Антивірусні програми. 2

Зміст

І     Вступ  .  .  .  .  .  .  . .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 3

ІІ    Антивірусні програми: 

  1. Типи антивірусних програм  .  .  . .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 4
  2. Основи роботи антивірусних програм:  .  .  .  .  .  .  .  .  .  .  .  .  .   5
    1. Загальні відомості  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  5 
    2. Сигнатурний аналіз  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . .  6
    3. Евристичний аналіз  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 7
    4. Пошук вірусів, схожих на відомі  .  .  .  .  .  .  .  .  .  .  .  .  . .  8
    5. Пошук вірусів, що виконують підозрілі дії  .  .  .  .  .  .  .  .  8
    6. Модуль оновлення  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 9
    7. Модуль планування .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 10
    8. Модуль управління  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .   11
    9. Карантин  .  .  .  .  .  .  .  .  . .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 12
  3. Сучасні антивірусні компанії та програми  .  .  .  .  .  .  .  .  .  .  . 13

ІІІ  Висновки  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . .  .  .  .  .  .  .  .  .  .     16

      Список використаної літератури  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .   .  .  .  . 17

     

 

 

І     Вступ

Комп’ютерний вірус  – це спеціально створена програма, або сукупність машинного коду, яка  здатна розмножуватись і, як правило, виконує  на ПК певні деструктивні дії.

З новими комп'ютерами  з'явилися нові проблеми. Однією з  них є більша ймовірність зараження  новими вірусами. Вони роблять неможливим нормальне функціонування програм  і комп'ютера.

Тому, безперечно, для  лікування програм, знищення вірусів і профілактики постійно потрібні нові антивірусні програми.

Мета реферату – дослідити антивірусні програми.

Мета реферату зумовлює виконання такого завдання: охарактеризувати основні типи антивірусних програм.

 

 

 

 

 

ІІ    Антивірусні програми

1. Типи антивірусних програм 

Для виявлення та ліквідації вірусів розроблені сотні різних антивірусних програм. Однак ні одна антивірусна програма не може гарантувати 100 % виявлення і усунення віруса. До того ж самі антивірусні програми іноді є джерелами нового віруса. Один вірус вони можуть знищити, а інший, новіший,— внести.

Знайте, що як ліки буває не рятують людину від  хвороби, так і антивірус не завжди рятує від комп'ютерного віруса. Як засоби нападу попереджують засоби захисту, так і віруси попереджують антивірусні програми. Спочатку з'являється конкретний тип вірусної програми, а вже потім розробляється під неї відповідна антивірусна програма.

Антивірусна програма (антивірус) — програма для знаходження і, можливо, лікування програм, що заражені комп'ютерним вірусом, а також, можливо, для запобігання зараження файлів та дисків вірусом і запобігання підозрілим діям.

Залежно від виконуваних  функцій серед антивірусних програм  виділяють такі:

* Програми-детектори. Вони поділяються на детектори, що дозволяють виявляти і видаляти відомі віруси, і детектори, здатні боротися із досі не відомими (тобто новими) вірусами. До першої групи детекторів належить популярна в минулі роки програма Aidstest, розроблена Д.М. Лозинським. Детектори другої групи містять так званий евристичний аналізатор, здатний виявляти віруси, про які ще не знали автори детектора на момент його розробки і які можуть з'явитися згодом. Прикладом евристичного детектора є потужна антивірусна програма DrWeb І.А. Данилова. Ця програма дозволяє також боротися із поліморфними вірусами.

* Програми-ревізори. Ці програми контролюють усі вразливі (для вірусної атаки) компоненти комп'ютера. Принцип їхньої дії полягає у тому, що вони запам'ятовують дані про стан файлів і системних ділянок дисків, а при наступних запусках порівнюють їхній стан із вихідним.

* Програми-охоронці. Подібні програми резидентно розташовуються в пам'яті комп'ютера й автоматично перевіряють на наявність вірусів файли, що запускаються, і дискети, що вставляються до дисковода. При виявленні вірусу програма-охоронець може видавати попереджувальне повідомлення, а також може запобігти тим діям вірусу, які можуть призвести до його розмноження або зашкодити системі.

* Антивірусні комплекси. Сучасні антивірусні програми - це комплекси, що поєднують функції детектора, ревізора й охоронця. До таких комплексів належить широко відома програма Norton Antivirus, а також пакет Anti-Viral Toolkit Pro (скорочено AVP). Останній - найпопулярніший у країнах СНД - створено у Росії в лабораторії Є. Касперського.

 2. Основи роботи антивірусних програм

2.1 Загальні відомості

Антивірусні програми - це програми, основним завданням яких є захист від вірусів, або точніше, від шкідливих програм.

Методи і принципи захисту теоретично не мають особливого значення, головне щоб вони були направлені на боротьбу зі шкідливими програмами. Але на практиці справа йде трохи інакше: практично будь-яка антивірусна програма об'єднує в різних пропорціях всі технології і методи захисту від вірусів, створені до сьогоднішнього дня.

З усіх методів антивірусного захисту можна виділити дві основні групи:

  • Сигнатурні методи - точні методи виявлення вірусів, засновані на порівнянні файлу з відомими зразками вірусів
  • Евристичні методи - приблизні методи виявлення, які дозволяють з певною вірогідністю припустити, що файл заражений

2.2 Сигнатурний аналіз

Слово сигнатура в  даному випадку є калькою на англійське signature, що означає "підпис" або  ж у переносному розумінні "характерна межа, щось ідентифікуюча". Власне, цим  все сказано. Сигнатурний аналіз полягає у виявленні характерних ідентифікуючих рис кожного вірусу і пошуку вірусів шляхом порівняння файлів з виявленими рисами.

Сигнатурою вірусу вважатиметься  сукупність рис, що дозволяють однозначно ідентифікувати наявність вірусу у  файлі (включаючи випадки, коли файл цілком є вірусом). Всі разом сигнатури відомих вірусів складають антивірусну базу.

Задачу виділення сигнатур, як правило, вирішують люди - експерти в області комп'ютерної вірусології, здатні виділити код вірусу з коду програми і сформулювати його характерні риси у формі, найбільш зручній для пошуку. Як правило - тому що в найбільш простих випадках можуть застосовуватися спеціальні автоматизовані засоби виділення сигнатур. Наприклад, у разі нескладних по структурі троянів або черв'яків, які не заражають інші програми, а цілком є шкідливими програмами.

Практично в кожній компанії, що випускає антивіруси, є своя група  експертів, що виконує аналіз нових  вірусів і поповнює антивірусну  базу новими сигнатурами. З цієї причини  антивірусні бази в різних антивірусах відрізняються. Проте, між антивірусними компаніями існує домовленість про обмін зразками вірусів, а значить рано чи пізно сигнатура нового вірусу потрапляє в антивірусні бази практично всіх антивірусів. Кращим же антивірусом буде той, для якого сигнатура нового вірусу була випущена раніше всіх.

Одна з поширених  помилок щодо сигнатур полягає в  тому,що кожна сигнатура відповідає рівно одному вірусу або шкідливій  програмі. І як наслідок, антивірусна  база з великою кількістю сигнатур дозволяє виявляти більше вірусів. Насправді це не так. Дуже часто для виявлення сімейства схожих вірусів використовується одна сигнатура, і тому вважати, що кількість сигнатур рівна кількості вірусів, що виявляються, вже не можна.

Співвідношення кількості  сигнатур і кількості відомих вірусів для кожної антивірусної бази своє і цілком може опинитися, що база з меншою кількістю сигнатур насправді містить інформацію про більшу кількість вірусів. Якщо ж пригадати, що антивірусні компанії обмінюються зразками вірусів, можна з високою часткою упевненості вважати, що антивірусні бази найбільш відомих антивірусів еквівалентні.

Важлива додаткова властивість  сигнатур - точне і гарантоване  визначення типу вірусу. Ця властивість  дозволяє занести в базу не тільки самі сигнатури, але і способи лікування вірусу. Якби сигнатурний аналіз давав тільки відповідь на питання, є вірус чи ні, але не давав би відповіді, що це за вірус, очевидно, лікування було б не можливе - дуже великим був би ризик зробити не ті дії і замість лікування отримати додаткові втрати інформації.

Інша важлива, але вже  негативна властивість - для отримання  сигнатури необхідно мати зразок вірусу. Отже, сигнатурний метод  непридатний для захисту від  нових вірусів, оскільки до тих пір, поки вірус не потрапив на аналіз до експертів, створити його сигнатуру неможливо. Саме тому всі найбільш крупні епідемії викликаються новими вірусами. З моменту появи вірусу в мережі Інтернет до випуску перших сигнатур зазвичай проходить декілька годин, і весь цей час вірус здатний заражати комп'ютери майже безперешкодно. Майже - тому що в захисті від нових вірусів допомагають додаткові засоби захисту, розглянуті раніше, а також евристичні методи, використовувані в антивірусних програмах.

2.3 Евристичний аналіз

Слово "евристика" походить від грецького дієслова "знаходити". Суть евристичних методів полягає в тому, що вирішення проблеми ґрунтується на деяких правдоподібних припущеннях, а не на строгих висновках з наявних фактів і передумов. Оскільки таке визначення звучить достатньо складно і незрозуміло, простіше пояснити на прикладах різних евристичних методів.

2.4 Пошук вірусів, схожих на відомі

Якщо сигнатурний метод  заснований на виділенні характерних  ознак вірусу і пошуку цих ознак  у файлах, що перевіряються, то евристичний  аналіз ґрунтується на (вельми правдоподібному) припущенні, що нові віруси часто виявляються схожі на які-небудь з вже відомих. Постфактум таке припущення виправдовується наявністю в антивірусних базах сигнатур для визначення не одного, а відразу декількох вірусів. Заснований на такому припущенні евристичний метод полягає в пошуку файлів, які не повністю, але дуже близько відповідають сигнатурам відомих вірусів.

Позитивним ефектом  від використання цього методу є  можливість виявити нові віруси ще до того, як для них будуть виділені сигнатури. Негативні сторони:

  • Вірогідність помилково визначити наявність у файлі вірусу, коли насправді файл чистий - такі події називаються помилковими спрацьовуваннями.
  • Неможливість лікування - і через можливі помилкові спрацьовування, і через можливе неточне визначення типу вірусу, спроба лікування може привести до більших втрат інформації, чим сам вірус, а це неприпустимо.
  • Низька ефективність - проти дійсно новаторських вірусів, що викликають найбільш масштабні епідемії, цей вид евристичного аналізу малопридатний.

2.5 Пошук вірусів, що виконують підозрілі дії

Інший метод, заснований на евристиці, виходить з припущення, що шкідливі програми так чи інакше прагнуть завдати шкоди комп'ютеру. Метод заснований на виділенні основних шкідливих дій, таких як, наприклад:

  • Видалення файлу
  • Запис у файл
  • Запис в певні області системного реєстру
  • Відкриття порту на прослуховування
  • Перехоплення даних що вводяться з клавіатури
  • Розсилка листів та ін.

Зрозуміло, що виконання  кожної такої дії окремо не є приводом рахувати програму шкідливою. Але якщо програма послідовно виконує декілька таких дій, наприклад, записує запуск себе ж в ключ автозапуску системного реєстру, перехоплює дані, що вводяться  з клавіатури і з певною частотою пересилає ці дані на якусь адресу в Інтернет, означає, що ця програма щонайменше підозріла. Заснований на цьому принципі евристичний аналізатор повинен постійно стежити за діями, які виконують програми.

Перевагою описаного  методу є можливість виявляти невідомі раніше шкідливі програми, навіть якщо вони не дуже схожі на вже відомі. Наприклад, нова шкідлива програма може використовувати для проникнення на комп'ютер нову вразливість, але після цього починає виконувати вже звичні шкідливі дії. Таку програму може пропустити евристичний аналізатор першого типу, але цілком може виявити аналізатор другого типу.

Негативні риси ті ж, що і  раніше:

  • Помилкові спрацьовування.
  • Неможливість лікування.
  • Невисока ефективність.

2.6 Модуль оновлення

В першу чергу, кожен  антивірус повинен містити модуль оновлення. Це пов'язано з тим, що основним методом виявлення вірусів  сьогодні є сигнатурний аналіз, який покладається на використання антивірусної бази. Для того, щоб сигнатурний  аналіз ефективно справлявся з найостаннішими вірусами, антивірусні експерти постійно аналізують зразки нових вірусів і випускають для них сигнатури. Після цього головною проблемою стає доставка сигнатур на комп'ютери всіх користувачів, що використовують відповідну антивірусну програму.

Саме це завдання і  вирішує модуль оновлення. Після  того, як експерти створюють нові сигнатури, файли з сигнатурами розміщуються на серверах компанії - виробника антивіруса і стають доступними для завантаження. Модуль оновлення звертається до цих серверів, визначає наявність нових файлів, завантажує їх на комп'ютер користувача і дає команду антивірусним модулям використовувати нові файли сигнатур.

Модулі оновлення різних антивірусів вельми схожі один на одного і відрізняються типами серверів, з яких вони можуть завантажувати файли оновлень, а точніше, типами протоколів, які вони можуть використовувати при завантаженні, - HTTP, FTP, протоколи локальних Windows-мереж. Деякі антивірусні компанії створюють спеціальні протоколи для завантаження своїх оновлень антивірусної бази. У такому разі модуль оновлення може використовувати і цей спеціальний протокол.

Друге, в чому можуть відрізнятися модулі оновлення - це настройка дій, на випадок, якщо джерело оновлень недоступне. Наприклад, в деяких модулях оновлення можна вказати не одну адресу сервера з оновленнями, а адреси декількох серверів, і модуль оновлення звертатиметься до них по черзі, поки не виявить працюючий сервер. Або ж в модулі оновлення може бути настройка - повторювати спроби оновлення із заданим інтервалом певну кількість разів або ж до тих пір, поки сервер не стане доступним. Ці дві настройки можуть бути присутніми і одночасно.

2.7 Модуль планування

Другий важливий допоміжний модуль - це модуль планування. Існує  ряд дій, які антивірус повинен  виконувати регулярно,зокрема: перевіряти ваш комп'ютер на наявність вірусів і оновлювати антивірусну базу. Модуль оновлення якраз і дозволяє набудувати періодичність виконання цих дій.

Для оновлення антивірусної бази рекомендується використовувати  невеликий інтервал - одну годину або три години, залежно від можливостей каналу доступу в Інтернет. В даний час нові модифікації шкідливих програм виявляються постійно, що вимушує антивірусні компанії випускати нові файли сигнатур буквально кожну годину. Якщо користувач комп'ютера багато часу проводить в Інтернеті, він піддає свій комп'ютер великому ризику і тому повинен оновлювати антивірусну базу якомога частіше.

Повну перевірку комп'ютера  потрібно проводити хоч би тому, що спочатку з'являються нові шкідливі програми, а тільки потім сигнатури до них, а значить завжди є можливість завантажити на комп'ютер шкідливу програму раніше, ніж оновлення антивірусних баз. Щоб виявити ці шкідливі програми, комп'ютер потрібно періодично перепровіряти. Розумним розкладом для перевірки комп'ютера можна вважати перевірку раз в тиждень.

Виходячи з сказаного, основне завдання модуля планування - давати можливість вибрати для  кожної дії розклад, який більше всього підходить саме для цього типу дії. Отже модуль оновлення повинен  підтримувати багато різних варіантів розкладу з яких можна було б вибирати.

2.8 Модуль управління

У міру збільшення кількості  модулів в антивірусі виникає  необхідність в додатковому модулі для управління і настройки. У  простому випадку - це загальний інтерфейсний модуль, за допомогою якого можна в зручній формі дістати доступ до найбільш важливих функцій:

  • Настройки параметрів антивірусних модулів.
  • Настройки оновлень.
  • Настройки періодичного запуску оновлення і перевірки.
  • Запуску модулів вручну, на вимогу користувача.
  • Звітам про перевірку.
  • Іншим функціям, залежно від конкретного антивіруса.

Основні вимоги до такого модуля - зручний доступ до настройок, інтуїтивна зрозумілість, докладна довідкова  система, що описує кожне налаштування, можливість захистити налаштування від змін, якщо за комп'ютером працює декілька чоловік. Подібним модулем управління володіють всі антивіруси для домашнього використання. Антивіруси для захисту комп'ютерів в крупних мережах повинні володіти декількома іншими властивостями.

Тому, щоб спростити роботу адміністраторів антивірусної безпеки, антивіруси, які використовуються для захисту великих мереж, обладнані спеціальним модулем управління. Основні властивості цього модуля управління:

  • Підтримка видаленого управління і настройки - адміністратор безпеки може запускати і зупиняти антивірусні модулі, а також міняти їх настройки по мережі, не встаючи зі свого місця.
  • Захист настройок від змін - модуль управління не дозволяє локальному користувачеві змінювати настройки або зупиняти антивірус, щоб користувач не міг послабити антивірусний захист організації.

Це далеко не всі вимоги до управління антивірусним захистом в великій організації, а тільки основні принципи. Докладніше про  особливості антивірусного захисту  мереж і вимоги до модулів управління буде розказано пізніше у відповідному розділі.

2.9 Карантин

Серед інших допоміжних засобів в багатьох антивірусах  є спеціальні технології, які захищають  від можливої втрати даних в результаті дій антивіруса.

Наприклад, легко представити  ситуацію, при якій файл детектується як можливо заражений евристичним аналізатором і віддаляється згідно налаштувань антивіруса. Проте евристичний аналізатор ніколи не дає стовідсоткової гарантії того, що файл дійсно заражений, а значить з певною вірогідністю антивірус міг видалити незаражений файл.

Або ж антивірус виявляє  важливий документ заражений вірусом  і намагається згідно настройкам виконати лікування, але з якихось причин відбувається збій і разом з вилікуваним вірусом втрачається важлива інформація.

Зрозуміло, від таких випадків бажано застрахуватися. Найпростіше це зробити, якщо перед лікуванням або видаленням файлів зберегти їх резервні копії, тоді якщо опиниться, що файл був видалений помилково або була втрачена важлива інформація, завжди можна буде виконати відновлення з резервної копії.

3. Сучасні антивірусні компанії та  програми 

  • AhnLab — Південна Корея
  • ALWIL Software (avast!) — Чехія (безкоштовна та платна версії)
  • AOL Virus Protection у складі AOL Safety and Security Center
  • ArcaVir — Польща
  • Authentium — Великобританія
  • AVG (GriSoft) — Чехія (безкоштовна та платна версії, також присутній Firewall)
  • Avira — Німеччина (безкоштовна та платна версії)
  • AVZ — Росія (безкоштовна), відсутній real-time monitor
  • BitDefender — Румунія
  • BullGuard — Данія
  • ClamAV — Ліцензія GPL (безкоштовна), відсутній real-time monitor
  • ClamWin — ClamAV для Windows
  • Comodo Group — США
  • Computer Associates — США
  • Dr.Web — Росія
  • Eset NOD32 — Словаччина
  • Fortinet — США
  • Frisk Software — Ісландія
  • F-Secure Antivirus — Фінляндія
  • G-DATA — Німеччина
  • GeCAD — Румунія (компанія викуплена Microsoft у 2003 році)
  • GFI Software
  • IKARUS — Австрія
  • H+BEDV — Німеччина
  • Hauri — Південна Корея
  • McAfee — США
  • Microsoft Security Essentials — безкоштовний антивірус від Microsoft
  • MicroWorld Technologies — Індія
  • MKS — Польща
  • Moon Secure AV — Ліцензія GPL (безкоштовна), заснований на коді ClamAV, має real-time monitor
  • Norman — Норвегія
  • NuWave Software — Україна (Використовують рушії від AVG, Frisk, Lavasoft, Norman, Sunbelt)
  • Outpost — Росія (Використовують два antimalware рушії: антивірусний від компанії VirusBuster та антишпіонський, власної розробки)
  • Panda Software — Іспанія
  • Quick Heal AntiVirus — Індія
  • Rising — Китай
  • ROSE SWE — Німеччина
  • Safe`n`Sec — Росія
  • Simple Antivirus — Україна
  • Sophos — Великобританія
  • Spyware Doctor — антивірусна утиліта
  • Stiller Research
  • Sybari Software (компанія викуплена Microsoft у 2005 році)
  • Symantec — США
  • Trend Micro — Японія (номінально Тайвань/США)
  • Trojan Hunter — антивірусна утиліта
  • Universal Anti Virus — Україна (безкоштовний)
  • VirusBuster — Угорщина
  • ZoneAlarm AntiVirus — США
  • Zillya! — Україна (безкоштовний)
  • Антивірус Касперського — Росія
  • ВирусБлокАда(VBA32) — Білорусь
  • Dr. Solomon's Anti-Virus Toolkit
  • Український Національний Антивірус — Україна

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ІІІ Висновки

Незважаючи на великі зусилля як теоретичного, так і практичного характеру щодо вирішення проблеми захисту інформації, його сучасний стан дуже далекий від будь-якого надійного розв'язання. Більше того, виникла ціла низка нових проблем, які пов'язані з захистом від комп'ютерних вірусів. Фахівці навіть доходять висновку щодо кардинальної зміни погляду на проблему організації антивірусного захисту з урахуванням загроз від проникнення комп'ютерних вірусів.

Після цієї вірусної пандемії єдиний операційний день будь-якого  банку починається з контролю стану захищеності від комп'ютерних вірусів, тому що практика минулих та можливих в майбутньому непередбачених вірусних атак показує, що без такого захисту (за оцінками фахівців провідних західних країн) банк наступного дня може стати банкрутом. Безумовно, що це повністю стосується і ПЕОМ.

Віруси роблять неможливим нормальне функціонування програм  і комп'ютера, тому, безперечно, для  лікування програм, знищення вірусів  і профілактики постійно потрібні нові антивірусні програми.

На жаль, конкуренція між антивірусними компаніями призвела до того, що розвиток йде в бік збільшення кількості вірусів, що викриваються (насамперед для реклами), а не в бік покращення їх детектування (ідеал — 100%-е детектування) і алгоритмів лікування заражених файлів.

 

 

Список використаних джерел:

  1. Гаєвський О.Ю.,Інформатика: 7-11 кл.: Навч. посіб. – К.:А.С.К.,2007. – 512 с.: іл.
  2. http://referatu.net.ua/referats/94/26649
  3. http://revolution.allbest.ru/programming/00078676_0.htm
  1. http://uk.wikipedia.org/wiki/%D0%90%D0%BD%D1%82%D0%B8%D0%B2%D1%96%D1%80%D1%83%D1%81%D0%BD%D0%B0_%D0%BF%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%B0

 

 

 




Антивірусні програми. 2