja antaa sinun ennustaa, kuinka uhan vaikutus vaikuttaa järjestelmän tilaan. Tätä tekniikkaa käytetään kuitenkin enemmän erilaisten makrojen ja komentosarjojen yhteydessä.

Tarkistussumma-analyysi

Toinen toisiinsa yhdistetty komponentti, jonka avulla voit määrittää viruksen esiintymisen, on tiedostojen tarkistussummien vertailu. Kaikki tieto minkä tahansa järjestelmässä olevan tiedoston rakenteesta kirjoitetaan välimuistiin, ja kun objekteja yritetään muuttaa, verrataan samaa tiedostoa vastaavia alku- ja loppusummia.

Kun käyttäjä tai järjestelmäprosessi tekee tiedostoon muutoksia, emme ota niitä nyt huomioon. Mutta siinä tapauksessa, että massiivinen tai samanaikainen tarkistussummien muutos alkaa, tämä voi tarkoittaa, että haitallisen koodin vaikutus on jo aktivoitu.

Nykyaikaiset virustorjuntapaketit

Pääsääntöisesti lähes kaikki nykyaikaiset tietoturvapaketit vaativat aktivoinnin tai lisenssikoodin syöttämisen. Jopa ilmainen versio Mikä tahansa virustorjunta tarjoaa niitä vuodeksi (joskus vähemmän). Maksulliset ja shareware-tuotteet voivat toimia vain kokeilujakson ajan, jonka jälkeen sinun on joko ostettava ne tai uusittava lisenssisi. Sinun ei esimerkiksi tarvitse ostaa ESET-ohjelmia. Heille riittää aktivointi 30 päivän välein uusi koodi tuote. Arvostelut osoittavat, että Internetistä löydät päivittäin päivitetyt kirjautumistunnukset ja salasanat, jotka voidaan sitten muuntaa vaadittu koodi lisenssit.

Mitä tulee itse virustorjuntapaketteihin, niitä on nykyään kehitetty melko paljon, mutta kaiken virtarjottavan joukosta voidaan erottaa seuraavat tuotteet erikseen (mukaan lukien virukset, Internet-puolustajat , jne.):

  • Kaspersky Lab tuotteet;
  • ESET-tietoturvatyökalut;
  • kehittänyt Dr. Web;
  • Malwarebytes-työkalut;
  • virustorjunta Avast, Avira, Panda, AVG, 360 Security, Bitdefender, Comodo, MS Tärkeimmät turvallisuusasiat, McAfee ja monet muut.

Jälkisanan sijaan

Kuten kaikesta yllä olevasta voidaan nähdä, nykyaikainen virustorjunta on melko vakava ohjelmistopaketti, joka keskittyy kaikkien tietokonejärjestelmään tunkeutuvien mahdollisten uhkien oikea-aikaiseen tunnistamiseen ja poistamiseen. Jos harkitsemme täysin loogista kysymystä siitä, mitä työkalua käyttää täyden suojan varmistamiseksi, asiantuntijoiden ja monien foorumeilla olevien käyttäjien arvostelujen perusteella, on parempi olla asentamatta ilmaisia ​​ohjelmia, koska monet niistä pystyvät ohittamaan uhkia, ja jotkut aiheuttavat myös ristiriitoja järjestelmätasolla Windowsin prosesseja. Edellyttäen, että itse Windows-järjestelmien työkalut ovat selvästi huonompia kolmannen osapuolen ohjelmia, on parempi asentaa ainakin jokin ESET-paketti. Tietenkin sinun on uusittava lisenssisi joka kuukausi. Epämukavaa. Mutta tällaiset paketit voivat tarjota suojaa sekä tietokoneelle että Käyttäjän tiedot kaikilla tasoilla.

Lisää tästä aiheesta:

Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen
Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy
Etsitään vastaavaa kuvaa Internetistä Etsitään vastaavaa kuvaa Internetistä