Структура антивируса
Содержание.
I.1. Методы, использующие антивирусы.
- I.1.1. Сигнатурный метод.
- I.1.2. Эвристический метод.
I.2. Модуль обновления.
I.3. Модуль планирования.
I.4. Модуль управления.
I.5. Карантин.
I.6. Тестирование работы антивируса.
II.1.
Структура Антивируса Касперского 2010.
I.1. Структура антивируса.
Антивирусные программы - это
программы, основной задачей
Из всех методов антивирусной защиты можно выделить две основные группы:
- Сигнатурные методы - точные методы обнаружения вирусов, основанные на сравнении файла с известными образцами вирусов
- Эвристические методы - приблизительные методы обнаружения, которые позволяют с определенной вероятностью предположить, что файл заражен
I.1.1. Сигнатурный анализ.
Слово
сигнатура в данном случае является
калькой на английское signature, означающее
"подпись" или же в переносном
смысле "характерная черта, нечто
идентифицирующее". Собственно, этим
все сказано. Сигнатурный анализ
заключается в выявлении
I.1.2. Эвристический анализ.
Слово "эвристика" происходит от греческого глагола "находить". Суть эвристических методов состоит в том, что решение проблемы основывается на некоторых правдоподобных предположениях, а не на строгих выводах из имеющихся фактов и предпосылок. Поскольку такое определение звучит достаточно сложно и непонятно, проще объяснить на примерах различных эвристических методов.
Поиск вирусов, похожих на известные.
Если
сигнатурный метод основан на
выделении характерных
Поиск вирусов, выполняющих подозрительные действия.
Другой
метод, основанный на эвристике, исходит
из предположения, что вредоносные
программы так или иначе
- Удаление файла
- Запись в файл
- Запись в определенные области системного реестра
- Открытие порта на прослушивание
- Перехват данных вводимых с клавиатуры
- Рассылка писем
- И др.
Понятно,
что выполнение каждого такого действия
по отдельности не является поводом
считать программу вредоносной.
Но если программа последовательно
выполняет несколько таких
Отрицательные черты те же, что и раньше:
- Ложные срабатывания
- Невозможность лечения
- Невысокая эффективность
- Дополнительные средства
Практически
любой антивирус сегодня
I.2. Модуль обновления.
В
первую очередь, каждый антивирус должен
содержать модуль обновления. Это
связано с тем, что основным методом
обнаружения вирусов сегодня
является сигнатурный анализ, который
полагается на использование антивирусной
базы. Для того чтобы сигнатурный
анализ эффективно справлялся с самыми
последними вирусами, антивирусные эксперты
постоянно анализируют образцы
новых вирусов и выпускают
для них сигнатуры. После этого
главной проблемой становится доставка
сигнатур на компьютеры всех пользователей,
использующих соответствующую антивирусную
программу. Именно эту задачу и решает
модуль обновления. После того, как
эксперты создают новые сигнатуры,
файлы с сигнатурами
I.3. Модуль планирования.
Второй
важный вспомогательный модуль - это
модуль планирования. Существует ряд
действий, которые антивирус должен
выполнять регулярно: в частности,
проверять весь компьютер на наличие
вирусов и обновлять
I.4. Модуль управления.
По мере увеличения количества модулей в антивирусе возникает необходимость в дополнительном модуле для управления и настройки. В простейшем случае - это общий интерфейсный модуль, при помощи которого можно в удобной форме получить доступ к наиболее важным функциям:
- Настройке параметров антивирусных модулей
- Настройке обновлений
- Настройке периодического запуска обновления и проверки
- Запуску модулей вручную, по требованию пользователя
- Отчетам о проверке
- Другим функциям, в зависимости от конкретного антивируса
Основные
требования к такому модулю - удобный
доступ к настройкам, интуитивная
понятность, подробная справочная система,
описывающая каждую настройку, возможность
защитить настройки от изменений, если
за компьютером работает несколько
человек. Подобным модулем управления
обладают все антивирусы для домашнего
использования. Антивирусы для защиты
компьютеров в крупных сетях
должны обладать несколько иными
свойствами. Уже не раз говорилось,
что в большой организации
за настройку и правильное функционирование
антивирусов отвечают не пользователи
компьютеров, а специальные сотрудники.
Если компьютеров в организации
много, то каждому ответственному за
безопасность сотруднику придется постоянно
бегать от одного компьютера к другому,
проверяя правильность настройки и
просматривая историю обнаруженных
заражений. Это очень неэффективный
подход к обслуживанию системы безопасности.
Поэтому, чтобы упростить работу администраторов антивирусной безопасности, антивирусы, которые используются для защиты больших сетей, оборудованы специальным модулем управления. Основные свойства этого модуля управления:
- Поддержка удаленного управления и настройки - администратор безопасности может запускать и останавливать антивирусные модули, а также менять их настройки по сети, не вставая со своего места
- Защита настроек от изменений - модуль управления не позволяет локальному пользователю изменять настройки или останавливать антивирус, чтобы пользователь не мог ослабить антивирусную защиту организации
Это
далеко не все требования к управлению
антивирусной защитой в крупной
организации, а только основные принципы.
Подробнее об особенностях антивирусной
защиты сетей и требованиях к
модулям управления будет рассказано
позже в соответствующем
I.5. Карантин.
Среди
прочих вспомогательных средств
во многих антивирусах есть специальные
технологии, которые защищают от возможной
потери данных в результате действий
антивируса. Например, легко представить
ситуацию, при которой файл детектируется
как возможно зараженный эвристическим
анализатором и удаляется согласно
настройкам антивируса. Однако эвристический
анализатор никогда не дает стопроцентной
гарантии того, что файл действительно
заражен, а значит с определенной
вероятностью антивирус мог удалить
незараженный файл. Или же антивирус
обнаруживает важный документ зараженный
вирусом и пытается согласно настройкам
выполнить лечение, но по каким-то причинам
происходит сбой и вместе с вылеченным
вирусом теряется важная информация.
Разумеется, от таких случаев желательно
застраховаться. Проще всего это
сделать, если перед лечением или
удалением файлов сохранить их резервные
копии, тогда если окажется, что файл
был удален ошибочно или была потеряна
важная информация, всегда можно будет
выполнить восстановление из резервной
копии.
I.6. Тестирование работы антивируса.
После того как антивирус установлен и настроен, каждый пользователь хочет убедиться, что он все сделал правильно и антивирусная защита работает. Но как это проверить? Первое, что приходит в голову: взять где-нибудь зараженный файл и посмотреть поймает ли его антивирус. Но, как и у многих простых решений, у этого есть ряд очевидных недостатков:
- Зараженный файл не так-то просто найти. Даже если воспользоваться поиском в Интернете и найти какие-то файлы, нет никакой гарантии, что они действительно заражены. Т. е. если антивирус обнаружит в них вирусы, значит они заражены, а антивирус работает, но если не обнаружит, то неизвестно - антивирус не работает, или файлы не заражены.
- Использовать для тестирования настоящие вирусы крайне опасно. Если пользователь все же ошибся и неправильно выполнил установку или настройку антивируса, в процессе тестирования он может на самом деле заразить свой компьютер, в результате чего потерять данные или стать источником заражения для других компьютеров.
Значит
нужен такой способ тестирования
антивирусов, который был бы безопасным,
но давал четкий ответ на вопрос,
корректно ли работает антивирус. Понимая
важность проблемы, организация EICAR при
участии антивирусных компаний создала
специальный тестовый файл, который
был назван по имени организации
- eicar.com. Eicar.com - это исполняемый файл
в COM-формате, который не выполняет
никаких вредоносных действий, а
просто выводит на экран строку "EICAR-STANDARD-ANTIVIRUS-
X5O!P%@AP[4\PZX54(P^)7CC)
сохранить файл под именем eicar.com, и все - тестовый файл готов.
Созданный описанным способом
файл eicar.com ничем не отличается
от доступного на сайте
Однако
сейчас разнообразие вредоносных программ
гораздо больше. И соответственно
больше антивирусных модулей, предназначенных
для защиты от различных угроз. Например,
во многих антивирусах имеется
II.1. Структура Антивирус Касперского 2010.
Антивирус
Касперского 2010 обеспечивает защиту вашего
компьютера от известных и новых
угроз. Каждый тип угроз обрабатывается
отдельным компонентом
- Компоненты защиты, которые обеспечивают защиту: файлов и персональных данных системы работы в сети.
- Задачи проверки на вирусы, посредством которых выполняется поиск вирусов в отдельных файлах, папках, дисках или областях, либо полная проверка компьютера. Обновление, обеспечивающее актуальность внутренних модулей программы, а также баз, использующихся для поиска вредоносных программ.
- Мастеры и инструменты, облегчающие выполнение задач, возникающих в процессе работы Антивируса Касперского.
- Сервисные функции, обеспечивающие информационную поддержку в работе с программами и позволяющие расширить его функциональность.
Антивирус Касперского 2010 – это универсальное средство защиты информации. Комплексная защита обеспечивается на всех каналах поступления и передачи информации. Гибкая настройка любого компонента позволяет максимально адаптировать Антивирус Касперского под нужды конкретного пользователя. Рассмотрим детально нововведения Антивируса Касперского 2010.
IM-Антивирус
обеспечивает безопасность
В список задач проверки добавлен новый
инструмент – поиск уязвимостей, который
облегчает поиск и устранение угроз безопасности
и уязвимостей в программах, установленных
на вашем компьютере и параметрах операционной
системы.
Основные известные ошибки в работе программы:
В
случае обнаружения угрозы в OLE-объекте
программа не предлагает пользователю
выполнить лечение. Возможные действия
в такой ситуации - поместить файл
на карантин или удалить. Веб-Антивирус
не уведомляет пользователя о скачанных
файлах. Возможны проблемы при отображении
некоторых файлов в специализированной
программе дефрагментации PageDefrag. В
некоторых случаях клавиша "^"
на виртуальной клавиатуре остается
нажатой. Для решения этой проблемы
необходимо нажать на нее правой клавишей
мыши. В некоторых окнах отчетов
некорректно работает сложная фильтрация.
При использовании возможности
записи событий файловой системы
в отчет программы, возможны сильные
замедления при установке Антивируса
Касперского 2010 поверх предыдущей версии.
При деинсталляции Антивируса Касперского
2010 не удаляются ключи реестра, связанные
с shell extension.

- Структура антимонопольного законодательства
- Структура антимонопольных органов РФ
- Структура аптеки
- Структура ассемблерных программ
- Структура аудиторского заключения
- Структура баз данных документального фонда организации
- Структура Банка России. Ее совершенствование. Функции и организация деятельности подразделений Банка России
- Структура
- Структура UML
- Структура автоматизированное рабочее место дежурного по станции
- Структура автоматики
- Структура авторитета. Критерии и уровни авторитета
- Структура аграрного сектора
- Структура административно-правовых норм