Курсова робота
«Порівняльний аналіз сучасних антивірусних програм»
ЗМІСТ
ВСТУП
РОЗДІЛ 1. Загальні відомості про комп'ютерні віруси
1.1 Поняття комп'ютерні віруси
1.2 Різновиди комп'ютерних вірусів
1.3 Шляхи проникнення вірусів, ознаки появи в комп'ютері
1.4 Антивірусні засоби
РОЗДІЛ 2. Порівняльний аналіз антивірусних програм
ВИСНОВОК
Список використаних джерел
Введення
Ми живемо на межі двох тисячоліть, коли людство вступило в епоху нової науково-технічної революції. До кінця двадцятого століття люди оволоділи багатьма таємницями перетворення речовини та енергії і зуміли використати ці знання для покращення свого життя. Але крім речовини і енергії в житті людини величезну роль грає ще одна складова - інформація. Це найрізноманітніші відомості, повідомлення, звістки, знання, вміння. У середині нашого століття з'явилися спеціальні пристрої - комп'ютери, орієнтовані на збереження і перетворення інформації і сталася комп'ютерна революція. У зв'язку зі стрімким розвитком інформаційних технологій та їх проникненням у всі сфери людської діяльності зросла кількість злочинів, спрямованих проти інформаційної безпеки. Сьогодні масове застосування персональних комп'ютерів, на жаль, виявилося пов'язаним з появою самовідтворюються програм-вірусів, що перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і завдають шкоди зберiгається в комп'ютері інформації. Незважаючи на прийняті в багатьох країнах закони про боротьбу з комп'ютерними злочинами і розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно росте. Це вимагає від користувача персонального комп'ютера знань про природу вірусів, способи зараження вірусами і захисту від них.
З кожним днем віруси стають все більш витонченими, що призводить до суттєвої зміни профілю загроз. Але і ринок антивірусного програмного забезпечення не стоїть на місці, пропонуючи безліч, здавалося б, ідентичних продуктів. Їх користувачі, представляючи проблему лише в загальних рисах, нерідко втрачають важливі нюанси і в результаті отримують ілюзію захисту замість самого захисту.
Для написання курсової роботи були використані наступні джерела: Безруков Н.Н. «Комп'ютерні віруси», Мостовий Д.Ю. "Сучасні технології боротьби з вірусами», Могилів А.В. «Інформатика: навчальний посібник для студентів педагогічних вузів». У навчальному посібнику Могильова містяться великі відомості з теоретичних основ інформатики, програмного забезпечення, мовам і методам програмування, обчислювальної техніки, інформаційних систем, комп'ютерних мережах і телекомунікаціях, комп'ютерного моделювання. Ясно і доступно розказано про різні комп'ютерні віруси, їх різновиди та засоби боротьби з ними.
На основі вивченої літератури спробуємо розібратися в тому, що ж треба захищати, як це зробити і на що слід звернути особливу увагу.
РОЗДІЛ 1. ЗАГАЛЬНІ ВІДОМОСТІ про комп'ютерні віруси
1.1 Поняття комп'ютерні віруси.
Комп'ютерним вірусом називається програма, зазвичай мала за розміром (від 200 до 5000 байт), яка самостійно запускається, багаторазово копіює свій код, приєднуючи його до кодів інших програм («розмножується») і заважає коректній роботі комп'ютера та / або руйнує зберігається на магнітних дисках інформацію (програми і дані).
Існують віруси і менш «злоякісні», що викликають, наприклад, переустановку дати в комп'ютері, музичні (програють будь-яку мелодію), що призводять до появи на екрані дисплея будь-якого зображення або до перекручувань у відображенні дисплеєм інформації, «осипання літер» і т . д.
Створення комп'ютерних вірусів можна кваліфікувати з юридичної точки зору як злочин.
Цікаві причини, що змушують кваліфікованих програмістів створювати комп'ютерні віруси, адже це робота не оплачується і не може принести популярності. Мабуть, для творців вірусів це спосіб самоствердження, спосіб довести свою кваліфікацію і здібності. Створенням комп'ютерних вірусів займаються кваліфіковані програмісти, з тих чи інших причин не знайшли собі місце в корисній діяльності, в розробці прикладних програм, які страждають хворобливими зарозумілістю або комплексом неповноцінності. Стають творцями вірусів та ті молоді програмісти, які відчувають труднощі в спілкуванні з оточуючими людьми, не зустрічають визнання з боку фахівців, яким чужі поняття моралі та етики комп'ютерної сфери діяльності. Також створенням вірусів можуть займатися самі виробники антивірусних програм з метою наживи. Створивши новий вірус або модифікувавши старий, виробники негайно випускають антивірусні засоби для боротьби з ними, обганяючи тим самим своїх конкурентів.
Існують і такі фахівці, які віддають свої сили і талант справі боротьби з комп'ютерними вірусами. У Росії - це відомі програмісти Д. Лозинський, Д. Мостовий, І. А. Данилов, М. Безруков і ін Ними досліджено багато комп'ютерні віруси, розроблені антивірусні програми, рекомендації щодо заходів, що запобігає знищення вірусами комп'ютерної інформації та розповсюдження епідемій комп'ютерних вірусів .
Головну небезпеку, на їхню думку, представляють не самі по собі комп'ютерні віруси, а користувачі комп'ютерів і комп'ютерних програм, не підготовлені до зустрічі з вірусами, які ведуть себе некваліфіковано при зустрічі з симптомами зараження комп'ютера, легко впадають в паніку, що паралізує нормальну роботу.
1.2 Різновиди комп'ютерних вірусів
Розглянемо докладніше основні особливості комп'ютерних вірусів, характеристики антивірусних програм і заходів захисту програм і даних від комп'ютерних вірусів у найбільш поширеною системі MS DOS.
За наближеним оцінками в сьогоднішні дні існує більше десяти тисяч різних вірусів. Підрахунок їх ускладнюється тим, що багато вірусів мало відрізняються один від одного, є варіантами одного й того ж вірусу і, навпаки, один і той же вірус може змінювати свій вигляд, кодувати сам себе. Насправді основних принципових ідей, що лежать в основі вірусів, не дуже багато (кілька десятків).
Серед усього розмаїття комп'ютерних вірусів слід виділити наступні групи:
- Завантажувальні (boot) віруси заражають програму початкового завантаження комп'ютера, що зберігається в завантажувальному секторі дискети або вінчестера, і запускаються при завантаженні комп'ютера;
- Файлові віруси в найпростішому випадку заражають поповнювані файли, але можуть поширюватися і через файли документів (системи Word for Windows) і навіть взагалі не модифікувати файли, а лише мати до них якесь відношення;
- Завантажувально-файлові віруси мають ознаки як завантажувальних, так і файлових вірусів;
- Драйверне віруси заражають драйвери пристроїв комп'ютера або запускають себе шляхом включення в файл конфігурації додаткової рядка.
З вірусів, що функціонують не на персональних комп'ютерах під операційною системою MS DOS, слід згадати мережеві віруси, що поширюються в мережах, що об'єднують багато десятків і сотні тисяч комп'ютерів.
Розглянемо принципи функціонування завантажувальних вірусів. На кожній дискеті або вінчестері є службові сектора, що використовуються операційною системою для власних потреб, у тому числі сектор початкового завантаження. У ньому крім інформації про дискеті (кількість доріжок, число секторів тощо) зберігається невелика програма початкового завантаження.
Найпростіші завантажувальні віруси, резидентно перебуваючи в пам'яті зараженого комп'ютера, виявляють у дисководі незаражену дискету і проводять такі дії:
- Виділяють деяку область дискети і роблять її недоступною операційній системі (позначаючи, наприклад, як збійні - bad);
- Заміщають програму початкового завантаження в завантажувальному секторі дискети, копіюючи коректну програму завантаження, а також свій код, у виділену область дискети;
- Організовують передачу управління так, щоб спочатку виконувався б код вірусу і лише потім - програма початкового завантаження.
Магнітні диски комп'ютерів Вінчестерського типу зазвичай бувають розбиті на декілька логічних розділів. Програми початкового завантаження при цьому є і в MBR (Master Boot Record - головний завантажувальний запис) і в завантажувальному розділі вінчестера, зараження яких може відбуватися аналогічно зараженню завантажувального сектора дискети. Однак, програма початкового завантаження в MBR використовує при переході до програми завантаження завантажувального розділу вінчестера, так звану таблицю розбивки (Partition table), що містить інформацію про становище завантажувального розділу на диску. Вірус може спотворити інформацію Partition table і таким чином передати управління свого коду, записаного на диск, формально не змінюючи завантажувальної програми.
Тепер розглянемо принципи функціонування файлових вірусів. Файловий вірус не обов'язково є резидентним, він може, наприклад, потрапити в код виконуваного файлу. При запуску зараженого файлу вірус отримує управління, виконує деякі дії і повертає управління коду, в який він був впроваджений. Дії, які виконує вірус, включає пошук відповідного для зараження файла, впровадження в нього так, щоб отримати управління файлу, твір деякого ефекту, наприклад, звукового чи графічного. Якщо файловий вірус резидентний, то він встановлюється в пам'яті і отримує можливість заражати файли і виявлятися незалежно від початкового зараженого файлу.
Заражаючи файл, вірус завжди змінить його код, але далеко не завжди виробляє інші зміни. Зокрема, може не змінюватися початок файлу і його довжина (що раніше вважалося ознакою зараження). Наприклад, віруси можуть спотворювати інформацію про файли, що зберігається у службовій області магнітних дисків - таблиці розміщення файлів (Fat - file allocation table), - робити таким чином неможливим будь-яку роботу з файлами. Так поводяться віруси сімейства «Dir».
Завантажувально-файлові віруси використовують принципи як завантажувальних, так і файлових вірусів, і є найбільш небезпечними.
«Троянські коні», програмні закладки та мережеві черв'яки.
«Троянський кінь» - це програма, що містить у собі деяку руйнує функцію, яка активізується при настанні деякого умови спрацьовування. Зазвичай такі програми маскуються під які-небудь корисні утиліти. Віруси можуть нести в собі троянських коней чи "троянизировать" інші програми - вносити до них руйнують функції. «Троянські коні» є програми, що реалізують крім функцій, описаних у документації, та деякі інші функції, пов'язані з порушенням безпеки і деструктивними діями. Відзначено випадки створення таких програм з метою полегшення розповсюдження вірусів. Списки таких програм широко публікуються в зарубіжній пресі. Зазвичай вони маскуються під ігрові або розважальні програми. Програмні закладання також є деяку функцію, що завдає шкоди обчислювальної системі, але ця функція, навпаки, намагається бути якомога непомітніше, тому що чим більше програма не буде викликати підозр, тим довше закладання зможе працювати. Якщо віруси і «троянські коні» завдають шкоди у вигляді лавиноподібного саморозмноження або явного руйнування, то основна функція вірусів типу "хробак", які у комп'ютерних мережах, - злом атакується системи, тобто подолання захисту з метою порушення безпеки та цілісності. У понад 80% комп'ютерних злочинів, що розслідуються ФБР, "зломщики" проникають у атакуемую систему через глобальну мережу Internet. Коли така спроба вдається, майбутнє компанії, на створення якої пішли роки, може бути поставлено під загрозу за якісь секунди. Цей процес може бути автоматизований за допомогою вірусу, званого мережевий черв'як. Хробаками називають віруси, які поширюються по глобальних мережах, вражаючи цілі системи, а не окремі програми. Це найнебезпечніший вид вірусів, так як об'єктами нападу цьому випадку стають інформаційні системи державного масштабу. З появою глобальної мережі Internet цей вид порушення безпеки представляє найбільшу загрозу, тому що йому в будь-який момент може зазнати будь-який з мільйонів комп'ютерів, підключених до цієї мережі.
Найчастіше вірусом заражаються завантажувальний сектор диска і виконувані файли, що мають розширення EXE, COM, SYS, BAT. Вкрай рідко заражаються текстові файли. Після зараження програми вірус може виконати якусь диверсію, не дуже серйозну, щоб не привернути уваги. І, нарешті, не забуває повернути управління тій програмі, з якої було запущено. Кожне виконання зараженої програми переносить вірус у наступну. Таким чином, заразиться все програмне забезпечення.
· Повільна робота комп'ютера
· Зникнення файлів і каталогів або перекручування їхнього вмісту
· Зміна дати і часу модифікації файлів
· Зміна розмірів файлів
· Несподіване значне збільшення кількості файлів на диску
· Істотне зменшення розміру вільної оперативної пам'яті
· Висновок на екран непередбачених повідомлень або зображень
· Подача непередбачених звукових сигналів
· Часті зависання і збої в роботі комп'ютера
Слід зазначити, що перераховані вище явища необов'язково викликаються присутністю вірусу, а можуть бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану комп'ютера.
1.4 Антивірусні засоби
До теперішнього часу накопичений значний досвід боротьби з комп'ютерними вірусами, розроблені антивірусні програми, відомі заходи захисту програм і даних. Відбувається постійне вдосконалення, розвиток антивірусних засобів, які в короткий термін з моменту виявлення вірусу - від тижня до місяця - виявляються здатними впоратися з знову з'являються вірусами.
Створення антивірусних програм починається з виявлення вірусу по аномалій в роботі комп'ютера. Після цього вірус ретельно вивчається, виділяється його сигнатура - послідовність байтів, яка повністю характеризує програму вірусу (найбільш важливі і характерні ділянки коду), з'ясовується механізм роботи вірусу, способи зараження. Отримана інформація дозволяє розробити способи виявлення вірусу в пам'яті комп'ютера і на магнітних дисках, а також алгоритми знешкодження вірусу (якщо можливо, видалення вірусного коду з файлів - «лікування»).
Відомі нині антивірусні програми можна розділити на кілька типів: «Порівняльний аналіз сучасних антивірусних програм»
ЗМІСТ
ВСТУП
РОЗДІЛ 1. Загальні відомості про комп'ютерні віруси
1.1 Поняття комп'ютерні віруси
1.2 Різновиди комп'ютерних вірусів
1.3 Шляхи проникнення вірусів, ознаки появи в комп'ютері
1.4 Антивірусні засоби
РОЗДІЛ 2. Порівняльний аналіз антивірусних програм
ВИСНОВОК
Список використаних джерел
Введення
Ми живемо на межі двох тисячоліть, коли людство вступило в епоху нової науково-технічної революції. До кінця двадцятого століття люди оволоділи багатьма таємницями перетворення речовини та енергії і зуміли використати ці знання для покращення свого життя. Але крім речовини і енергії в житті людини величезну роль грає ще одна складова - інформація. Це найрізноманітніші відомості, повідомлення, звістки, знання, вміння. У середині нашого століття з'явилися спеціальні пристрої - комп'ютери, орієнтовані на збереження і перетворення інформації і сталася комп'ютерна революція. У зв'язку зі стрімким розвитком інформаційних технологій та їх проникненням у всі сфери людської діяльності зросла кількість злочинів, спрямованих проти інформаційної безпеки. Сьогодні масове застосування персональних комп'ютерів, на жаль, виявилося пов'язаним з появою самовідтворюються програм-вірусів, що перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і завдають шкоди зберiгається в комп'ютері інформації. Незважаючи на прийняті в багатьох країнах закони про боротьбу з комп'ютерними злочинами і розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно росте. Це вимагає від користувача персонального комп'ютера знань про природу вірусів, способи зараження вірусами і захисту від них.
З кожним днем віруси стають все більш витонченими, що призводить до суттєвої зміни профілю загроз. Але і ринок антивірусного програмного забезпечення не стоїть на місці, пропонуючи безліч, здавалося б, ідентичних продуктів. Їх користувачі, представляючи проблему лише в загальних рисах, нерідко втрачають важливі нюанси і в результаті отримують ілюзію захисту замість самого захисту.
Для написання курсової роботи були використані наступні джерела: Безруков Н.Н. «Комп'ютерні віруси», Мостовий Д.Ю. "Сучасні технології боротьби з вірусами», Могилів А.В. «Інформатика: навчальний посібник для студентів педагогічних вузів». У навчальному посібнику Могильова містяться великі відомості з теоретичних основ інформатики, програмного забезпечення, мовам і методам програмування, обчислювальної техніки, інформаційних систем, комп'ютерних мережах і телекомунікаціях, комп'ютерного моделювання. Ясно і доступно розказано про різні комп'ютерні віруси, їх різновиди та засоби боротьби з ними.
На основі вивченої літератури спробуємо розібратися в тому, що ж треба захищати, як це зробити і на що слід звернути особливу увагу.
РОЗДІЛ 1. ЗАГАЛЬНІ ВІДОМОСТІ про комп'ютерні віруси
1.1 Поняття комп'ютерні віруси.
Комп'ютерним вірусом називається програма, зазвичай мала за розміром (від 200 до 5000 байт), яка самостійно запускається, багаторазово копіює свій код, приєднуючи його до кодів інших програм («розмножується») і заважає коректній роботі комп'ютера та / або руйнує зберігається на магнітних дисках інформацію (програми і дані).
Існують віруси і менш «злоякісні», що викликають, наприклад, переустановку дати в комп'ютері, музичні (програють будь-яку мелодію), що призводять до появи на екрані дисплея будь-якого зображення або до перекручувань у відображенні дисплеєм інформації, «осипання літер» і т . д.
Створення комп'ютерних вірусів можна кваліфікувати з юридичної точки зору як злочин.
Цікаві причини, що змушують кваліфікованих програмістів створювати комп'ютерні віруси, адже це робота не оплачується і не може принести популярності. Мабуть, для творців вірусів це спосіб самоствердження, спосіб довести свою кваліфікацію і здібності. Створенням комп'ютерних вірусів займаються кваліфіковані програмісти, з тих чи інших причин не знайшли собі місце в корисній діяльності, в розробці прикладних програм, які страждають хворобливими зарозумілістю або комплексом неповноцінності. Стають творцями вірусів та ті молоді програмісти, які відчувають труднощі в спілкуванні з оточуючими людьми, не зустрічають визнання з боку фахівців, яким чужі поняття моралі та етики комп'ютерної сфери діяльності. Також створенням вірусів можуть займатися самі виробники антивірусних програм з метою наживи. Створивши новий вірус або модифікувавши старий, виробники негайно випускають антивірусні засоби для боротьби з ними, обганяючи тим самим своїх конкурентів.
Існують і такі фахівці, які віддають свої сили і талант справі боротьби з комп'ютерними вірусами. У Росії - це відомі програмісти Д. Лозинський, Д. Мостовий, І. А. Данилов, М. Безруков і ін Ними досліджено багато комп'ютерні віруси, розроблені антивірусні програми, рекомендації щодо заходів, що запобігає знищення вірусами комп'ютерної інформації та розповсюдження епідемій комп'ютерних вірусів .
Головну небезпеку, на їхню думку, представляють не самі по собі комп'ютерні віруси, а користувачі комп'ютерів і комп'ютерних програм, не підготовлені до зустрічі з вірусами, які ведуть себе некваліфіковано при зустрічі з симптомами зараження комп'ютера, легко впадають в паніку, що паралізує нормальну роботу.
1.2 Різновиди комп'ютерних вірусів
Розглянемо докладніше основні особливості комп'ютерних вірусів, характеристики антивірусних програм і заходів захисту програм і даних від комп'ютерних вірусів у найбільш поширеною системі MS DOS.
За наближеним оцінками в сьогоднішні дні існує більше десяти тисяч різних вірусів. Підрахунок їх ускладнюється тим, що багато вірусів мало відрізняються один від одного, є варіантами одного й того ж вірусу і, навпаки, один і той же вірус може змінювати свій вигляд, кодувати сам себе. Насправді основних принципових ідей, що лежать в основі вірусів, не дуже багато (кілька десятків).
Серед усього розмаїття комп'ютерних вірусів слід виділити наступні групи:
- Завантажувальні (boot) віруси заражають програму початкового завантаження комп'ютера, що зберігається в завантажувальному секторі дискети або вінчестера, і запускаються при завантаженні комп'ютера;
- Файлові віруси в найпростішому випадку заражають поповнювані файли, але можуть поширюватися і через файли документів (системи Word for Windows) і навіть взагалі не модифікувати файли, а лише мати до них якесь відношення;
- Завантажувально-файлові віруси мають ознаки як завантажувальних, так і файлових вірусів;
- Драйверне віруси заражають драйвери пристроїв комп'ютера або запускають себе шляхом включення в файл конфігурації додаткової рядка.
З вірусів, що функціонують не на персональних комп'ютерах під операційною системою MS DOS, слід згадати мережеві віруси, що поширюються в мережах, що об'єднують багато десятків і сотні тисяч комп'ютерів.
Розглянемо принципи функціонування завантажувальних вірусів. На кожній дискеті або вінчестері є службові сектора, що використовуються операційною системою для власних потреб, у тому числі сектор початкового завантаження. У ньому крім інформації про дискеті (кількість доріжок, число секторів тощо) зберігається невелика програма початкового завантаження.
Найпростіші завантажувальні віруси, резидентно перебуваючи в пам'яті зараженого комп'ютера, виявляють у дисководі незаражену дискету і проводять такі дії:
- Виділяють деяку область дискети і роблять її недоступною операційній системі (позначаючи, наприклад, як збійні - bad);
- Заміщають програму початкового завантаження в завантажувальному секторі дискети, копіюючи коректну програму завантаження, а також свій код, у виділену область дискети;
- Організовують передачу управління так, щоб спочатку виконувався б код вірусу і лише потім - програма початкового завантаження.
Магнітні диски комп'ютерів Вінчестерського типу зазвичай бувають розбиті на декілька логічних розділів. Програми початкового завантаження при цьому є і в MBR (Master Boot Record - головний завантажувальний запис) і в завантажувальному розділі вінчестера, зараження яких може відбуватися аналогічно зараженню завантажувального сектора дискети. Однак, програма початкового завантаження в MBR використовує при переході до програми завантаження завантажувального розділу вінчестера, так звану таблицю розбивки (Partition table), що містить інформацію про становище завантажувального розділу на диску. Вірус може спотворити інформацію Partition table і таким чином передати управління свого коду, записаного на диск, формально не змінюючи завантажувальної програми.
Тепер розглянемо принципи функціонування файлових вірусів. Файловий вірус не обов'язково є резидентним, він може, наприклад, потрапити в код виконуваного файлу. При запуску зараженого файлу вірус отримує управління, виконує деякі дії і повертає управління коду, в який він був впроваджений. Дії, які виконує вірус, включає пошук відповідного для зараження файла, впровадження в нього так, щоб отримати управління файлу, твір деякого ефекту, наприклад, звукового чи графічного. Якщо файловий вірус резидентний, то він встановлюється в пам'яті і отримує можливість заражати файли і виявлятися незалежно від початкового зараженого файлу.
Заражаючи файл, вірус завжди змінить його код, але далеко не завжди виробляє інші зміни. Зокрема, може не змінюватися початок файлу і його довжина (що раніше вважалося ознакою зараження). Наприклад, віруси можуть спотворювати інформацію про файли, що зберігається у службовій області магнітних дисків - таблиці розміщення файлів (Fat - file allocation table), - робити таким чином неможливим будь-яку роботу з файлами. Так поводяться віруси сімейства «Dir».
Завантажувально-файлові віруси використовують принципи як завантажувальних, так і файлових вірусів, і є найбільш небезпечними.
«Троянські коні», програмні закладки та мережеві черв'яки.
«Троянський кінь» - це програма, що містить у собі деяку руйнує функцію, яка активізується при настанні деякого умови спрацьовування. Зазвичай такі програми маскуються під які-небудь корисні утиліти. Віруси можуть нести в собі троянських коней чи "троянизировать" інші програми - вносити до них руйнують функції. «Троянські коні» є програми, що реалізують крім функцій, описаних у документації, та деякі інші функції, пов'язані з порушенням безпеки і деструктивними діями. Відзначено випадки створення таких програм з метою полегшення розповсюдження вірусів. Списки таких програм широко публікуються в зарубіжній пресі. Зазвичай вони маскуються під ігрові або розважальні програми. Програмні закладання також є деяку функцію, що завдає шкоди обчислювальної системі, але ця функція, навпаки, намагається бути якомога непомітніше, тому що чим більше програма не буде викликати підозр, тим довше закладання зможе працювати. Якщо віруси і «троянські коні» завдають шкоди у вигляді лавиноподібного саморозмноження або явного руйнування, то основна функція вірусів типу "хробак", які у комп'ютерних мережах, - злом атакується системи, тобто подолання захисту з метою порушення безпеки та цілісності. У понад 80% комп'ютерних злочинів, що розслідуються ФБР, "зломщики" проникають у атакуемую систему через глобальну мережу Internet. Коли така спроба вдається, майбутнє компанії, на створення якої пішли роки, може бути поставлено під загрозу за якісь секунди. Цей процес може бути автоматизований за допомогою вірусу, званого мережевий черв'як. Хробаками називають віруси, які поширюються по глобальних мережах, вражаючи цілі системи, а не окремі програми. Це найнебезпечніший вид вірусів, так як об'єктами нападу цьому випадку стають інформаційні системи державного масштабу. З появою глобальної мережі Internet цей вид порушення безпеки представляє найбільшу загрозу, тому що йому в будь-який момент може зазнати будь-який з мільйонів комп'ютерів, підключених до цієї мережі.
1.3 Шляхи проникнення вірусу в комп'ютер
Основними шляхами проникнення вірусів у комп'ютер є знімні диски (гнучкі й лазерні), а також комп'ютерні мережі. Зараження жорсткого диска вірусами може відбутися при завантаженні програми з дискети, що містить вірус. Таке зараження може бути випадковим, наприклад, якщо дискету не вийняли з дисководу А і перезавантажили комп'ютер, при цьому дискета може бути і не системною. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп'ютера і, наприклад, прочитали її зміст. Вірус, як правило, впроваджується в робочу програму таким чином, щоб при її запуску управління спочатку передалося йому і тільки після виконання всіх його команд знову повернулося до робочої програми. Отримавши доступ до управління, вірус, перш за все, переписує сам себе в іншу робочу програму і заражає її. Після запуску програми, що містить вірус, стає можливим зараження інших файлів.Найчастіше вірусом заражаються завантажувальний сектор диска і виконувані файли, що мають розширення EXE, COM, SYS, BAT. Вкрай рідко заражаються текстові файли. Після зараження програми вірус може виконати якусь диверсію, не дуже серйозну, щоб не привернути уваги. І, нарешті, не забуває повернути управління тій програмі, з якої було запущено. Кожне виконання зараженої програми переносить вірус у наступну. Таким чином, заразиться все програмне забезпечення.
1.4 Ознаки появи вірусу
При зараженні комп'ютера вірусом важливо його знайти. Для цього слід знати про основні ознаки прояву вірусів. До них можна віднести такі: припинення роботи або неправильна робота раніше успішно функціонуючих програм· Повільна робота комп'ютера
· Зникнення файлів і каталогів або перекручування їхнього вмісту
· Зміна дати і часу модифікації файлів
· Зміна розмірів файлів
· Несподіване значне збільшення кількості файлів на диску
· Істотне зменшення розміру вільної оперативної пам'яті
· Висновок на екран непередбачених повідомлень або зображень
· Подача непередбачених звукових сигналів
· Часті зависання і збої в роботі комп'ютера
Слід зазначити, що перераховані вище явища необов'язково викликаються присутністю вірусу, а можуть бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану комп'ютера.
1.4 Антивірусні засоби
До теперішнього часу накопичений значний досвід боротьби з комп'ютерними вірусами, розроблені антивірусні програми, відомі заходи захисту програм і даних. Відбувається постійне вдосконалення, розвиток антивірусних засобів, які в короткий термін з моменту виявлення вірусу - від тижня до місяця - виявляються здатними впоратися з знову з'являються вірусами.
Створення антивірусних програм починається з виявлення вірусу по аномалій в роботі комп'ютера. Після цього вірус ретельно вивчається, виділяється його сигнатура - послідовність байтів, яка повністю характеризує програму вірусу (найбільш важливі і характерні ділянки коду), з'ясовується механізм роботи вірусу, способи зараження. Отримана інформація дозволяє розробити способи виявлення вірусу в пам'яті комп'ютера і на магнітних дисках, а також алгоритми знешкодження вірусу (якщо можливо, видалення вірусного коду з файлів - «лікування»).
- Детектори. Їх призначення - лише виявити вірус. Детектори вірусів можуть порівнювати завантажувальні сектори дискет з відомими завантажувальними секторами, формованими операційними системами різних версій, і таким чином виявити завантажувальні віруси або виконувати сканування файлів на магнітних дисках з метою виявлення сигнатур відомих вірусів. Такі програми в чистому вигляді в даний час рідкі.
- Фаги. Фаг - це програма, яка здатна не тільки виявити, а й знищити вірус, тобто видалити його код із заражених програм і відновити їх працездатність (якщо можливо). Найвідомішим у Росії фагом є Aidstest, створений Д. М. Лозинським. Одна з останніх версій виявляє більше 8000 вірусів. Aidstest для свого нормального функціонування потребує, щоб у пам'яті не було резидентних антивірусів, блокуючих запис в програмні файли, тому їх слід вивантажити, або, вказавши опцію вивантаження самої резидентної програмі, або скористатися відповідною утилітою.
Дуже потужним та ефективним антивірусом є фаг Dr Web (створений І. Даниловим). Детектор цього фага не просто сканує файли в пошуках однієї з відомих вірусних сигнатур. Для знаходження вірусів Dr Web використовує програму емуляцію процесора, тобто він моделює виконання інших файлів за допомогою програмної моделі мікропроцесора I-8086 і тим самим створює середовище для прояву вірусів та їх розмноження. Таким чином, програма Dr Web може боротися не тільки з поліморфними вірусами, але і вірусів, які тільки ще можуть з'явитися в перспективі.
Основними функціональними особливостями Dr Web 4.33 є:
· Захист від черв'яків, вірусів, троянів, поліморфних вірусів, макровірусів, spyware, програм-дозвонщиков, adware, хакерських утиліт і шкідливих скриптів;
· Оновлення антивірусних баз до декількох разів на годину, розмір кожного оновлення до 15 KB;
· Перевірка системної пам'яті комп'ютера, що дозволяє виявити віруси, не існуючі у вигляді файлів (наприклад, CodeRed або Slammer);
· Евристичний аналізатор, що дозволяє знешкодити невідомі загрози до виходу відповідних оновлень вірусних баз.
Установка. Спочатку Dr Web чесно попереджає, що не збирається уживатися з іншими антивірусними програмами та просить переконатися у відсутності таких на комп'ютері. В іншому випадку спільна робота може призвести до "непередбачуваних наслідків". Далі вибирається "Вибіркову" або "Звичайну" (рекомендовану) установку і приступають до вивчення представлених основних компонентів:
· Сканер для Windows. Перевірка файлів в ручному режимі;
· Консольний сканер для Windows. Призначений для запуску з командних файлів;
· SpiDer Guard. Перевірка файлів "на льоту", запобігання заражень в режимі реального часу;
· SpiDer Mail. Перевірка повідомлень, що надходять через протоколи POP3, SMTP, IMAP і NNTP.
Інтерфейс і робота. В очі кидається відсутність узгодженості в питанні інтерфейсу між модулями антивіруса, що створює додатковий візуальний дискомфорт при і так не надто дружелюбному доступі до компонентів Dr Web. Велика кількість всіляких налаштувань явно не розраховане на початківця, проте досить детальна довідка в доступній формі пояснить призначення тих чи інших цікавлять вас параметрів. Доступ до центрального модулю Dr Web - сканер для Windows - здійснюється не через трей, а тільки через "Пуск".
Оновлення доступно як через Інтернет, так і за допомогою проксі-серверів, що при невеликих розмірах сигнатур представляє Dr Web вельми привабливим варіантом для середніх і великих комп'ютерних мереж.
Задати параметри перевірки системи, порядок оновлення та налаштування умов роботи кожного модуля Dr Web можна за допомогою зручного інструменту "Планувальник", який дозволяє створити злагоджену систему захисту з "конструктора" компонентів Dr Web.
У результаті ми отримуємо невимогливу до ресурсів комп'ютера, досить нескладну (при найближчому розгляді) цілісний захист комп'ютера від усіляких загроз, чиї можливості з протидії шкідливим програмам однозначно переважують єдиний недолік, виражений "різношерстим" інтерфейсом модулів Dr Web.
- Ревізори. Програма-ревізор контролює можливі шляхи розповсюдження програм-вірусів і зараження комп'ютерів. Програми-ревізори відносяться до найнадійніших засобів захисту від вірусів і повинні входити в арсенал кожного користувача. Ревізори є єдиним засобом, який дозволяє слідкувати за цілісністю і змінами файлів і системних областей магнітних дисків. Найбільш відома в Росії програма-ревізор ADinf, розроблена Д. Мостовим.
- Сторожа. Сторож - це резидентна програма, що постійно знаходиться в пам'яті комп'ютера, що контролює операції комп'ютера, пов'язана зі зміною інформації на магнітних дисках, і попереджає користувача про них. До складу операційної системи MS DOS, починаючи з версії 6.0, входить сторож VSAFE. Однак, через те, що звичайні програми виконують операції, схожі на ті, що роблять віруси, користувачі зазвичай не використовують сторожа, так як постійні попередження заважають роботі.
- З Канера - основний елемент будь-якого антивіруса, здійснює, якщо можна так висловитися, пасивний захист. По запиту користувача або заданому розпорядку проводить перевірку файлів у вибраній області системи. Шкідливі об'єкти виявляє шляхом пошуку та порівняння програмного коду вірусу. Приклади програмних кодів містяться в заздалегідь встановлених сигнатурах (наборах, характерних послідовностей байтів для відомих вірусів). У першу чергу до недоліків даних програм відноситься беззахисність перед вірусами, що не мають постійного програмного коду і здатними видозмінюватися при збереженні основних функцій. Також сканери не можуть протистояти різновидам одного і того ж вірусу, що вимагає від користувача постійного оновлення антивірусних баз. Однак найбільш вразливе місце цього інструменту - нездатність виявляти нові і невідомі віруси, що особливо актуально, коли за допомогою e-mail новоявлена загроза здатна заразити тисячі комп'ютерів по всьому світу за лічені години;
- Монітори - в сукупності зі сканерами утворюють базовий захист комп'ютера. На основі наявних сигнатур проводять перевірку поточних процесів у режимі реального часу. Здійснюють попередню перевірку при спробі перегляду або запуску файлу. Розрізняють файлові монітори, монітори для поштових клієнтів (MS Outlook, Lotus Notes, Pegasus, The Bat та інші, використовують протоколи POP3, IMAP, NNTP і SMTP) і спеціальні монітори для окремих додатків. Як правило, останні представлені модулями перевірки файлів Microsoft Office. Їхня основна перевага - здатність виявляти віруси на самій ранній стадії активності;
- Вакцини. Так називаються антивірусні програми, що ведуть себе подібно вірусам, але не завдають шкоди. Вакцини оберігають файли від змін і здатні не тільки виявити факт зараження, але і в деяких випадках «вилікувати» уражені вірусами файли. В даний час антивірусні програми-вакцини широко не застосовуються, так як у минулі роки деякими некоректно працюють вакцинами було завдано шкоди багатьом користувачам.
Крім програмних засобів захисту від вірусів існують і спеціальні додаткові пристрої, що забезпечують надійний захист певних розділів вінчестера. Прикладом такого роду пристроїв є плата Sheriff (розроблена Ю. Фоміним). Незважаючи на удавану велика кількість програмних антивірусних засобів, навіть всі разом вони не забезпечують повного захисту програм і даних, не дають 100%-ної гарантії від впливу вірусних програм. Тільки комплексні профілактичні заходи захисту забезпечують надійний захист від можливої втрати інформації. У комплекс таких заходів входить:
- Регулярне архівування інформації (створення резервних копій важливих файлів і системних областей вінчестера);
- Уникнення використання випадково отриманих програм (намагайтеся користуватися лише законними шляхами отримання програм);
- Вхідний контроль нового програмного забезпечення, що надійшли дискет;
- Сегментація жорсткого диска, тобто розбиття його на логічні розділи з розмежуванням доступу до них;
- Систематичне використання програм-ревізорів для контролю цілісності інформації;
- При пошуку вірусів (який повинен відбувається регулярно!) Намагайтеся використовувати завідомо чисту операційну систему, завантажену з дискети. Захищайте дискети від запису, якщо є хоч мала ймовірність зараження.
При неакуратною роботі з антивірусними програмами можна не тільки переносити з ними віруси, а й замість лікування файлів безнадійно їх зіпсувати. Корисно мати хоча б загальне уявлення про те, що можуть і чого не можуть комп'ютерні віруси, про їх життєвому циклі, про найважливіші методи захисту.
Будь-який сучасний антивірусний продукт - це не тільки набір окремих технологій детектування, але й складна система захисту, побудована на власному розумінні антивірусної компанією того, як потрібно забезпечувати безпеку від шкідливих програм. При цьому прийняті багато років тому архітектурні та технічні рішення серйозно обмежують можливості змінювати співвідношення проактивних і реактивних методів захисту. Наприклад, в антивірусній системі Eset NOD32 використовуються як евристичні, так і сигнатурні методи боротьби з шкідливим кодом, але ролі між цими двома технологіями розподіляються не так, як в інших антивірусах: у той час як більшість антивірусів відштовхується від сигнатурних методів, доповнюючи їх евристиками, у Eset NOD32 все навпаки. Основним способом протистояння шкідливим програмам тут є так звані розширені евристики (Advanced Heuristics), що представляють собою поєднання емуляції, евристик, алгоритмічного аналізу та сигнатурного методу. У результаті розширені евристики Eset NOD32 дозволяють проактивно детектувати майже 90% всіх загроз, а інші усуваються сигнатурними методами. Надійність такого підходу підтверджується результатами незалежних тестувань.
Основними функціональними особливостями Esest NOD32 є:
· Евристичний аналіз, що дозволяє виявляти невідомі загрози;
· Технологія ThreatSense - аналіз файлів для виявлення вірусів, програм-шпигунів (spyware), непрошеної реклами (adware), phishing-атак і інших погроз;
· Перевірка та видалення вірусів із заблокованих для записів файлів (наприклад, захищені системою безпеки Windows бібліотеки DLL);
· Перевірка протоколів HTTP, POP3 та PMTP.
Установка запропонована в трьох режимах: "Типовий" (для більшості користувачів), "Розширений" (часткова налаштування встановлюються компонентів) і "Експерт" (повністю настроюється установка). Відразу ж пропонується вказати, чи використовуєте ви проксі-сервер, а також запитуються деякі налаштування майбутніх оновлень. Крім того, NOD32 заздалегідь цікавиться, чи бажаєте ви використовувати "двонаправлену систему своєчасного виявлення" - функція передачі лабораторії Eset підозрілих об'єктів, знайдених на комп'ютері. Всі компоненти захисту при бажанні будуть запропоновані до встановлення з докладним описом поетапно.
Для захисту системи увазі користувача запропоновані наступні модулі:
- Antivirus MONitor (AMON). Сканер, автоматично перевіряє файли перед їх запуском чи переглядом;
- NOD32. Сканування всього комп'ютера або вибраних розділів. Відмітна особливість - програмування на запуск в години з найменшим завантаженням;
- Internet MONitor (IMON). Резидентний сканер, перевіряючий Інтернет-трафік (HTTP) і вхідну пошту, отриману по протоколу POP3;
- Email MONitor (EMON). Модуль для роботи з поштовими клієнтами, сканує вхідні та вихідні електронні повідомлення через інтерфейс MAPI (застосовується в Microsoft Outlook і Microsoft Exchange);
- Document MONitor (DMON). Заснований на використанні запатентованого інтерфейсу Microsoft API, перевіряє документи Microsoft Office.
Інтерфейс і робота. Користувачі домашніх мереж відразу ж подумки порівняють інтерфейс NOD32 з популярним мережевим сканером Netlook - антивірус використовує схожу структуру доступу до компонентів. Інтерфейс NOD32 організований максимально ергономічно і ефективно. Основні пункти меню містять підзаголовки, які в свою чергу відкривають праворуч від основного вікна область роботи з вибраним модулем чи компонентом. Кожен підпункт (крім сканера NOD32) пропонує докладну настройку, яка підійде скоріше фахівця або адміністратора, ніж пересічному користувачеві. Тим не менш, при бажанні розібратися у всіх тонкощах модулів NOD32 вам буде запропоновано довідка, що наочно демонструє і пояснює призначення налаштувань.
Оновлення - одна з сильних сторін NOD32. Спочатку на вибір запропоновані цілих 3 сервери з можливістю подальшого додавання адрес. Також підтримуються локальні оновлення з мережевих ресурсів. Присутня можливість створення дискет або CD з оновленнями. Оновлення відбувається кожні кілька годин.
Антивірус Касперського Personal.
Антивірус Касперського Personal призначений для антивірусного захисту персональних комп'ютерів, що працюють під управлінням операційних систем Windows 98/ME, 2000/NT/XP, від всіх відомих видів вірусів, включаючи потенційно небезпечне програмне забезпечення. Програма здійснює постійний контроль всіх джерел проникнення вірусів - електронної пошти, інтернету, дискет, компакт-дисків і т.д. Унікальна система евристичного аналізу даних ефективно нейтралізує невідомі віруси. Можна виділити наступні варіанти роботи програми (вони можуть використовуватися як окремо, так і в сукупності):
· Постійний захист комп'ютера - перевірка всіх запускаються, відкриваються і зберігаються на комп'ютері об'єктів на присутність вірусів.
· Перевірка комп'ютера за вимогою - перевірка і лікування як усього комп'ютера в цілому, так і окремих дисків, файлів або каталогів. Таку перевірку ви можете запускати самостійно або настроїти її регулярний автоматичний запуск.
Антивірус Касперського Personal тепер не перевіряє повторно ті об'єкти, які були проаналізовані під час попередньої перевірки і з тих пір не змінилися, не тільки при постійному захисті, але і при перевірці на вимогу. Така організація роботи помітно підвищує швидкість роботи програми.
Програма створює надійний бар'єр на шляху проникнення вірусів через електронну пошту. Антивірус Касперського Personal автоматично здійснює перевірку і лікування всієї вхідної та вихідної кореспонденції поштові по протоколах POP3 і SMTP і ефективно виявляє віруси в поштових базах.
Програма підтримує більше семисот форматів архівованих і стислих файлів і забезпечує автоматичну антивірусну перевірку їх вмісту, а також видалення шкідливого коду з архівних файлів формату ZIP, CAB, RAR, ARJ, LHA і ICE.
Простота налаштування програми здійснюється за рахунок можливості вибору одного з трьох визначених рівнів: Максимальний захист, Рекомендована захист і Максимальна швидкість.
Оновлення антивірусних баз здійснюється кожну годину, при цьому забезпечується їх гарантована доставка при розриві або зміні з'єднань з інтернетом.
До складу Антивірусу Касперського включений спеціальний компонент, який забезпечує захист файлової системи комп'ютера від зараження, - Файловий Антивірус. Він запускається при старті операційної системи, постійно знаходиться в оперативній пам'яті комп'ютера і перевіряє всі відкриваються, зберігаються і запускаються вами або програмами файли.
За замовчуванням Файловий Антивірус перевіряє ТІЛЬКИ НОВІ або ЗМІНЕНІ ФАЙЛИ, тобто файли, які додалися або змінилися з часу останнього звернення до них. Це можливо завдяки застосуванню нових технологій iChecker і iSwift. Для реалізації технологій використовується таблиця контрольних сум файлів. Процес перевірки файлу виконується за наступним алгоритмом:
1. Кожен файл, до якого відбувається звернення користувача або деякої програми, перехоплюється компонентом.
2. Файловий Антивірус перевіряє наявність інформації про перехоплений файлі в базі iChecker і iSwift. Далі можливі такі дії:
· Якщо інформації про перехоплений файлі в базі немає, він піддається детальної антивірусної перевірки. Контрольна сума перевіреного файлу фіксується в базі.
· Якщо інформація про фото присутній в базі, Файловий Антивірус порівнює поточний стан файлу з його станом, зафіксованим в базі на момент попередньої перевірки. При повному збігу інформації файл передається користувачеві для роботи без перевірки. Якщо файл якимось чином змінився, він буде детально перевірено, і нова інформація про нього буде записана в базу.
Процес перевірки включає наступні дії:
1. Файл аналізується на присутність вірусів. Розпізнавання шкідливих об'єктів відбувається на підставі сигнатур загроз, які у роботі. Сигнатури містять опис всіх відомих на цей момент шкідливих програм, погроз, мережевих атак і способів їх знешкодження.
2. У результаті аналізу можливі такі варіанти поведінки:
a. Якщо у файлі виявлений шкідливий код, Файловий Антивірус блокує файл, поміщає його копію в резервне сховище і намагається знешкодити файл. У результаті успішного лікування файл стає доступним для роботи, якщо ж лікування провести не вдалося, файл видаляється.
b. Якщо у файлі виявлений код, схожий на шкідливий, але стовідсоткової гарантії цього немає, файл поміщається в спеціальне сховище - карантин.
c. Якщо у файлі не виявлено шкідливого коду, він відразу ж стає доступним для роботи.
Крім забезпечення захисту ваших даних програма володіє додатковими сервісами, що розширюють можливості роботи з Антивірусом Касперського.
У процесі роботи програма поміщає деякі об'єкти в спеціальні сховища. Мета, яка при цьому переслідується, - забезпечити максимальний захист даних з мінімальними втратами.
· Резервне сховище містить копії об'єктів, які були змінені або вилучені в результаті роботи Антивірусу Касперського. Якщо який-небудь об'єкт містив важливу для вас інформацію, яку не вдалося повністю зберегти в процесі антивірусної обробки, ви завжди зможете відновити об'єкт з його резервної копії.
· Карантин містить можливо заражені об'єкти, які не вдалося обробити за допомогою поточної версії сигнатур загроз.
Рекомендується періодично переглядати списки об'єктів, можливо деякі з них вже неактуальні, а деякі можна відновити.
Частина сервісів спрямована на допомогу в роботі з програмою, наприклад:
· Сервіс Служба технічної підтримки забезпечує всебічну допомогу в роботі з Антивірусом Касперського. Експерти Лабораторії Касперського постаралися включити всі можливі способи забезпечення підтримки: on-line підтримка, форум питань і пропозицій від користувачів програми і т.д.
· Сервіс повідомлень про події допомагає налаштовувати оповіщення користувачів про важливі моменти в роботі Антивірусу Касперського. Це можуть бути як події інформаційного характеру, так і помилки, які вимагають невідкладного усунення, і знати про них вкрай важливо.
· Сервіс самозахисту програми та обмеження доступу до роботи з нею забезпечує захист власних файлів програми від зміни і пошкодження з боку зловмисників, забороняє зовнішнє управління сервісами програми, а також вводить розмежування прав інших користувачів вашого комп'ютера на виконання деяких дій з Антивірусом Касперського. Наприклад, зміна рівня захисту може значно вплинути на безпеку інформації на вашому комп'ютері.
· Сервіс управління ліцензійними ключами дозволяє отримувати докладну інформацію про використовувану ліцензії, виробляти активацію вашої копії програми, а також здійснювати управління файлами ліцензійних ключів.
Створення диска аварійного відновлення дозволить відновити працездатність комп'ютера на рівні, що передує зараженню. Це особливо корисно в ситуації, коли після пошкодження шкідливим кодом системних файлів неможливо зробити завантаження операційної системи комп'ютера.
Також надається можливість змінювати зовнішній вигляд Антивірусу Касперського і налаштовувати параметри поточного інтерфейсу програми.
Антивірусна утиліта AVZ.
Антивірусна утиліта AVZ є інструментом для дослідження і відновлення системи, і призначена для автоматичного або ручного пошуку і видалення:
· SpyWare, AdvWare програм і модулів (це одне з основних призначень утиліти);
· Руткітів і шкідливих програм, що маскують свої процеси
· Мережевих і поштових черв'яків;
· Троянських програм (включаючи всі їх різновиди, зокрема Trojan-PSW, Trojan-Downloader, Trojan-Spy) і Backdoor (програм для скритного віддаленого управління комп'ютером);
· Троянських програм-дзвонилок (Dialer, Trojan.Dialer, Porn-Dialer);
· Клавіатурних шпигунів і інших програм, які можуть застосовуватися для спостереження за користувачем;
Утиліта є прямим аналогом програм Trojan Hunter і LavaSoft Ad-aware 6. Первинною завданням програми є видалення AdWare, SpyWare і троянських програм.
Відразу слід зазначити, що програми категорій SpyWare, AdWare за визначенням не є вірусами або троянськими програмами. Вони шпигують за користувачем і завантажують інформацію та програмний код на уражений комп'ютер в основному з маркетингових міркувань (тобто передана інформація не містить критичних даних - паролів, номерів кредитних карт і т.п., а завантажувана інформація є рекламою або оновленнями). Однак дуже часто грань між SpyWare і троянською програмою досить умовна і точна класифікація скрутна.
Особливістю програми AVZ є можливість налаштування реакції програми на кожну з категорій шкідливих програми - наприклад, можна задати режим знищення знайдених вірусів і троянських програм, але заблокувати видалення AdWare.
Іншою особливістю AVZ є численні евристичні перевірки системи, які базуються на механізмі пошуку по сигнатурах - це пошук RootKit, клавіатурних шпигунів, різних Backdoor по базі типових портів TCP / UDP. Подібні методи пошуку дозволяють знаходити нові різновиди шкідливих програм.
Крім типового для програм даного класу пошуку файлів по сигнатурах в AVZ вбудована база з цифровими підписами десятків тисяч системних файлів. Застосування даної бази дозволяє зменшити кількість помилкових спрацьовувань евристики і дозволяє вирішувати ряд завдань. Зокрема, в системі пошуку файлів є фільтр для виключення відомих файлів з результатів пошуку, в диспетчері запущених процесів і налаштувань SPI проводиться колірне виділення відомих процесів, при додаванні файлів в карантин проводиться блокування додавання відомих AVZ безпечних файлів.
Як показує практика, дуже часто програма типу SpyWare може бути класифікована як AdWare і навпаки (причини прості - метою шпигунства в більшості випадків є цільова реклама). Для таких випадків в класифікації введена узагальнююча категорія Spy, яка грубо може трактуватися як AdWare + SpyWare. Термін Spy перекладається як «шпигун», «таємний агент», «стежити», «підглядати». Цей термін досить добре підходить до програм подібного класу.
Обмеження програми:
1. Оскільки утиліта спрямована в першу чергу на боротьбу з SpyWare і AdWare модулями, і на даний момент вона не підтримує перевірку архівів деяких типів, PE пакувальників і документів. Для боротьби зі SpyWare в цьому просто немає потреби. Тим не менш, утиліта вдосконалюється і поява подібних функцій планується;
2. Утиліта не лікує програми, заражені комп'ютерними вірусами. Для якісного і коректного лікування зараженої програми необхідні спеціалізовані антивіруси (наприклад, антивірус Касперського, Dr Web і т.п.).
РОЗДІЛ 2. ПОРІВНЯЛЬНИЙ АНАЛІЗ АНТИВІРУСНА ПРОГРАМ
Для доказу переваг своїх продуктів розробники антивірусів часто використовують результати незалежних тестів. Одним з перших тестувати антивірусні продукти почав британський журнал Virus Bulletin, перші тести, опубліковані на їхньому сайті, належать до далекого 1998 році. Основу тесту складає колекція шкідливих програм WildList. Для успішного проходження тесту необхідно виявити всі віруси цієї колекції і продемонструвати нульовий рівень помилкових спрацьовувань на колекції "чистих" файлів журналу. Тестування проводиться кілька разів на рік на різних операційних системах; успішно пройшли тест продукти отримують нагороду VB100%. Результати проведення тесту представлені в таблиці 1.
Таблиця 1. «Результати тестування».
За даними таблиці видно, що в одних антивірусів виграшним виявляється один показник, в інших - інший. При цьому природно, що в своїх рекламних матеріалах розробники антивірусів роблять акцент тільки на ті тести, де їхні продукти займають лідируючі позиції. Так, наприклад, Лабораторія Касперського робить акцент на швидкості реакції на появу нових загроз, Eset NOD32 - на силі своїх евристичних технологій, Dr Web 4.33 описує свої переваги в лікуванні активного зараження.
Але що ж робити користувачеві, як зробити правильний вибір? Вибираючи антивірус для своєї системи, потрібно переконатися, що він періодично завойовує нагороду VB100%. Це гарантує, що розробники антивіруса постійно контролюють появу нових небезпечних вірусів, своєчасно оновлюють антивірусну базу даних і вдосконалюють алгоритми виявлення вірусів. Зрозуміло, що рішення, яке вибере користувач, має бути збалансованим і за більшістю параметрів повинно входити в число лідерів за результатами
ВИСНОВОК
В даний час комп'ютерні віруси знайомі всім користувачам комп'ютерних систем. Актуальність проблеми антивірусного захисту пояснюється наступними причинами:
лавиноподібне зростання числа комп'ютерних вірусів. В даний час число відомих вірусів перевищила за 256 000 (дані за 21 лютого 2007 р .) І продовжує інтенсивно рости.
незадовільний стан антивірусного захисту в існуючих корпоративних комп'ютерних мережах. Сьогодні мережі російських компаній знаходяться в постійному розвитку. Однак разом з цим розвитком постійно зростає і число точок проникнення вірусів в корпоративні мережі. Як правило, такими точками є шлюзи та сервери Інтернету, сервери файл-додатків, сервери групової роботи та електронної пошти, робочі станції;
останнім часом набули поширення віруси для мобільних пристроїв, включаючи телефони, і для unix-подібних систем, на яких будуються корпоративні інформаційні мережі.
Хороша антивірусна програма повинна:
Забезпечувати ефективний захист в режимі реального часу. Резидентна частина (монітор) програми повинна постійно перебувати в оперативній пам'яті вашого комп'ютера і проводити перевірку всіх файлових операцій (при створенні, редагуванні, копіювання файлів, запуску їх на виконання), повідомлень електронної пошти, даних і програм, одержуваних з інтернету.
Дозволяти перевіряти весь вміст локальних дисків "на вимогу", запускаючи перевірку вручну або автоматично за розкладом.
Захищати ваш комп'ютер навіть від невідомих вірусів: програма повинна включати в себе технології пошуку невідомих вірусів, засновані на принципах евристичного аналізу.
Вміти перевіряти і лікувати архівовані файли.
Давати можливість регулярно (щодня!) обновляти антивірусні бази (через Інтернет, дискет або CD - як вам зручніше).
І все-таки залишається питання: «Який антивірус вибрати?»
Незабаром після появи персональних комп'ютерів і початку масового розповсюдження вірусів з'явилася величезна кількість антивірусних програм. Зараз в Росії використовуються головним чином дві дуже гарні, перевірені, якісні антивірусні програми: Dr Web і Антивірус Касперського. Кожна з них має кілька різновидів, орієнтованих на різні сфери застосування: для використання на домашніх комп'ютерах, для малого і середнього бізнесу, для великих корпоративних клієнтів, для захисту локальних мереж, для поштових, файлових серверів, серверів додатків. Обидві ці програми, безумовно, відповідають усім перерахованим вище вимогам. Помічені за ними обома і деякі недоліки, зокрема, частенько конфліктують з деякими запускаються з-під Windows MSDOS-додатками.
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Безруков Н.Н. Класифікація комп'ютерних вірусів MS-DOS і методи захисту від них / М.М. Безруков. - М.: СП "ICE", 1990
2. Безруков Н.Н. Комп'ютерні віруси / М.М. Безруков. - М.: Наука, 1991.
3. Денисов Т.В. Антивірусна захист / / Мій Комп'ютер-№ 4-1999р.
4. Могилів А.В. Інформатика: навчальний посібник для студ. пед. вузів / А. В. Могильов Н. І. Пак, Є. К. Хеннер; Під ред. Є. К. Хеннер. - М.: Изд. Центр «Академія», 2000.-816с.
Оновлення антивірусних баз здійснюється кожну годину, при цьому забезпечується їх гарантована доставка при розриві або зміні з'єднань з інтернетом.
До складу Антивірусу Касперського включений спеціальний компонент, який забезпечує захист файлової системи комп'ютера від зараження, - Файловий Антивірус. Він запускається при старті операційної системи, постійно знаходиться в оперативній пам'яті комп'ютера і перевіряє всі відкриваються, зберігаються і запускаються вами або програмами файли.
За замовчуванням Файловий Антивірус перевіряє ТІЛЬКИ НОВІ або ЗМІНЕНІ ФАЙЛИ, тобто файли, які додалися або змінилися з часу останнього звернення до них. Це можливо завдяки застосуванню нових технологій iChecker і iSwift. Для реалізації технологій використовується таблиця контрольних сум файлів. Процес перевірки файлу виконується за наступним алгоритмом:
1. Кожен файл, до якого відбувається звернення користувача або деякої програми, перехоплюється компонентом.
2. Файловий Антивірус перевіряє наявність інформації про перехоплений файлі в базі iChecker і iSwift. Далі можливі такі дії:
· Якщо інформації про перехоплений файлі в базі немає, він піддається детальної антивірусної перевірки. Контрольна сума перевіреного файлу фіксується в базі.
· Якщо інформація про фото присутній в базі, Файловий Антивірус порівнює поточний стан файлу з його станом, зафіксованим в базі на момент попередньої перевірки. При повному збігу інформації файл передається користувачеві для роботи без перевірки. Якщо файл якимось чином змінився, він буде детально перевірено, і нова інформація про нього буде записана в базу.
Процес перевірки включає наступні дії:
1. Файл аналізується на присутність вірусів. Розпізнавання шкідливих об'єктів відбувається на підставі сигнатур загроз, які у роботі. Сигнатури містять опис всіх відомих на цей момент шкідливих програм, погроз, мережевих атак і способів їх знешкодження.
2. У результаті аналізу можливі такі варіанти поведінки:
a. Якщо у файлі виявлений шкідливий код, Файловий Антивірус блокує файл, поміщає його копію в резервне сховище і намагається знешкодити файл. У результаті успішного лікування файл стає доступним для роботи, якщо ж лікування провести не вдалося, файл видаляється.
b. Якщо у файлі виявлений код, схожий на шкідливий, але стовідсоткової гарантії цього немає, файл поміщається в спеціальне сховище - карантин.
c. Якщо у файлі не виявлено шкідливого коду, він відразу ж стає доступним для роботи.
Крім забезпечення захисту ваших даних програма володіє додатковими сервісами, що розширюють можливості роботи з Антивірусом Касперського.
У процесі роботи програма поміщає деякі об'єкти в спеціальні сховища. Мета, яка при цьому переслідується, - забезпечити максимальний захист даних з мінімальними втратами.
· Резервне сховище містить копії об'єктів, які були змінені або вилучені в результаті роботи Антивірусу Касперського. Якщо який-небудь об'єкт містив важливу для вас інформацію, яку не вдалося повністю зберегти в процесі антивірусної обробки, ви завжди зможете відновити об'єкт з його резервної копії.
· Карантин містить можливо заражені об'єкти, які не вдалося обробити за допомогою поточної версії сигнатур загроз.
Рекомендується періодично переглядати списки об'єктів, можливо деякі з них вже неактуальні, а деякі можна відновити.
Частина сервісів спрямована на допомогу в роботі з програмою, наприклад:
· Сервіс Служба технічної підтримки забезпечує всебічну допомогу в роботі з Антивірусом Касперського. Експерти Лабораторії Касперського постаралися включити всі можливі способи забезпечення підтримки: on-line підтримка, форум питань і пропозицій від користувачів програми і т.д.
· Сервіс повідомлень про події допомагає налаштовувати оповіщення користувачів про важливі моменти в роботі Антивірусу Касперського. Це можуть бути як події інформаційного характеру, так і помилки, які вимагають невідкладного усунення, і знати про них вкрай важливо.
· Сервіс самозахисту програми та обмеження доступу до роботи з нею забезпечує захист власних файлів програми від зміни і пошкодження з боку зловмисників, забороняє зовнішнє управління сервісами програми, а також вводить розмежування прав інших користувачів вашого комп'ютера на виконання деяких дій з Антивірусом Касперського. Наприклад, зміна рівня захисту може значно вплинути на безпеку інформації на вашому комп'ютері.
· Сервіс управління ліцензійними ключами дозволяє отримувати докладну інформацію про використовувану ліцензії, виробляти активацію вашої копії програми, а також здійснювати управління файлами ліцензійних ключів.
Створення диска аварійного відновлення дозволить відновити працездатність комп'ютера на рівні, що передує зараженню. Це особливо корисно в ситуації, коли після пошкодження шкідливим кодом системних файлів неможливо зробити завантаження операційної системи комп'ютера.
Також надається можливість змінювати зовнішній вигляд Антивірусу Касперського і налаштовувати параметри поточного інтерфейсу програми.
Антивірусна утиліта AVZ.
Антивірусна утиліта AVZ є інструментом для дослідження і відновлення системи, і призначена для автоматичного або ручного пошуку і видалення:
· SpyWare, AdvWare програм і модулів (це одне з основних призначень утиліти);
· Руткітів і шкідливих програм, що маскують свої процеси
· Мережевих і поштових черв'яків;
· Троянських програм (включаючи всі їх різновиди, зокрема Trojan-PSW, Trojan-Downloader, Trojan-Spy) і Backdoor (програм для скритного віддаленого управління комп'ютером);
· Троянських програм-дзвонилок (Dialer, Trojan.Dialer, Porn-Dialer);
· Клавіатурних шпигунів і інших програм, які можуть застосовуватися для спостереження за користувачем;
Утиліта є прямим аналогом програм Trojan Hunter і LavaSoft Ad-aware 6. Первинною завданням програми є видалення AdWare, SpyWare і троянських програм.
Відразу слід зазначити, що програми категорій SpyWare, AdWare за визначенням не є вірусами або троянськими програмами. Вони шпигують за користувачем і завантажують інформацію та програмний код на уражений комп'ютер в основному з маркетингових міркувань (тобто передана інформація не містить критичних даних - паролів, номерів кредитних карт і т.п., а завантажувана інформація є рекламою або оновленнями). Однак дуже часто грань між SpyWare і троянською програмою досить умовна і точна класифікація скрутна.
Особливістю програми AVZ є можливість налаштування реакції програми на кожну з категорій шкідливих програми - наприклад, можна задати режим знищення знайдених вірусів і троянських програм, але заблокувати видалення AdWare.
Іншою особливістю AVZ є численні евристичні перевірки системи, які базуються на механізмі пошуку по сигнатурах - це пошук RootKit, клавіатурних шпигунів, різних Backdoor по базі типових портів TCP / UDP. Подібні методи пошуку дозволяють знаходити нові різновиди шкідливих програм.
Крім типового для програм даного класу пошуку файлів по сигнатурах в AVZ вбудована база з цифровими підписами десятків тисяч системних файлів. Застосування даної бази дозволяє зменшити кількість помилкових спрацьовувань евристики і дозволяє вирішувати ряд завдань. Зокрема, в системі пошуку файлів є фільтр для виключення відомих файлів з результатів пошуку, в диспетчері запущених процесів і налаштувань SPI проводиться колірне виділення відомих процесів, при додаванні файлів в карантин проводиться блокування додавання відомих AVZ безпечних файлів.
Як показує практика, дуже часто програма типу SpyWare може бути класифікована як AdWare і навпаки (причини прості - метою шпигунства в більшості випадків є цільова реклама). Для таких випадків в класифікації введена узагальнююча категорія Spy, яка грубо може трактуватися як AdWare + SpyWare. Термін Spy перекладається як «шпигун», «таємний агент», «стежити», «підглядати». Цей термін досить добре підходить до програм подібного класу.
Обмеження програми:
1. Оскільки утиліта спрямована в першу чергу на боротьбу з SpyWare і AdWare модулями, і на даний момент вона не підтримує перевірку архівів деяких типів, PE пакувальників і документів. Для боротьби зі SpyWare в цьому просто немає потреби. Тим не менш, утиліта вдосконалюється і поява подібних функцій планується;
2. Утиліта не лікує програми, заражені комп'ютерними вірусами. Для якісного і коректного лікування зараженої програми необхідні спеціалізовані антивіруси (наприклад, антивірус Касперського, Dr Web і т.п.).
РОЗДІЛ 2. ПОРІВНЯЛЬНИЙ АНАЛІЗ АНТИВІРУСНА ПРОГРАМ
Для доказу переваг своїх продуктів розробники антивірусів часто використовують результати незалежних тестів. Одним з перших тестувати антивірусні продукти почав британський журнал Virus Bulletin, перші тести, опубліковані на їхньому сайті, належать до далекого 1998 році. Основу тесту складає колекція шкідливих програм WildList. Для успішного проходження тесту необхідно виявити всі віруси цієї колекції і продемонструвати нульовий рівень помилкових спрацьовувань на колекції "чистих" файлів журналу. Тестування проводиться кілька разів на рік на різних операційних системах; успішно пройшли тест продукти отримують нагороду VB100%. Результати проведення тесту представлені в таблиці 1.
Таблиця 1. «Результати тестування».
| Dr Web 4.33 | Лабораторія Касперського | Eset NOD32 | |
| Кількість успішно проведених тестів VB 100% за 2006-2007р | 4 | 10 | 11 |
| Загальний рівень виявлення шкідливого програмного забезпечення | 92.40% | 98.88% | 94.38% |
| Середній час реакції на нові загроз, годинник | 6-8 | 0-2 | 4-6 |
| Лікування активного зараження | 82% | 71% | 18% |
| Займана оперативна пам'ять у звичайному режимі роботи, кВ | 8338 | 4500 | 29124 |
| Час сканування даних, хв. | 79 | 28 | 23 |
| Кількість відсканованих даних | 133848 | 124914 | 123724 |
| Усереднена по всіх тестів рейтинг антивірусів (чим менше, тим краще) | 7,83 | 2,25 | 4,75 |
Але що ж робити користувачеві, як зробити правильний вибір? Вибираючи антивірус для своєї системи, потрібно переконатися, що він періодично завойовує нагороду VB100%. Це гарантує, що розробники антивіруса постійно контролюють появу нових небезпечних вірусів, своєчасно оновлюють антивірусну базу даних і вдосконалюють алгоритми виявлення вірусів. Зрозуміло, що рішення, яке вибере користувач, має бути збалансованим і за більшістю параметрів повинно входити в число лідерів за результатами
ВИСНОВОК
В даний час комп'ютерні віруси знайомі всім користувачам комп'ютерних систем. Актуальність проблеми антивірусного захисту пояснюється наступними причинами:
лавиноподібне зростання числа комп'ютерних вірусів. В даний час число відомих вірусів перевищила за 256 000 (дані за 21 лютого
незадовільний стан антивірусного захисту в існуючих корпоративних комп'ютерних мережах. Сьогодні мережі російських компаній знаходяться в постійному розвитку. Однак разом з цим розвитком постійно зростає і число точок проникнення вірусів в корпоративні мережі. Як правило, такими точками є шлюзи та сервери Інтернету, сервери файл-додатків, сервери групової роботи та електронної пошти, робочі станції;
останнім часом набули поширення віруси для мобільних пристроїв, включаючи телефони, і для unix-подібних систем, на яких будуються корпоративні інформаційні мережі.
Хороша антивірусна програма повинна:
Забезпечувати ефективний захист в режимі реального часу. Резидентна частина (монітор) програми повинна постійно перебувати в оперативній пам'яті вашого комп'ютера і проводити перевірку всіх файлових операцій (при створенні, редагуванні, копіювання файлів, запуску їх на виконання), повідомлень електронної пошти, даних і програм, одержуваних з інтернету.
Дозволяти перевіряти весь вміст локальних дисків "на вимогу", запускаючи перевірку вручну або автоматично за розкладом.
Захищати ваш комп'ютер навіть від невідомих вірусів: програма повинна включати в себе технології пошуку невідомих вірусів, засновані на принципах евристичного аналізу.
Вміти перевіряти і лікувати архівовані файли.
Давати можливість регулярно (щодня!) обновляти антивірусні бази (через Інтернет, дискет або CD - як вам зручніше).
І все-таки залишається питання: «Який антивірус вибрати?»
Незабаром після появи персональних комп'ютерів і початку масового розповсюдження вірусів з'явилася величезна кількість антивірусних програм. Зараз в Росії використовуються головним чином дві дуже гарні, перевірені, якісні антивірусні програми: Dr Web і Антивірус Касперського. Кожна з них має кілька різновидів, орієнтованих на різні сфери застосування: для використання на домашніх комп'ютерах, для малого і середнього бізнесу, для великих корпоративних клієнтів, для захисту локальних мереж, для поштових, файлових серверів, серверів додатків. Обидві ці програми, безумовно, відповідають усім перерахованим вище вимогам. Помічені за ними обома і деякі недоліки, зокрема, частенько конфліктують з деякими запускаються з-під Windows MSDOS-додатками.
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Безруков Н.Н. Класифікація комп'ютерних вірусів MS-DOS і методи захисту від них / М.М. Безруков. - М.: СП "ICE", 1990
2. Безруков Н.Н. Комп'ютерні віруси / М.М. Безруков. - М.: Наука, 1991.
3. Денисов Т.В. Антивірусна захист / / Мій Комп'ютер-№ 4-1999р.
4. Могилів А.В. Інформатика: навчальний посібник для студ. пед. вузів / А. В. Могильов Н. І. Пак, Є. К. Хеннер; Під ред. Є. К. Хеннер. - М.: Изд. Центр «Академія», 2000.-816с.