Зміст
Введення
1. Комп'ютерні віруси
1.1 Що таке комп'ютерний вірус?
1.2 Ознаки появи вірусів
1.3 Класифікація вірусів
1.4 Основні заходи щодо захисту від вірусів
2. Антивірусні засоби
2.1 Способи протидії комп'ютерним вірусам
2.1.1 Антивірусні програми
2.1.1.1 Вимоги до антивірусних програм
2.1.1.2 Характеристика антивірусних програм
2.1.1.3 Методики антивірусних програм
2.1.1.4 Короткий огляд антивірусних програм
AVSP
AVP
2.1.2 Відновлення уражених об'єктів
2.1.3 Антивірусна профілактика
2.1.4 Порівняльний аналіз антивірусних засобів
Висновок
Література
Введення
У цій роботі розглянута проблема боротьби з комп'ютерними вірусами, якою займаються антивірусні програми. Серед набору програм, використовуваного більшістю користувачів персональних комп'ютерів кожен день, антивірусні програми традиційно займають особливе місце. Ці "ліки" комп'ютерного світу для програм і даних в реальному світі можна порівняти, мабуть, або з аспірином, або з контрацептіком. Причому всі "в одному флаконі". У реальному житті - неможлива суміш. Але сучасні антивірусні програми являють собою багатофункціональні продукти, що поєднують в собі як превентивні, профілактичні засоби, так і засоби лікування вірусів і відновлення даних.
Метою курсової роботи став порівняльний аналіз сучасних антивірусних засобів. Проблема розробки порівняльного аналізу сучасних антивірусних засобів є дуже актуальною. Це пов'язано з тим, що в даний час з'явилася дуже велика кількість нових вірусів, з якими можуть боротися не всі антивірусні програми. Причому серед антивірусних програм є й такі, які не виявляють навіть найпростіші віруси.
Вимоги до антивірусних програм досить суперечливі. З одного боку, користувачі хочуть мати надійну, потужну антивірусний захист. З іншого боку, вони хочуть, щоб цей захист не вимагала від користувача багато часу і сил. І це цілком природні вимоги.
При цьому не можна ні на мить відставати від загального розвитку комп'ютерного світу. Кожен рік приносить нові технології, в тому числі, і в світі комп'ютерних вірусів. Всі ці "новинки" змушують постійно вдосконалювати антивірусні програми. До певної міри боротьба з комп'ютерними вірусами дуже схожа на одвічну боротьбу броні і снаряда. І в найближчому майбутньому ця боротьба навряд чи припиниться. Але нічого страшного в цьому немає. Користувачу важливо лише не забувати про загрозу комп'ютерних вірусів, і приймати для захисту від них заходів, які не потребують в принципі великих зусиль або спеціальних знань. Досить проводити регулярне резервне копіювання важливих даних і користуватися сучасними антивірусними програмами.
Порівняльний аналіз, допоможе нам зрозуміти, які з антивірусних програм краще використовувати, щоб вберегти свій комп'ютер від вірусів.
Ця курсова робота складається з двох розділів, що включають в себе кожен кілька параграфів і підпунктів.
У першому розділі наведена теоретична частина з того, що являє собою комп'ютерний вірус, подано класифікацію всіляких вірусів, а також ознаки появи вірусів і заходи, які застосовуються для захисту від них.
У другому розділі розповідається про способи протидії комп'ютерним вірусам, а також наводитися порівняльна характеристика сучасних антивірусних програм.
У висновку підводяться підсумки за результатами проведеного дослідження і робляться висновки з приводу отриманих результатів.
Комп'ютерні віруси
З проблемою комп'ютерних вірусів та їх можливостей пов'язано, напевно, найбільше число легенд і перебільшень. Багато людей, а іноді й цілі організації панічно боятися зараження своїх машин. Насправді все не так страшно. Щоб не заразити свої комп'ютери, досить дотримуватися лише невелике число елементарних правил, але дотримуватися їх неухильно.
Що таке комп'ютерний вірус?
У загальному випадку комп'ютерний вірус - це невелика програма, яка приписує себе в кінець виконуваних файлів, «драйверів», або «поселяється» в завантажувальному секторі диска. При запуску заражених програм і драйверів спочатку відбувається виконання вірусу, а вже потім управління передається самій програмі. Якщо ж вірус «оселився» у завантажувальному секторі, то його активізація відбувається в момент завантаження операційної системи з такого диска. У той момент, коли управління належить вірусу, зазвичай виконуються різні неприємні для користувача, але необхідні для продовження життя даного вірусу дії. Це перебування та зараження інших програм, псування даних і т.д. Вірус може також залишитися в пам'яті резидентної і продовжувати шкодити до перезавантаження комп'ютера. Після закінчення роботи вірусу управління передається зараженій програмі, яка зазвичай працює «як ні в чому не бувало», маскуючи тим самим наявність в системі вірусу. На жаль, дуже часто вірус виявляється занадто пізно, коли більшість програм вже заражено. У цих випадках втрати від зловмисних дій вірусу можуть бути дуже великі.
Останнім часом з'явилися так звані макровіруси. Вони передаються разом з документами, в яких передбачено виконання макрокоманд (наприклад, документи текстового редактора Word), звідси і їх назва. Макровіруси представляють собою дії, які наказують переносити тіло вірусу в інші документи. і, по можливості, здійснювати різні шкідливі дії. Найбільшого поширення в даний час набули макровіруси, що заражають документи текстового редактора Word 6.0/7.0 для Windows та табличного редактора Excel 5.0/7.0 для Windows.
1.2 Ознаки появи вірусів
Для маскування вірусу його дії по зараженню інших програм і нанесення шкоди можуть виконуватися не завжди, а при виконанні будь-яких умов. Після того як вірус виконає потрібні йому дії, він передає управління тій програмі, в якій він знаходиться, і її робота деякий час не відрізняється від роботи незараженою. Всі дії вірусу можуть виконуватися досить швидко і без будь-яких повідомлень, тому користувач часто не помічає, що комп'ютер працює з "дивацтвами". До ознак появи вірусу можна віднести:
• уповільнення роботи комп'ютера;
• неможливість завантаження операційної системи;
• часті «зависання» і збої в роботі комп'ютера;
• припинення роботи або неправильна робота раніше успішно функціонуючих програм;
• збільшення кількості файлів на диску;
• зміна розмірів файлів;
• періодична поява на екрані монітора недоречних системних повідомлень;
• зменшення обсягу вільної оперативної пам'яті;
• помітне зростання часу доступу до жорсткого диска;
• зміна дати і часу створення файлів;
• руйнування файлової структури (зникнення файлів, перекручування каталогів тощо);
• загоряння сигнальної лампочки дисковода, коли до нього
немає звернення.
Треба зауважити, що названі симптоми необов'язково викликаються комп'ютерними вірусами, вони можуть бути наслідком інших причин, тому комп'ютер слід періодично діагностувати.
1.3 Класифікація вірусів
Відомі програмні віруси можна класифікувати за такими ознаками:
середовищі існування
способу зараження довкілля
впливу
особливостями алгоритму
У залежності від середовища перебування віруси можна розділити на:
мережеві
файлові
завантажувальні
файлово-завантажувальні.
Мережні віруси поширюються по різних комп'ютерних мереж.
Файлові віруси впроваджуються головним чином у виконавчі модулі, тобто у файли, що мають розширення COM та EXE. Вони можуть впроваджуватися й інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не одержують управління і, отже, втрачають здатність до розмноження.
Завантажувальні віруси впроваджуються в завантажувальний сектор диска (Boot-сектор) або в сектор, що містить програму завантаження системного диска (Master Boot Record).
Файлово-завантажувальні віруси заражають як файли, так і завантажувальні сектори дисків.
За способом зараження віруси поділяються на:
резидентні
нерезидентні.
Резидентний вірус при зараженні (інфікуванні) комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення ОС до об'єктів зараження (файлів, завантажувальних секторів дисків і т. п.) і впроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до вимикання або перезавантаження комп'ютера.
Нерезидентні віруси не заражають пам'ять комп'ютера і є активними обмежений час.
За ступенем впливу віруси можна розділити на такі види:
безпечні, не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті і пам'яті на дисках, дії таких вірусів виявляються в яких-небудь графічних або звукових ефектах
небезпечні віруси, які можуть призвести до різних порушень в роботі комп'ютера
дуже небезпечні, вплив яких може привести до втрати програм, знищення даних, стирання інформації в системних областях диска.
За особливостями алгоритму віруси важко класифікувати за великої різноманітності. Найпростіші віруси - паразитичні, вони змінюють вміст файлів і секторів диска і можуть бути досить легко виявлені і знищені. У іруси-станції, звані хробаками, які поширюються по комп'ютерних мережах, обчислюють адреси мережних комп'ютерів і записують за цими адресами свої копії. Віруси-невидимки, звані стелс-вірусами, які дуже важко виявити і знешкодити, так як вони перехоплюють звертання операційної системи до уражених файлів і секторів дисків і підставляють замість свого тіла незаражені ділянки диска. Найбільш важко знайти віруси-мутанти (поліморфні віруси), що містять алгоритми шифрування-розшифрування, завдяки яким копії одного і того ж вірусу не мають ні одного повторюється ланцюжка байтів. Є й так звані квазівірусние або «троянські» програми, які хоча і не здатні до самопоширення, але дуже небезпечні, тому що, маскуючись під корисну програму, руйнують завантажувальний сектор і файлову систему дисків.
1.4 Основні заходи щодо захисту від вірусів
Для того щоб не піддати комп'ютер зараженню вірусами і забезпечити надійне зберігання інформації на дисках, необхідно дотримуватися таких правил:
оснастити комп'ютер сучасними антивірусними програмами, наприклад NOD 32, Doctor Web, і постійно оновлювати їх версії
перед зчитуванням з дискет інформації, записаної на інших комп'ютерах, завжди перевіряти ці дискети на наявність вірусів, запускаючи антивірусні програми
при перенесенні на комп'ютер файлів в архивированном вигляді перевіряти їх відразу ж після розархівації на жорсткому диску, обмежуючи область перевірки тільки знову записаними файлами
періодично перевіряти на наявність вірусів жорсткі диски комп'ютера, запускаючи антивірусні програми для тестування файлів, пам'яті і системних областей дисків із захищеної від запису дискети, попередньо завантаживши операційну систему на захищених від запису системної дискети
завжди захищати дискети від запису при роботі на інших комп'ютерах, якщо на них не буде проводиться запис інформації
обов'язково робити архівні копії на дискетах цінної інформації
не залишати в кишені дисководу А дискети при включенні або перезавантаженні операційної системи, щоб виключити зараження комп'ютера завантажувальними вірусами
використовувати антивірусні програми для вхідного контролю усіх виконуваних файлів, одержуваних з комп'ютерних мереж.
2. Антивірусні засоби
2.1 Способи протидії комп'ютерним вірусам
Способи протидії комп'ютерним вірусам можна розділити на кілька груп: профілактика вірусного зараження і зменшення можливої шкоди від такої зараження; методика використання антивірусних програм, в тому числі знешкодження і видалення відомого вірусу; способи виявлення і видалення невідомого вірусу.
Найбільш ефективні в боротьбі з комп'ютерними вірусами антивірусні програми. Проте відразу хотілося б відзначити, що не існує антивірусів, що гарантують стовідсоткову захист від вірусів, і заяви про існування таких систем можна розцінити як або недобросовісну рекламу, або непрофесіоналізм. Таких систем не існує, оскільки на будь-який алгоритм антивіруса завжди можна запропонувати контр-алгоритм вірусу, невидимого для цього антивіруса (зворотне, на щастя, теж вірно: на будь-який алгоритм вірусу завжди можна створити антивірус).
Слід також звернути увагу на кілька термінів, що застосовуються при обговоренні антивірусних програм:
«Хибна спрацьовування» (False positive) - детектування вірусу в незараженою об'єкті (файлі, секторі або системної пам'яті). Зворотний термін - «False negative», тобто недетектірованіе вірусу в зараженому об'єкті.
«Сканування за запитом» («on-demand») - пошук вірусів по запиту користувача. У цьому режимі антивірусна програма неактивна до тих пір, поки не буде викликана користувачем з командного рядка, командного файлу або програми-розкладу (system scheduler).
«Сканування на-льоту» («real-time», «on-the-fly») - постійна перевірка на віруси об'єктів, до яких відбувається звертання (запуск, відкриття, створення і т.п.). У цьому режимі антивірус постійно активний, він присутній у пам'яті «резидентно» і перевіряє об'єкти без запиту користувача.
2.1.1 Антивірусні програми
Для виявлення, видалення і захисту від комп'ютерних вірусів розроблені спеціальні програми, які дозволяють виявляти і знищувати віруси. Такі програми називаються антивірусними. Сучасні антивірусні програми являють собою багатофункціональні продукти, що поєднують в собі як превентивні, профілактичні засоби, так і засоби лікування вірусів і відновлення даних.
2.1.1.1 Вимоги до антивірусних програм
Кількість і різноманітність вірусів велике, і щоб їх швидко і ефективно виявити, антивірусна програма повинна відповідати деяким параметрам.
Стабільність і надійність роботи. Цей параметр, без сумніву, є визначальним - навіть найкращий антивірус виявиться абсолютно марним, якщо він не зможе нормально функціонувати на вашому комп'ютері, якщо в результаті будь-якого збою в роботі програми процес перевірки комп'ютера не пройде до кінця. Тоді завжди є ймовірність того, що якісь заражені файли залишилися непоміченими.
Розміри вірусної бази програми (кількість вірусів, які правильно визначаються програмою). З урахуванням постійної появи нових вірусів база даних повинна регулярно оновлюватися - що толку від програми, не бачить половину нових вірусів і, як наслідок, створює помилкове відчуття "чистоти" комп'ютера. Сюди ж слід віднести і можливість програми визначати різноманітні типи вірусів, і вміння працювати з файлами різних типів (архіви, документи). Важливим також є наявність резидентного монітора, що здійснює перевірку всіх нових файлів "на льоту" (тобто автоматично, у міру їх запису на диск).
Швидкість роботи програми, наявність додаткових можливостей типу алгоритмів визначення навіть невідомих програмі вірусів (евристичне сканування). Сюди ж слід віднести можливість відновлювати заражені файли, не стираючи їх з жорсткого диска, а лише видаливши з них віруси. Важливим є також відсоток помилкових спрацьовувань програми (помилкове визначення вірусу в "чистому" файлі).
Багатоплатформність (наявність версій програми під різні операційні системи). Звичайно, якщо антивірус використовується тільки вдома, на одному комп'ютері, то цей параметр не має великого значення. Але ось антивірус для великої організації просто зобов'язаний підтримувати всі розповсюджені операційні системи. Крім того, при роботі в мережі важливим є наявність серверних функцій, призначених для адміністративної роботи, а також можливість роботи з різними видами серверів.
2.1.1.2 Характеристика антивірусних програм
Антивірусні програми поділяються на:
програми-детектори
програми-доктори
програми-ревізори
програми-фільтри
програми-вакцини.
Програми-детектори забезпечують пошук і виявлення вірусів в оперативній пам'яті і на зовнішніх носіях, і при виявленні видають відповідне повідомлення. Розрізняють детектори універсальні і спеціалізовані.
Універсальні детектори в своїй роботі використовують перевірку незмінності файлів шляхом підрахунку та порівняння з еталоном контрольної суми. Недолік універсальних детекторів пов'язаний з неможливістю визначення причин викривлення файлів.
Спеціалізовані детектори здійснюють пошук відомих вірусів по їх сигнатурі (повторюваному ділянці коду). Недолік таких детекторів полягає в тому, що вони нездатні виявляти всі відомі віруси.
Детектор, що дозволяє виявляти кілька вірусів, називають полідетектором.
Недоліком таких антивірусних програм є те, що вони можуть знаходити тільки ті віруси, які відомі розробникам таких програм.
Програми-доктора (фаги), не тільки знаходять заражені вірусами файли, але і "лікують" їх, тобто видаляють з файлу тіло програми вірусу, повертаючи файли в початковий стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і тільки потім переходять до "лікування" файлів. Серед фагів виділяють поліфаги, тобто програми-доктори, призначені для пошуку і знищення великої кількості вірусів.
Враховуючи, що постійно з'являються нові віруси, програми-детектори і програми-доктори швидко застарівають, і потрібне регулярне оновлення їх версій.
Програми-ревізори відносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують початковий стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни виводяться на екран відеомонітора. Як правило, порівняння станів проводять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файла, код циклічного контролю (контрольна сума файла), дата і час модифікації, інші параметри.
Програми-ревізори мають досить розвинуті алгоритми, виявляють стелс-віруси і можуть навіть відрізнити зміни версії програми, що перевіряється від змін, внесених вірусом.
Програми-фільтри (сторожа) представляють собою невеликі резидентні програми, призначені для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:
спроби корекції файлів з розширеннями СОМ і ЕХЕ;
зміна атрибутів файлів;
прямий запис на диск по абсолютному адресою;
запис у завантажувальні сектори диска.
завантаження резидентного програми.
При спробі будь-якої програми здійснити вказані дії "сторож" посилає користувачеві повідомлення і пропонує заборонити або дозволити відповідну дію. Програми-фільтри досить корисні, оскільки здатні виявити вірус на ранній стадії його існування до розмноження. Однак вони не "лікують" файли і диски. Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До недоліків програм-сторожів можна віднести їх "настирливість" (наприклад, вони постійно видають попередження про будь-якій спробі копіювання виконуваного файла), а також можливі конфлікти з іншим програмним забезпеченням.
Вакцини (іммунізатори) - це резидентні програми, що запобігають зараження файлів. Вакцини застосовують, якщо відсутні програми-доктори, "лікуючі" цей вірус. Вакцинація можлива тільки від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їх роботі, а вірус буде сприймати їх зараженими і тому не впровадити. В даний час програми-вакцини мають обмежене застосування.
Істотним недоліком таких програм є їх обмежені можливості щодо запобігання зараження від великої кількості різноманітних вірусів.
2.1.1.3 Методики антивірусних програм
Існує кілька основних методів пошуку вірусів, які застосовуються антивірусними програмами:
Сканування
Евристичний аналіз
Виявлення змін
Резидентні монітори
Антивірусні програми можуть реалізовувати всі перераховані вище методики, або тільки деякі з них.
Сканування
Сканування є найбільш традиційним методом пошуку вірусів. Воно полягає в пошуку сигнатур, виділених з раніше виявлених вірусів. Антивірусні програми-сканери, здатні видалити виявлені віруси, зазвичай називаються полифагами.
Недоліком простих сканерів є їх нездатність виявити поліморфні віруси, що повністю міняють свій код. Для цього необхідно використовувати більш складні алгоритми пошуку, що включають евристичний аналіз перевірених програм.
Крім того, сканери можуть виявити тільки вже відомі і попередньо вивчені віруси, для яких була визначена сигнатура. Тому програми-сканери не захистять ваш комп'ютер від проникнення нових вірусів, яких, до речі, з'являється по кілька штук на день. Як результат, сканери застарівають вже в момент виходу нової версії.
Евристичний аналіз
Евристичний аналіз найчастіше використовується спільно з скануванням для пошуку шифруються і поліморфних вірусів. У більшості випадків евристичний аналіз дозволяє також виявляти й раніше невідомі віруси. У цьому випадку, швидше за все їхнє лікування буде неможливо.
Якщо евристичний аналізатор повідомляє, що файл або завантажувальний сектор, можливо, заражений вірусом, ви повинні поставитися до цього з великою увагою. Необхідно додатково перевірити такі файли за допомогою самих останніх версій антивірусних програм сканерів або передати їх для дослідження авторам антивірусних програм.
Виявлення змін
Заражаючи комп'ютер, вірус робить зміни на жорсткому диску: дописує свій код в заражає файл, змінює системні області диска і т. д. На виявленні таких змін грунтуються робота антивірусних програм-ревізорів.
Антивірусні програми-ревізори запам'ятовують характеристики всіх областей диска, які можуть піддадуться нападу вірусу, а потім періодично перевіряють їх. У разі виявлення змін, видається повідомлення про те, що можливо на комп'ютер напав вірус.
Слід враховувати, що не всі зміни викликані вторгненням вірусів. Так, завантажувальна запис може зміниться при оновленні версії операційної системи, а деякі програми записують всередині свого здійсненного файлу дані.
Резидентні монітори
Антивірусні програми, постійно знаходяться в оперативній пам'яті комп'ютера і відслідковують всі підозрілі дії, виконувані іншими програмами, носять назву резидентних моніторів або сторожів. На жаль, резидентні монітори мають дуже багато недоліків, які роблять цей клас програм малопридатними для використання. Вони дратують користувачів великою кількістю повідомлень, по більшій частині не мають відношення до вірусного зараження, в результаті чого їх відключають.
2.1.1.4 Короткий огляд антивірусних програм
При виборі антивірусної програми необхідно враховувати не тільки відсоток виявлення вірусів, але і здатність виявляти нові віруси, кількість вірусів у антивірусної базі, частоту її оновлення, наявність додаткових функцій.
В даний час серйозний антивірус повинен вміти розпізнавати не менше 25000 вірусів. Це не означає, що всі вони знаходяться "на волі". Насправді більшість з них або вже припинили своє існування або перебувають у лабораторіях і не поширюються. Реально можна зустріти 200-300 вірусів, а небезпеку представляють лише кілька десятків з них.
Існує безліч антивірусних програм. Розглянемо найбільш відомі з них.
AVSP
(Anti-Virus Software Protection)
Цікавим програмним продуктом є антивірус AVSP. Ця програма поєднує в собі і детектор, і доктор, і ревізор, і навіть має деякі функції резидентного фільтра (заборона запису у файли з атрибутом READ ONLY). Антивірус може лікувати як відомі, так і невідомі віруси, причому про спосіб лікування останніх програмі може повідомити сам користувач. До того ж AVSP може лікувати самомодіфіцірующіеся і Stealth-віруси (невидимки).
При запуску AVSP з'являється система вікон з меню та інформація про стан програми. Дуже зручна контекстна система підказок, яка дає пояснення до кожного пункту меню. Вона викликається класично, клавішею F1, і змінюється при переході від пункту до пункту. Так само не маловажним гідністю в наше століття Windows-ів і "півосей" (OS / 2) є підтримка миші. Істотний недолік інтерфейсу AVSP - відсутність можливості вибору пунктів меню натисканням клавіші з відповідною літерою, хоча це дещо компенсується можливістю вибрати пункт, натиснувши ALT і цифру, що відповідає номеру цього пункту.
До складу пакету AVSP входить також резидентний драйвер AVSP.SYS, який дозволяє виявляти більшість невидимих вірусів (крім вірусів типу Ghost-1963 або DIR), дезактивувати віруси на час своєї роботи, а також забороняє змінювати READ ONLY файли.
Ще одна функція AVSP.SYS - відключення на час роботи AVSP.EXE резидентних вірусів, правда разом з вірусами драйвер відключає і деякі інші резидентні програми. При першому запуску AVSP слід протестувати систему на наявність відомих вірусів. При цьому перевіряється оперативна пам'ять, BOOT-сектор і файли. У ряді випадків можна відновлювати навіть файли, зіпсовані невідомим вірусом. Можна встановити перевірку розмірів файлів, їх контрольних сум, наявність в них вірусів, або все це разом. Так само можна вказати, що саме перевіряти (Boot-сектор, пам'ять, або файли). Як і в більшості антивірусних програм, тут користувачеві надається можливість вибрати між швидкістю і якістю. Суть швидкісної перевірки полягає в тому, що проглядається не весь файл, а тільки його початок; при цьому вдається виявити більшість вірусів. Якщо ж вірус пишеться в середину, або файл заражений декількома вірусами (при цьому "старі" віруси як би відтісняються в середину "молодим") то програма його і не помітить. Тому слід встановити оптимізацію за якістю, тим більше що в AVSP якісне тестування займає не набагато більше часу, ніж швидкісне.
При автоматичному визначенні нових вірусів AVSP може допустити безліч помилок. Так що при автоматичному визначенні шаблону слід не полінуватися перевірити, чи дійсно це вірус і чи не буде цей шаблон зустрічатися в здорових програмах.
Якщо в процесі AVSP виявить відомий вірус, то слід зробити ті ж дії, як і при роботі з Dr.Web: скопіювати файл на диск, перезавантажитися з резервної дискети і запустити AVSP. Бажано також, щоб при цьому в пам'ять був завантажений драйвер AVSP.SYS, так як він допомагає основній програмі лікувати Stealth-віруси.
Ще однією корисною функцією є вбудований дізассемблер. З його допомогою можна розібратися, чи є в файлі вірус або під час перевірки диска сталося помилкове спрацьовування AVSP. Крім того, можна спробувати з'ясувати спосіб зараження, принцип дії вірусу, а також місце, куди він "сховав" заміщені байти файлу (якщо ми маємо справу з таким типом вірусу). Все це дозволить написати процедуру видалення вірусу і відновити зіпсовані файли. Ще одна корисна функція - видача наочної карти змін. Карта змін дозволяє оцінити, чи відповідають ці зміни вірусу чи ні, а також звузити область пошуку тіла вірусу при дизасемблюванні.
У програмі AVSP є два алгоритми нейтралізації стелс-вірусів ("невидимок") і обидва вони працюють лише за наявності активного вірусу в пам'яті. Ось, що відбувається при реалізації цих алгоритмів: всі файли копіюються у файли даних, а потім стираються. Рятуються тільки файли з атрибутом SYSTEM. У Adinf процес видалення Stealth-ів реалізований набагато простіше.
Програма AVSP контролює також і стан завантажувальних секторів. Якщо заражений BOOT-сектор на дискеті і антивірус не може його вилікувати, то слід стерти завантажувальний код. Дискета при цьому стане несистемної, але дані при цьому не загубляться. З вінчестером так чинити не можна. При виявленні змін в одному з BOOT-секторів жорсткого диска AVSP запропонує його зберегти в деякому файлі, а потім спробує видалити вірус.
AVP
(AntiViral Toolkit Pro)
Дана програма була створена ЗАТ «Лабораторія Касперського». AVP володіє одним з самих досконалих механізмів виявлення вірусів. Сьогодні AVP практично ні в чому не поступається західним аналогам.
AVP надає користувачам максимум сервісу - можливість оновлення антивірусних баз через Інтернет, можливість завдання параметрів автоматичного сканування і лікування заражених файлів. Оновлення на сайті AVP з'являються практично щотижня, а база даних включає описи вже майже 40 тисяч вірусів.
AVP складається з декількох важливих модулів:
1) AVP сканер перевіряє жорсткі диски на предмет зараження вірусами. Можна задати повний пошук, при якому програма буде перевіряти всі файли поспіль, а також задати режим перевірки файлів, що архівуються. Одне з головних переваг AVP - боротьба з макровирусами. Користувач може вибрати спеціальний режим, при якому будуть перевірятися документи, створені у форматі Microsoft Office. Після виявлення вірусів або заражених файлів, AVP пропонує на вибір кілька варіантів: видалити віруси з файлів, видалити самі заражені файли або перемістити їх у спеціальну папку.
2) AVP Monitor. Ця програма автоматично завантажується при запуску Windows. AVP Monitor автоматично перевіряє всі запускаються на комп'ютері файли і відкриваються документи і у разі вірусної атаки сигналізує про це користувачеві. Більш того, в більшості випадків AVP Monitor просто не дає зараженому файлу запуститися, блокуючи процес його виконання. Ця функція програми дуже корисна для тих, хто постійно має справу з безліччю нових файлів, наприклад, для активних користувачів Інтернет (тому що кожні п'ять хвилин запускати AVP для перевірки завантажених файлів неможливо, то тут на допомогу приходить AVP Monitor).
3) AVP Inspector - останній і дуже важливий модуль комплекту AVP, що дозволяє відловлювати навіть невідомі віруси. «Інспектор» використовує метод контролю зміни розміру файлів. Упроваджуючи в файл, вірус неминуче збільшує його об'єм, і «інспектор» легко його виявляє.
Крім усього перерахованого існує так званий Центр Управління AVP - «Пульт управління» всіма програмами комплексу AVP. Найважливіша функція цієї програми - вбудований Планувальник Завдань, що дозволяє здійснювати оперативну перевірку (а якщо знадобиться - і лікування системи) в автоматичному режимі, без участі користувача, але в заданий їм час.
2.1.2 Відновлення уражених об'єктів
У більшості випадків зараження вірусом процедура відновлення заражених файлів і дисків зводиться до запуску відповідного антивіруса, здатного знешкодити систему. Якщо ж вірус невідомий жодному антивірусу, то достатньо надіслати заражений файл фірмам-виробникам антивірусів і через деякий час (зазвичай - кілька днів або тижнів) отримати ліки-«апдейт» проти вірусу. Якщо ж час не чекає, то знешкодження вірусу доведеться провести самостійно.
Відновлення файлів-документів і таблиць
Для знешкодження Word і Excel досить зберегти всю необхідну інформацію у форматі не документів і не таблиць - найбільш слушним є текстовий RTF-формат, що містить практично всю інформацію з первинних документів і не містить макросів. Потім слід вийти з Word / Excel, знищити всі заражені Word-документи, Excel-таблиці, NORMAL.DOT у Word і всі документи / таблиці в StartUp-каталогах Word / Excel. Після цього слід запустити Word / Excel і відновити документи / таблиці з RTF-файлів.
У результаті цієї процедури вірус буде видалений з системи, а практично вся інформація залишиться без змін. Однак цей метод має ряд недоліків. Основний з них - трудомісткість конвертації документів і таблиць в RTF-формат, якщо їх число велике. До того ж у випадку Excel необхідно окремо конвертувати всі Листи (Sheets) у кожному Excel-файлі. Другий недолік - втрата невірусних макросів, які використовуються при роботі. Тому перед запуском описаної процедури слід зберегти їх вихідний текст, а після знешкодження вірусу - відновити необхідні макроси в первісному вигляді.
Відновлення файлів
У переважній більшості випадків відновлення заражених файлів є досить складною процедурою, яку неможливо виробити «руками» без необхідних знань - форматів виконуваних файлів, мови асемблера і т.д. До того ж зазвичай зараженими на диску виявляються відразу кілька десятків або сотень файлів і для їх знешкодження необхідно розробити власну програму-антивірус (можна також скористатися можливостями редактора антивірусних баз з комплекту AVP).
При лікуванні файлів слід враховувати наступні правила:
необхідно протестувати і вилікувати всі виконувані файли (COM, EXE, SYS, OVL) в усіх каталогах всіх дисків незалежно від атрибутів файлів (тобто файли read-only, системні та приховані);
бажано зберегти незмінними атрибути та дату останньої модифікації файлу;
необхідно врахувати можливість багаторазового поразки файла вірусом («бутерброд» з вірусів).
Саме лікування файлу здійснюється в більшості випадків одним з декількох стандартних способів, що залежать від алгоритму розмноження вірусу. У більшості випадків це зводиться до відновлення заголовка файлу та зменшення його довжини.
2.1.3 Антивірусна профілактика
Необхідно завжди мати диск, записаний на не зараженому комп'ютері. На цей диск треба записати останні версії антивірусних програм-поліфагом, таких як Doctor Web або Antiviral Toolkit Pro. Крім антивірусних програм, на диск корисно записати драйвери зовнішніх пристроїв комп'ютера, наприклад драйвер пристрою читання компакт-дисків, програми для форматування дисків - format і перенесення операційної системи - sys, програму для ремонту файлової системи Norton Disk Doctor або ScanDisk.
Диск буде корисний не тільки у разі нападу вірусів. Їм можна скористатися для завантаження комп'ютера в разі пошкодження файлів операційної системи.
Необхідно періодично перевіряти комп'ютер на зараження вірусами. Виконувати перевірку не лише здійсненних файлів, що мають розширення COM, EXE, але також пакетних файлів BAT і системних областей дисків.
Якщо в комп'ютері записано багато файлів, їх перевірка антивірусами-полифагами, швидше за все, буде забирати досить багато часу. Тому в багатьох випадках краще для повсякденної перевірки використовувати програми-ревізори, а нові і змінені файли піддавати перевірці полифагами.
Практично всі ревізори у разі зміни системних областей диска (головний запис завантаження і завантажувальної запису) дозволяють відновити їх, навіть у тому випадку якщо невідомо, який саме вірус їх заразив. Лікуючий модуль ADinf Cure Module навіть дозволяє видаляти невідомі файлові віруси.
Практично всі сучасні антивіруси можуть правильно працювати навіть на зараженому комп'ютері, коли в його оперативної пам'яті перебуває активний вірус. Однак перед видаленням вірусу все-таки рекомендується попередньо завантажити комп'ютер з диска, щоб вірус не змогла завадити лікуванню.
Коли відбувається завантаження комп'ютера з диска, слід звернути увагу на два важливих моменти.
По-перше, для перезавантаження комп'ютера треба використовувати кнопку Reset, розташовану на корпусі системного блоку, або навіть тимчасово вимкнути його харчування. Не використовувати для перезавантаження комбінацію з трьох відомих клавіш. Деякі віруси можуть залишитися в пам'яті навіть після цієї процедури.
По-друге, перед перезавантаженням комп'ютера з диска перевірити конфігурацію дискової підсистеми комп'ютера і особливо параметри дисководів і порядок завантаження операційної системи (повинна бути встановлена пріоритетна завантаження з диска), записану в енергонезалежній пам'яті. Існують віруси, спритно змінюють параметри, записані в енергонезалежній пам'яті комп'ютера, в результаті чого комп'ютер завантажується з зараженого вірусом жорсткого диска, у той час як оператор думає, що завантаження відбувається з чистого диска.
Обов'язково перевіряти за допомогою антивірусних програм всі диски і всі програми, що надходять на ПК через будь-які носії або через модем. Якщо комп'ютер підключений до локальної мережі, необхідно перевіряти файли, отримані через мережу від інших користувачів.
З появою вірусів, що розповсюджуються через дії текстового процесора Microsoft Word та електронної таблиці Microsoft Excel, необхідно особливо уважно перевіряти не тільки виконувані файли програм і системні області дисків, але також і файли документів.
Вкрай важливо постійно стежити за виходом нових версій застосовуваних антивірусних засобів і своєчасно виконувати їх оновлення на диску і комп'ютері; використовувати для відновлення заражених файлів і системних областей диска тільки самі останні версії антивірусів.
2.1.4 Порівняльний аналіз антивірусних засобів.
Існує багато різних антивірусних програм як вітчизняного, так і невітчизняного походження. І для того, щоб зрозуміти яка з антивірусних програм краще, проведемо їх порівняльний аналіз. Для цього візьмемо сучасні антивірусні програми, а також такі, які найбільш часто використовуються користувачами ПК.
Panda Antivirus 2008 3.01.00
Сумісні системи: Windows 2000/XP/Vista
Установка
Складно уявити собі більш просту і швидку установку, ніж пропонує Panda 2008. Нам лише повідомляють, від яких загроз захистить дане застосування і без будь-якого вибору типу установки або джерела оновлень менш ніж через хвилину пропонують захист від вірусів, черв'яків, троянів, spyware і фішингу, попередньо провівши сканування пам'яті комп'ютера на предмет наявності вірусів. При цьому деякі інші розширені функції сучасних антивірусів, такі, як блокування підозрілих веб-сторінок або захист особистих даних, він не підтримує.
Інтерфейс і робота
Інтерфейс програми дуже яскравий. Присутні налаштування забезпечують мінімальний рівень змін, в наявності тільки найнеобхідніше. Взагалі, самостійна налаштування в даному випадку не є обов'язковою: параметри за замовчуванням відповідають більшості користувачів, забезпечуючи захист від фішингових атак, spyware, вірусів, хакерських програм та інших загроз.
Оновлюватися Panda може тільки через інтернет. Причому оновлення настійно рекомендується встановити відразу ж після установки антивіруса, в іншому випадку, Panda невеликим, але досить помітним віконцем внизу екрану буде регулярно вимагати доступ до "батьківського" сервера, вказуючи на низький рівень поточної захисту.
Всі загрози Panda 2008 розділяє на відомі і невідомі. У першому випадку ми можемо відключити перевірку тих чи інших видів загроз, у другому випадку визначаємо, піддавати чи файли, IM-повідомлення та електронні листи глибоке сканування для пошуку невідомих шкідливих об'єктів. Якщо Panda виявляє підозрілу поведінку якого-небудь додатку, то негайно повідомить вам, забезпечуючи таким чином захист від загроз, які не включені в базу даних антивіруса.
Panda дозволяє проводити сканування всього жорсткого диска або окремих його ділянок. При цьому слід пам'ятати, що за замовчуванням перевірка архівів відключена. У меню налаштувань представлені розширення файлів, що піддаються скануванню, у разі потреби можна додати власні розширення. Окремої згадки заслуговує статистика виявлених загроз, яка представлена у вигляді кругової діаграми, що наочно демонструє частку кожного виду загрози в загальній кількості шкідливих об'єктів. Звіт виявлених об'єктів можна формувати по обраному проміжку часу.
Dr.Web 4.44
мінімальні системні вимоги: наявність Windows 98/NT/Me/2000/XP.
Апаратні вимоги відповідають заявленим для зазначених ОС.
Основні функціональні особливості:
захист від черв'яків, вірусів, троянів, поліморфних вірусів, макровірусів, spyware, програм-дозвонщиков, adware, хакерських утиліт і шкідливих скриптів;
оновлення антивірусних баз до декількох разів на годину, розмір кожного оновлення до 15 KB;
перевірка системної пам'яті комп'ютера, що дозволяє виявити віруси, не існуючі у вигляді файлів (наприклад, CodeRed або Slammer);
евристичний аналізатор, що дозволяє знешкодити невідомі загрози до виходу відповідних оновлень вірусних баз.
Установка
Спочатку Dr.Web чесно попереджає, що не збирається уживатися з іншими антивірусними програмами та просить переконатися у відсутності таких на комп'ютері. В іншому випадку спільна робота може призвести до "непередбачуваних наслідків". Далі вибираємо "Вибіркову" або "Звичайну" (рекомендовану) установку і приступаємо до вивчення представлених основних компонентів:
сканер для Windows. Перевірка файлів в ручному режимі;
консольний сканер для Windows. Призначений для запуску з командних файлів;
SpiDer Guard. Перевірка файлів "на льоту", запобігання заражень в режимі реального часу;
SpiDer Mail. Перевірка повідомлень, що надходять через протоколи POP3, SMTP, IMAP і NNTP.
Інтерфейс і робота
В очі кидається відсутність узгодженості в питанні інтерфейсу між модулями антивіруса, що створює додатковий візуальний дискомфорт при і так не надто дружелюбному доступі до компонентів Dr.Web. Велика кількість всіляких налаштувань явно не розраховане на початківця, проте досить детальна довідка в доступній формі пояснить призначення тих чи інших цікавлять вас параметрів. Доступ до центрального модулю Dr.Web - сканер для Windows - здійснюється не через трей, як у всіх розглянутих в огляді антивірусів, а тільки через "Пуск" - далеко не найкраще рішення, яке свого часу було виправлено в Антивірус Касперського.
Оновлення доступно як через Інтернет, так і за допомогою проксі-серверів, що при невеликих розмірах сигнатур представляє Dr.Web вельми привабливим варіантом для середніх і великих комп'ютерних мереж.
Задати параметри перевірки системи, порядок оновлення та налаштування умов роботи кожного модуля Dr.Web можна за допомогою зручного інструменту "Планувальник", який дозволяє створити злагоджену систему захисту з "конструктора" компонентів Dr.Web.
У результаті ми отримуємо невимогливу до ресурсів комп'ютера, досить нескладну (при найближчому розгляді) цілісний захист комп'ютера від усіляких загроз, чиї можливості з протидії шкідливим програмам однозначно переважують єдиний недолік, виражений "різношерстим" інтерфейсом модулів Dr.Web.
Розглянемо процес безпосереднього сканування обраної директорії. У якості "піддослідного" використовувалася папка, заповнена текстовими документами, архівами, музикою, відео та іншими файлами, властивими вінчестеру середньостатистичного користувача. Загальний обсяг інформації склав 20 GB. Спочатку передбачалося сканування розділу вінчестера, на якому була встановлена система, але Dr.Web намірився розтягнути перевірку на дві-три години, досконально вивчаючи системні файли, у результаті під "полігон" була відведена окрема папка. У кожному антивірусі були використані всі надані можливості по налаштуванню максимального числа перевірених файлів.
Перше місце по відношенню до витраченому часу дісталося Panda 2008. Неймовірно, але факт: сканування зайняло всього п'ять (!) Хвилин. Dr.Web відмовився раціонально використовувати час користувача і понад півтори години вивчав вміст папок. Час, показане Panda 2008, викликало деякі сумніви, що вимагали додаткової діагностики, здавалося б, незначного параметра - кількості перевірених файлів. Сумніви з'явилися не даремно, і знайшли практичне підставу при повторних випробуваннях. Слід віддати належне Dr.Web - антивірус не марно витратив стільки часу, продемонструвавши найкращий результат: трохи більше 130 тисяч файлів. Обмовимося, що, на жаль, визначити точну кількість файлів у тестовій папці не представлялося можливим. Тому показник Dr.Web був прийнятий як відображає реальне положення в даному питанні.
До процесу "великомасштабного" сканування користувачі ставляться по-різному: одні воліють залишати комп'ютер і не заважати перевірці, інші не бажають йти на компроміс з антивірусом і продовжують працювати чи грати. Останній варіант, як виявилося, без проблем дозволяє здійснити Panda Antivirus. Так, ця програма, в якій виявилося неможливим виділити ключові особливості, при будь-якій конфігурації заподіє єдине занепокоєння зеленої табличкою, що сповіщає про успішне завершення сканування. Звання найбільш стабільного споживача оперативної пам'яті отримав Dr.Web, в режимі повного завантаження його функціонування зажадало всього на кілька мегабайт більше, ніж при звичайній роботі.
Тепер розглянемо більш докладно такі антивіруси як:
Антивірус Касперського 2009;
Dr. Web;
Panda Antivirus 2008;
NOD 32.
за наступними критеріями:
Оцінка зручності призначеного для користувача інтерфейсу;
Оцінка зручності в роботі;
Аналіз набору технічних можливостей;
Оцінка вартості.
З усіх розглянутих антивірусів найбільш дешевим є Panda Antivirus 2008, а найдорожчим NOD 32. Але це не означає, що Panda Antivirus 2008 гірше і про це говорять інші критерії. Три програми з чотирьох розглянутих (Антивірус Касперського, Panda Antivirus, NOD 32) мають більш простий, функціональний і зручний інтерфейс, ніж Dr. Web, який має безліч налаштувань, незрозумілих починаючому користувачеві. У програмі можна скористатися докладною довідкою, яка пояснить призначення тих, чи інших необхідних вам параметрів.
Всі програми пропонують надійний захист від черв'яків, традиційних вірусів, поштових вірусів, шпигунських програм, троянських програм і т.д. Перевірка файлів у таких програмах як Dr. Web, NOD 32, здійснюється при запуску системи, а ось Антивірус Касперського перевіряє файли у момент звернення до них. Антивірус Касперського, NOD 32 на відміну від всіх інших мають просунутою системою проактивного захисту, що базується на алгоритмах евристичного аналізу; можливістю поставити поров і, тим самим, захистити програму від вірусів, націлених на руйнування антивірусного захисту. Крім цього Антивірус Касперського 2009 має поведінковим блокує. Panda Antivirus на відміну від всіх інших не підтримує блокування підозрілих веб-сторінок або захист особистих даних. Всі ці антивіруси мають автоматичне оновлення баз і планувальник завдань. Також ці антивірусні програми повністю сумісні з Vista. Але всі вони крім Panda Antivirus вимагають, щоб крім них в системі не було інших подібних програм. На основі цих даних складемо таблицю.
Табліца.1 Характеристика антивірусних програм
критерії
Антивірус Касперського 2009
NOD 32
Dr. Web
Panda Antivirus
Оцінка вартості
-
-
-
+
Оцінка зручності призначеного для користувача інтерфейсу
+
+
-
+
-
Оцінка зручності в роботі
+
+
+ -
-
Аналіз набору технічних можливостей
+
+
+
-
Загальне враження про програму
+
+
+
-
-
Кожен з розглянутих антивірусів за тими чи іншими показниками заслужив свою популярність, але абсолютно ідеального рішення для всіх категорій користувачів не існує.
На мою думку, найбільш корисними є Антивірус Касперського 2009 і NOD 32. Так що вони мають майже всіма вимогами, які повинна мати антивірусна програма. Це і інтерфейс і набір технічних можливостей. Загалом, в них є те, що необхідно для того, щоб убезпечити свій комп'ютер від вірусів.
Висновок
На закінчення даної курсової роботи хотілося б сказати про те, що поставлена мною мета - проведення порівняльного аналізу сучасних антивірусних засобів - була досягнута. У зв'язку з цим були вирішені наступні завдання:
Підібрано література по даній темі.
Вивчені різні антивірусні програми.
Проведено порівняння антивірусних програм.
При виконанні курсової я зіткнулася з низкою проблем, пов'язаних з пошуком інформації, тому що в багатьох джерелах вона досить суперечлива, а також з порівняльним аналізом переваг та недоліків кожної антивірусної програми і побудовою зведеної таблиці.
Ще раз варто наголосити, що універсальної антивірусної програми не існує. Жодна з них не може гарантувати нам 100% захисту від вірусів, і багато в чому вибір антивірусної програми залежить від самого користувача.
Література
Журнал для користувачів персональних комп'ютерів «Світ ПК»
Леонтьєв В.П. «Новітня енциклопедія персонального комп'ютера»
http: / / www. viruslist. com