Классификация компьютерных вирусов и антивирусных программ. Антивирусные программы. Классификация вирусов Программы антивирусы их свойства и классификация

Люди, постоянно работающие за компьютером, часто сталкиваются с проблемами при его эксплуатации, начинают звать на помощь программистов, хотя в большинстве случаев такие казусы случаются из-за невнимательности и необразованности самого пользователя. Ведь основные беды приходят именно с заражением компьютера вирусом. Понятие и классификация компьютерных вирусов - это та основа, знание которой способно предотвратить 50% неполадок на компьютере пользователя.

Знание - сила

Попробуем определить, что же такое компьютерный вирус. Как и в реальной жизни, вирус - это организм, способный к самостоятельному копированию и бесконтрольному размножению. Это программа, способная самостоятельно, без ведома пользователя, развиваться, выполнять свои функции, заложенные в неё программистом. Этого мало для того, чтобы поймать вирус или предотвратить заражение вашего компьютера, однако поможет вам в простейших случаях хотя бы забить тревогу и вызвать специалиста. Классификация компьютерных вирусов поможет последнему с точностью подобрать инструмент, необходимый для спасения вашего компьютера. Поэтому постараемся и мы разобраться в ней.

Общее понятие

Сравнив чуть ранее компьютерный вирус с реальным микроорганизмом, можно провести параллель и с тем, что поражает конкретный вирус или червь. Одной из основополагающих является классификация компьютерных вирусов по среде обитания, ведь, в зависимости от назначения, расположение вируса в компьютерной среде будет также различаться. Приведём общую стандартную схему.

1. Файловые вирусы. Пожалуй, самыми распространёнными на сегодняшний день являются вирусы, которые поражают файлы на вашем компьютере. В большинстве случаев они проникают в исполняемые файлы или библиотеки программ для исполнения своих задач. Эти вирусы представляют из себя скрипт, написанный на скриптовом языке программирования (например JavA).
2. Загрузочные вирусы. Как понятно из названия, они запускаются при загрузке операционной системы. Они записывают свой код в загрузочный сектор Windows.
3. Сетевые вирусы. Достаточно неприятная вещь, рассылающая свои копии по сети, почте или системам обмена сообщениями по типу ICQ. Еще одним неприятным моментом является то, что такой вирус может размножаться до тех пор, пока не заполнит всё место на компьютере пользователя, а в самом худшем случае еще и начнет освобождать себе место, удаляя пользовательские программы.
4. Макро-вирусы. Поражают исключительно файлы приложений, поддерживающих работу с макросами, такими как Office.

Стоит заметить, что такая классификация вирусов не может быть полной, поскольку развитие этой заразы не стоит на месте, и существуют вирусы, которые можно отнести к нескольким подтипам.

Внимание, опасность!

Рассматривать вирусы можно с абсолютно разных сторон. Если говорить о них по степени воздействия на систему, то классификация компьютерных вирусов кратко будет выглядеть так:

Работают специалисты

Отдельного упоминания заслуживает классификация компьютерных вирусов и антивирусных программ. Большинство специалистов, работающих в сфере компьютерной безопасности, имеют свои классификации и способы обозначения компьютерных вирусов. Например, всем известная лаборатория Касперского. После многих лет работы ими была создана, пожалуй, самая подробная классификация компьютерных вирусов. Касперский выделяет следующие типы "вредителей":

1. Уже известные сетевые вирусы - черви, использующие для распространения электронную почту.
2. Упаковщики. Это, скорее, просто вредители, а не вирусы, засланные с определённой целью. Их задача заключается в архивировании файлов таким образом, чтобы их разархивация была невозможна. Зачастую при архивации они в дополнение ещё и кодируют информацию.
3. Вредоносные утилиты.
4. Троянские программы. Их название происходит от мифа о троянском коне. Соответствуя своему прототипу, такие вирусы маскируются под безвредные программы для проникновения на компьютер. Их основное функциональное назначение - предоставление доступа злоумышленнику к управлению вашим компьютером. Здесь также можно выделить некоторые подкатегории:

1) вирусы, для удалённого управления вашим компьютером;

2) вирусы для загрузки вредоносного обеспечения из интернета;

3) программы, несанкционированно устанавливающие на компьютер другие вирусы.

Как заразиться

Предупреждён - значит вооружён. Так гласит народная мудрость. Зная, где и как существует возможность подхватить компьютерный вирус, можно избежать огромных проблем, связанных с удалением его. Предотвратить заражение намного проще, чем вылечить компьютер после попадания в него вируса. Существует также классификация компьютерных вирусов по способу заражения:

Защита от вирусов

Как уже стало понятно, вредоносных программ существует великое множество. Защититься от них не поможет ни одна классификация вирусов. Компьютерных мошенников, спамеров развелось настолько много, что своими собственными руками справиться со всеми невозможно. Именно для этого существует большое количество антивирусных программ, способных помочь справиться с этой проблемой. Рассмотрим их с точки зрения обычных пользователей.

Самой распространённой антивирусной программой является "Антивирус Касперского". Предлагаемая пользователям во всех возможных магазинах, эта программа способна надёжно защитить компьютер от вредоносных программ. Тем не менее продвинутые пользователи знают о существенных побочных эффектах этой надёжности. "Касперский" не только очень сильно грузит систему и при малейшей опасности поднимает тревогу, но еще и не даёт адекватно работать с пользовательскими приложениями. Поэтому в настоящий момент этот антивирус используется в основном на предприятиях, поскольку его покупку проще провести по бухгалтерии, да и проверочные комиссии по безопасности относятся к нему намного лояльнее. Стоит заметить, что, благодаря этой лаборатории, была создана базовая классификация компьютерных вирусов. Сообщение о том, что найден вирус на компьютера, которое выдаёт их антивирус, к сожалению, не всегда несёт в себе достоверную информацию.

Достойной заменой "Касперскому", может послужить NOD32. Надёжно и прочно защищает, специально для обычных пользователей существуют бесплатные версии. Работает как часы и без сбоев, но абсолютную надёжность обеспечивает исключительно в полной платной комплектации. Поэтому единственным недостатком этого антивируса станет цена, если исключить скачивание неподдерживаемых взломанных версий.

Лидером среди антивирусов по праву можно считать Dr.Web. Не гоняясь за славой и заработком, он предоставляет всем желающим на своём сайте скачать пробную версию с полным функционалом. Одной из главных особенностей "Доктора" является возможность приостановить полностью работу операционной системы, что позволяет поймать даже самых "хитрых вредителей". Этой программой используется собственная классификация вирусов. Компьютерных червей утилита находит быстро и эффективно, а резидентные вирусы не способны "спрятаться" в оперативной памяти.

Врага надо знать в лицо

Итак, выше была рассмотрена классификация компьютерных вирусов. С примерами вам, наверно, было бы проще разобраться, поэтому приведём несколько для наглядности.

Trj.Reboot - заставляет перезагружаться ваш компьютер.

Relax - инфицирует документы Microsoft Word, а также глобальные переменные. Был особенно популярен и актуален на Windows 98. Результатом работы становится выведение на экран информационного сообщения.

Marburg - поражает выполняемые файлы с расширением EXE, запуская их в различных директориях, в результате чего увеличивается их размер.

Flame - компьютерный червь, обнаруженный "Лабораторией Касперского". Его особенность в том, что он состоит из нескольких десятков частей, каждая из которых имеет свой функционал.

Подумайте о безопасности

В данной статье были рассмотрены понятие и классификация компьютерных вирусов. Если вы внимательно и вдумчиво прочитали всё написанное, то наверное уже поняли, что абсолютной защиты не существует. Несмотря на это, выбор средств защиты ложится на ваши плечи. Последнее, что стоило бы указать, так это просто пару полезных советов:

1. Не лезьте на подозрительные сайты и не переходите по ссылкам, присланным незнакомыми людьми.
2. Не ведитесь на рекламу и всплывающие окна в интернете.
3. Если скачиваете программы из интернета, убедитесь в безопасности источника.
4. В случае если ищете какую-либо программу, старайтесь скачивать её на популярных ресурсах, а не на задворках всемирной паутины.
5. Не используйте носители данных, которые могли вставляться в компьютеры общего пользования (интернет-кафе).

Следуя этим простым советам, вы сможете обойтись даже без антивируса. А классификация компьютерных вирусов понадобится вам разве что для учебы или саморазвития.

Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры - это резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать его, а также о других подозрительных действиях (например о попытках изменить установки CMOS). При этом выводится запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами можно отнести универсальность по отношению как к известным, так и неизвестным вирусам, тогда как детекторы пишутся под конкретные, известные на данный момент программисту виды. Это особенно актуально сейчас, когда появилось множество вирусов-мутантов, не имеющих постоянного кода. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся ещё до запуска антивируса, в начальной стадии загрузки DOS, К недостаткам также можно отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы. При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.

Наибольшее распространение в нашей стране получили программы-детекторы , а вернее программы, объединяющие в себе детектор и доктор . Наиболее известные представители этого класса - Aidstest, Doctor Web, MicroSoft AntiVirus далее будут рассмотрены подробнее. Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ. Многие программы-детекторы позволяют также «лечить» зараженные файлы или диски, удаляя из них вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору). Такие программы нужно регулярно обновлять, так как они быстро устаревают и не могут обнаруживать новые виды вирусов.

Ревизоры - это программы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохранённой ранее в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольная сумма. Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не вирус.

К последней группе относятся самые неэффективные антивирусы - вакцинаторы . Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной.

В нашей стране, как уже было сказано выше, особую популярность приобрели антивирусные программы, совмещающие в себе функции детекторов и докторов. Самой известной из них является программа AIDSTEST Д.Н. Лозинского. Эта программа была изобретена ее в 1988 г. и с тех пор она постоянно совершенствуется и пополняется. В России практически на каждом IBM-совместимом персональном компьютере есть одна из версий этой программы. Одна из последних версий обнаруживает более 1500 вирусов.

Программа Aidstest предназначена для исправления программ, зараженных обычными (неполиморфными) вирусами, не меняющими свой код. Это ограничение вызвано тем, что поиск вирусов этой программой ведется по опознавательным кодам. Зато при этом достигается очень высокая скорость проверки файлов.

Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой.

При запуске Aidstest проверяет оперативную память на наличие известных ему вирусов и обезвреживает их. При этом парализуются только функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться. Поэтому программа после окончания обезвреживания вируса в памяти выдает запрос о перезагрузке. Следует обязательно последовать этому совету, если оператор ПЭВМ не является системным программистом, занимающимся изучением свойств вирусов. При чем следует перезагрузиться кнопкой RESET, так как при «теплой перезагрузке» некоторые вирусы могут сохраняться. Вдобавок, лучше запустить машину и Aidstest с защищённой от записи дискетой, так как при запуске с зараженного диска вирус может записаться в память резидентом и препятствовать лечению.

Aidstest тестирует свое тело на наличие известных вирусов, а также по искажениям в своем коде судит о своем заражении неизвестным вирусом. При это возможны случаи ложной тревоги, например при сжатии антивируса упаковщиком. Программа не имеет графического интерфейса, и режимы ее работы задаются с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог.

Недостатки программы Aidstest:

Не распознает полиморфные вирусы;

Не снабжена эвристическим анализатором, позволяющим находить неизвестные ей вирусы;

Не умеет проверять и лечить файлы в архивах;

Не распознает вирусы в программах, обработанных упаковщиками исполнимых файлов типа EXEPACK, DIET, PKLITE и т.д.

Достоинства Aidstest:

Легка в использовании;

Работает очень быстро;

Распознает значительную часть вирусов;

Хорошо интегрирована с программой-ревизором Adinf;

Работает практически на любом компьютере.

В последнее время стремительно растет популярность другой антивирусной программы - Doctor Web, которую предлагает фирма «Диалог-Наука». Эта программа была создана в 1994 г. И.А. Даниловым. Dr. Web так же, как и Aidstest относится к классу детекторов - докторов, но в отличие от последнего имеет так называемый «эвристический анализатор» - алгоритм, позволяющий обнаруживать неизвестные вирусы. «Лечебная паутина», как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов, которые при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса. В пользу этой программы говорит тот факт, что крупную лицензию (на 2000 компьютеров) приобрело Главное управление информационных ресурсов при Президенте РФ, а второй по величине покупатель «паутины» - «Инкомбанк».

Управление режимами также как и в Aidtest осуществляется с помощью ключей. Пользователь может указать программе тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную. Как и Aidstest, Doctor Web может создавать отчет о работе, загружать знакогенератор Кириллицы, поддерживать работу с программно-аппаратным комплексом Sheriff.

Тестирование винчестера Dr. Web-ом занимает намного больше времени, чем Aidstest-ом, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям можно посоветовать более тщательно проверять принесенные извне дискеты. Если информация на дискете находится в архиве (а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения, например Borland, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr. Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку «винчестера» на вирусы с заданием максимального уровня эвристического анализа.

Так же как и в случае с Aidstest при начальном тестировании не стоит разрешать программе лечить файлы, в которых она обнаружит вирус, так как нельзя исключить, что последовательность байт, принятая в антивирусе за шаблон может встретиться в здоровой программе.

В отличие от Aidstest, программа Dr. Web:

распознает полиморфные вирусы;

снабжена эвристическим анализатором;

умеет проверять и лечить файлы в архивах;

позволяет тестировать файлы, вакцинированные CPAV, а также упакованные LZEXE, PKLITE, DIET.

Фирма «Диалог-Наука» предлагает разные версии программы DrWeb для DOS. Как известно, имеются две версии для DOS, которые традиционно называются 16-разрядной и 32-разрядной (последняя также называется Doctor Web для DOS/386, DrWeb386). В этих названиях (16- и 32-разрядная) полностью отражена суть различия версий для DOS, однако непосредственно из названий она очевидна лишь специалистам. Лишь 32-разрядная версия обладает всеми функциональными возможностями, присущими другим современным версиям Doctor Web (в частности, версиям для Windows).

16-разрядная версия, в силу ограничений по объему доступной памяти, накладываемых операционной системой, не обладает некоторыми крайне важными на сегодняшний день «умениями», в частности, в нее не включены (и в силу указанных ограничений по памяти, не могут быть включены):

модули «обслуживания» известных вирусов современных типов (в частности, речь идет о макро- и стелс-вирусах);

модули эвристического анализатора для обнаружения неизвестных вирусов современных типов;

модули распаковки современных типов архивов и упакованных Windows-программ и проч.

Таким образом, хотя 16-разрядная версия использует ту же вирусную базу (VDB-файлы), что и 32-разрядные версии, отсутствие в ней некоторых модулей делает обработку соответствующих вирусов невозможной.

Кроме того, в силу тех же причин, 16-разрядная версия не поддерживает некоторые современные программные и аппаратно-технические средства, что может сделать ее работу неустойчивой или некорректной.

Поскольку 32-разрядная версия является полнофункциональной и, как видно из другого ее названия - Doctor Web для DOS/386, может использоваться при работе в DOS на компьютерах с процессором не ниже 386, всем пользователям, нуждающимся в версии Doctor Web для DOS, лучше использовать именно ее.

Что же касается 16-разрядной версии, то она продолжает выпускаться, поскольку еще существует парк старых машин на платформе 86/286, где 32-разрядная версия работать не может.

(Anti-Virus Software Protection)

Интересным программным продуктом является антивирус AVSP. Эта программа сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторые функции резидентного фильтра (запрет записи в файлы с атрибутом READ ONLY). Антивирус может лечить как известные, так и неизвестные вирусы, причем о способе лечения последних программе может сообщить сам пользователь. К тому же AVSP может лечить самомодифицирующиеся и Stealth-вирусы (невидимки).

При запуске AVSP появляется система окон с меню и информация о состоянии программы. Очень удобна контекстная система подсказок , которая дает пояснения к каждому пункту меню. Она вызывается классически, клавишей F1, и меняется при переходе от пункта к пункту. Так же не маловажным достоинством в наш век Windows-ов и «Полуосей» (OS/2) является поддержка мыши. Существенный недостаток интерфейса AVSP - отсутствие возможности выбора пунктов меню нажатием клавиши с соответствующей буквой, хотя это несколько компенсируется возможностью выбрать пункт, нажав ALT и цифру, соответствующую номеру этого пункта.

В состав пакета AVSP входит также резидентный драйвер AVSP.SYS , который позволяет обнаруживать большинство невидимых вирусов (кроме вирусов типа Ghost-1963 или DIR), дезактивировать вирусы на время своей работы, а также запрещает изменять READ ONLY файлы.

Ещё одна функция AVSP.SYS - отключение на время работы AVSP.EXE резидентных вирусов , правда вместе с вирусами драйвер отключает и некоторые другие резидентные программы. При первом запуске AVSP следует протестировать систему на наличие известных вирусов. При этом проверяется оперативная память, BOOT-сектор и файлы. В ряде случаев можно восстанавливать даже файлы, испорченные неизвестным вирусом. Можно установить проверку размеров файлов, их контрольных сумм, наличие в них вирусов, либо все это вместе. Так же можно указать, что именно проверять (Boot-сектор, память, или файлы). Как и в большинстве антивирусных программ, здесь пользователю предоставляется возможность выбрать между скоростью и качеством. Суть скоростной проверки заключается в том, что просматривается не весь файл, а только его начало; при этом удается обнаружить большинство вирусов. Если же вирус пишется в середину, либо файл заражён несколькими вирусами (при этом «старые» вирусы как бы оттесняются в середину «молодым») то программа его и не заметит. Поэтому следует установить оптимизацию по качеству, тем более что в AVSP качественное тестирование занимает не намного больше времени, чем скоростное.

При автоматическом определении новых вирусов AVSP может допустить множество ошибок. Так что при автоматическом определении шаблона следует не полениться проверить, действительно ли это вирус и не будет ли этот шаблон встречаться в здоровых программах.

Если в процессе AVSP обнаружит известный вирус, то следует предпринять те же действия, как и при работе с Aidstest и Dr. Web: скопировать файл на диск, перезагрузиться с резервной дискеты и запустить AVSP. Желательно также, чтобы при этом в память был загружен драйвер AVSP.SYS, так как он помогает основной программе лечить Stealth-вирусы.

Ещё одной полезной функцией является встроенный дизассемблер . С его помощью можно разобраться, есть ли в файле вирус или при проверке диска произошло ложное срабатывание AVSP. Кроме того, можно попытаться выяснить способ заражения, принцип действия вируса, а также место, куда он «спрятал» замещённые байты файла (если мы имеем дело с таким типом вируса). Все это позволит написать процедуру удаления вируса и восстановить испорченные файлы. Ещё одна полезная функция - выдача наглядной карты изменений . Карта изменений позволяет оценить, соответствуют ли эти изменения вирусу или нет, а также сузить область поиска тела вируса при дизассемблировании.

В программе AVSP есть два алгоритма нейтрализации стелс-вирусов («невидимок») и оба они работают только при наличии активного вируса в памяти. Вот, что происходит при реализации этих алгоритмов: все файлы копируются в файлы данных, а потом стираются. Спасаются только файлы с атрибутом SYSTEM. В Adinf процесс удаления Stealth-ов реализован гораздо проще.

Программа AVSP контролирует также и состояние загрузочных секторов. Если заражен BOOT-сектор на дискете и антивирус не может его вылечить, то следует стереть загрузочный код. Дискета при этом станет несистемной, но данные при этом не потеряются. С винчестером так поступать нельзя. При обнаружении изменений в одном из BOOT-секторов жесткого диска AVSP предложит его сохранить в некотором файле, а затем попытается удалить вирус.

Microsoft Antivirus

В состав современных версий MS-DOS (например, 6.22) входит антивирусная программа Microsoft Antivirus (MSAV). Этот антивирус может работать в режимах детектора-доктора и ревизора. MSAV имеет интерфейс в стиле MS-Windows , естественно, поддерживается мышь. Хорошо реализована контекстная помощь: подсказка есть практически к любому пункту меню, к любой ситуации. Универсально реализован доступ к пунктам меню: для этого можно использовать клавиши управления курсором, ключевые клавиши (F1-F9), клавиши, соответствующие одной из букв названия пункта, а также мышь. Серьёзным неудобством при использовании программы является то, что она сохраняет таблицы с данными о файлах не в одном файле, а разбрасывает их по всем директориям.

При запуске программа загружает собственный знакогенератор и читает дерево каталогов текущего диска, после чего выходит в главное меню. Не понятно, зачем читать дерево каталогов сразу при запуске: ведь пользователь может и не захотеть проверять текущий диск.

При первой проверке MSAV создает в каждой директории, содержащей исполнимые файлы, файлы CHKLIST.MS, в которые записывает информацию о размере, дате, времени, атрибутах, а также контрольную сумму контролируемых файлов. При последующих проверках программа будет сравнивать файлы с информацией в CHKLIST.MS-файлах. Если изменились размер и дата, то программа сообщит об этом пользователю и запросит о дальнейших действиях: обновить информацию (Update), установить дату и время в соответствие с данными в CHKLIST.MS (Repair), продолжить, не обращая внимания на изменения в данном файле (Continue), прервать проверку (Stop).

В меню Options можно сконфигурировать программу по собственному желанию. Здесь можно установить режим поиска вирусов-невидимок (Anti-Stealth), проверки всех (а не только исполнимых) файлов (Check All Files), а также разрешить или запретить создавать таблицы CHKLIST.MS (Create New Checksums). К тому же можно задать режим сохранения отчета о проделанной работе в файле. Если установить опцию Create Backup, то перед удалением вируса из зараженного файла его копия будет сохранена с расширением VIR.

Находясь в основном меню, можно просмотреть список вирусов, известных программе MSAV, нажав клавишу F9. При этом выведется окно с названиями вирусов. Чтобы посмотреть более подробную информацию о вирусе, нужно подвести курсор к его имени и нажать ENTER. Можно быстро перейти к интересующему вирусу, набрав первые буквы его имени. Информацию о вирусе можно вывести на принтер, выбрав соответствующий пункт меню.

(Advanced Diskinfoscope)

ADinf относится к классу программ-ревизоров. Эта программа была создана Д.Ю. Мостовым в 1991 г.

Семейство программ ADinf - это ревизоры дисков, предназначенные для работы на персональных компьютерах под управлением операционных систем MS-DOS, MS-Windows 3.xx, Windows 95/98 и Windows NT/2000. Работа программ основана на регулярном отслеживании изменений, происходящих на жестких дисках. В случае появления вируса, ADinf обнаруживает его по тем модификациям, которые он выполняет в файловой системе и / или загрузочном секторе диска и информирует об этом пользователя. В отличие от антивирусов-сканеров, ADinf не использует в своей работе «портретов» (сигнатур) конкретных вирусов. Поэтому ADinf особенно эффективен для обнаружения новых вирусов, противоядие для которых еще не придумано.

Особенно следует отметить, что для контроля дисков ADinf не использует функции операционной системы. Он читает диск по секторам и самостоятельно разбирает структуру файловой системы, что позволяет ему обнаруживать так называемые вирусы-невидимки (стелс-вирусы).

Если в системе установлен лечащий блок Adinf (ADinf Cure Module ), то этот тандем способен не только обнаруживать, но и успешно удалять появившуюся заразу. Тестирование показало, что ADinf Cure Module способен успешно справиться с 97% вирусов, восстановив поврежденные файлы с точностью до байта.

Полезные свойства ADinf не ограничиваются только лишь борьбой с вирусами. По сути ADinf является системой, позволяющей следить за сохранностью информации на дисках и обнаруживать любые, даже малозаметные изменения в файловой системе, а именно, изменения системных областей, изменения файлов, создание и удаление каталогов, создание, удаление, переименование и перемещение файлов из каталога в каталог. Состав контролируемой информации гибко настраивается, что позволяет ставить под контроль только то, что нужно.

Первая версия программы вышла в 1991 году и с тех пор ADinf заслуженно является самым популярным ревизором в России и странах бывшего СССР. Сегодня уже трудно сосчитать число легальных и нелегальных пользователей ADinf. Более 2500 корпоративных подписчиков Антивирусного комплекта Диалог-Науки, в составе которого поставляется ADinf, защищают им свои компьютеры. Программа ADinf получила сертификаты в Системе сертификации ГОСТ Р., Системе сертификации средств защиты информации Министерства обороны и Сертификат Государственной технической комиссии при президенте Российской федерации (в составе Антивирусного комплекта Диалог-Науки). Программа постоянно совершенствуется и все время находится на острие современных технологий.

Изначально ревизор ADinf был разработан для операционной системы MS-DOS. Затем были выпущены варианты программы для Windows 3.xx и Windows 95/98/NT. Сейчас существует семейство совместимых между собой ревизоров для различных операционных систем. Все варианты ADinf сегодня поддерживают файловые системы Windows 95/98, длинные имена файлов и каталогов, разбирают внутреннюю структуру исполняемых файлов Windows 95/98 и NT.

Итак, программа Adinf:

имеет высокую скорость работы;

способна с успехом противостоять вирусам, находящимся в памяти;

позволяет контролировать диск, читая его по секторам через BIOS и не используя системные прерывания DOS, которые может перехватить вирус;

может обрабатывать до 32000 файлов на каждом диске;

в отличие от AVSP, в котором пользователю приходится самому анализировать, заражена ли машина Stealth-вирусом, загружаясь сначала с винчестера, а потом с эталонной дискеты, в ADinf эта операция происходит автоматически;

в отличие от других антивирусов Advansed Diskinfoscope не требует загрузки с эталонной, защищённой от записи дискеты. При загрузке с винчестера надежность защиты не уменьшается;

ADinf имеет хорошо выполненный дружественный интерфейс, который в отличие от AVSP реализован не в текстовом, а в графическом режиме;

при инсталляции ADinf в систему имеется возможность изменить имя основного файла ADINF.EXE и имя таблиц, при этом пользователь может задать любое имя. Это очень полезная функция, так как в последнее время появилось множество вирусов, «охотящихся» за антивирусами (например, есть вирус, который изменяет программу Aidstest так, что она вместо заставки фирмы «ДиалогНаука» пишет: «Лозинский - пень»), в том числе и за ADinf.

Существует несколько вариантов ревизора Adinf для различных операционных систем. Каждый из них имеет свои особенности.

Ревизор ADinf предназначен для операционных систем MS-DOS и Windows 95/98. Это развитие первого варианта ревизора, созданного еще в 1991 году. Сегодня ADinf это самое надежное средство для обнаружения как известных, так и новых неизвестных вирусов. Это единственный в мире ревизор, проверяющий файловую систему чтением по секторам напрямую через BIOS компьютера.

Ревизор ADinf for Windows предназначен для операционной системы Windows 3.xx. Ко всем свойствам ревизора ADinf этот вариант программы добавляет удобный графический интерфейс пользователя.

Ревизор ADinf Pro предназначен для контроля за сохранностью особо ценной информации, например баз данных или документов, в среде операционных систем MS-DOS, Windows 3.xx и Windows 95/98. Особенностью этого варианта программы является использование 64-битной хэш-функции для контроля целостности файлов, разработанной известной Российской фирмой ЛАН-Крипто. Использование этой хэш-функции гарантирует не только обнаружение случайных изменений файлов или изменений, вызванных вирусами, но и делает невозможным преднамеренную незаметную модификацию данных на диске.

Ревизор ADinf32 - это 32-битное многопоточное приложение для операционных систем Windows 95/98 и Windows NT с современным интерфейсом пользователя. Этот вариант программы не только обладает всеми достоинствами других вариантов, но и содержит много нового по сравнению с ними.

Следует заметить, что программа Adinf хорошо интегрирована с другими программами комплекта DSAV фирмы «Диалог-Наука». Так, Adinf создает список новых и измененных файлов на диске, а Aidstest и DrWeb могут проверять файлы из этого списка, что значительно сокращает время работы этих программ.

(AntiViral Toolkit Pro)

Данная программа была создана ЗАО «Лаборатория Касперского». AVP обладает одним из самых совершенных механизмов обнаружения вирусов. Сегодня AVP практически ни в чем не уступает западным аналогам.

AVP предоставляет пользователям максимум сервиса - возможность обновления антивирусных баз через Интернет, возможность задания параметров автоматического сканирования и лечения зараженных файлов. Обновления на сайте AVP появляются практически еженедельно, а база данных включает описания уже почти 40 тысяч вирусов.

AVP состоит из нескольких важных модулей:

• 1) AVP сканер проверяет жесткие диски на предмет заражения вирусами. Можно задать полный поиск, при котором программа будет проверять все файлы подряд, а также задать режим проверки архивированных файлов. Одно из главных преимуществ AVP - борьба с макровирусами . Пользователь может выбрать специальный режим, при котором будут проверяться документы, созданные в формате Microsoft Office. После обнаружения вирусов или зараженных файлов, AVP предлагает на выбор несколько вариантов: удалить вирусы из файлов, удалить сами зараженные файлы или переместить их в специальную папку.
• 2) AVP Monitor. Эта программа автоматически загружается при запуске Windows. AVP Monitor автоматически проверяет все запускаемые на компьютере файлы и открываемые документы и в случае вирусной атаки сигнализирует об этом пользователю. Более того, в большинстве случаев AVP Monitor просто не дает зараженному файлу запуститься, блокируя процесс его выполнения. Эта функция программы очень полезна для тех, кто постоянно имеет дело со множеством новых файлов, например, для активных пользователей Интернет (т.к. каждые пять минут запускать AVP для проверки скачанных файлов невозможно, то здесь на помощь приходит AVP Monitor).
• 3) AVP Inspector - последний и очень важный модуль комплекта AVP, позволяющий отлавливать даже неизвестные вирусы. «Инспектор» использует метод контроля изменения размера файлов. Внедряясь в файл, вирус неизбежно увеличивает его объем, и «инспектор» легко его обнаруживает.

Кроме всего перечисленного существует так называемый Центр Управления AVP - «пульт управления» всеми программами комплекса AVP. Самая важная функция этой программы - встроенный Планировщик Задач, позволяющий осуществлять оперативную проверку (а если понадобится - и лечение системы) в автоматическом режиме, без участия пользователя, но в заданное им время.

Основные методы определения вирусов

нтивирусные программы развивались параллельно с эволюцией вирусов. По мере того как появлялись новые технологии создания вирусов, усложнялся и математический аппарат, который использовался в разработке антивирусов.

Первые антивирусные алгоритмы строились на основе сравнения с эталоном. Речь идет о программах, в которых вирус определяется классическим ядром по некоторой маске. Смысл алгоритма заключается в использовании статистических методов. Маска должна быть, с одной стороны, маленькой, чтобы объем файла был приемлемых размеров, а с другой — достаточно большой, чтобы избежать ложных срабатываний (когда «свой» воспринимается как «чужой», и наоборот).

Первые антивирусные программы, построенные по этому принципу (так называемые сканеры-полифаги), знали некоторое количество вирусов и умели их лечить. Создавались эти программы следующим образом: разработчик, получив код вируса (код вируса поначалу был статичен), составлял по этому коду уникальную маску (последовательность 10-15 байт) и вносил ее в базу данных антивирусной программы. Антивирусная программа сканировала файлы и, если находила данную последовательность байтов, делала заключение о том, что файл инфицирован. Данная последовательность (сигнатура) выбиралась таким образом, чтобы она была уникальной и не встречалась в обычном наборе данных.

Описанные подходы использовались большинством антивирусных программ вплоть до середины 90-х годов, когда появились первые полиморфные вирусы, которые изменяли свое тело по непредсказуемым заранее алгоритмам. Тогда сигнатурный метод был дополнен так называемым эмулятором процессора, позволяющим находить шифрующиеся и полиморфные вирусы, не имеющие в явном виде постоянной сигнатуры.

Принцип эмуляции процессора демонстрируется на рис. 1 . Если обычно условная цепочка состоит из трех основных элементов: ЦПУ®ОС®Программа, то при эмуляции процессора в такую цепочку добавляется эмулятор. Эмулятор как бы воспроизводит работу программы в некотором виртуальном пространстве и реконструирует ее оригинальное содержимое. Эмулятор всегда способен прервать выполнение программы, контролирует ее действия, не давая ничего испортить, и вызывает антивирусное сканирующее ядро.

Второй механизм, появившийся в середине 90-х годов и использующийся всеми антивирусами, — это эвристический анализ. Дело в том, что аппарат эмуляции процессора, который позволяет получить выжимку действий, совершаемых анализируемой программой, не всегда дает возможность осуществлять поиск по этим действиям, но позволяет произвести некоторый анализ и выдвинуть гипотезу типа «вирус или не вирус?».

В данном случае принятие решения основывается на статистических подходах. А соответствующая программа называется эвристическим анализатором.

Для того чтобы размножаться, вирус должен совершать какие-либо конкретные действия: копирование в память, запись в сектора и т.д. Эвристический анализатор (он является частью антивирусного ядра) содержит список таких действий, просматривает выполняемый код программы, определяет, что она делает, и на основе этого принимает решение, является данная программа вирусом или нет.

При этом процент пропуска вируса, даже неизвестного антивирусной программе, очень мал. Данная технология сейчас широко используется во всех антивирусных программах.

Классификация антивирусных программ

лассифицируются антивирусные программы на чистые антивирусы и антивирусы двойного назначения (рис. 2).

Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Чистые антивирусы, в свою очередь, по типу доступа к файлам подразделяются на две категории: осуществляющие контроль по доступу (on access) или по требованию пользователя (on demand). Обычно on access-продукты называют мониторами, а on demand-продукты - сканерами.

Оn demand-продукт работает по следующей схеме: пользователь хочет что-либо проверить и выдает запрос (demand), после чего осуществляется проверка. On access-продукт — это резидентная программа, которая отслеживает доступ и в момент доступа осуществляет проверку.

Кроме того, антивирусные программы, так же как и вирусы, можно разделить в зависимости от платформы, внутри которой данный антивирус работает. В этом смысле наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Программы двойного назначения - это программы, используемые как в антивирусах, так и в ПО, которое антивирусом не является. Например, CRC-checker - ревизор изменений на основе контрольных сумм - может использоваться не только для ловли вирусов. Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их. От классического антивируса с антивирусным ядром, распознающего и лечащего от вирусов, которые анализировались в лаборатории и которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов они не умеют, поскольку ничего о них не знают. Данное свойство блокираторов позволяет им работать с любыми вирусами, в том числе и с неизвестными. Это сегодня приобретает особую актуальность, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.

Обзор наиболее популярных персональных антивирусов

Обзор вошли наиболее популярные антивирусы для персонального использования от пяти известных разработчиков. Следует отметить, что некоторые из рассмотренных ниже компаний предлагают несколько версий персональных программ, различающихся по функциональности и соответственно по цене. В нашем обзоре мы рассмотрели по одному продукту от каждой компании, выбрав наиболее функциональную версию, которая, как правило, носит название Personal Pro. Другие варианты персональных антивирусов можно найти на соответствующих сайтах.

Антивирус Касперского

Personal Pro v. 4.0

Разработчик: «Лаборатория Касперского». Web-сайт: http://www.kaspersky.ru/ . Цена 69 долл. (лицензия на 1 год).

Антивирус Касперского Personal Pro (рис. 3) — одно из наиболее популярных решений на российском рынке и содержит целый ряд уникальных технологий.

Поведенческий блокиратор модуль Office Guard держит под контролем выполнение макросов, пресекая все подозрительные действия. Наличие модуля Office Guard дает стопроцентную защиту от макровирусов.

Ревизор Inspector отслеживает все изменения в вашем компьютере и при обнаружении несанкционированных изменений в файлах или в системном реестре позволяет восстановить содержимое диска и удалить вредоносные коды. Inspector не требует обновлений антивирусной базы: контроль целостности осуществляется на основе снятия оригинальных отпечатков файлов (CRC-сумм) и их последующего сравнения с измененными файлами. В отличие от других ревизоров, Inspector поддерживает все наиболее популярные форматы исполняемых файлов.

Эвристический анализатор дает возможность защитить компьютер даже от неизвестных вирусов.

Фоновый перехватчик вирусов Monitor, постоянно присутствующий в памяти компьютера, проводит антивирусную проверку всех файлов непосредственно в момент их запуска, создания или копирования, что позволяет контролировать все файловые операции и предотвращать заражение даже самыми технологически совершенными вирусами.

Антивирусная фильтрация электронной почты предотвращает возможность проникновения вирусов на компьютер. Встраиваемый модуль Mail Checker не только удаляет вирусы из тела письма, но и полностью восстанавливает оригинальное содержимое электронных писем. Комплексная проверка почтовой корреспонденции не позволяет вирусу укрыться ни в одном из элементов электронного письма за счет проверки всех участков входящих и исходящих сообщений, включая прикрепленные файлы (в том числе архивированные и упакованные) и другие сообщения любого уровня вложенности.

Антивирусный сканер Scanner дает возможность проводить полномасштабную проверку всего содержимого локальных и сетевых дисков по требованию.

Перехватчик скрипт-вирусов Script Checker обеспечивает антивирусную проверку всех запускаемых скриптов до того, как они будут выполнены.

Поддержка архивированных и компрессированных файлов обеспечивает возможность удаления вредоносного кода из зараженного компрессированного файла.

Изоляция инфицированных объектов обеспечивает изоляцию зараженных и подозрительных объектов с последующим их перемещением в специально организованную директорию для дальнейшего анализа и восстановления.

Автоматизация антивирусной защиты позволяет создавать расписание и порядок работы компонентов программы; автоматически загружать и подключать новые обновления антивирусной базы через Интернет; рассылать предупреждения об обнаруженных вирусных атаках по электронной почте и т.д.

Norton AntiVirus 2003 Professional Edition

Разработчик: Компания Symantec. Web-сайт: http://www.symantec.ru/ .

Цена 89,95 евро.

Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

Цена 39,95 долл.

Программа работает под управлением Windows 95/98/Me/NT4.0/2000 Pro/XP.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Классификация антивирусов

Антивирус -- программный пакет, специально разработанный для защиты, перехвата и удаления компьютерных вирусов и прочих вредоносных программ.

Современные антивирусные программы способны эффективно обнаруживать вредоносные объекты внутри файлов программ и документов. В некоторых случаях антивирус может удалить тело вредоносного объекта из зараженного файла, восстановив сам файл. В большинстве случаев антивирус способен удалить вредоносный программный объект не только из программного файла, но и из файла офисного документа, не нарушив его целостность. Использование антивирусных программ не требует высокой квалификации и доступно практически любому пользователю компьютера. В настоящее время большинство ведущих антивирусных программ сочетает в себе функции постоянной защиты (антивирусный монитор) и функции защиты по требованию пользователя (антивирусный сканер).

Классификация антивирусов

В настоящее время не существует единой системы классификации антивирусных программ.

Классификация антивирусов по режиму работы

В Лаборатории Касперского классифицируют антивирусы по режиму работы:

Проверка в режиме реального времени

Проверка в режиме реального времени, или постоянная проверка, обеспечивает непрерывность работы антивирусной защиты. Это реализуется с помощью обязательной проверки всех действий, совершаемых другими программами и самим пользователем, на предмет вредоносности, вне зависимости от их исходного расположения - будь это свой жесткий диск, внешние носители информации, другие сетевые ресурсы или собственная оперативная память. Также проверке подвергаются все косвенные действия через третьи программы.

Проверка по требованию

В некоторых случаях наличия постоянно работающей проверки в режиме реального времени может быть недостаточно. Возможна ситуация, когда на компьютер был скопирован зараженный файл, исключенный из постоянной проверки ввиду больших размеров и, следовательно, вирус в нем обнаружен не был. Если этот файл на рассматриваемом компьютере запускаться не будет, то вирус может остаться незамеченным и проявить себя только после пересылки его на другой компьютер.

Для такого режима обычно предполагается, что пользователь лично укажет какие файлы, каталоги или области диска необходимо проверить и время, когда нужно произвести такую проверку - в виде расписания или разового запуска вручную.

Классификация антивирусов по типу

Также антивирусные программы можно классифицировать по типу:

Сканеры (другие названия: фаги, полифаги)

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые "маски". Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски, или длина этой маски недостаточно велика, то используются другие методы. Примером такого метода является алгоритмический язык, описывающий все возможные варианты кода, которые могут встретиться при заражении подобного типа вирусом. Такой подход используется некоторыми антивирусами для детектирования полиморфик-вирусов.

Во многих сканерах используются также алгоритмы "эвристического сканирования", т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие решения для каждого проверяемого объекта.

Сканеры также можно разделить на две категории - "универсальные" и "специализированные". Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например макро-вирусов.

Сканеры также делятся на "резидентные" (мониторы), производящие сканирование "на лету", и "нерезидентные", обеспечивающие проверку системы. Данные сравниваются с данными. Таким образом, для того чтобы найти вирус в своем компьютере, нужно, чтобы он уже "сработал", чтобы появились последствия его деятельности. Этим способом можно найти только известные вирусы, для которых заранее описаны фрагменты кода или сигнатуры. Вряд ли такую защиту можно назвать надежной.

Анализ процессов

вирус программа компьютерный вредоносный

Несколько по-иному работают антивирусные средства, основанные на анализе процессов. "Эвристические анализаторы", так же как и вышеописанные, анализируют данные (на диске, в канале, в памяти и т.п.). Принципиальное отличие состоит в том, что анализ проводится в предположении, что анализируемый код - это не данные, а команды (в компьютерах с фон-неймановской архитектурой данные и команды неразличимы, в связи с этим при анализе и приходится выдвигать то или иное предположение.)

"Эвристический анализатор" выделяет последовательность операций, каждой из них присваивает некоторую оценку "опасности" и по совокупности "опасности" принимает решение о том, является ли данная последовательность операций частью вредоносного кода. Сам код при этом не выполняется.

Другим видом антивирусных средств, основанных на анализе процессов, являются "поведенческие блокираторы". В этом случае подозрительный код выполняется поэтапно до тех пор, пока совокупность инициируемых кодом действий не будет оценена как "опасное" (либо "безопасное") поведение. Код при этом выполняется частично, так как завершение вредоносного кода можно будет обнаружить более простыми методами анализа данных.

Технологии обнаружения вирусов

Технологии, применяемые в антивирусах, можно разбить на две группы:

Технологии сигнатурного анализа

Сигнатурный анализ - метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов. Сигнатурный анализ является наиболее известным методом обнаружения вирусов и используется практически во всех современных антивирусах. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе.

Ввиду того, что сигнатурный анализ предполагает проверку файлов на наличие сигнатур вирусов, антивирусная база нуждается в периодическом обновлении для поддержания актуальности антивируса. Сам принцип работы сигнатурного анализа также определяет границы его функциональности - возможность обнаруживать лишь уже известные вирусы - против новых вирусов сигнатурный сканер бессилен.

С другой стороны, наличие сигнатур вирусов предполагает возможность лечения инфицированных файлов, обнаруженных при помощи сигнатурного анализа. Однако, лечение допустимо не для всех вирусов - трояны и большинство червей не поддаются лечению по своим конструктивным особенностям, поскольку являются цельными модулями, созданными для нанесения ущерба.

Грамотная реализация вирусной сигнатуры позволяет обнаруживать известные вирусы со стопроцентной вероятностью.

Технологии вероятностного анализа

Технологии вероятностного анализа в свою очередь подразделяются на три категории:

Эвристический анализ

Поведенческий анализ

Анализ контрольных сумм

Эвристический анализ - технология, основанная на вероятностных алгоритмах, результатом работы которых является выявление подозрительных объектов. В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Наиболее популярной эвристической технологией является проверка содержимого файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы.

Эвристический анализ применяется для обнаружения неизвестных вирусов, и, как следствие, не предполагает срабатываниями.

Поведенческий анализ - технология, в которой решение о характере проверяемого объекта принимается на основе анализа выполняемых им операций. Поведенческий анализ весьма узко применим на практике, так как большинство действий, характерных для вирусов, могут выполняться и обычными приложениями. Наибольшую известность получили поведенческие анализаторы скриптов и макросов, поскольку соответствующие вирусы практически всегда выполняют ряд однотипных действий.

Средства защиты, вшиваемые в BIOS, также можно отнести к поведенческим анализаторам. При попытке внести изменения в MBR компьютера, анализатор блокирует действие и выводит соответствующее уведомление пользователю.

Помимо этого поведенческие анализаторы могут отслеживать попытки прямого доступа к файлам, внесение изменений в загрузочную запись дискет, форматирование жестких дисков и т. д.

Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам и, как следствие, неспособны различать известные и неизвестные вирусы - все подозрительные программы априори считаются неизвестными вирусами. Аналогично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения.

Анализ контрольных сумм - это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений - одновременность, массовость, идентичные изменения длин файлов - можно делать вывод о заражении системы. Анализаторы контрольных сумм (также используется название "ревизоры изменений") как и поведенческие анализаторы не используют в работе дополнительные объекты и выдают вердикт о наличии вируса в системе исключительно методом экспертной оценки. Подобные технологии применяются в сканерах при доступе - при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.

Антивирусный комплекс -- набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз.

Помимо этого антивирусный комплекс дополнительно может включать в себя поведенческие анализаторы и ревизоры изменений, которые не используют антивирусное ядро.

Выделяют следующие типы антивирусных комплексов:

Антивирусный комплекс для защиты рабочих станций

Антивирусный комплекс для защиты файловых серверов

Антивирусный комплекс для защиты почтовых систем

Антивирусный комплекс для защиты шлюзов.

Размещено на Allbest.ru

Подобные документы

Понятие и классификация компьютерных вирусов. Основные методы защиты информации от вирусов. Обзор современных программных средств для безопасной работы компьютера. Классификация антивирусов. Kaspersky Antivirus, Norton Antivirus, Dr.Weber, Eset NOD32.

курсовая работа , добавлен 26.10.2015


Основные задачи антивирусов и средства антивирусной защиты персонального компьютера. Механизм работы вирусов и способы их распространения. Методы и технологии защиты от вредоносных программ. Общие требования безопасности при работе за компьютером.

реферат , добавлен 22.09.2016


Исследование истории компьютерных вирусов и антивирусов. Изучение основных путей проникновения вредоносных программ в компьютер. Виды вирусных и антивирусных программ. Характеристика особенностей сигнатурных и эвристических методов антивирусной защиты.

реферат , добавлен 08.10.2014


Основные способы защиты от компьютерных вирусов. Основные признаки проявления вирусов: прекращение работы программ, медленная работа компьютера, изменение размеров, даты и времени файлов. Пути возникновения вирусов. Характеристика известных антивирусов.

презентация , добавлен 02.12.2011


Феномен компьютерных вирусов. Классификация компьютерных вирусов. Типы антивирусов. Как и от чего защищать ПК. Борьба с атаками хакеров. Бесплатные антивирусные веб-сервисы. Основы безопасности при работе в Интернете. Действия при попадании вируса.

реферат , добавлен 08.10.2008


Понятие и механизм действия компьютерных вирусов, определение их опасности для сохранности данных, меры предотвращения негативного воздействия. Классификация программ-антивирусов, их системные требования и условия эффективной, бесперебойной работы.

дипломная работа , добавлен 17.07.2010


Особенности антивирусных программ (антивирусов) - компьютерных программ, предназначенных для обезвреживания вирусов и различного рода вредоносного ПО, с целью сохранности данных и оптимальной работы ПК. Классификация и примеры антивирусных программ.

реферат , добавлен 26.03.2010


Применение антивирусов для эффективного обнаружения вирусов на компьютере и их обезвреживания. Признаки заражения вирусами. Явные проявления троянских программ: изменение настроек браузера, всплывающие сообщения, несанкционированный дозвон в Интернет.

лабораторная работа , добавлен 13.09.2013


Понятие и классификация компьютерных вирусов. Методы защиты от вредоносных программ, их разновидности. Признаки заражения компьютера вирусом. Проблема защиты информации. Работа с приложениями пакета MS Office. Анализ файловых вирусов, хакерских утилит.

курсовая работа , добавлен 12.01.2015


Программы для поиска компьютерных вирусов, похожих на известные и выполняющих подозрительные действия. Модуль обновления, планирования и управления. Настройка параметров антивирусных модулей, обновлений, периодического запуска обновления и проверки.

Евгений Касперский в 1992 году использовал следующую классификацию антивирусов в зависимости от их принципа действия (определяющего функциональность):

1. Сканеры (устаревший вариант - «полифаги») - определяют наличие вируса по базе сигнатур, хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективность определяется актуальностью вирусной базы и наличием эвристического анализатора (см.: Эвристическое сканирование).

2. Ревизоры (класс, близкий к IDS) - запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений.

3. Сторожа (мониторы) - отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.

4. Вакцины - изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл заражённым. В современных (2007 год) условиях, когда количество возможных вирусов измеряется сотнями тысяч, этот подход неприменим.

Современные антивирусы сочетают все вышесказанные функции.

Антивирусы так же можно разделить на:

1. Продукты для домашних пользователей:

2. Собственно антивирусы;

3. Комбинированные продукты (например, к классическому антивирусу добавлен антиспам, файрвол, антируткит и т. д.);

4. Корпоративные продукты:

5. Серверные антивирусы;

6. Антивирусы на рабочих станциях («endpoint»).

Антивирусы на SIM, флэш-картах и USB устройствах

Выпускаемые сегодня мобильные телефоны обладают широким спектром интерфейсов и возможностями передачи данных. Потребителям следует тщательно изучить методы защиты прежде, чем подсоединять какие-либо небольшие устройства.

Такие методы защиты, как аппаратные, возможно, антивирусы на USB устройствах или на SIM, больше подойдут потребителям мобильных телефонов. Техническая оценка и обзор того, как установить антивирусную программу на сотовый мобильный телефон, должны рассматриваться, как процесс сканирования, который может повлиять на другие легальные приложения на этом телефоне.

Антивирусные программы на SIM с антивирусом, встроенным в зону памяти небольшой емкости, обеспечивают борьбу с вредоносным ПО/вирусами, защищая PIN и информацию пользователя телефона. Антивирусы на флэш-картах дают пользователю возможность обмениваться информацией и использовать эти продукты с различными аппаратными устройствами, а также отправлять эти данные на другие устройства, используя различные каналы связи.

Антивирусы, мобильные устройства и инновационные решения

В будущем возможно заражение мобильных телефонов вирусом. Все больше разработчиков этой области предлагают антивирусные программы для борьбы с вирусами и защиты мобильных телефонов. В мобильных устройствах есть следующие виды борьбы с вирусами.