Антивіруси. Реферат: Класифікація антивірусних засобів Охарактеризуйте антивірусні програми класифікації

ВСТУП

Ми живемо на стику двох тисячоліть, коли людство набуло епохи нової науково-технічної революції.

До кінця двадцятого століття люди оволоділи багатьма таємницями перетворення речовини та енергії та зуміли використати ці знання для покращення свого життя. Але крім речовини та енергії у житті людини величезну роль грає ще одна складова – інформація. Це найрізноманітніші відомості, повідомлення, повідомлення, знання, вміння.

У середині нашого століття з'явилися спеціальні пристрої – комп'ютери, орієнтовані на зберігання та перетворення інформації та відбулася комп'ютерна революція.

Сьогодні масове застосування персональних комп'ютерів, на жаль, виявилося пов'язаним з появою програм, що самовідтворюються, вірусів, що перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і завдають шкоди інформації, що зберігається в комп'ютері.

Незважаючи на ухвалені в багатьох країнах закони про боротьбу з комп'ютерними злочинами та розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно зростає. Це вимагає від користувача персонального комп'ютеразнань про природу вірусів, способи зараження вірусами та захисту від них. Це й стало стимулом для вибору теми моєї роботи.

Саме про це я розповідаю у своєму рефераті. Я показую основні види вірусів, розглядаю схеми їх функціонування, причини їх появи та шляхи проникнення в комп'ютер, а також пропоную заходи щодо захисту та профілактики.

Мета роботи – ознайомити користувача з основами комп'ютерної вірусології, навчити виявляти віруси та боротися з ними. Метод роботи - аналіз друкованих видань на цю тему. Переді мною постало непросте завдання – розповісти про те, що ще дуже мало досліджувалося, і як це вийшло – судити вам.

1. КОМП'ЮТЕРНІ ВІРУСИ, ЇХ ВЛАСТИВОСТІ І КЛАСИФІКАЦІЯ

1.1. Властивості комп'ютерних вірусів

Зараз використовуються персональні комп'ютери, в яких користувач має вільний доступ до всіх ресурсів машини. Саме це відкрило можливість для небезпеки, яка дістала назву комп'ютерного вірусу.

Що таке комп'ютерний вірус? Формальне визначення цього поняття досі не вигадане, і є серйозні сумніви, що воно взагалі може бути дане. Численні спроби дати «сучасне» визначення вірусу не сприяли успіху. Щоб відчути всю складність проблеми, спробуйте, наприклад, дати визначення поняття «редактор». Ви або придумаєте щось спільне, або почнете перераховувати всі відомі типи редакторів. І те й інше навряд можна вважати прийнятним. Тому ми обмежимося розглядом деяких властивостей комп'ютерних вірусів, які дозволяють говорити про них як певний клас програм.

Насамперед вірус – це програма. Таке просте твердження саме собою здатне розвіяти безліч легенд про незвичайні можливості комп'ютерних вірусів. Вірус може перевернути зображення на моніторі, але не може перевернути монітор. До легенд про віруси-вбивці, що «знищують операторів за допомогою виведення на екран смертельної колірної гами 25-м кадром» також не варто ставитися серйозно. На жаль, деякі авторитетні видання час від часу публікують найсвіжіші новини з комп'ютерних фронтів, які при найближчому розгляді виявляються наслідком не цілком ясного розуміння предмета.

Вірус - програма, що має здатність до самовідтворення. Така здатність є єдиним засобом, властивим для всіх типів вірусів. Але не лише віруси здатні до самовідтворення. Будь-яка операційна система та ще безліч програм здатні створювати власні копії. Копії ж вірусу як зобов'язані повністю збігатися з оригіналом, а й можуть взагалі із нею не збігатися!

Вірус не може існувати в «повній ізоляції»: сьогодні не можна уявити вірус, який не використовує код інших програм, інформацію про файлову структуру або навіть імена інших програм. Причина зрозуміла: вірус повинен у спосіб забезпечити передачу собі управління.

1.2. Класифікація вірусів

В даний час відомо більше 5000 програмних вірусів, їх можна класифікувати за такими ознаками:

¨ середовищі

¨ способу зараження довкілля

¨ впливу

¨ особливостям алгоритму

В залежності від довкілля віруси можна розділити на мережеві, файлові, завантажувальні та файлово-завантажувальні. Мережеві вірусипоширюються різними комп'ютерними мережами. Файлові віруси впроваджуються головним чином виконувані модулі, т. е. файли, мають розширення COM і EXE. Файлові вірусиможуть впроваджуватися і в інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не отримують управління і, отже, втрачають здатність розмножуватися. Завантажувальні вірусивпроваджуються в завантажувальний сектор диска (Boot-сектор) або сектор, що містить програму завантаження системного диска(Master Boot Re-

cord). Файлово-завантажувальнівіруси заражають як файли, і завантажувальні сектори дисків.

За способом зараження віруси поділяються на резидентні та нерезидентні. Резидентний віруспри зараженні (інфікуванні) комп'ютера залишає в оперативної пам'ятісвою резидентну частину, яка потім перехоплює звернення операційної системидо об'єктів зараження (файлів, завантажувальних секторів дисків тощо) і впроваджується у них. Резидентні віруси знаходяться в пам'яті та є активними аж до вимкнення або перезавантаження комп'ютера. Нерезидентні вірусине заражають пам'ять комп'ютера і активні обмежений час.

За ступенем впливу віруси можна поділити на такі види:

¨ безпечні, що не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті та пам'яті на дисках, дії таких вірусів виявляються у будь-яких графічних або звукових ефектах

¨ небезпечнівіруси, які можуть призвести до різних порушень у роботі комп'ютера

¨ дуже небезпечні, вплив яких може призвести до втрати програм, знищення даних, стирання інформації у системних областях диска.

2. ОСНОВНІ ВИДИ ВІРУСІВ І СХЕМИ ЇХ ФУНКЦІОНУВАННЯ

Серед усієї різноманітності вірусів можна виділити такі основні групи:

¨ завантажувальні

¨ файлові

¨ файлово-завантажувальні

Тепер докладніше про кожну з цих груп.

2.1. Завантажувальні віруси

Розглянемо схему функціонування дуже простого завантажувального вірусу, що заражає дискети. Ми свідомо обійдемо всі численні тонкощі, які неминуче зустрілися б за суворого розбору алгоритму його функціонування.

Що відбувається, коли ви вмикаєте комп'ютер? Насамперед управління передається програмі початкового завантаження, що зберігається у постійно запам'ятовуючому пристрої (ПЗП) тобто. ПНЗ ПЗП.

Ця програма тестує обладнання та при успішному завершенні перевірок намагається знайти дискету в дисководі А:

Будь-яка дискета розмічена на т.зв. сектори та доріжки. Сектори поєднуються в кластери, але це для нас несуттєво.

Серед секторів є кілька службових, що використовуються операційною системою для власних потреб (у цих секторах не можуть розміщуватись ваші дані). Серед службових секторів нас поки що цікавить один - т.зв. сектор початкового завантаження(Boot-sector).

У секторі початкового завантаження зберігається інформація про дискет- кількість поверхонь, кількість доріжок, кількість секторів та ін. Але нас зараз цікавить не ця інформація, а невелика програма початкового завантаження(ПНЗ), яка має завантажити саму операційну систему та передати їй керування.

Таким чином, нормальна схема початкового завантаження така:

Тепер розглянемо вірус. У завантажувальних вірусах виділяють дві частини – т.зв. головута т.зв. хвіст. Хвіст, взагалі кажучи, може бути порожнім.

Нехай у вас є чиста дискета та заражений комп'ютер, під яким ми розуміємо комп'ютер із активним резидентним вірусом. Щойно цей вірус виявить, що у дисководі з'явилася підходяща жертва - у разі не захищена від запису і ще заражена дискета, він починає зараження. Заражаючи дискету, вірус робить такі дії:

Виділяє деяку область диска і позначає її як недоступну операційній системі, це можна зробити по-різному, у найпростішому та традиційному випадку зайняті вірусом сектори позначаються як збійні (bad)

Копіює у виділену область диска свій хвіст та оригінальний (здоровий) завантажувальний сектор

Заміщає програму початкового завантаження у завантажувальному секторі (справжньому) своєю головою

Організує ланцюжок передачі управління згідно зі схемою.

Таким чином, голова вірусу тепер першою отримує управління, вірус встановлюється на згадку і передає управління оригінальному завантажувальному сектору. У ланцюжку

ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА

з'являється нова ланка:

ПНЗ (ПЗУ) - ВІРУС - ПНЗ (диск) - СИСТЕМА

Мораль ясна: ніколи не залишайте (випадково) дискет у дисководі А.

Ми розглянули схему функціонування простого бутового вірусу, що у завантажувальних секторах дискет. Зазвичай, віруси здатні заражати як завантажувальні сектори дискет, а й завантажувальні сектори вінчестерів. При цьому, на відміну від дискет на вінчестері, є два типи завантажувальних секторів, що містять програми початкового завантаження, які отримують управління. При завантаженні комп'ютера з вінчестера першою бере на себе управління програма початкового завантаження MBR (Master Boot Record - головний завантажувальний запис). Якщо ваш жорсткий дискрозбитий на кілька розділів, лише один з них позначений як завантажувальний (boot). Програма початкового завантаження MBR знаходить завантажувальний розділвінчестера та передає управління на програму початкового завантаження цього розділу. Код останньої збігається з кодом програми початкового завантаження, що міститься на звичайних дискетах, а відповідні сектори завантаження відрізняються тільки таблицями параметрів. Таким чином, на вінчестері є два об'єкти атаки завантажувальних вірусів. програма початкового завантаження MBRі програма початкової завантаження у бут-секторізавантажувального диска

2.2. Файлові віруси

Розглянемо схему роботи простого файлового вірусу. На відміну від завантажувальних вірусів, які майже завжди резидентні, файлові віруси зовсім не обов'язково резидентні. Розглянемо схему функціонування нерезидентного файлового вірусу. Нехай у нас є інфікований виконуваний файл. При запуску такого файлу вірус отримує керування, робить деякі дії та передає керування «господарю» (хоча ще невідомо, хто в такій ситуації господар).

Які дії виконує вірус? Він шукає новий об'єкт для зараження - відповідний за типом файл, який ще не заражений (у тому випадку, якщо вірус "пристойний", а то трапляються такі, що заражають відразу, нічого не перевіряючи). Заражаючи файл, вірус впроваджується в його код, щоб отримати керування під час запуску цього файлу. Крім своєї основної функції - розмноження, вірус цілком може зробити щось хитромудре (сказати, запитати, зіграти) - це вже залежить від фантазії автора вірусу. Якщо файловий вірус резидентний, він встановиться на згадку і отримає можливість заражати файли і виявляти інші здібності як під час роботи зараженого файла. Заражаючи виконуваний файл, вірус завжди змінює його код - отже, зараження файлу, що виконується, завжди можна виявити. Але, змінюючи код файлу, вірус не обов'язково вносить інші зміни:

à він не повинен змінювати довжину файлу

à ділянки коду, що не використовуються.

à не повинен змінювати початок файлу

Нарешті, до файловим вірусам нерідко відносять віруси, які «мають певне ставлення до файлів», але мають впроваджуватися у тому код. Розглянемо як приклад схему функціонування вірусів відомого сімейства Dir-II. Не можна не визнати, що, з'явившись у 1991 р., ці віруси стали причиною справжньої епідемії чуми в Росії. Розглянемо модель, де ясно видно основна ідея вірусу. Інформація про файли зберігається у каталогах. Кожна запис каталогу включає ім'я файлу, дату і час створення, деяку додаткову інформацію, номер першого кластерафайлу і т.зв. резервні байти. Останні залишені "про запас" і самої MS-DOS не використовуються.

При запуску виконуваних файлів система зчитує із запису в каталозі перший кластер файлу і далі інші кластери. Віруси сімейства Dir-II виробляють наступну "реорганізацію" файлової системи: сам вірус записується в деякі вільні сектори дисків, які він позначає як збійні. Крім того, він зберігає інформацію про перші кластери виконуваних файлів у резервних бітах, а на місце цієї інформації записує посилання на себе.

Таким чином, при запуску будь-якого файлу вірус отримує управління (операційна система запускає його сама), резидентно встановлюється на згадку і передає управління викликаному файлу.

2.3. Завантажувально-файлові віруси

Ми не розглядатимемо модель завантажувально-файлового вірусу, бо жодної нової інформації ви при цьому не дізнаєтесь. Але тут видається зручний випадок коротко обговорити вкрай «популярний» Останнім часомзавантажувально-файловий вірус OneHalf, що заражає головний завантажувальний сектор (MBR) і файли, що виконуються. Основна руйнівна дія – шифрування секторів вінчестера. При кожному запуску вірус шифрує чергову порцію секторів, а зашифрувавши половину жорсткого диска, радісно повідомляє про це Основна проблема при лікуванні даного вірусу полягає в тому, що недостатньо просто видалити вірус з MBR та файлів, треба розшифрувати зашифровану інформацію. Найбільш «смертельна» дія – просто переписати новий здоровий MBR. Головне – не панікуйте. Зважте все спокійно, порадьтеся з фахівцями.

2.4. Поліморфні віруси

Більшість питань пов'язані з терміном «поліморфний вірус». Цей вид комп'ютерних вірусів на сьогоднішній день є найбільш небезпечним. Пояснимо ж, що це таке.

Поліморфні віруси - віруси, що модифікують свій код у заражених програмах таким чином, що два екземпляри одного і того ж вірусу можуть не співпадати в жодному биті.

Такі віруси не тільки шифрують свій код, використовуючи різні шляхи шифрування, але і містять код генерації шифрувальника і розшифровувача, що відрізняє їх від звичайних шифрувальних вірусів, які також можуть шифрувати ділянки свого коду, але мають при цьому постійний код шифрувальника і розшифровувача.

Поліморфні віруси - це віруси з розшифрувальниками, що самодифікуються. Мета такого шифрування: маючи заражений і оригінальний файли, ви все одно не зможете проаналізувати його код за допомогою звичайного дизассемблирования. Цей код зашифрований і є безглуздим набором команд. Розшифровка проводиться самим вірусом безпосередньо під час виконання. При цьому можливі варіанти: він може розшифрувати себе відразу, а може виконати таку розшифровку «по ходу справи», може знову шифрувати вже відпрацьовані ділянки. Все це робиться задля утруднення аналізу коду вірусу.

3. ІСТОРІЯ КОМП'ЮТЕРНОЇ ВІРУСОЛОГІЇ І ПРИЧИНИ ПОЯВИ ВІРУСІВ

Історія комп'ютерної вірусології є сьогодні постійною «гонкою за лідером», причому, не дивлячись на всю міць сучасних антивірусних програм, лідерами є саме віруси. Серед тисяч вірусів лише кілька десятків є оригінальними розробками, які використовують дійсно нові ідеї. Решта – «варіації на тему». Але кожна оригінальна технологія змушує творців антивірусів пристосовуватися до нових умов, наздоганяти вірусну технологію. Остання можна заперечити. Наприклад, 1989 року американський студент зумів створити вірус, який вивів з ладу близько 6000 комп'ютерів Міністерства оборони США. Або епідемія відомого вірусу Dir-II, що вибухнула 1991 року. Вірус використав справді оригінальну, принципово нову технологіюі спочатку зумів широко поширитися з допомогою недосконалості традиційних антивірусних коштів.

Або сплеск комп'ютерних вірусів у Великій Британії: Крістоферу Пайну вдалося створити віруси Pathogen і Queeq, а також вірус Smeg. Саме останній був найнебезпечнішим, його можна було накладати на перші два віруси, і через це після кожного прогону програми вони змінювали конфігурацію. Тому їх неможливо було знищити. Щоб розповсюдити віруси, Пайн скопіював комп'ютерні ігриі програми, заразив їх, а потім відправив назад до мережі. Користувачі завантажували у свої комп'ютери заражені програми та інфікували диски. Ситуація посилилася тим, що Пайн примудрився занести віруси й у програму, яка з ними бореться. Запустивши її, користувачі замість знищення вірусів отримували ще один. В результаті були знищені файли безлічі фірм, збитки склали мільйони фунтів стерлінгів.

Широку популярність отримав американський програміст Морріс. Він відомий як автор вірусу, який у листопаді 1988 року заразив близько 7 тисяч персональних комп'ютерів, підключених до Internet.

Причини появи та розповсюдження комп'ютерних вірусів, з одного боку, ховаються в психології людської особистості та її тіньових сторонах (заздрості, помсти, марнославстві невизнаних творців, неможливості конструктивно застосувати свої здібності), з іншого боку, обумовлені відсутністю апаратних засобів захисту та протидії з боку операційної Системи персонального комп'ютера.

4. ШЛЯХИ ПРОНИКНЕННЯ ВІРУСІВ У КОМП'ЮТЕР І МЕХАНІЗМ РОЗПОДІЛУ ВІРУСНИХ ПРОГРАМ

Основними шляхами проникнення вірусів у комп'ютер є знімні диски (гнучкі і лазерні), і навіть комп'ютерні мережі. Зараження жорсткого диска вірусами може статися під час завантаження програми з дискети, що містить вірус. Таке зараження може бути випадковим, наприклад, якщо дискету не вийняли з дисковода А і перезавантажили комп'ютер, у своїй дискета може бути системної. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп'ютера і, наприклад, прочитали її зміст.

Вірус, як правило, впроваджується в робочу програмутаким чином, щоб при її запуску управління спочатку передалося йому і тільки після виконання всіх команд знову повернулося до робочої програми. Отримавши доступом до управління, вірус передусім переписує себе у іншу робочу програму і заражає її. Після запуску програми, що містить вірус, стає можливим зараження інших файлів. Найчастіше вірусом заражаються завантажувальний сектор диска і виконувані файли, мають розширення EXE, COM, SYS, BAT. Вкрай рідко заражаються текстові файли.

Після зараження програми вірус може виконати якусь диверсію, не надто серйозну, щоб не привернути увагу. І нарешті, не забуває повернути управління тій програмі, з якої було запущено. Кожне виконання зараженої програми переносить вірус у наступну. Таким чином заразиться все програмне забезпечення.

Для ілюстрації процесу зараження комп'ютерної програми вірусом можна уподібнити дискову пам'ять старомодному архіву з папками на тасьмі. У папках розташовані програми, а послідовність операцій із запровадження вірусу у разі виглядати так.(див. Додаток 1)

5. ОЗНАКИ ПОЯВИ ВІРУСІВ

При зараженні комп'ютера вірусом важливо виявити його. І тому слід знати про основні ознаки прояви вірусів. До них можна віднести такі:

¨ припинення роботи або неправильна робота програм, що раніше успішно функціонували

¨ повільна роботакомп'ютера

¨ неможливість завантаження операційної системи

¨ зникнення файлів та каталогів або спотворення їх вмісту

¨ зміна дати та часу модифікації файлів

¨ зміна розмірів файлів

¨ несподіване значне збільшення кількості файлів на диску

¨ суттєве зменшення розміру вільної оперативної пам'яті

¨ виведення на екран непередбачених повідомлень або зображень

¨ подання непередбачених звукових сигналів

¨ часті зависання та збої в роботі комп'ютера

Слід зазначити, що перераховані вище явища необов'язково викликаються присутністю вірусу, а можуть бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану комп'ютера.

6. Виявлення вірусів і заходи щодо захисту і профілактики

6.1. Як виявити вірус ? Традиційний підхід

Отже, якийсь вірусописатель створює вірус і запускає його в життя. Деякий час він, можливо, погуляє досхочу, але рано чи пізно «лафа» закінчиться. Хтось запідозрить щось недобре. Як правило, віруси виявляють звичайні користувачі, які помічають ті чи інші аномалії у поведінці комп'ютера. Вони, як правило, не здатні самостійно впоратися з заразою, але цього від них і не потрібно.

Необхідно лише, щоб якнайшвидше вірус потрапив до рук фахівців. Професіонали будуть його вивчати, з'ясовувати, «що він робить», «як він робить», «коли він робить» та ін. У процесі такої роботи збирається вся необхідна інформація про цей вірус, зокрема, виділяється сигнатура вірусу – послідовність байтів цілком виразно його характеризує. Для побудови сигнатури зазвичай беруться найважливіші та характерні ділянки коду вірусу. Одночасно стають зрозумілі механізми роботи вірусу, наприклад, у разі завантажувального вірусу важливо знати, де він ховає свій хвіст, де знаходиться оригінальний завантажувальний сектор, а у разі файлового – спосіб зараження файлу. Отримана інформація дозволяє з'ясувати:

· як виявити вірус, для цього уточнюються методи пошуку сигнатур у потенційних об'єктах вірусної атаки - файлах та \ або завантажувальних секторах

· як знешкодити вірус, якщо це можливо, розробляються алгоритми видалення вірусного коду з уражених об'єктів

6.2. Програми виявлення та захисту від вірусів

Для виявлення, видалення та захисту від комп'ютерних вірусів розроблено кілька видів спеціальних програм, які дозволяють виявляти та знищувати віруси. Такі програми називаються антивірусними . Розрізняють такі види антивірусних програм:

· Програми-детектори

· програми-лікарі або фаги

· Програми-ревізори

· Програми-фільтри

· програми-вакцини або імунізатори

Програми-детекториздійснюють пошук характерної для конкретного вірусу сигнатури в оперативній пам'яті та у файлах і при виявленні видають відповідне повідомлення. Недоліком таких антивірусних програм є те, що вони можуть знаходити ті віруси, які відомі розробникам таких програм.

Програми-лікаріабо фаги, а також програми-вакцинияк знаходять заражені вірусами файли, а й «лікують» їх, тобто. видаляють із файлу тіло програми-вірусу, повертаючи файли у вихідний стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх і лише потім переходять до «лікування» файлів. Серед фагів виділяють поліфаги, тобто. програми-лікарі, призначені для пошуку та знищення великої кількостівірусів. Найбільш відомі з них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Враховуючи, що постійно з'являються нові віруси, програми-детектори та програми-лікарі швидко старіють, і потрібне регулярне оновлення версій.

Програми-ревізоривідносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують вихідний стан програм, каталогів та системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни відображаються на екрані монітора. Як правило, порівняння станів роблять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файлу, код циклічного контролю (контрольна сума файлу), дата та час модифікації та інші параметри. Програми-ревізори мають досить розвинені алгоритми, виявляють стелс-віруси і можуть навіть очистити зміни версії програми, що перевіряється від змін, внесених вірусом. До програм-ревізорів належить широко поширена у Росії програма Adinf.

Програми-фільтриабо «сторожа»є невеликі резидентні програми, призначені виявлення підозрілих дій під час роботи комп'ютера, притаманних вірусів. Такими діями можуть бути:

· Спроби корекції файлів з розширеннями COM, EXE

· Зміна атрибутів файлу

· Прямий запис на диск за абсолютною адресою

· Запис у завантажувальні сектори диска

При спробі будь-якої програми зробити зазначені дії «сторож» надсилає користувачеві повідомлення та пропонує заборонити або дозволити відповідну дію. Програми-фільтри дуже корисні, оскільки здатні виявити вірус на ранній стадії його існування до розмноження. Однак, вони не "лікують" файли та диски. Для знищення вірусів потрібно застосувати інші програми, наприклад, фаги. До недоліків програм-сторожів можна віднести їх «настирливість» (наприклад, вони постійно видають попередження про будь-яку спробу копіювання файлу, що виконується), а також можливі конфлікти з іншим програмним забезпеченням. Прикладом програми-фільтра є Vsafe, що входить до складу пакета утиліт MS DOS.

Вакциниабо імунізатори- це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-лікарі, які «лікують» цей вірус. Вакцинація можлива лише від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їхній роботі, а вірус сприйматиме їх зараженими і тому не впровадиться. В даний час програми-вакцини мають обмежене застосування.

Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення виявлених вірусів кожному комп'ютері дозволяють уникнути поширення вірусної епідемії інші комп'ютери.

6.3. Основні заходи щодо захисту від вірусів

Для того, щоб не піддати комп'ютер зараженню вірусами та забезпечити надійне зберігання інформації на дисках, необхідно дотримуватися таких правил:

¨ оснастить свій комп'ютер сучасними антивірусними програмами, наприклад Aidstest, Doctor Web, та постійно відновлюйте їх версії

¨ перед зчитуванням дискет інформації, записаної на інших комп'ютерах, завжди перевіряйте ці дискети на наявність вірусів, запускаючи антивірусні програми свого комп'ютера

¨ при перенесенні на свій комп'ютер файлів в архівованому вигляді перевіряйте їх відразу ж після розархівації на жорсткому диску, обмежуючи область перевірки лише новозаписаними файлами

¨ періодично перевіряйте на наявність вірусів жорсткі диски комп'ютера, запускаючи антивірусні програми для тестування файлів, пам'яті та системних областей дисків із захищеної від запису дискети, попередньо завантаживши операційну систему із захищеної від запису системної дискети

¨ завжди захищайте свої дискети від запису під час роботи на інших комп'ютерах, якщо на них не буде записуватися інформація

¨ обов'язково робіть архівні копії на дискетах цінної для вас інформації

¨ не залишайте в кишені дисковода А дискети при включенні або перезавантаженні операційної системи, щоб унеможливити зараження комп'ютера завантажувальними вірусами

¨ використовуйте антивірусні програми для вхідного контролю всіх файлів, що виконуються з комп'ютерних мереж

¨ для забезпечення більшої безпеки застосування Aidstest та Doctor Web необхідно поєднувати з повсякденним використанням ревізора диска Adinf

ВИСНОВОК

Отже, можна навести масу фактів, що свідчать, що загроза інформаційному ресурсу зростає з кожним днем, піддаючи паніку відповідальних осіб у банках, на підприємствах і в компаніях у всьому світі. І ця загроза походить від комп'ютерних вірусів, які спотворюють або знищують життєво важливу, цінну інформацію, що може призвести не тільки до фінансових втрат, а й до людських жертв.

Комп'ютерний вірус - спеціально написана програма, здатна мимоволі приєднуватися до інших програм, створювати свої копії та впроваджувати їх у файли, системні області комп'ютера та обчислювальні мережіз метою порушення роботи програм, псування файлів та каталогів, створення різноманітних перешкод у роботі комп'ютера.

Нині відомо понад 5000 програмних вірусів, кількість яких безперервно зростає. Відомі випадки, коли створювалися навчальні посібники, що допомагають у написанні вірусів.

Основні види вірусів: завантажувальні, файлові, файлово-завантажувальні. Найбільш небезпечний вид вірусів – поліморфні.

З історії комп'ютерної вірусології ясно, що будь-яка оригінальна комп'ютерна технологія змушує творців антивірусів пристосовуватися до нових технологій, постійно вдосконалити антивірусні програми.

Причини появи та поширення вірусів приховані з одного боку у психології людини, з іншого боку – з відсутністю засобів захисту в операційній системі.

Основні шляхи проникнення вірусів - знімні диски та комп'ютерні мережі. Щоб цього не сталося, дотримуйтесь заходів щодо захисту. Також для виявлення, видалення та захисту від комп'ютерних вірусів розроблено кілька видів спеціальних програм, які називаються антивірусними. Якщо ви все ж таки виявили в комп'ютері вірус, то за традиційним підходом краще покликати професіонала, щоб той далі розібрався.

Але деякі властивості вірусів спантеличують навіть фахівців. Ще зовсім недавно важко було уявити, що вірус може пережити холодне перезавантаження або поширюватися через файли документів. У таких умовах не можна не надавати значення хоч би початковій антивірусній освіті користувачів. При всій серйозності проблеми жоден вірус не здатний принести стільки шкоди, скільки побілілий користувач з тремтячими руками!

Отже, здоров'я ваших комп'ютерів, збереження ваших даних – у ваших руках!

бібліографічний список

1. Інформатика: Підручник/за ред. Проф. Н.В. Макарова. - М.: Фінанси та статистика, 1997.

2. Енциклопедія таємниць та сенсацій / Підгот. тексту Ю.М. Петрова. - Мн.: Література, 1996.

3. Безруков Н.М. Комп'ютерні віруси - М: Наука, 1991.

4. Мостовий Д.Ю. Сучасні технологіїборотьби з вірусами// Світ ПК. - №8. – 1993.

Надіслати свою гарну роботу до бази знань просто. Використовуйте форму, розташовану нижче

Студенти, аспіранти, молоді вчені, які використовують базу знань у своєму навчанні та роботі, будуть вам дуже вдячні.

Розміщено на http://www.allbest.ru/

Класифікація антивірусів

Антивірус - програмний пакет, спеціально розроблений для захисту, перехоплення та видалення комп'ютерних вірусів та інших шкідливих програм.

Сучасні антивірусні програми здатні ефективно виявляти шкідливі об'єкти всередині файлів програм та документів. У деяких випадках антивірус може видалити тіло шкідливого об'єкта із зараженого файлу, відновивши файл. У більшості випадків антивірус здатний видалити шкідливий програмний об'єкт не тільки з програмного файлу, але й із файлу офісного документа, не порушивши його цілісність Використання антивірусних програм не вимагає високої кваліфікації та доступне практично будь-якому користувачеві комп'ютера. В даний час більшість провідних антивірусних програм поєднує функції постійного захисту (антивірусний монітор) і функції захисту на вимогу користувача (антивірусний сканер).

Класифікація антивірусів

В даний час не існує єдиної системикласифікації антивірусних програм

Класифікація антивірусів за режимом роботи

У Лабораторії Касперського класифікують антивіруси за режимом роботи:

Перевірка у режимі реального часу

Перевірка в режимі реального часу або постійна перевірка забезпечує безперервність роботи антивірусного захисту. Це реалізується за допомогою обов'язкової перевірки всіх дій, що здійснюються іншими програмами та самим користувачем, на предмет шкідливості, незалежно від їхнього вихідного розташування - чи це свій жорсткий диск, зовнішні носії інформації, інші мережеві ресурси або власна оперативна пам'ять. Також перевіряють всі непрямі дії через треті програми.

Перевірка на вимогу

У деяких випадках наявність постійно працюючої перевірки в режимі реального часу може бути недостатньо. Можлива ситуація, коли на комп'ютер був скопійований заражений файл, виключений з постійної перевірки через великі розміри і, отже, вірус у ньому не було. Якщо цей файл на аналізованому комп'ютері не запускатиметься, то вірус може залишитися непоміченим і проявити себе тільки після пересилання його на інший комп'ютер.

Для такого режиму зазвичай передбачається, що користувач особисто вкаже якісь файли, каталоги або області диска необхідно перевірити і час, коли потрібно провести таку перевірку - у вигляді розкладу або разового запуску вручну.

Класифікація антивірусів на кшталт

Також антивірусні програми можна класифікувати на кшталт:

Сканери (інші назви: фаги, поліфаги)

Принцип роботи антивірусних сканерів заснований на перевірці файлів, секторів та системної пам'яті та пошуку в них відомих та нових (невідомих сканеру) вірусів. Для пошуку відомих вірусів використовують так звані "маски". Маскою вірусу є деяка стала послідовність коду, специфічна для цього конкретного вірусу. Якщо вірус не містить постійної маски або довжина цієї маски недостатньо велика, то використовуються інші методи. Прикладом такого методу є алгоритмічна мова, яка описує всі можливі варіантикоду, які можуть зустрітися під час зараження подібного типу вірусом. Такий підхід використовують деякі антивіруси для детектування поліморфік-вірусів.

Багато сканерах використовуються також алгоритми " евристичного сканування " , тобто. аналіз послідовності команд у об'єкті, що перевіряється, набір деякої статистики і прийняття рішення для кожного об'єкта, що перевіряється.

Сканери також можна розділити на дві категорії - "універсальні" та "спеціалізовані". Універсальні сканери розраховані на пошук та знешкодження всіх типів вірусів незалежно від операційної системи, на роботу в якій розрахований сканер. Спеціалізовані сканери призначені для знешкодження обмеженої кількості вірусів або лише одного їх класу, наприклад макро-вірусів.

Сканери також поділяються на "резидентні" (монітори), що проводять сканування "на льоту", та "нерезидентні", що забезпечують перевірку системи. Дані порівнюються із даними. Таким чином, для того, щоб знайти вірус у своєму комп'ютері, потрібно, щоб він уже "спрацював", щоб з'явилися наслідки його діяльності. Цим способом можна знайти тільки відомі віруси, для яких описані фрагменти коду або сигнатури. Навряд чи такий захист можна назвати надійним.

Аналіз процесів

вірус програма комп'ютерний шкідливий

Дещо по-іншому працюють антивірусні засоби, засновані на аналізі процесів. "Евристичні аналізатори", як і вищеописані, аналізують дані (на диску, у каналі, у пам'яті тощо.). Принципова відмінність у тому, що аналіз проводиться у припущенні, що аналізований код - це дані, а команди (у комп'ютерах з фон-неймановской архітектурою дані та команди нерізні, у зв'язку з цим під час аналізу і доводиться висувати те чи інше припущення.)

"Евристичний аналізатор" виділяє послідовність операцій, кожній з них надає деяку оцінку "небезпеки" і за сукупністю "небезпеки" приймає рішення про те, чи ця послідовність операцій є частиною шкідливого коду. Сам код у своїй не виконується.

Іншим видом антивірусних засобів, заснованих на аналізі процесів, є "поведінкові блокатори". У цьому випадку підозрілий код виконується поетапно доти, доки сукупність ініційованих кодом дій не буде оцінена як "небезпечна" (або "безпечна") поведінка. Код при цьому виконується частково, оскільки завершення шкідливого коду можна буде виявити більш простими методамианалізу даних.

Технології виявлення вірусів

Технології, які застосовуються в антивірусах, можна розбити на дві групи:

Технології сигнатурного аналізу

Сигнатурний аналіз - спосіб виявлення вірусів, полягає у перевірці наявності у файлах сигнатур вірусів. Сигнатурний аналіз є найбільш відомим методом виявлення вірусів та використовується практично у всіх сучасних антивірусах. Для перевірки антивірусу необхідний набір вірусних сигнатур, який зберігається в антивірусній базі.

З огляду на те, що сигнатурний аналіз передбачає перевірку файлів на наявність сигнатур вірусів, антивірусна база потребує періодичного оновлення для підтримки актуальності антивірусу. Сам принцип роботи сигнатурного аналізу також визначає межі його функціональності - можливість виявляти лише відомі віруси - проти нових вірусів сигнатурний сканер безсилий.

З іншого боку, наявність сигнатур вірусів передбачає можливість лікування інфікованих файлів, виявлених за допомогою сигнатурного аналізу Однак, лікування допустиме не для всіх вірусів - трояни і більшість черв'яків не піддаються лікуванню за своїми конструктивними особливостями, оскільки є цілісними модулями, створеними для завдання шкоди.

Грамотна реалізація вірусної сигнатури дозволяє виявляти відомі віруси зі стовідсотковою ймовірністю.

Технології ймовірнісного аналізу

Технології ймовірнісного аналізу у свою чергу поділяються на три категорії:

Евристичний аналіз

Поведінковий аналіз

Аналіз контрольних сум

Евристичний аналіз – технологія, заснована на ймовірнісних алгоритмах, результатом роботи яких є виявлення підозрілих об'єктів. У процесі евристичного аналізу перевіряється структура файлу, його відповідність до вірусних шаблонів. Найбільш популярною евристичною технологією є перевірка вмісту файлу на наявність модифікацій вже відомих сигнатур вірусів та їх комбінацій. Це допомагає визначати гібриди та нові версії раніше відомих вірусів без додаткового оновлення антивірусної бази.

Евристичний аналіз застосовується виявлення невідомих вірусів, і, як наслідок, передбачає спрацьовуваннями.

Поведінковий аналіз - технологія, в якій рішення про характер об'єкта, що перевіряється, приймається на основі аналізу виконуваних ним операцій. Поведінковий аналіз дуже вузько застосовний практично, оскільки більшість дій, притаманних вірусів, можуть виконуватися і звичайними додатками. Найбільшої популярності здобули поведінкові аналізатори скриптів і макросів, оскільки відповідні віруси практично завжди виконують низку однотипних дій.

Засоби захисту, що вшиваються в BIOS, можна віднести до поведінкових аналізаторів. При спробі внести зміни до MBR комп'ютера, аналізатор блокує дію та виводить відповідне повідомлення користувачеві.

Крім цього поведінкові аналізатори можуть відслідковувати спроби прямого доступу до файлів, внесення змін до завантажувальний записдискет, форматування жорстких дисківі т.д.

Поведінкові аналізатори не використовують для роботи додаткових об'єктів, подібних до вірусних баз і, як наслідок, нездатні розрізняти відомі та невідомі віруси - всі підозрілі програми апріорі вважаються невідомими вірусами. Аналогічно, особливості роботи засобів, що реалізують технології поведінкового аналізу, не передбачають лікування.

Аналіз контрольних сум - це спосіб відстеження змін на об'єктах комп'ютерної системи. З аналізу характеру змін - одночасність, масовість, ідентичні зміни довжин файлів - можна робити висновок про зараження системи. Аналізатори контрольних сум (також використовується назва "ревізори змін") як і поведінкові аналізатори не використовують у роботі додаткові об'єкти та видають вердикт про наявність вірусу у системі виключно методом експертної оцінки. Подібні технології застосовуються в сканерах при доступі - при першій перевірці з файлу знімається контрольна сума і поміщається в кеші, перед наступною перевіркою того ж файлу сума знімається ще раз, порівнюється, і у разі відсутності змін файл вважається незараженим.

Антивірусний комплекс - набір антивірусів, що використовують однакове антивірусне ядро або ядра, призначений для вирішення практичних проблем із забезпечення антивірусної безпеки комп'ютерних систем. В антивірусний комплекс також обов'язково входять засоби оновлення антивірусних баз.

Крім цього антивірусний комплекс додатково може включати поведінкові аналізатори і ревізори змін, які не використовують антивірусне ядро.

Вирізняють такі типи антивірусних комплексів:

Антивірусний комплекс для захисту робочих станцій

Антивірусний комплекс для захисту файлових серверів

Антивірусний комплекс для захисту поштових систем

Антивірусний комплекс захисту шлюзів.

Розміщено на Allbest.ru

Подібні документи

Поняття та класифікація комп'ютерних вірусів. Основні методи захисту від вірусів. Огляд сучасних програмних засобів для безпечної роботикомп'ютера. Класифікація антивірусів. Kaspersky Antivirus, Norton Antivirus, Dr.Weber, Eset NOD32.

курсова робота , доданий 26.10.2015

Основні завдання антивірусів та засоби антивірусного захисту персонального комп'ютера. Механізм роботи вірусів та способи їх поширення. Методи та технології захисту від шкідливих програм. Загальні вимогибезпеки під час роботи за комп'ютером.

реферат, доданий 22.09.2016

Дослідження історії комп'ютерних вірусів та антивірусів. Вивчення основних шляхів проникнення шкідливих програм на комп'ютер. Види вірусних та антивірусних програм. Характеристика особливостей сигнатурних та евристичних методів антивірусного захисту.

реферат, доданий 08.10.2014

Основні засоби захисту від комп'ютерних вірусів. Основні ознаки прояву вірусів: припинення роботи програм, повільна робота комп'ютера, зміна розмірів, дати та часу файлів. Шляхи виникнення вірусів. Характеристика відомих антивірусів.

презентація, додано 02.12.2011

Феномен комп'ютерних вірусів Класифікація комп'ютерних вірусів Типи антивірусів. Як і від чого захищати комп'ютер. Боротьба з хакерськими атаками. Безкоштовні антивірусні веб-сервіси. Основи безпеки під час роботи в Інтернеті. Події при попаданні вірусу.

реферат, доданий 08.10.2008

Поняття та механізм дії комп'ютерних вірусів, визначення їх небезпеки для збереження даних, заходи запобігання негативному впливу. Класифікація програм-антивірусів, їх системні вимогита умови ефективної, безперебійної роботи.

дипломна робота , доданий 17.07.2010

Особливості антивірусних програм (антивірусів) комп'ютерних програм, призначених для знешкодження вірусів та різного роду шкідливого ПЗ, з метою збереження даних та оптимальної роботи ПК. Класифікація та приклади антивірусних програм.

реферат, доданий 26.03.2010

Застосування антивірусів для ефективного виявлення вірусів на комп'ютері та їх знешкодження. Ознаки зараження вірусами. Явні прояви троянських програм: зміна налаштувань браузера, спливаючі повідомлення, несанкціонований дзвінок до Інтернету.

лабораторна робота , доданий 13.09.2013

Поняття та класифікація комп'ютерних вірусів. Методи захисту від шкідливих програм, їх різновиди. Ознаки зараження комп'ютера вірусом. Проблема захисту. Робота з програмами пакета MS Office. Аналіз файлових вірусів, хакерських утиліт.

курсова робота , доданий 12.01.2015

Програми для пошуку комп'ютерних вірусів, схожих на відомі та виконують підозрілі дії. Модуль оновлення, планування та управління. Налаштування параметрів антивірусних модулів, оновлень, періодичного запуску оновлення та перевірки.

Найпопулярнішими та найефективнішими антивірусними програмами є антивірусні сканери (програми-дитектори), CRC-сканери (ревізори). Існують також антивіруси блокувальники та імунізатори.

Сканери. Принцип роботи антивірусних сканерів заснований на перевірці файлів, секторів та системної пам'яті та пошуку в них відомих та нових (невідомих сканеру) вірусів. Для пошуку відомих вірусів використовуються звані «маски». Маскою вірусу є деяка стала послідовність коду, специфічна для цього конкретного вірусу. Якщо вірус не містить постійної маски або довжина цієї маски є недостатньо великою, то використовуються інші методи. Прикладом такого методу є алгоритмічна мова, що описує всі можливі варіанти коду, які можуть зустрітися під час зараження такого типу вірусом. Такий підхід використовують деякі антивіруси для детектування поліморфік-вірусів.

У багатьох сканерах використовуються також алгоритми «евристичного сканування», тобто аналіз послідовності команд у об'єкті, що перевіряється, набір деякої статистики і прийняття рішення для кожного об'єкта, що перевіряється. Оскільки евристичне сканування є багато в чому ймовірнісним методом пошуку вірусів, то на нього поширюються багато законів теорії ймовірностей. Наприклад, що стоїть відсоток виявлених вірусів, то більше вписувалося помилкових спрацьовувань.

Сканери також можна розділити на дві категорії – «універсальні» та «спеціалізовані». Універсальні сканери розраховані на пошук та знешкодження всіх типів вірусів незалежно від операційної системи, на роботу в якій розрахований сканер. Спеціалізовані сканери призначені для знешкодження обмеженої кількості вірусів або лише одного їх класу, наприклад макровірусів.

Сканери також поділяються на «резидентні» (монітори), що виконують сканування «на льоту», та «нерезидентні», що забезпечують перевірку системи лише за запитом. Як правило, «резидентні» сканери забезпечують більше надійний захистсистеми, оскільки вони негайно реагують на появу вірусу, у той час як «нерезидентний» сканер може пізнати вірус тільки під час свого чергового запуску.

До переваг сканерів всіх типів належить їхня універсальність, до недоліків – розміри антивірусних баз, які сканерам доводиться зберігати та поповнювати, і відносно невелика швидкість пошуку вірусів.

CRC-сканери. Принцип роботи CRC-сканерів ґрунтується на підрахунку CRC-сум (контрольних сум) для присутніх на диску файлів/системних секторів. Ці CRC-суми потім зберігаються в базі даних антивірусу, як, втім, і деяка інша інформація: довжини файлів, дати їх останньої модифікації і т. д. . Якщо інформація про файл, записана в базі даних, не збігається з реальними значеннями, то CRC-сканери сигналізують про те, що файл змінено або заражено вірусом.

CRC-сканери, що використовують "анти-стелс" алгоритми, реагують практично на 100% вірусів відразу після появи змін на комп'ютері. Характерний недолік цих антивірусів полягає у неможливості виявлення вірусу з моменту його появи і доти, доки не будуть проведені зміни на комп'ютері. CRC-сканери не можуть визначити вірус у нових файлах (у електронній пошті, на дискетах, у відновлюваних файлах або під час розпакування файлів з архіву), оскільки в їх базах даних відсутня інформація про ці файли.

Блокувальники. Антивірусні блокувальники – це резидентні програми, що перехоплюють «вірусонебезпечні» ситуації та повідомляють про це користувачеві. До «вірусонебезпечних» відносяться виклики на відкриття для запису в файли, запис в завантажувальний сектор диска та ін, які характерні для вірусів в моменти їх розмноження.

До переваг блокувальників відноситься їх здатність виявляти і блокувати вірус на ранній стадії його розмноження, що, до речі, буває дуже корисно у випадках, коли давно відомий вірус постійно активізується.

Імунізатори. Імунізатори поділяються на два типи: імунізатори, що повідомляють про зараження, та імунізатори, що блокують зараження будь-яким типом вірусу.

Програми-лікаріабо фаги, а також програми-вакцинияк знаходять заражені вірусами файли, а й «лікують» їх, тобто. видаляють із файлу тіло програми-вірусу, повертаючи файли у вихідний стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх і лише потім переходять до «лікування» файлів. Серед фагів виділяють поліфаги, тобто. програми-лікарі, призначені для пошуку та знищення великої кількості вірусів. Найбільш відомі з них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

· Спроби корекції файлів з розширеннями COM, EXE

· Зміна атрибутів файлу

· Прямий запис на диск за абсолютною адресою

· Запис у завантажувальні сектори диска

Основні методи визначення вірусів

нтивірусні програми розвивалися паралельно з еволюцією вірусів. У міру того, як з'являлися нові технології створення вірусів, ускладнювався і математичний апарат, який використовувався в розробці антивірусів.

Перші антивірусні алгоритми будувалися з урахуванням порівняння з еталоном. Йдеться про програми, у яких вірус визначається класичним ядром за деякою маскою. Сенс алгоритму полягає у використанні статистичних методів. Маска повинна бути, з одного боку, маленькою, щоб обсяг файлу був прийнятних розмірів, а з іншого - досить великий, щоб уникнути помилкових спрацьовувань (коли "свій" сприймається як "чужий", і навпаки).

Перші антивірусні програми, побудовані за цим принципом (так звані сканери-поліфаги), знали кілька вірусів і вміли їх лікувати. Створювалися ці програми в такий спосіб: розробник, отримавши код вірусу (код вірусу спочатку був статичен), становив з цього коду унікальну маску (послідовність 10-15 байт) і вносив їх у базу даних антивірусної програми. Антивірусна програма сканувала файли і, якщо знаходила цю послідовність байтів, робила висновок у тому, що файл інфікований. Ця послідовність (сигнатура) вибиралася таким чином, щоб вона була унікальною і не зустрічалася у звичайному наборі даних.

Описані підходи використовувалися більшістю антивірусних програм до середини 90-х, коли з'явилися перші поліморфні віруси, які змінювали своє тіло за непередбачуваними заздалегідь алгоритмами. Тоді сигнатурний метод був доповнений так званим емулятор процесора, що дозволяє знаходити шифруються і поліморфні віруси, що не мають у явному вигляді постійної сигнатури.

Принцип емуляції процесора демонструється на Рис. 1. Якщо звичайно умовний ланцюжок складається з трьох основних елементів: ЦПУ®ОС®Програма, то при емуляції процесора в такий ланцюжок додається емулятор. Емулятор відтворює роботу програми в деякому віртуальному просторі і реконструює її оригінальний вміст. Емулятор завжди здатний перервати виконання програми, контролює її дії, не даючи нічого зіпсувати, і викликає антивірусне ядро, що сканує.

Другий механізм, що з'явився в середині 90-х років і використовується всіма антивірусами, це евристичний аналіз. Справа в тому, що апарат емуляції процесора, який дозволяє отримати вичавки дій, що здійснюються аналізованою програмою, не завжди дає можливість здійснювати пошук за цими діями, але дозволяє зробити деякий аналіз і висунути гіпотезу типу «вірус чи вірус?».

У разі прийняття рішення грунтується на статистичних підходах. А відповідна програма називається евристичним аналізатором.

Для того, щоб розмножуватися, вірус повинен здійснювати будь-які конкретні дії: копіювання в пам'ять, запис сектора і т.д. Евристичний аналізатор (він є частиною антивірусного ядра) містить список таких дій, переглядає код програми, що виконується, визначає, що вона робить, і на основі цього приймає рішення, є дана програмавірусом чи ні.

При цьому відсоток пропуску вірусу, навіть невідомого антивірусної програми, дуже малий. Дана технологіязараз широко використовується у всіх антивірусних програмах.

Класифікація антивірусних програм

ласифікуються антивірусні програми на чисті антивіруси та антивіруси подвійного призначення ( Рис. 2).

Чисті антивіруси відрізняються наявністю антивірусного ядра, яке виконує функцію сканування за зразками. Принциповим у разі є те, що можливе лікування, якщо відомий вірус. Чисті антивіруси, у свою чергу, на кшталт доступу до файлів поділяються на дві категорії: здійснюють контроль за доступом (on access) або на вимогу користувача (on demand). Зазвичай on access-продукти називають моніторами, а on demand-продукти – сканерами.

Оn demand-продукт працює за такою схемою: користувач хоче щось перевірити і видає запит (demand), після чого здійснюється перевірка. On access-продукт — це резидентна програма, яка відстежує доступ і на момент доступу здійснює перевірку.

Крім того, антивірусні програми, як і віруси, можна розділити залежно від платформи, всередині якої даний антивірус працює. У цьому сенсі поряд з Windows або Linux до платформ можуть бути віднесені Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Програми подвійного призначення - це програми, які у антивірусах, і у ПЗ, яке антивірусом немає. Наприклад, CRC-checker – ревізор змін на основі контрольних сум – може використовуватися не тільки для лову вірусів. Різновидом програм подвійного призначення є поведінкові блокатори, які аналізують поведінку інших програм та при виявленні підозрілих дій блокують їх. Від класичного антивірусу з антивірусним ядром, що розпізнає та лікує від вірусів, які аналізувалися в лабораторії і яким був прописаний алгоритм лікування, поведінкові блокатори відрізняються тим, що лікувати від вірусів вони не вміють, оскільки нічого про них не знають. Ця властивість блокаторів дозволяє їм працювати з будь-якими вірусами, у тому числі і з невідомими. Це сьогодні набуває особливої актуальності, оскільки розповсюджувачі вірусів та антивірусів використовують одні й ті самі канали передачі даних, тобто Інтернет. При цьому антивірусній компанії завжди потрібен час на те, щоб отримати сам вірус, проаналізувати його та написати відповідні лікувальні модулі. Програми з групи подвійного призначення таки дозволяють блокувати поширення вірусу до того моменту, поки компанія не напише лікувальний модуль.

Огляд найпопулярніших персональних антивірусів

Огляд увійшли найпопулярніші антивіруси для персонального використання п'яти відомих розробників. Слід зазначити, що деякі з розглянутих нижче компаній пропонують кілька версій персональних програм, що відрізняються за функціональністю та відповідно за ціною. У нашому огляді ми розглянули по одному продукту від кожної компанії, вибравши найбільш функціональну версію, яка, як правило, називається Personal Pro. Інші варіанти персональних антивірусів можна знайти на відповідних веб-сайтах.

Антивірус Касперського

Personal Pro v. 4.0

Розробник: "Лабораторія Касперського". Web-сайт: http://www.kaspersky.ru/. Ціна 69 дол. (ліцензія на 1 рік).

Антивірус Касперського Personal Pro ( Рис. 3) - одне з найбільш популярних рішень на російському ринку і містить цілу низку унікальних технологій.

Поведінковий блокатор модуль Office Guard контролює виконання макросів, припиняючи всі підозрілі дії. Наявність модуля Office Guard забезпечує стовідсотковий захист від макровірусів.

Ревізор Inspector відслідковує всі зміни на вашому комп'ютері і, якщо виявлено несанкціоновані зміни у файлах або в реєстрі, дозволяє відновити вміст диска та видалити шкідливі коди. Inspector не вимагає оновлення антивірусної бази: контроль цілісності здійснюється на основі зняття оригінальних відбитків файлів (CRC-сум) та їх подальшого порівняння зі зміненими файлами. На відміну від інших ревізорів, Inspector підтримує всі найбільш популярні формати файлів, що виконуються.

Евристичний аналізатор дозволяє захистити комп'ютер навіть від невідомих вірусів.

Фоновий перехоплювач вірусів Monitor, що постійно присутній у пам'яті комп'ютера, проводить антивірусну перевірку всіх файлів безпосередньо в момент їх запуску, створення або копіювання, що дозволяє контролювати всі файлові операції і запобігати зараженню навіть технологічно досконалими вірусами.

Антивірусна фільтрація електронної пошти запобігає можливості проникнення вірусів на комп'ютер. Модуль Mail Checker, що вбудовується, не тільки видаляє віруси з тіла листа, але й повністю відновлює оригінальний вміст електронних листів. Комплексна перевірка поштової кореспонденції не дозволяє вірусу сховатися в жодному з елементів електронного листа за рахунок перевірки всіх ділянок вхідних та вихідних повідомлень, включаючи прикріплені файли (у тому числі архівовані та упаковані) та інші повідомлення будь-якого рівня вкладеності.

Антивірусний сканер Scanner дає можливість проводити повномасштабну перевірку всього вмісту локальних та мережевих дисків на вимогу.

Перехоплювач скрипт-вірусів Script Checker забезпечує антивірусну перевірку всіх скриптів, що запускаються, до того, як вони будуть виконані.

Підтримка архівованих та компресованих файлів забезпечує можливість видалення шкідливого коду із зараженого компресованого файлу.

Ізоляція інфікованих об'єктів забезпечує ізоляцію заражених та підозрілих об'єктів з подальшим їх переміщенням у спеціально організовану директорію для подальшого аналізута відновлення.

Автоматизація антивірусного захисту дозволяє створювати розклад та порядок роботи компонентів програми; автоматично завантажувати та підключати нові оновлення антивірусної бази через Інтернет; розсилати попередження про виявлені вірусні атаки електронною поштою тощо.

Norton AntiVirus 2003 Professional Edition

Розробник: Компанія Symantec. Web-сайт: http://www.symantec.ru/.

Ціна 89,95 євро.

Програма працює під керуванням Windows 95/98/Me/NT4.0/2000 Pro/XP.

Ціна 39,95 дол.