Uporedne karakteristike antivirusnog softvera. Uporedne karakteristike antivirusnih programa

Očekivano, nemoguće je navesti najbolji antivirusni program među razmatranim programima, jer postoji mnogo kriterija koje korisnici mogu koristiti pri odabiru. Jedno je sigurno - sva rješenja zaslužuju pažnju korisnika i spadaju među vrijedna. U isto vrijeme, najfunkcionalniji među njima je Kaspersky Anti-Virus, koji pruža sveobuhvatnu zaštitu od najšireg spektra prijetnji i ima impresivne mogućnosti prilagođavanja. Ali u smislu kombiniranja visoke funkcionalnosti i jednostavnosti korištenja (odnosno, jednostavnosti korištenja i minimalne "vidljivosti" u procesu rada u pozadini), Eset NOD32 nam se u većoj mjeri dopao. Antivirus Avast! AntiVirus i Avira AntiVir su takođe nezahtevni za sistemske resurse i zbog toga se ponašaju skromno kada rade u pozadini, ali njihove mogućnosti neće odgovarati svim korisnicima. U prvom, na primjer, nivo heurističke analize je nedovoljan, u drugom još nema lokalizacije na ruskom jeziku i, po našem mišljenju, upravljanje modulima nije baš zgodno organizirano. Što se tiče Norton AntiVirusa i Dr.Web-a, uprkos popularnosti prvog u svijetu i zasluženom priznanju za prve zasluge drugog, dlan u perspektivi koju razmatramo očito nije na njihovoj strani. Norton AntiVirus, uprkos činjenici da je njegova najnovija verzija znatno brža (u odnosu na prethodne) u radu i ima bolje osmišljeno sučelje, ipak primjetno opterećuje sistem i prilično sporo reaguje na pokretanje određenih funkcija. Iako pošteno, treba napomenuti da se brzo skenira. A Dr.Web, u poređenju sa drugim antivirusima, nije baš impresivan, jer su njegove mogućnosti ograničene na zaštitu datoteka i pošte, ali ima svoj plus - najjednostavniji je među razmatranim antivirusima.

Tabela 1. Poređenje funkcionalnosti antivirusnih rješenja

Ništa manje zanimljivo nije, naravno, uporediti recenzirane antiviruse u smislu njihove efikasnosti u otkrivanju zlonamjernog softvera. Ovaj parametar se procjenjuje u posebnim i međunarodno priznatim centrima i laboratorijama, kao što su ICSA Labs, West Soast Labs, Virus Bulletin, itd. Prva dva izdaju posebne certifikate onim antivirusima koji su prošli određeni nivo testova, samo jedno upozorenje - sve poznati paketi danas imaju takve sertifikate (ovo je određeni minimum). Antivirusni časopis Virus Bulletin nekoliko puta godišnje testira veliki broj antivirusa i na osnovu rezultata im dodeljuje VB100% nagrade. Jao, danas svi popularni virusi također imaju takve nagrade, uključujući, naravno, i one koje smo pregledali. Stoga ćemo pokušati analizirati rezultate drugih testova. Fokusiraćemo se na testove renomiranog austrijskog laboratorija Av-Comparatives.org, koji testira antiviruse, i grčke kompanije Virus.gr, specijalizovane za testove antivirusni programi i sastavljanje ocjena antivirusa i poznate jedne od najvećih kolekcija virusa. Prema posljednjem testu skeniranja na zahtjev Av-Comparatives.org u avgustu 2009. (Tabela 2), Avira AntiVir Premium i Norton AntiVirus su se najbolje pokazali među pregledanima. Ali Kaspersky Anti-Virus je uspeo da otkrije samo 97,1% virusa, iako je, naravno, potpuno nepravedno nazivati ​​takav nivo detekcije virusa niskim. Za više informacija napominjemo da je obim virusnih baza podataka uključenih u ovaj test iznosio više od 1,5 miliona zlonamjernih kodova, a razlika je samo 0,1% - to je ni manje ni više, već 1,5 hiljada zlonamjernih programa. Što se brzine tiče, još je teže objektivno uporediti rješenja u ovom aspektu, jer brzina skeniranja ovisi o mnogim faktorima – posebno o tome da li antivirusni proizvod koristi emulacijski kod, da li je u stanju prepoznati složene polimorfne viruse, da li je duboko vrši se analiza heurističkog skeniranja, aktivno skeniranje rootkita itd. Sve gore navedene tačke su u direktnoj vezi sa kvalitetom prepoznavanja virusa, tako da u slučaju antivirusnih rješenja brzina skeniranja nije najvažniji pokazatelj njihovog učinka. . Ipak, stručnjaci Av-Comparatives.org smatrali su da je moguće procijeniti rješenja, a prema ovom pokazatelju, kao rezultat toga, Avast se pokazao na vrhu među antivirusnim programima koji se razmatraju! AntiVirus i Norton AntiVirus.

tabela 2. Poređenje antivirusnih rješenja u smislu otkrivanja zlonamjernog softvera (izvor - Av-Comparatives.org, avgust 2009.)

Ime Brzina skeniranja
Avira AntiVir Premium 8.2 99,7 Srednje
Norton AntiVirus 16.2 98,7 Brzo
98,2 Brzo
ESET NOD32 Antivirus 3.0 97,6 Srednje
Kaspersky Anti-Virus 8.0 97,1 Srednje
AVG Anti-Virus 8.0.234 93 sporo
Dr.Web antivirus za Windows Nije testirano Nema podataka
PANDA Antivirus Pro 2010 Nije testirano Nema podataka

Prema rezultatima avgustovskog testiranja Virus.gr, prikazanim u tabeli. 3, podaci su nešto drugačiji. Lideri su Kaspersky Anti-Virus 2010 sa 98,67% i Avira AntiVir Premium 9.0 sa 98,64%. Uzgred, ovdje je vrijedno napomenuti da besplatni program Avira AntiVir Personal, koji koristi iste baze potpisa i iste metode testiranja kao plaćeni Avira AntiVir Premium, prilično zaostaje za komercijalnim rješenjem. Razlike u rezultatima su zbog činjenice da različite laboratorije koriste različite baze podataka o virusima - naravno, sve takve baze podataka su bazirane na kolekciji divljih virusa "In the Wild", ali je dopunjena drugim virusima. Od toga o kakvim se virusima radi i koliki ih je procenat u ukupnoj bazi, zavisi koji će od paketa preuzeti vodstvo.

Tabela 3. Poređenje antivirusnih rješenja u smislu otkrivanja zlonamjernog softvera (izvor - Virus.gr, avgust 2009.)

Ime Procenat detekcije različite vrste malware
Kaspersky Anti-Virus 2010 98,67
Avira AntiVir Premium 9.0 98,64
Avira AntiVir Personal 9.0 98,56
AVG Anti-Virus Free 8.5.392 97
ESET NOD32 Antivirus 4.0 95,97
Avast! Antivirus Free 4.8 95,87
Norton AntiVirus Norton 16.5 87,37
dr. Web 5.00 82,89
Panda 2009 9.00.00 70,8

Vrijedi obratiti pažnju i na to u kojoj mjeri se antivirusi praktično mogu nositi s nepoznatim prijetnjama – odnosno na efikasnost proaktivnih metoda koje se koriste u njima. antivirusna zaštita. Ovo je izuzetno važno, jer su se svi vodeći stručnjaci u ovoj oblasti odavno složili da je upravo ova oblast najperspektivnija na antivirusnom tržištu. Slično testiranje su izvršili stručnjaci Anti-Malware.ru od 3. decembra 2008. do 18. januara 2009. godine. Da bi sproveli test, prikupili su kolekciju od 5166 jedinstvenih kodova najnovijih zlonamjernih programa tokom zamrzavanja antivirusnih baza podataka. Među antivirusima koji se razmatraju u ovom članku, najbolje rezultate pokazali su Avira AntiVir Premium i Dr.Web (Tabela 4), koji su uspjeli otkriti relativno veliki broj zlonamjernih kodova koji nedostaju iz njihovih baza podataka, međutim, broj lažno pozitivnih za pokazalo se da su ovi antivirusi visoki. Stoga su lovorike prvenstva u vidu „Zlatne nagrade za proaktivnu zaštitu“ stručnjaci dodijelili potpuno drugačijim rješenjima. To su Kaspersky Anti-Virus, ESET NOD32 AntiVirus i BitDefender Antivirus, koji su se pokazali najboljima u odnosu proaktivne detekcije i lažnih pozitivnih rezultata. Njihovi rezultati su bili gotovo identični – nivo heurističke detekcije u 60% i nivo lažnih pozitivnih rezultata u području od 0,01-0,04%.

Tabela 4. Poređenje antivirusnih rješenja u smislu efikasnosti proaktivne antivirusne zaštite (izvor - Anti-Malware.ru, januar 2009.)

Ime Postotak otkrivenih virusa Postotak lažnih pozitivnih rezultata
Avira AntiVir Premium 8.2 71 0,13
Dr.Web 5.0 61 0,2
Kaspersky Anti-Virus 2009 60,6 0,01
ESET NOD32 AntiVirus 3.0 60,5 0,02
AVG AntiVirus 8.0 58,1 0,02
Avast! AntiVirus Professional 4.8 53,3 0,03
Norton AntiVirus 2009 51,5 0
Panda Antivirus 2009 37,9 0,02

Iz gore navedenih podataka može se izvesti samo jedan zaključak - sva razmatrana antivirusna rješenja zaista se mogu klasificirati kao vrijedna pažnje. Međutim, kada radite u bilo kojem od njih, nikada ne treba zaboraviti na pravovremeno ažuriranje baza potpisa, jer je razina proaktivnih metoda zaštite u bilo kojem od programa još uvijek daleko od idealnog.

Glavni kriterijumi evaluacije, koji su uključivali 200 indikatora, bili su:

  • zaštita od virusa;
  • Jednostavnost upotrebe;
  • uticaj na brzinu računara.

Zaštita od zlonamjernog softvera najvažniji je kriterij procjene: indikatori unutar ove grupe parametara su činili 65% ukupnog antivirusnog rezultata. Lakoća upotrebe i uticaj na brzinu računara činili su 25% odnosno 10% ukupnog rezultata.

Antivirusni programi su odabrani za istraživanje na osnovu popularnosti među potrošačima i pristupačnosti. Iz tog razloga, lista proučavanih antivirusnih programa uključivala je:

  • Besplatni programi - ugrađeni i ponuđeni zasebno.
  • Plaćeni programi od vodećih antivirusnih brendova. Na osnovu principa selekcije, studija nije obuhvatila najskuplje verzije softverskih proizvoda ovih brendova.
  • Od jednog brenda za jedan operativni sistem, u ocjeni je mogao biti predstavljen samo jedan plaćeni proizvod. Drugi proizvod bi mogao ući u ocjenu samo ako je besplatan.

Ovoga puta u kategoriju u međunarodnoj studiji uključeni su proizvodi koje su razvile ruske kompanije. U pravilu, lista proizvoda za međunarodno testiranje uključuje proizvode s dovoljnim tržišnim udjelom i visokim uvažavanjem među potrošačima, tako da uključivanje ruskih razvoja u studiju ukazuje na njihovu široku zastupljenost i potražnju u inostranstvu.

Top Ten za Windows

Svi antivirusi u prvih deset nose zaštitu od špijunskog softvera i štite od krađe identiteta - pokušaja da se pristupi povjerljivim podacima. Ali postoje razlike između antivirusa u nivou zaštite, kao iu prisustvu ili odsustvu određene funkcije u testiranim verzijama antivirusa.

Stožerna tabela pokazuje deset najbolji programi po ukupnoj ocjeni. Takođe uzima u obzir karakteristike paketa u smislu skupa funkcija.

Koliko je dobra standardna sigurnost Windows 10?

Od februara 2018. godine, udio korisnika Windows PC-a sa Windows 10 operativnim sistemima instaliranim na njihovim desktop računarima iznosio je 43%. Na takvim računarima je antivirusni program instaliran prema zadanim postavkama - štiti sistem Windows program Defender, koji je uključen u operativni sistem.

Standardni antivirus, koji, sudeći prema statistici, većina ljudi koristi, našao se tek na 17. redu rejtinga. Sve u svemu, Windows Defender je postigao 3,5 od mogućih 5,5.

Ugrađena zaštita u posljednjem trenutku Windows verzije svake godine postaje samo bolji, ali još uvijek ne odgovara nivou mnogih specijalizovanih antivirusnih programa, uključujući i one koji se distribuiraju besplatno. Windows Defender je pokazao zadovoljavajuće rezultate u pogledu online zaštite, ali je u potpunosti pao na testu za phishing i ransomware. Inače, zaštitu od krađe identiteta deklariraju proizvođači antivirusnih programa. Takođe se ispostavilo da on loše radi na zaštiti vašeg računara u offline modu.

Windows Defender je prilično jednostavan u smislu dizajna. Jasno komunicira prisutnost određene prijetnje, jasno pokazuje stepen zaštite i ima funkciju “roditeljske kontrole” koja ograničava djecu da posjećuju neželjene resurse.

Standardna zaštita Windows 10 može se nazvati samo pristojnom. Na osnovu ukupne ocjene, 16 programa za zaštitu PC na Windows OS se pokazalo boljim od njega. Uključujući četiri besplatna.

Teoretski, na Windows Defender se možete osloniti samo ako korisnik ima uključena redovna ažuriranja, ako je njegov računar većinu vremena povezan na internet i ako je dovoljno napredan da svjesno ne posjećuje sumnjive stranice. Međutim, Roskachestvo preporučuje instaliranje specijalizovanog antivirusnog paketa za veće poverenje u bezbednost računara.

Kako smo testirali

Testiranje je vršeno u najkvalifikovanijoj svjetskoj laboratoriji specijalizovanoj za antivirusne programe u trajanju od šest mjeseci. Provedene su ukupno četiri grupe anti-malware testova: opći test online zaštite, offline test, test lažno pozitivnih stopa i test automatskog skeniranja i skeniranja na zahtjev. U manjoj mjeri na konačnu ocjenu utjecala je provjera upotrebljivosti antivirusa i njegovog uticaja na brzinu rada računara.

  • Opća zaštita

Svaki antivirusni paket testiran je na mreži na skup virusa, ukupno više od 40 000. Takođe je testirano koliko dobro se antivirus nosi sa phishing napadima – kada neko pokuša pristupiti povjerljivim podacima korisnika. Ransomware je testiran radi zaštite od ransomwarea koji ograničava pristup računaru i podacima na njemu kako bi se dobio otkup. Osim toga, provodi se online testiranje USB diska sa zlonamjernim softverom. Potrebno je saznati koliko dobro se antivirus nosi sa pretragom i eliminacijom virusa kada ni prisutnost zlonamjernih datoteka ni njihovo porijeklo nisu unaprijed poznati.

  • USB offline test

Otkrivanje zlonamjernog softvera koji se nalazi na USB disku spojenom na računar. Prije skeniranja, računar je nekoliko sedmica bio isključen sa interneta tako da antivirusni paketi nisu bili 100% ažurni.

  • Lažna uzbuna

Testirali smo koliko je antivirus efikasan u prepoznavanju stvarnih prijetnji i preskakanju datoteka koje su zapravo sigurne, ali koje je proizvod klasificirao kao opasne.

  • Auto-scan i test skeniranja na zahtjev

Testirano je koliko dobro funkcionira funkcija skeniranja kada automatski provjerava računar na malver i kada se ručno pokrene. Takođe, tokom istraživanja je provjereno da li je moguće zakazati skeniranje za određeno vrijeme kada računar nije u upotrebi.

Antivirusni programi postoje kako bi zaštitili vaše računalo od zlonamjernog softvera, virusa, trojanaca, crva i špijunskog softvera koji mogu izbrisati vaše datoteke, ukrasti vaše lične podatke i učiniti vaš računar i internet vezu izuzetno sporim i problematičnim. Stoga je odabir dobrog antivirusnog programa važan prioritet za vaš sistem.

Danas u svijetu postoji preko milion kompjuterskih virusa. Zbog rasprostranjenosti virusa i drugog zlonamjernog softvera, postoji mnogo različitih opcija za korisnike računala u području antivirusnog softvera. softver.

Antivirusni programi brzo je postao veliki biznis, a prvi komercijalni antivirusi su se pojavili na tržištu kasnih 1980-ih. Danas možete pronaći mnogo besplatnih i plaćenih antivirusnih programa za zaštitu vašeg računala.

Šta rade antivirusni programi

Antivirusni programi će redovno skenirati vaš računar u potrazi za virusima i drugim zlonamernim softverom koji se možda nalazi na vašem računaru. Ako softver otkrije virus, obično ga stavlja u karantin, liječi ili uklanja.

Vi birate koliko često će se skeniranje vršiti, iako se općenito preporučuje da ga pokrenete barem jednom sedmično. Osim toga, većina antivirusnih programa će vas zaštititi tokom vaših svakodnevnih aktivnosti, kao što su provjera e-pošte i surfanje internetom.

Kad god preuzmete bilo koju datoteku na svoj računar sa interneta ili e-pošte, antivirus će je provjeriti i uvjeriti se da je datoteka u redu (bez virusa ili „čista“).

Antivirusni programi će također ažurirati ono što se naziva “antivirusne definicije”. Ove definicije se ažuriraju onoliko često kako se pojavljuju i otkrivaju novi virusi i zlonamjerni softver.

Novi virusi se pojavljuju svaki dan, pa je potrebno redovno ažurirati antivirusnu bazu podataka na web stranici proizvođača antivirusnog programa. Uostalom, kao što znate, bilo koji antivirusni program može prepoznati i neutralizirati samo one viruse s kojima ga je proizvođač "obučio". I nije tajna da može proći nekoliko dana od trenutka kada se virus pošalje programerima programa do ažuriranja antivirusnih baza podataka. Tokom ovog perioda, hiljade računara širom sveta mogu biti zaražene!

Dakle, provjerite imate li instaliran jedan od najboljih antivirusnih paketa i redovno ga ažurirajte.

FIREWALL (FIREWALL)

Zaštita vašeg računara od virusa zavisi od više od jednog antivirusnog programa. Većina korisnika pogrešno vjeruje da je antivirus instaliran na računalu lijek za sve viruse. Računar se i dalje može zaraziti virusom, čak i uz moćan antivirusni program. Ako vaš računar ima pristup Internetu, jedan antivirus nije dovoljan.

Antivirus može ukloniti virus kada se nalazi direktno na vašem računaru, ali ako isti virus uđe u vaš računar sa interneta, na primjer, preuzimanjem web stranice, tada antivirusni program neće moći ništa učiniti s njim – sve dok neće pokazati svoju aktivnost na računaru. Stoga je potpuna zaštita računala od virusa nemoguća bez firewall-a - posebnog zaštitnog programa koji će vas obavijestiti o sumnjivoj aktivnosti kada se virus ili crv pokuša povezati s vašim računalom.

Korištenje firewall-a na Internetu omogućava vam da ograničite broj neželjenih veza izvana prema vašem računalu i značajno smanjuje vjerovatnoću zaraze. Osim što štiti od virusa, uljezima (hakerima) otežava pristup vašim informacijama i pokušaj preuzimanja potencijalno opasnog programa na vaše računalo.

Kada se zaštitni zid koristi zajedno sa antivirusnim programom i ažuriranjima operativnog sistema, zaštita računara se održava na najvišem mogućem nivou bezbednosti.

AŽURIRANJA OPERATIVNOG SISTEMA I SOFTVERA

Važan korak u zaštiti vašeg računara i podataka je da vaš operativni sistem bude ažuriran najnovijim sigurnosnim zakrpama. Preporučljivo je to raditi barem jednom mjesečno. Najnovija ažuriranja za OS i programe stvorit će uvjete pod kojima će zaštita računala od virusa biti na dovoljno visokom nivou.

Ažuriranja su ispravke za greške pronađene tokom vremena u softveru. Veliki broj virusa koristi ove greške („rupe“) u sigurnosti sistema i programa za širenje. Međutim, ako zatvorite ove „rupe“, tada se nećete bojati virusa i zaštita računara će biti na visokom nivou. Dodatni plus redovnih ažuriranja je pouzdaniji rad sistema zbog ispravki grešaka.

LOGIN PASSWORD

Lozinka za prijavu na vaš sistem, posebno za račun"Administrator" će pomoći u zaštiti vaših podataka od neovlaštenog pristupa lokalno ili preko mreže, a također će stvoriti dodatnu barijeru virusima i špijunskim softverom. Obavezno koristite složenu lozinku - kao mnogi virusi koriste jednostavne lozinke za svoje širenje, na primjer 123, 12345, počevši od praznih lozinki.

SIGURNO WEB SURFING

Zaštita vašeg računara od virusa bit će komplikovana ako, dok pretražujete stranice i surfate internetom, pristanete na sve i sve instalirate. Na primjer, pod krinkom ažuriranja Adobe Flash Player-a, distribuira se jedna od varijanti virusa - „Pošalji sms na broj“. Vježbajte sigurno surfovanje webom. Uvek pročitajte šta vam se tačno nudi da uradite, pa tek onda pristanite ili odbijte. Ako vam se ponudi nešto na stranom jeziku, pokušajte to prevesti, inače slobodno odbijte.

Mnogi virusi se nalaze u privitcima e-pošte i počinju se širiti čim se privitak otvori. Toplo preporučujemo da ne otvarate priloge bez prethodnog dogovora da ih primite.

Antivirusi na SIM, flash kartice i USB uređaji

Mobilni telefoni koji se danas proizvode imaju širok spektar interfejsa i mogućnosti prenosa podataka. Korisnici bi trebali pažljivo proučiti metode zaštite prije povezivanja bilo kakvih malih uređaja.

Metode zaštite poput hardvera, možda antivirusa na USB uređajima ili na SIM-u, prikladnije su za potrošače mobilni telefoni. Tehničku procjenu i pregled kako instalirati antivirusni program na mobilni mobilni telefon treba smatrati procesom skeniranja koji može utjecati na druge legitimne aplikacije na tom telefonu.

Antivirusni softver baziran na SIM kartici sa antivirusnim programom ugrađenim u malo memorijsko područje pruža zaštitu od malvera/virusa radi zaštite podataka o PIM-u i korisniku telefona. Antivirusi na flash karticama omogućavaju korisniku razmjenu informacija i korištenje ovih proizvoda s različitim hardverskim uređajima.

Antivirusi, mobilni uređaji i inovativna rješenja

Nikoga neće iznenaditi kada virusi koji zaraze lične i laptop računari preći na mobilne uređaje. Sve više programera u ovoj oblasti nudi antivirusne programe za borbu protiv virusa i zaštitu mobilnih telefona. IN mobilnih uređaja Postoje sljedeće vrste kontrole virusa:

  • § CPU ograničenja
  • § ograničenje memorije
  • § identifikaciju i ažuriranje potpisa ovih mobilnih uređaja

Antivirusne kompanije i programi

  • § AOL® zaštita od virusa kao dio AOL centra za sigurnost i sigurnost
  • § ActiveVirusShield od AOL-a (bazirano na KAV 6, besplatno)
  • § AhnLab
  • § Aladin sistemi znanja
  • § ALWIL softver (avast!) iz Češke (besplatne i plaćene verzije)
  • § ArcaVir iz Poljske
  • § AVZ iz Rusije (besplatno)
  • § Avira iz Njemačke (dostupno besplatna verzija klasik)
  • § Authentium iz UK
  • § BitDefender iz Rumunije
  • § BullGuard iz Danske
  • § Computer Associates iz SAD
  • § Comodo Group iz SAD
  • § ClamAV -- GPL licenca -- besplatni program otvorenog koda
  • § ClamWin -- ClamAV za Windows
  • § Dr.Web iz Rusije
  • § Eset NOD32 iz Slovačke
  • § Fortinet
  • § Frisk softver sa Islanda
  • § F-Secure iz Finske
  • § GeCAD iz Rumunije (Microsoft je kupio kompaniju 2003.)
  • § GFI softver
  • § GriSoft (AVG) iz Češke (besplatne i plaćene verzije)
  • § Hauri
  • § H+BEDV iz Njemačke
  • § Kaspersky Anti-Virus iz Rusije
  • § McAfee iz SAD
  • § MicroWorld Technologies iz Indije
  • § NuWave softver iz Ukrajine
  • § MKS iz Poljske
  • § Norman iz Norveške
  • § Ispostava iz Rusije
  • § Panda softver iz Španije
  • § Quick Heal AntiVirus iz Indije
  • § raste
  • § ROSE SWE
  • § Sophos iz UK
  • § Spyware Doctor
  • § Stillerovo istraživanje
  • § Sybari Software (Microsoft je kupio kompaniju početkom 2005.)
  • § Symantec iz SAD ili Velike Britanije
  • § Lovac na trojance
  • § Trend Micro iz Japana (nominalno Tajvan-SAD)
  • § Ukrajinski nacionalni antivirus iz Ukrajine
  • § VirusBlockAda (VBA32) iz Bjelorusije
  • § VirusBuster iz Mađarske
  • § ZoneAlarm AntiVirus (američki)
  • § Provjera datoteke sa nekoliko antivirusnih programa
  • § Provjera datoteke sa nekoliko antivirusnih programa
  • § Provjera datoteka na viruse prije preuzimanja
  • § virusinfo.info Portal za sigurnost informacija (virološka konferencija) na kojem se može zatražiti pomoć.
  • § antivse.com Još jedan portal na kojem možete preuzeti najčešće antivirusne programe, plaćene i besplatne.
  • § www.viruslist.ru Internet enciklopedija virusa kreirana od strane Kaspersky Lab

Antivirus

Avast! * AVS * Ashampoo Antivirus * AVG * Avira AntiVir * BitDefender * Clam Antivirus * ClamWin * Comodo Antivirus * Dr. Web * F-Prot *F-Secure Antivirus * Kaspersky Anti-Virus * McAfee VirusScan * NOD32 * Norton Antivirus * Outpost Antivirus * Panda Antivirus * PC-cillin * Windows Live OneCare

Uvod

1. Teorijski dio

1.1 Koncept sigurnosti informacija

1.2 Vrste prijetnji

1.3 Metode sigurnosti informacija

2. Dizajnerski dio

2.1 Klasifikacija kompjuterskih virusa

2.2 Koncept antivirusnog programa

2.3 Vrste antivirusnih alata

2.4 Poređenje antivirusnih paketa

Zaključak

Spisak korišćene literature

Aplikacija

Uvod

Razvoj novih informacione tehnologije i opšta kompjuterizacija doveli su do toga da informaciona bezbednost ne samo da postaje obavezna, već je i jedna od karakteristika informacionih sistema. Postoji prilično opsežna klasa sistema za obradu informacija u čijem razvoju faktor sigurnosti igra primarnu ulogu.

Masovna upotreba personalnih računara povezana je s pojavom samoreproducirajućih virusnih programa koji sprečavaju normalan rad računar, uništavajući strukturu datoteka na diskovima i oštećujući informacije pohranjene u računaru.

Uprkos zakonima usvojenim u mnogim zemljama za borbu protiv kompjuterskog kriminala i razvoj specijalni programi novih alata za zaštitu od virusa, broj novih softverskih virusa stalno raste. Ovo zahtijeva od korisnika osobnog računala da bude upućen u prirodu virusa, kako da zarazi i zaštiti od virusa.

Svakim danom virusi postaju sve sofisticiraniji, što dovodi do značajne promjene profila prijetnji. Ali tržište antivirusnog softvera ne stoji mirno, nudeći razne proizvode. Njihovi korisnici, koji problem predstavljaju samo generalno, često propuste važne nijanse i završe s iluzijom zaštite umjesto same zaštite.

Svrha ovog kursa je da se izvrši komparativna analiza antivirusnih paketa.

Za postizanje ovog cilja u radu se rješavaju sljedeći zadaci:

Proučiti koncepte informatičke sigurnosti, računalnih virusa i antivirusnih alata;

Utvrditi vrste prijetnji po sigurnost informacija, metode zaštite;

Proučiti klasifikaciju računalnih virusa i antivirusnih programa;

Provesti uporednu analizu antivirusnih paketa;

Kreirajte antivirusni program.

Praktični značaj rada.

Dobijeni rezultati, nastavni materijali mogu poslužiti kao osnova za samopoređenje antivirusnih programa.

Struktura nastavnog rada.

Ovaj kurs se sastoji od Uvoda, dva dijela, Zaključka, liste referenci.

sigurnosni antivirus za kompjuterske viruse

1. Teorijski dio

U procesu provođenja uporedne analize antivirusnih paketa potrebno je definirati sljedeće pojmove:

1 Sigurnost informacija.

2 Vrste prijetnji.

3 Metode sigurnosti informacija.

Pogledajmo bliže ove koncepte:

1.1 Koncept sigurnosti informacija

Uprkos sve većim naporima da se kreiraju tehnologije zaštite podataka, njihova ranjivost u savremenim uslovima ne samo da se ne smanjuje, već se stalno povećava. Stoga se sve više povećava hitnost problema vezanih za zaštitu informacija.

Problem informacione sigurnosti je višestruk i složen i obuhvata niz važnih zadataka. Na primjer, povjerljivost podataka, koja se osigurava korištenjem različitih metoda i sredstava. Lista sličnih zadataka za sigurnost informacija može se nastaviti. Intenzivan razvoj savremenih informacionih tehnologija, a posebno mrežnih tehnologija, stvara sve preduslove za to.

Zaštita informacija je skup mjera usmjerenih na osiguranje integriteta, dostupnosti i, po potrebi, povjerljivosti informacija i resursa koji se koriste za unos, skladištenje, obradu i prijenos podataka.

Do danas su formulisana dva osnovna principa informacione bezbednosti:

1 integritet podataka - zaštita od kvarova koji dovode do gubitka informacija, kao i zaštita od neovlašćenog kreiranja ili uništavanja podataka;

2 povjerljivost informacija.

Zaštita od kvarova koji dovode do gubitka informacija vrši se u pravcu povećanja pouzdanosti pojedinih elemenata i sistema koji unose, pohranjuju, obrađuju i prenose podatke, dupliciranja i redundantnosti pojedinih elemenata i sistema, upotrebe različitih, uključujući i autonomnih, izvori energije, povećanje nivoa kvalifikacije korisnika, zaštita od nenamjernih i namjernih radnji koje dovode do kvara opreme, uništavanja ili modifikacije (modifikacije) softvera i zaštićenih informacija.

Zaštita od neovlaštenog stvaranja ili uništavanja podataka obezbjeđuje se fizičkom zaštitom informacija, razlikovanjem i ograničavanjem pristupa elementima zaštićene informacije, zatvaranjem zaštićene informacije u procesu njene neposredne obrade, razvojem softverskih i hardverskih sistema, uređaja i specijalizovanog softvera. kako bi se spriječio neovlašteni pristup zaštićenim informacijama.

Povjerljivost informacija osigurava se identifikacijom i autentifikacijom subjekata pristupa prilikom ulaska u sistem pomoću ID-a i lozinke, identifikacije eksternih uređaja po fizičkim adresama, identifikacije programa, volumena, direktorija, fajlova po imenu, šifriranjem i dešifriranjem informacija, razlikovanjem i kontrolom pristup tome.

Među mjerama za zaštitu informacija glavne su tehničke, organizacione i pravne.

Tehničke mere obuhvataju zaštitu od neovlašćenog pristupa sistemu, redundantnost posebno važnih računarskih podsistema, organizaciju računarskih mreža sa mogućnošću preraspodele resursa u slučaju kvara pojedinih linkova, instalaciju backup sistemi napajanje, opremanje prostorija bravama, ugradnja alarmnih sistema i sl.

Organizacione mjere su: zaštita računarskog centra (informatičke sobe); sklapanje ugovora o održavanju računarske opreme sa renomiranom organizacijom sa dobrom reputacijom; isključenje mogućnosti rada na kompjuterskoj opremi od strane nepoznatih, slučajnih osoba i sl.

Zakonske mjere uključuju izradu pravila kojima se utvrđuje odgovornost za uništavanje računarske opreme i uništavanje (promjenu) softvera, javnu kontrolu nad programerima i korisnicima računarskih sistema i programa.

Treba naglasiti da nikakvo hardversko, softversko ili bilo koje drugo rješenje ne može garantirati apsolutnu pouzdanost i sigurnost podataka u računarskim sistemima. Istovremeno, moguće je minimizirati rizik od gubitaka, ali samo integriranim pristupom zaštiti informacija.

1.2 Vrste prijetnji

Pasivne prijetnje su uglavnom usmjerene na neovlašteno korištenje informacionih resursa informacionog sistema bez uticaja na njegovo funkcionisanje. Na primjer, neovlašteni pristup bazama podataka, prisluškivanje komunikacijskih kanala i tako dalje.

Aktivne prijetnje imaju za cilj narušavanje normalnog funkcionisanja informacionog sistema namjernim utjecajem na njegove komponente. Aktivne prijetnje uključuju, na primjer, uništavanje računara ili njegovog operativnog sistema, uništavanje računarskog softvera, prekid komunikacionih linija itd. Izvor aktivnih prijetnji mogu biti radnje hakera, zlonamjernog softvera i slično.

Namjerne prijetnje se također dijele na interne (nastaju unutar organizacije kojom se upravlja) i eksterne.

Unutarnje prijetnje najčešće su određene društvenom napetosti i teškom moralnom klimom.

Eksterne prijetnje mogu biti određene zlonamjernim djelovanjem konkurenata, ekonomskim uslovima i drugim uzrocima (na primjer, prirodne katastrofe).

Glavne prijetnje sigurnosti informacija i normalnog funkcionisanja informacionog sistema uključuju:

Curenje povjerljivih informacija;

Kompromis informacija;

Neovlašteno korištenje izvora informacija;

Pogrešna upotreba izvora informacija;

Neovlaštena razmjena informacija između pretplatnika;

Odbijanje informacija;

Kršenje informativnih usluga;

Nezakonito korištenje privilegija.

Curenje povjerljivih informacija je nekontrolisano puštanje povjerljivih informacija van informacionog sistema ili kruga lica kojima je povjerena u službu ili je postala poznata u toku rada. Ovo curenje može biti zbog:

Otkrivanje povjerljivih informacija;

Ostavljanje informacija raznim, uglavnom tehničkim, kanalima;

Neovlašteni pristup povjerljivim informacijama na različite načine.

Odavanje informacije od strane njenog vlasnika ili posjednika je namjerno ili nepažljivo postupanje službenih osoba i korisnika kojima je relevantna informacija uredno povjerena u službi ili radu, a koja je dovela do upoznavanja sa njima od strane lica koja nisu bila upoznata sa ovim informacijama.

Moguće je nekontrolisano zbrinjavanje povjerljivih informacija vizuelno-optičkim, akustičnim, elektromagnetnim i drugim kanalima.

Neovlašteni pristup je nezakonito namjerno posjedovanje povjerljivih informacija od strane osobe koja nema pravo pristupa zaštićenim informacijama.

Najčešći načini neovlaštenog pristupa informacijama su:

Presretanje elektroničkog zračenja;

Upotreba prislušnih uređaja;

Daljinsko fotografiranje;

Presretanje akustične emisije i restauracija teksta štampača;

Kopiranje medija sa prevazilaženjem mjera zaštite;

Prerušavanje kao registrovani korisnik;

Prikrivanje pod sistemskim zahtjevima;

Korištenje softverskih zamki;

Iskorištavanje nedostataka programskih jezika i operativnih sistema;

Nezakonito povezivanje na opremu i komunikacione linije posebno dizajniranog hardvera koji omogućava pristup informacijama;

Zlonamjerno onemogućavanje zaštitnih mehanizama;

Dešifriranje šifriranih informacija posebnim programima;

informacijske infekcije.

Navedeni načini neovlaštenog pristupa zahtijevaju dosta tehničkog znanja i odgovarajući razvoj hardvera ili softvera od strane krekera. Na primjer, koriste se tehnički kanali za curenje - to su fizički putevi od izvora povjerljivih informacija do napadača, preko kojih je moguće doći do zaštićenih informacija. Razlog za pojavu kanala curenja je dizajn i tehnološka nesavršenost rješenja kola ili operativno trošenje elemenata. Sve to omogućava hakerima da kreiraju pretvarače koji rade na određenim fizičkim principima, formirajući kanal za prijenos informacija svojstven ovim principima - kanal curenja.

Međutim, postoje prilično primitivni načini neovlaštenog pristupa:

Krađa nosača informacija i dokumentarnog otpada;

Proaktivna saradnja;

Odbijanje saradnje od strane provalnika;

sondiranje;

Prisluškivanje;

Posmatranje i drugi načini.

Bilo koji način curenja povjerljivih informacija može dovesti do značajne materijalne i moralne štete kako za organizaciju u kojoj informacioni sistem funkcioniše tako i za njene korisnike.

Postoji i stalno se razvija veliki broj zlonamjernih programa, čija je svrha oštećenje informacija u bazama podataka i kompjuterskom softveru. Veliki broj varijanti ovih programa ne dozvoljava razvoj trajnih i pouzdanih lijekova protiv njih.

Vjeruje se da virus karakteriziraju dvije glavne karakteristike:

Sposobnost samoreprodukcije;

Sposobnost miješanja u računski proces (da se dobije kontrola).

Neovlašteno korištenje informacionih resursa, s jedne strane, posljedica je njihovog curenja i sredstvo za njegovo kompromitovanje. S druge strane, ima samostalnu vrijednost, jer može nanijeti veliku štetu upravljanom sistemu ili njegovim pretplatnicima.

Pogrešna upotreba informacijskih resursa, iako je ovlaštena, može ipak dovesti do uništenja, curenja ili kompromitiranja ovih resursa.

Neovlašćena razmjena informacija između pretplatnika može dovesti do toga da jedan od njih primi informacije kojima mu je pristup zabranjen. Posljedice su iste kao i kod neovlaštenog pristupa.

1.3 Metode sigurnosti informacija

Kreiranje sistema informacione bezbednosti zasniva se na sledećim principima:

1 Sistematski pristup izgradnji sistema zaštite, odnosno optimalna kombinacija međusobno povezanih organizacionih, programskih,. Hardverska, fizička i druga svojstva, potvrđena praksom kreiranja domaćih i stranih sistema zaštite i korišćena u svim fazama tehnološkog ciklusa obrade informacija.

2 Princip kontinuiranog razvoja sistema. Ovaj princip, koji je jedan od osnovnih za kompjuterske informacione sisteme, još je relevantniji za sisteme informacione bezbednosti. Metode implementacije informacionih prijetnji se konstantno usavršavaju, te stoga osiguranje sigurnosti informacionih sistema ne može biti jednokratan čin. Riječ je o kontinuiranom procesu, koji se sastoji u potkrepljivanju i implementaciji najracionalnijih metoda, metoda i načina za unapređenje sistema informacione sigurnosti, kontinuiranom praćenju, utvrđivanju njegovih uskih grla i slabosti, potencijalnih kanala curenja informacija i novih metoda neovlaštenog pristupa,

3 Osiguranje pouzdanosti sistema zaštite, odnosno nemogućnost smanjenja stepena pouzdanosti u slučaju kvarova, kvarova, namjernih radnji uljeza ili nenamjernih grešaka korisnika i osoblja za održavanje u sistemu.

4 Osiguranje kontrole funkcionisanja sistema zaštite, odnosno stvaranje sredstava i metoda za praćenje rada zaštitnih mehanizama.

5 Pružanje svih vrsta anti-malware alata.

6 Osiguranje ekonomske isplativosti korištenja sistema. Zaštita, koja se izražava u višku moguće štete od implementacije prijetnji nad troškovima razvoja i rada sistema informacione sigurnosti.

Kao rezultat rješavanja problema informacione sigurnosti, savremeni informacioni sistemi treba da imaju sledeće glavne karakteristike:

Dostupnost informacija različitog stepena povjerljivosti;

Provizija kriptografska zaštita informacije različitog stepena povjerljivosti tokom prijenosa podataka;

Obavezno upravljanje protokom informacija, kao u lokalne mreže, i pri prijenosu putem komunikacijskih kanala na velike udaljenosti;

Prisustvo mehanizma za registraciju i obračun pokušaja neovlašćenog pristupa, događaja u informacionom sistemu i štampanih dokumenata;

Obavezno osiguranje integriteta softvera i informacija;

Dostupnost sredstava za obnavljanje sistema zaštite informacija;

Obavezno knjigovodstvo magnetnih medija;

Prisutnost fizičke zaštite računalne opreme i magnetnih medija;

Prisustvo posebne službe za sigurnost informacija u sistemu.

Metode i sredstva osiguranja informacione sigurnosti.

Prepreka - metoda fizičkog blokiranja puta napadača do zaštićenih informacija.

Kontrola pristupa - metode zaštite informacija regulacijom upotrebe svih resursa. Ove metode moraju se oduprijeti svim mogućim načinima neovlaštenog pristupa informacijama. Kontrola pristupa uključuje sljedeće sigurnosne karakteristike:

Identifikacija korisnika, osoblja i resursa sistema (dodjela ličnog identifikatora svakom objektu);

Identifikacija objekta ili subjekta identifikatorom koji im je predstavljen;

Dozvola i stvaranje uslova za rad u skladu sa utvrđenim propisima;

Registracija poziva na zaštićene resurse;

Reagiranje na pokušaje neovlaštenih radnji.

Mehanizmi enkripcije - kriptografsko zatvaranje informacija. Ove metode zaštite se sve više koriste kako u obradi, tako iu skladištenju informacija na magnetnim medijima. Prilikom prijenosa informacija putem komunikacijskih kanala na daljinu, ova metoda je jedina pouzdana.

Suprotstavljanje napadima zlonamjernog softvera uključuje niz različitih organizacijskih mjera i korištenje antivirusnih programa.

Čitav skup tehničkih sredstava podijeljen je na hardverska i fizička.

Hardver - uređaji koji su ugrađeni direktno u kompjuterska tehnologija, ili uređaja koji s njim komuniciraju preko standardnog interfejsa.

Fizička sredstva obuhvataju različite inženjerske uređaje i objekte koji sprečavaju fizički prodor uljeza u zaštićene objekte i štite osoblje (oprema za ličnu zaštitu), materijalna sredstva i finansije i informacije od nezakonitih radnji.

Softverski alati su posebni programi i softverski sistemi dizajnirani za zaštitu informacija u informacionim sistemima.

Od softvera sistema zaštite potrebno je izdvojiti više softvera koji implementiraju mehanizme šifriranja (kriptografije). Kriptografija je nauka o osiguravanju tajnosti i/ili autentičnosti (autentičnosti) poslanih poruka.

Organizaciona sredstva svojim kompleksom sprovode regulisanje proizvodnih aktivnosti u informacionim sistemima i odnosa izvođača na zakonskoj osnovi na način da otkrivanje, curenje i neovlašćeni pristup poverljivim informacijama postaje nemoguće ili značajno otežano organizacionim merama.

Pravni lijekovi utvrđeni su zakonima zemlje koji uređuju pravila za korištenje, obradu i prijenos informacija ograničen pristup i utvrđuju se kazne za kršenje ovih pravila.

Moralno-etička sredstva zaštite obuhvataju sve vrste normi ponašanja koje su se tradicionalno ranije razvile, formirane širenjem informacija u zemlji i svijetu ili su posebno razvijene. Moralni i etički standardi mogu biti nepisani ili sastavljeni u određenom skupu pravila ili propisa. Ove norme, po pravilu, nisu zakonski odobrene, ali budući da njihovo nepoštovanje dovodi do smanjenja prestiža organizacije, smatraju se obaveznim.

2. Dizajnerski dio

U dijelu dizajna potrebno je izvršiti sljedeće korake:

1 Definirajte pojam kompjuterskog virusa i klasifikaciju kompjuterskih virusa.

2 Definirajte pojam antivirusnog programa i klasifikaciju antivirusnih alata.

3 Izvršite komparativnu analizu antivirusnih paketa.

2.1 Klasifikacija kompjuterskih virusa

Virus je program koji može zaraziti druge programe uključivanjem u njih modificirane kopije koja ima mogućnost dalje reprodukcije.

Virusi se mogu podijeliti u klase prema sljedećim glavnim karakteristikama:

Destruktivne mogućnosti

Karakteristike algoritma rada;

Stanište;

Prema svojim destruktivnim sposobnostima, virusi se mogu podijeliti na:

Bezopasan, odnosno ne utiče na rad računara ni na koji način (osim smanjenja slobodnog prostora na disku kao rezultat njegove distribucije);

Neopasno, čiji je uticaj ograničen na smanjenje slobodnog prostora na disku i grafičkih, zvučnih i drugih efekata;

Opasni virusi koji mogu uzrokovati ozbiljne kvarove na računalu;

Vrlo opasno, čiji se algoritam namjerno zasniva na procedurama koje mogu dovesti do gubitka programa, uništavanja podataka, brisanja informacija neophodnih za rad računara, snimljenih u oblastima sistemske memorije

Karakteristike algoritma virusa mogu se okarakterizirati sljedećim svojstvima:

Residence;

Upotreba prikrivenih algoritama;

polimorfizam;

Rezidentni virusi.

Termin "rezidentnost" odnosi se na sposobnost virusa da ostave svoje kopije u sistemskoj memoriji, presretnu određene događaje i pritom pozovu procedure za inficiranje otkrivenih objekata (fajlova i sektora). Dakle, rezidentni virusi su aktivni ne samo dok je zaraženi program pokrenut, već i nakon što program završi svoj rad. Stalne kopije takvih virusa ostaju održive do sljedećeg ponovnog pokretanja, čak i ako su sve zaražene datoteke uništene na disku. Često je nemoguće riješiti se takvih virusa vraćanjem svih kopija datoteka sa distributivnih diskova ili rezervnih kopija. Stalna kopija virusa ostaje aktivna i inficira novostvorene datoteke. Isto važi i za viruse za pokretanje sistema - formatiranje disk jedinice dok je rezidentni virus u memoriji ne izleči uvek disk, jer mnogi rezidentni virusi ponovo inficiraju disk nakon što je formatiran.

nerezidentnih virusa. Nerezidentni virusi su, naprotiv, aktivni prilično kratko - samo u trenutku kada se zaraženi program pokrene. Za svoju distribuciju traže neinficirane datoteke na disku i pišu u njih. Nakon što virusni kod prenese kontrolu na glavni program, učinak virusa na rad operativnog sistema se smanjuje na nulu do sljedećeg pokretanja bilo kojeg zaraženog programa. Stoga je datoteke zaražene nerezidentnim virusima mnogo lakše ukloniti s diska i istovremeno ne dopustiti virusu da ih ponovo zarazi.

Stealth virusi. Stealth virusi na ovaj ili onaj način skrivaju činjenicu svog prisustva u sistemu. Korištenje stealth algoritama omogućava virusima da se potpuno ili djelomično sakriju u sistemu. Najčešći stealth algoritam je presretanje zahtjeva operativnog sistema za čitanje (pisanje) zaraženih objekata. U isto vrijeme, stealth virusi ih ili privremeno liječe, ili umjesto njih "zamjenjuju" nezaražene informacije. U slučaju makro virusa, najpopularnija metoda je onemogućavanje poziva u meni za pregled makroa. Poznati su stealth virusi svih vrsta, sa izuzetkom Windows virusa - virusi za pokretanje, DOS fajl virusi, pa čak i makro virusi. Pojava stealth virusa koji inficiraju Windows fajlovi, najvjerovatnije je pitanje vremena.

Polimorfni virusi. Samošifriranje i polimorfnost koriste gotovo sve vrste virusa kako bi se što više zakomplikovala procedura otkrivanja virusa. Polimorfni virusi su virusi koji se prilično teško otkrivaju koji nemaju signature, odnosno ne sadrže niti jedan trajni dio koda. U većini slučajeva, dva uzorka istog polimorfnog virusa neće imati jedno podudaranje. To se postiže šifriranjem glavnog tijela virusa i modifikacijom programa za dešifriranje.

Polimorfni virusi uključuju one koji se ne mogu otkriti pomoću takozvanih virusnih maski - dijelova trajnog koda specifičnog za određeni virus. To se postiže na dva glavna načina - šifriranjem glavnog virusnog koda netrajnim pozivom i nasumičnim skupom komandi dešifriranja, ili promjenom stvarnog virusnog koda koji se izvršava. Polimorfizam različitog stepena složenosti nalazi se u virusima svih tipova, od virusa za pokretanje i fajl DOS virusa do Windows virusa.

Prema staništu, virusi se mogu podijeliti na:

File;

Boot;

Makrovirusi;

Mreža.

File virusi. Virusi datoteka ili infiltriraju izvršne datoteke na različite načine, ili stvaraju duple datoteke (prateći virusi), ili koriste značajke organizacije sistema datoteka (virusi veza).

Unošenje fajl virusa moguće je u gotovo svim izvršne datoteke svim popularnim operativnim sistemima. Do danas su poznati virusi koji inficiraju sve tipove standardnih DOS izvršnih objekata: batch datoteke (BAT), učitave drajvere (SYS, uključujući posebne datoteke IO.SYS i MSDOS.SYS) i izvršne binarne datoteke (EXE, COM). Postoje virusi koji inficiraju izvršne datoteke drugih operativnih sistema - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, uključujući Windows 3.x i Windows95 VxD drajvere.

Postoje virusi koji inficiraju datoteke koje sadrže izvorni kod programe, biblioteke ili objektne module. Moguće je da virus piše u datoteke sa podacima, ali to se dešava ili kao rezultat greške virusa ili kada se ispolje njegova agresivna svojstva. Makro virusi također pišu svoj kod u datoteke s podacima kao što su dokumenti ili proračunske tablice, ali ovi virusi su toliko specifični da su smješteni u posebnu grupu.

virusi za pokretanje sistema. Virusi za pokretanje inficiraju sektor za pokretanje diskete i sektor za pokretanje ili glavni zapis za pokretanje (MBR) tvrdog diska. Princip rada virusa za pokretanje baziran je na algoritmima za pokretanje operativnog sistema kada se računar uključi ili ponovo pokrene - nakon neophodnih testova instalirane opreme (memorije, diskova itd.), program za pokretanje sistema čita prvi fizički sektor disk za pokretanje(A:, C: ili CD-ROM, u zavisnosti od opcija postavljenih u BIOS Setup-u) i prenosi kontrolu na njega.

U slučaju diskete ili CD-a, boot sektor dobija kontrolu, koja analizira tabelu parametara diska (BPB - BIOS Parameter Block), izračunava adrese datoteka operativnog sistema, čita ih u memoriju i pokreće ih za izvršenje. Sistemske datoteke su obično MSDOS.SYS i IO.SYS, ili IBMDOS.COM i IBMBIO.COM, ili druge ovisno o instaliranu verziju DOS, Windows ili drugi operativni sistemi. Ako na disku za pokretanje nema datoteka operativnog sistema, program koji se nalazi u sektoru za pokretanje diska prikazuje poruku o grešci i predlaže zamjenu diska za pokretanje.

U slučaju čvrstog diska, kontrolu prima program koji se nalazi u MBR-u čvrstog diska. Ovaj program analizira tabelu particija diska (Disk Partition Table), izračunava adresu aktivnog sektora za pokretanje (obično je ovaj sektor boot sektor diska C), učitava ga u memoriju i prenosi kontrolu na nju. Nakon što dobije kontrolu, aktivni boot sektor tvrdog diska radi iste radnje kao sektor za pokretanje diskete.

Kada inficiraju diskove, virusi za pokretanje „zamjenjuju“ svoj kod za neki program koji preuzima kontrolu kada se sistem pokrene. Dakle, princip zaraze je isti u svim gore opisanim metodama: virus "prisiljava" sistem, kada se ponovo pokrene, da čita u memoriju i da kontrolu ne originalnom kodu pokretača, već kodu virusa.

Diskete su zaražene jedinom poznatom metodom - virus piše vlastiti kod umjesto originalnog koda sektora za pokretanje diskete. Tvrdi disk se inficira na tri moguća načina - virus se upisuje ili umjesto MBR koda, ili umjesto koda sektora za pokretanje diska za pokretanje (obično disk C, ili mijenja adresu aktivnog sektora za pokretanje na disku Tablica particija koja se nalazi u MBR-u tvrdog diska.

Makro virusi. Makro virusi inficiraju datoteke - dokumente i tabele nekoliko popularnih urednika. Makro virusi su programi na jezicima (makro jezicima) ugrađeni u neke sisteme za obradu podataka. Za svoju reprodukciju takvi virusi koriste mogućnosti makro jezika i uz njihovu pomoć se prenose iz jedne zaražene datoteke u druge. Makrovirusi za Microsoft Word, Excel i Office97 dobili su najveću distribuciju. Postoje i makro virusi koji inficiraju Ami Pro dokumente i Microsoft Access baze podataka.

mrežni virusi. Mrežni virusi uključuju viruse koji aktivno koriste protokole i mogućnosti lokalnih i globalnih mreža za svoje širenje. Glavni princip mrežnog virusa je sposobnost samostalnog prijenosa svog koda udaljeni server ili radna stanica. U isto vrijeme, „punopravni“ mrežni virusi također imaju mogućnost pokretanja svog koda udaljeni računar ili barem "gurati" korisnika da pokrene zaraženu datoteku. Primjer mrežnih virusa su takozvani IRC crvi.

IRC (Internet Relay Chat) je poseban protokol dizajniran za komunikaciju u realnom vremenu između korisnika Interneta. Ovaj protokol im pruža mogućnost da "razgovaraju" na Internetu koristeći posebno dizajniran softver. Osim pohađanja općih konferencija, IRC korisnici imaju mogućnost da razgovaraju jedan na jedan sa bilo kojim drugim korisnikom. Osim toga, postoji prilično veliki broj IRC komandi pomoću kojih korisnik može dobiti informacije o drugim korisnicima i kanalima, promijeniti neke postavke IRC klijenta itd. Postoji i mogućnost slanja i primanja fajlova, na čemu se zasnivaju IRC crvi. Moćan i opsežan komandni sistem IRC klijenata omogućava, na osnovu njihovih skripti, kreiranje kompjuterskih virusa koji prenose svoj kod na računare korisnika IRC mreža, takozvanih "IRC crva". Princip rada takvih IRC crva je približno isti. Uz pomoć IRC komandi, radna skripta (skripta) se automatski šalje sa zaraženog računara svakom korisniku koji se ponovo pridružio kanalu. Poslana datoteka skripte zamjenjuje standardni, a tokom sljedeće sesije, novozaraženi klijent će poslati crva. Neki IRC crvi takođe sadrže trojansku komponentu: oni izvode destruktivne radnje na pogođenim računarima koristeći određene ključne riječi. Na primjer, "pIRCH.Events" crv briše sve datoteke na korisnikovom disku na određenu komandu.

Postoji veliki broj kombinacija - na primjer, virusi za pokretanje datoteka koji inficiraju i datoteke i sektore za pokretanje diskova. Takvi virusi, u pravilu, imaju prilično složen algoritam rada, često koriste originalne metode prodiranja u sistem, koriste stealth i polimorfne tehnologije. Još jedan primjer takve kombinacije je mrežni makro virus koji ne samo da inficira uređene dokumente, već i šalje svoje kopije e-poštom.

Pored ove klasifikacije, treba reći nekoliko riječi o drugim zlonamjernim softverima koji se ponekad brkaju s virusima. Ovi programi nemaju sposobnost da se sami šire kao virusi, ali mogu napraviti jednako razornu štetu.

Trojanski konji (logičke bombe ili tempirane bombe).

Trojanski konji uključuju programe koji izazivaju bilo kakve destruktivne radnje, odnosno, ovisno o bilo kojim uvjetima ili pri svakom pokretanju, uništavaju informacije na diskovima, „lebde“ po sistemu i tako dalje. Kao primjer može se navesti jedan takav slučaj - kada je jedan takav program, tokom sesije na Internetu, slao svoje autorske identifikatore i lozinke sa računara na kojima je živio. Većina dobro poznatih trojanskih konja su programi koji "prevaravaju" neku vrstu korisni programi, nove verzije popularnih uslužnih programa ili njihove dodatke. Vrlo često se šalju na BBS-stanice ili elektronske konferencije. U poređenju sa virusima, "trojanski konji" se ne koriste široko iz sledećih razloga - oni ili sami sebe uništavaju zajedno sa ostatkom podataka na disku, ili demaskiraju svoje prisustvo i uništavaju pogođenog korisnika.

2.2 Koncept antivirusnog programa

Načini suzbijanja kompjuterskih virusa mogu se podijeliti u nekoliko grupa:

Prevencija virusne infekcije i smanjenje očekivane štete od takve infekcije;

Metodologija za korištenje antivirusnih programa, uključujući neutralizaciju i uklanjanje poznatog virusa;

Načini otkrivanja i uklanjanja nepoznatog virusa.

Prevencija kompjuterskih infekcija.

Jedna od glavnih metoda borbe protiv virusa je, kao iu medicini, pravovremena prevencija. Kompjuterska prevencija podrazumijeva pridržavanje malog broja pravila, što može značajno smanjiti vjerojatnost zaraze virusom i gubitka bilo kakvih podataka.

Da bi se utvrdila osnovna pravila kompjuterske „higijene“, potrebno je saznati glavne načine na koje virus ulazi u računar i računarske mreže.

Glavni izvor virusa danas je globalni internet. Najveći broj virusnih infekcija javlja se prilikom razmjene pisama u Word/Office97 formatima. Korisnik uređivača zaražen makro virusom, a da ne sumnja, šalje zaražena pisma primaocima, a oni zauzvrat šalju nova zaražena pisma i tako dalje. Kontakt sa sumnjivim izvorima informacija treba izbjegavati i koristiti samo legalne (licencirane) softverske proizvode.

Oporavak oštećenih objekata.

U većini slučajeva zaraze virusom, procedura za oporavak zaraženih datoteka i diskova svodi se na pokretanje odgovarajućeg antivirusa koji može neutralizirati sistem. Ako virus nije poznat nijednom antivirusu, dovoljno je poslati zaraženu datoteku proizvođačima antivirusa i nakon nekog vremena dobiti "ažurni" lijek protiv virusa. Ako vrijeme ne čeka, tada će virus morati biti neutraliziran sam. Većina korisnika mora imati rezervne kopije vaše informacije.

Opći alati za sigurnost informacija korisni su za više od zaštite od virusa. Postoje dvije glavne vrste ovih fondova:

1 Kopiranje informacija - kreiranje kopija datoteka i sistemskih područja diskova.

2 Kontrola pristupa sprečava neovlašćeno korišćenje informacija, posebno zaštitu od promena programa i podataka virusima, neispravnim programima i pogrešnim radnjama korisnika.

Pravovremeno otkrivanje virusom zaraženih fajlova i diskova, potpuno uništavanje otkrivenih virusa na svakom računaru pomaže da se izbegne širenje epidemije virusa na druge računare.

Glavno oružje u borbi protiv virusa su antivirusni programi. Oni omogućavaju ne samo otkrivanje virusa, uključujući viruse koji koriste različite metode maskiranja, već i njihovo uklanjanje s računala.

Postoji nekoliko osnovnih metoda skeniranja virusa koje koriste antivirusni programi. Najtradicionalnija metoda za pronalaženje virusa je skeniranje.

Za otkrivanje, uklanjanje i zaštitu od računalnih virusa razvijeno je nekoliko vrsta posebnih programa koji vam omogućavaju otkrivanje i uništavanje virusa. Takvi programi se nazivaju antivirusni programi.

2.3 Vrste antivirusnih alata

Programi-detektori. Detektorski programi traže karakteristiku potpisa određenog virusa u ram memorija i u datotekama i nakon otkrivanja, oni izdaju odgovarajuću poruku. Nedostatak takvih antivirusnih programa je što mogu pronaći samo viruse koji su poznati programerima takvih programa.

Doktorski programi. Doktorski programi ili fagi, kao i programi vakcine, ne samo da pronalaze datoteke zaražene virusom, već ih i „liječe“, odnosno uklanjaju tijelo virusnog programa iz datoteke, vraćajući datoteke u prvobitno stanje. Na početku svog rada, fagi traže viruse u RAM-u, uništavaju ih, a tek onda prelaze na "tretman" datoteka. Među fagima se razlikuju polifagi, odnosno liječnički programi dizajnirani za traženje i uništavanje velikog broja virusa. Najpoznatiji od njih su: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.

S obzirom na to da se novi virusi stalno pojavljuju, programi za otkrivanje i doktorski programi brzo zastarevaju, te su potrebna redovna ažuriranja.

Programi revizora (inspektori) su među najpouzdanijim sredstvima zaštite od virusa.

Revizori (inspektori) provjeravaju podatke na disku na nevidljive viruse. Štaviše, inspektor ne smije koristiti sredstva operativnog sistema za pristup diskovima, što znači da aktivni virus neće moći presresti ovaj pristup.

Činjenica je da određeni broj virusa, koji se infiltriraju u datoteke (tj. dodaju se na kraj ili na početak datoteke), zamjenjuju unose o ovoj datoteci u tablicama dodjele datoteka našeg operativnog sistema.

Revizori (inspektori) pamte početno stanje programa, direktorija i sistemskih područja diska kada računar nije zaražen virusom, a zatim povremeno ili na zahtjev korisnika upoređuju trenutno stanje sa originalnim. Otkrivene promjene se prikazuju na ekranu monitora. Po pravilu, stanja se porede odmah nakon učitavanja operativnog sistema. Prilikom poređenja provjerava se dužina datoteke, ciklički kontrolni kod (kontrolna suma datoteke), datum i vrijeme izmjene i drugi parametri. Programski revizori (inspektori) imaju dovoljno razvijene algoritme, otkrivaju skrivene viruse i čak mogu obrisati promjene u verziji programa koja se provjerava od promjena koje je napravio virus.

Potrebno je pokrenuti auditor (inspektor) kada računar još nije zaražen, kako bi mogao napraviti tabelu u root direktoriju svakog diska, sa svim potrebnim informacijama o fajlovima koji se nalaze na ovom disku, kao i o njegovoj površini za pokretanje. Za kreiranje svake tabele će se tražiti dozvola. Prilikom sljedećih pokretanja, revizor (inspektor) će pregledati diskove, upoređujući podatke o svakoj datoteci sa vlastitim zapisima.

Ako se otkriju infekcije, revizor (inspektor) će moći koristiti svoj vlastiti modul za liječenje, koji će vratiti datoteku oštećenu virusom. Za vraćanje datoteka, inspektor ne mora ništa znati o određenoj vrsti virusa, dovoljno je koristiti podatke o datotekama pohranjenim u tabelama.

Osim toga, ako je potrebno, može se pozvati skener virusa.

Filtriranje programa (monitora). Filterski programi (monitori) ili "čuvari" su mali rezidentni programi dizajnirani da otkriju sumnjive radnje tokom rada računara koje su karakteristične za viruse. Takve radnje mogu biti:

Pokušaji ispravljanja datoteka sa COM, EXE ekstenzijama;

Promjena atributa datoteke;

Direktno upisivanje na disk na apsolutnoj adresi;

Upisivanje u sektore za pokretanje diska;

Kada bilo koji program pokuša izvršiti navedene radnje, "čuvar" šalje poruku korisniku i nudi mu da zabrani ili dozvoli odgovarajuću radnju. Programi za filtriranje su vrlo korisni, jer su u stanju da otkriju virus u najranijoj fazi njegovog postojanja prije reprodukcije. Međutim, oni ne "liječe" datoteke i diskove. Da biste uništili viruse, morate koristiti druge programe, kao što su fagi.

Vakcine ili imunizatori. Vakcine su stalni programi koji sprečavaju infekciju datoteka. Vakcine se koriste ako ne postoje doktorski programi koji "liječe" ovaj virus. Vakcinacija je moguća samo protiv poznatih virusa. Vakcina modificira program ili disk na takav način da ne utječe na njihov rad, a virus će ih doživjeti kao zaražene i stoga se neće ukorijeniti. Programi vakcinacije su trenutno u ograničenoj upotrebi.

Scanner. Princip rada antivirusnih skenera zasniva se na skeniranju datoteka, sektora i sistemske memorije i traženju poznatih i novih (skeneru nepoznatih) virusa u njima. Za traženje poznatih virusa koriste se takozvane "maske". Maska virusa je neka konstantna kodna sekvenca specifična za taj određeni virus. Ako virus ne sadrži trajnu masku, ili dužina ove maske nije dovoljno velika, onda se koriste druge metode. Primjer takve metode je algoritamski jezik koji opisuje sve moguće varijante koda na koje se može sresti kada je ova vrsta virusa zaražena. Ovaj pristup koriste neki antivirusi za otkrivanje polimorfnih virusa. Skeneri se također mogu podijeliti u dvije kategorije - "univerzalni" i "specijalizirani". Univerzalni skeneri su dizajnirani da traže i neutrališu sve vrste virusa, bez obzira na operativni sistem na kojem je skener dizajniran da radi. Specijalizirani skeneri su dizajnirani da neutraliziraju ograničen broj virusa ili samo jednu klasu virusa, kao što su makro virusi. Specijalizirani skeneri dizajnirani samo za makro viruse često se ispostavljaju kao najprikladnije i najpouzdanije rješenje za zaštitu sistema toka rada u MSWord i MSExcel okruženjima.

Skeneri se također dijele na "rezidentne" (monitori, čuvari) koji skeniraju "u hodu" i "nerezidentne" koji obezbjeđuju provjere sistema samo na zahtjev. Po pravilu, "rezidentni" skeneri pružaju pouzdaniju zaštitu sistema, jer odmah reaguju na pojavu virusa, dok je "nerezidentni" skener u stanju da identifikuje virus tek prilikom njegovog sledećeg pokretanja. S druge strane, rezidentni skener može donekle usporiti rad računara, uključujući i moguće lažne pozitivne rezultate.

Prednosti skenera svih vrsta uključuju njihovu svestranost, a nedostaci su relativno mala brzina pretraživanja virusa.

CRC skeneri. Princip rada CRC skenera zasniva se na izračunavanju CRC suma (kontrolnih suma) za fajlove/sistemske sektore prisutne na disku. Ovi CRC sumi se zatim pohranjuju u antivirusnu bazu podataka, kao i neke druge informacije: dužine datoteka, datumi njihove posljednje izmjene itd. Sljedeći put kada se pokrenu CRC skeneri, oni provjeravaju podatke sadržane u bazi podataka sa stvarnim izbrojanim vrijednostima. Ako informacije o datoteci zabilježene u bazi podataka ne odgovaraju stvarnim vrijednostima, onda CRC skeneri signaliziraju da je datoteka izmijenjena ili zaražena virusom. CRC skeneri koji koriste anti-stealth algoritme prilično su snažno oružje protiv virusa: skoro 100% virusa se detektuje gotovo odmah nakon što se pojave na računaru. Međutim, ovaj tip antivirusa ima inherentnu manu, koja značajno smanjuje njihovu efikasnost. Ovaj nedostatak je što CRC skeneri nisu u mogućnosti da uhvate virus u trenutku njegovog pojavljivanja u sistemu, već to rade tek nakon nekog vremena, nakon što se virus proširi po računaru. CRC skeneri ne mogu otkriti virus u novim datotekama (u e-pošti, na disketama, u datotekama vraćenim iz sigurnosne kopije ili prilikom raspakivanja datoteka iz arhive), jer njihove baze podataka nemaju informacije o tim datotekama. Štaviše, periodično se pojavljuju virusi koji koriste ovu „slabost“ CRC skenera, inficiraju samo novostvorene datoteke i tako im ostaju nevidljivi.

Blokatori. Blokatori su rezidentni programi koji presreću "virusno opasne" situacije i o tome obavještavaju korisnika. “Opasni od virusa” uključuju pozive za otvaranje radi upisivanja u izvršne datoteke, pisanje u sektore za pokretanje diskova ili MBR tvrdog diska, pokušaje programa da ostanu rezidentni i tako dalje, odnosno pozive koji su tipični za viruse u trenucima reprodukcije. Ponekad su neke funkcije blokiranja implementirane u rezidentnim skenerima.

Prednosti blokatora uključuju njihovu sposobnost otkrivanja i zaustavljanja virusa u najranijoj fazi njegove reprodukcije. Nedostaci uključuju postojanje načina da se zaobiđe zaštita blokatora i veliki broj lažnih pozitivnih rezultata.

Također je potrebno napomenuti takav smjer antivirusnih alata kao što su antivirusni blokeri, napravljeni u obliku komponenti kompjuterskog hardvera. Najčešća je zaštita od pisanja ugrađena u BIOS u MBR-u tvrdog diska. Međutim, kao iu slučaju softverskih blokatora, takva zaštita se može lako zaobići direktnim upisivanjem na portove kontrolera diska, a pokretanje uslužnog programa FDISK DOS odmah uzrokuje „lažno pozitivnu“ zaštitu.

Postoji još nekoliko univerzalnih hardverskih blokatora, ali uz gore navedene nedostatke, postoje i problemi kompatibilnosti sa standardnim konfiguracijama računala i poteškoće u njihovoj instalaciji i konfiguraciji. Sve to čini hardverske blokatore izuzetno nepopularnim u odnosu na druge vrste antivirusne zaštite.

2.4 Poređenje antivirusnih paketa

Bez obzira na koje informacioni sistem mora biti zaštićen, najvažniji parametar u poređenju antivirusa je mogućnost otkrivanja virusa i drugog zlonamjernog softvera.

Međutim, iako je ovaj parametar važan, on nikako nije jedini.

Činjenica je da efikasnost sistema antivirusne zaštite ne zavisi samo od njegove sposobnosti da otkrije i neutrališe viruse, već i od mnogih drugih faktora.

Antivirus bi trebao biti jednostavan za korištenje, a da ne ometa korisnika računara od obavljanja njegovih direktnih dužnosti. Ako antivirus nervira korisnika upornim zahtjevima i porukama, prije ili kasnije će biti onemogućen. Antivirusni interfejs bi trebao biti prijateljski i razumljiv, budući da nemaju svi korisnici veliko iskustvo sa računarskim programima. Bez razumijevanja značenja poruke koja se pojavljuje na ekranu, možete nesvjesno dozvoliti infekciju virusom čak i ako je instaliran antivirusni program.

Najprikladniji način antivirusne zaštite je kada se skeniraju sve otvorene datoteke. Ako antivirus ne može da radi u ovom režimu, korisnik će morati da skenira sve diskove svaki dan da bi otkrio novonastale viruse. Ova procedura može potrajati desetine minuta ili čak sati ako govorimo o velikim diskovima instaliranim, na primjer, na serveru.

Budući da se novi virusi pojavljuju svaki dan, potrebno je periodično ažurirati antivirusnu bazu podataka. U suprotnom će djelotvornost antivirusne zaštite biti vrlo niska. Savremeni antivirusni programi, nakon odgovarajuće konfiguracije, mogu automatski ažurirati antivirusne baze podataka putem Interneta, bez ometanja korisnika i administratora da obavljaju ovaj rutinski posao.

Prilikom zaštite velike korporativne mreže, takav parametar poređenja antivirusa kao što je prisustvo mrežnog kontrolnog centra dolazi do izražaja. Ako korporativna mreža objedinjuje stotine i hiljade radnih stanica, desetine i stotine servera, praktično je nemoguće organizovati efikasnu antivirusnu zaštitu bez mrežnog kontrolnog centra. Jedan ili više sistemskih administratora neće moći da zaobiđu sve radne stanice i servere instaliranjem i konfigurisanjem antivirusnih programa na njima. To zahtijeva tehnologije koje omogućavaju centraliziranu instalaciju i konfiguraciju antivirusa na svim računalima u korporativnoj mreži.

Zaštita internet hostova kao što su serveri za poštu i serveri za razmenu poruka zahteva upotrebu specijalizovanih antivirusnih alata. Konvencionalni antivirusni programi za skeniranje datoteka neće moći pronaći zlonamjerni kod u bazama podataka servera za razmjenu poruka ili u toku podataka koji prolazi kroz servere pošte.

Obično, kada se porede antivirusna sredstva, uzimaju se u obzir i drugi faktori. Državne institucije mogu, pod jednakim uslovima, preferirati antiviruse domaće proizvodnje koji imaju sve potrebne sertifikate. Značajnu ulogu ima i reputacija koju dobija jedan ili drugi antivirusni alat među korisnicima računara i sistemskim administratorima. Lične preferencije takođe mogu igrati značajnu ulogu u izboru.

Kako bi dokazali prednosti svojih proizvoda, antivirusni programeri često koriste rezultate nezavisnih testova. Istovremeno, korisnici često ne razumiju šta je tačno i kako provjereno u ovom testu.

U ovom radu su uporednoj analizi podvrgnuti trenutno najpopularniji antivirusni programi, a to su: Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft.

Jedan od prvih koji je testirao antivirusne proizvode bio je britanski časopis Virus Bulletin. Prvi testovi objavljeni na njihovoj web stranici datiraju iz 1998. godine. Test je zasnovan na kolekciji malvera WildList. Da biste uspješno prošli test, potrebno je identificirati sve viruse u ovoj kolekciji i pokazati nultu stopu lažnih pozitivnih rezultata na kolekciji „čistih“ datoteka evidencije. Testiranje se vrši nekoliko puta godišnje na raznim operativni sistemi; Proizvodi koji uspješno prođu test dobivaju VB100% nagradu. Slika 1 pokazuje koliko su VB100% nagrada dobili proizvodi raznih antivirusnih kompanija.

Naravno, časopis Virus Bulletin se može nazvati najstarijim antivirusnim testerom, ali status patrijarha ga ne spašava od kritika antivirusne zajednice. Prvo, WildList uključuje samo viruse i crve i samo je za Windows platformu. Drugo, kolekcija WildList sadrži mali broj zlonamjernih programa i dopunjuje se vrlo sporo: u kolekciji se pojavljuje samo nekoliko desetina novih virusa mjesečno, dok se, na primjer, kolekcija AV-Test dopunjava s nekoliko desetina ili čak stotina virusa. hiljade kopija zlonamjernog softvera za to vrijeme. .

Sve ovo sugerira da je u sadašnjem obliku kolekcija WildList zastarjela i ne odražava stvarnu situaciju s virusima na Internetu. Kao rezultat toga, testovi zasnovani na kolekciji WildList postaju sve besmisleniji. Dobre su za reklamiranje proizvoda koji su ih prošli, ali ne odražavaju baš kvalitet antivirusne zaštite.

Slika 1 - Broj uspješno položenih VB testova 100%

Nezavisne istraživačke laboratorije kao što su AV-Comparatives, AV-Tests testiraju antivirusne proizvode dva puta godišnje za otkrivanje zlonamjernog softvera na zahtjev. Istovremeno, kolekcije na kojima se vrši testiranje sadrže do milion zlonamernih programa i redovno se ažuriraju. Rezultati testiranja se objavljuju na web stranicama ovih organizacija (www.AV-Comparatives.org, www.AV-Test.org) iu poznatim kompjuterskim časopisima PC World, PC Welt. Rezultati sljedećih testova su predstavljeni u nastavku:


Slika 2 – Ukupna stopa otkrivanja zlonamjernog softvera prema AV-testu

Ako govorimo o najčešćim proizvodima, onda su prema rezultatima ovih testova samo rješenja Kaspersky Lab i Symantec među prva tri. Avira, lider u testovima, zaslužuje posebnu pažnju.

Testovi istraživačkih laboratorija AV-Comparatives i AV-Test, kao i svi testovi, imaju svoje prednosti i nedostatke. Dobra strana je što se testiranje vrši na velikim zbirkama zlonamjernog softvera i što te kolekcije predstavljaju široku paletu vrsta zlonamjernog softvera. Loša strana je što ove kolekcije sadrže ne samo „svježe” uzorke zlonamjernog softvera, već i relativno stare. U pravilu se koriste uzorci prikupljeni u posljednjih šest mjeseci. Osim toga, ovi testovi analiziraju rezultate čvrste provjere disk na zahtjev, dok u stvarnom životu korisnik preuzima zaražene datoteke sa interneta ili ih prima kao priloge e-pošte. Važno je otkriti takve fajlove u trenutku kada se pojave na računaru korisnika.

Pokušaj da se razvije metodologija testiranja koja ne pati od ovog problema preduzela je jedan od najstarijih britanskih kompjuterskih časopisa - PC Pro. Njihov test je koristio kolekciju zlonamjernog softvera koji je otkriven dvije sedmice prije testa u prometu koji prolazi kroz MessageLabsove servere. MessageLabs svojim korisnicima nudi usluge filtriranja različitih vrsta saobraćaja, a njegova zbirka zlonamjernih programa zaista odražava situaciju sa širenjem kompjuterskih virusa na webu.

PC Pro log tim nije samo skenirao zaražene datoteke, već je simulirao radnje korisnika: zaražene datoteke su priložene e-porukama kao privici, a ove e-poruke su preuzete na računar sa instaliran antivirus. Osim toga, uz pomoć posebno napisanih skripti, zaražene datoteke su preuzimane sa web servera, odnosno simulirano je surfanje korisnika internetom. Uslovi pod kojima se provode takvi testovi su što je moguće bliži stvarnim, što nije moglo a da ne utiče na rezultate: stopa detekcije za većinu antivirusa pokazala se znatno nižom nego kod jednostavnog skeniranja na zahtev u AV-Comparatives i AV-test testovi. U takvim testovima važnu ulogu igra koliko brzo antivirusni programeri reaguju na pojavu novog zlonamjernog softvera, kao i koji se proaktivni mehanizmi koriste kada se zlonamjerni softver otkrije.

Brzina izdavanja antivirusnih ažuriranja s novim potpisima zlonamjernog softvera jedna je od najvažnijih komponenti učinkovite antivirusne zaštite. Što se prije objavi ažuriranje baze potpisa, manje će vremena korisnik ostati nezaštićen.


Slika 3 – Prosječno vrijeme odgovora na nove prijetnje

U posljednje vrijeme novi zlonamjerni softver se tako često pojavljuje da antivirusne laboratorije jedva mogu pratiti nove uzorke. U takvoj situaciji postavlja se pitanje kako antivirus može odoljeti ne samo već poznatim virusima, već i novim prijetnjama za čije otkrivanje još nije objavljen potpis.

Za otkrivanje nepoznatih prijetnji koriste se takozvane proaktivne tehnologije. Ove tehnologije se mogu podijeliti u dvije vrste: heurističke (otkrivaju zlonamjerne programe na osnovu analize njihovog koda) i bihevioralne blokade (blokiraju radnje zlonamjernih programa kada se pokreću na računaru, na osnovu njihovog ponašanja).

Ako govorimo o heuristici, onda je njihovu efikasnost dugo proučavao AV-Comparatives, istraživačka laboratorija koju vodi Andreas Clementi. Tim AV-Comparatives koristi posebnu tehniku: antivirusi se provjeravaju u odnosu na trenutnu kolekciju virusa, ali se koristi antivirus sa tromjesečnim potpisima. Dakle, antivirus mora da se suprotstavi malveru o kome ne zna ništa. Antivirusi se skeniraju skeniranjem zbirke zlonamjernog softvera na tvrdom disku, tako da se provjerava samo efikasnost heuristike. Druga proaktivna tehnologija, blokator ponašanja, ne koristi se u ovim testovima. Čak i najbolji heuristika trenutno pokazuje stopu otkrivanja od samo oko 70%, a mnogi od njih i dalje pate od lažnih pozitivnih rezultata na čistim datotekama. Sve ovo sugerira da se do sada ova proaktivna metoda detekcije može koristiti samo istovremeno s metodom potpisa.

Što se tiče druge proaktivne tehnologije – blokatora ponašanja, u ovoj oblasti nisu rađena ozbiljna uporedna ispitivanja. Prvo, mnogi antivirusni proizvodi (Doctor Web, NOD32, Avira i drugi) nemaju blokator ponašanja. Drugo, provođenje takvih testova je ispunjeno određenim poteškoćama. Činjenica je da za testiranje učinkovitosti blokatora ponašanja nije potrebno skenirati disk s kolekcijom zlonamjernih programa, već pokrenuti te programe na računalu i promatrati koliko uspješno antivirus blokira njihove radnje. Ovaj proces je dugotrajan i mali broj istraživača je u stanju da izvrši takve testove. Sve što je trenutno dostupno široj javnosti su rezultati pojedinačnih testova proizvoda koje je proveo AV-Comparatives tim. Ako su tokom testiranja antivirusi uspješno blokirali radnje njima nepoznatih zlonamjernih programa dok su radili na računalu, tada je proizvod dobio nagradu za proaktivnu zaštitu. Trenutno su takve nagrade dobili F-Secure sa biheviorističkom tehnologijom DeepGuard i Kaspersky Anti-Virus sa modulom Proactive Defense.

Tehnologije za prevenciju infekcija zasnovane na analizi ponašanja zlonamjernog softvera postaju sve raširenije, a nedostatak sveobuhvatnih komparativnih testova u ovoj oblasti ne može a da ne bude alarmantan. Nedavno su stručnjaci iz istraživačke laboratorije AV-Test održali široku raspravu o ovom pitanju, u kojoj su sudjelovali i programeri antivirusnih proizvoda. Rezultat ove rasprave bila je nova metodologija za testiranje sposobnosti antivirusnih proizvoda da se odupru nepoznatim prijetnjama.

Visok nivo otkrivanja zlonamjernog softvera korištenjem različitih tehnologija jedna je od najvažnijih karakteristika antivirusnog programa. Međutim, jednako važna karakteristika je odsustvo lažnih pozitivnih rezultata. Lažno pozitivni rezultati mogu uzrokovati ništa manje štete korisniku od virusne infekcije: blokirajte rad željene programe, blokiranje pristupa web lokacijama i tako dalje.

U toku svog istraživanja, AV-Comparatives, uz proučavanje sposobnosti antivirusa da otkriju zlonamjerni softver, provodi i testove za lažno pozitivne rezultate na zbirkama čistih datoteka. Prema testu, najveći broj lažnih pozitivnih rezultata pronađen je u antivirusima Doctor Web i Avira.

Ne postoji 100% zaštita od virusa. Korisnici se s vremena na vrijeme susreću sa situacijom u kojoj zlonamjerni program prodre u računar i računar se zarazi. To se događa ili zato što na računalu uopće nije bilo antivirusnog programa ili zato što antivirusni program nije otkrio zlonamjerni softver bilo potpisom ili proaktivnim metodama. U takvoj situaciji važno je da prilikom instaliranja antivirusa sa svježim bazama potpisa na računalo, antivirus ne samo da može otkriti zlonamjerni program, već i uspješno eliminirati sve posljedice njegove aktivnosti, izliječiti aktivnu infekciju. Istovremeno, važno je shvatiti da kreatori virusa stalno poboljšavaju svoju "vještinu", a neke od njihovih kreacija je prilično teško ukloniti s računala - zlonamjerni programi mogu na različite načine prikriti svoje prisustvo u sistemu ( uključujući i uz pomoć rootkita) pa čak i suprotstavljaju se radu antivirusnih programa. Osim toga, nije dovoljno samo izbrisati ili dezinficirati zaraženu datoteku, potrebno je eliminirati sve promjene koje je napravio zlonamjerni proces u sistemu i potpuno vratiti sistem u radni red. Tim ruskog portala Anti-Malware.ru sproveo je sličan test, njegovi rezultati su prikazani na slici 4.

Slika 4 – Liječenje aktivne infekcije

Iznad su razmotreni različiti pristupi testiranju antivirusa, pokazano je koji se parametri rada antivirusa razmatraju tokom testiranja. Može se zaključiti da se za neke antiviruse jedan pokazatelj ispostavi da je povoljan, za druge je drugi. Istovremeno, prirodno je da se u svojim promotivnim materijalima antivirusni programeri fokusiraju samo na one testove u kojima njihovi proizvodi zauzimaju vodeću poziciju. Na primjer, Kaspersky Lab se fokusira na brzinu odgovora na pojavu novih prijetnji, Eset na snagu svojih heurističkih tehnologija, Doctor Web opisuje svoje prednosti u liječenju aktivnih infekcija.

Stoga bi trebalo izvršiti sintezu rezultata različitih testova. Tako se sumiraju pozicije koje su antivirusi zauzeli u razmatranim testovima i izvodi se integrisana procjena – koje mjesto u prosjeku za sve testove zauzima određeni proizvod. Kao rezultat, u prva tri pobjednika: Kaspersky, Avira, Symantec.


Na osnovu analiziranih antivirusnih paketa kreiran je softverski proizvod za pretragu i dezinfekciju datoteka zaraženih virusom SVC 5.0. Ovaj virus ne dovodi do neovlaštenog brisanja ili kopiranja datoteka, ali značajno ometa punopravni rad s računalnim softverom.

Zaraženi programi su duži od izvor. Međutim, prilikom pregledavanja direktorija na zaraženom stroju, to neće biti vidljivo, jer virus provjerava da li je pronađena datoteka zaražena ili ne. Ako je datoteka zaražena, tada se dužina nezaražene datoteke upisuje u DTA.

Ovaj virus možete otkriti na sljedeći način. U području podataka virusa nalazi se niz znakova "(c) 1990 by SVC,Ver. 5.0", pomoću kojeg se virus, ako se nalazi na disku, može otkriti.

Prilikom pisanja antivirusnog programa, izvodi se sljedeći slijed radnji:

1 Za svaku datoteku koja se provjerava određuje se vrijeme njenog kreiranja.

2 Ako je broj sekundi šezdeset, tada se provjeravaju tri bajta sa pomakom jednakom "dužina datoteke minus 8AH". Ako su jednake 35N, 2ÉN, 30N, respektivno, onda je datoteka zaražena.

3 Prva 24 bajta originalnog koda su dekodirana, koji se nalaze na ofsetu "dužina datoteke minus 01CFH plus 0BAAH". Tasteri za dekodiranje nalaze se na ofsetu "dužina datoteke minus 01CFH plus 0C1AN" i "dužina datoteke minus 01CFH plus 0C1BH".

4 Dekodirani bajtovi se upisuju na početak programa.

5 Datoteka je "skraćena" na "dužina datoteke minus 0C1F".

Program je kreiran u programskom okruženju TurboPascal. Tekst programa je dat u Dodatku A.

Zaključak

U ovom predmetnom radu izvršena je komparativna analiza antivirusnih paketa.

U toku analize uspješno su riješeni zadaci postavljeni na početku rada. Tako su proučavani koncepti informacione sigurnosti, kompjuterskih virusa i antivirusnih alata, identifikovani su tipovi prijetnji informacijskoj sigurnosti, metode zaštite, razmotrena je klasifikacija računalnih virusa i antivirusnih programa i uporedna analiza antivirusnih paketa. izvršeno, napisan je program koji traži zaražene datoteke.

Rezultati dobijeni tokom rada mogu se primijeniti pri odabiru antivirusnog alata.

Svi dobijeni rezultati se odražavaju u radu uz pomoć dijagrama, tako da korisnik može samostalno provjeriti zaključke donesene u konačnom dijagramu, koji odražava sintezu otkrivenih rezultata različitih testova antivirusnih alata.

Rezultati dobijeni tokom rada mogu se koristiti kao osnova za samopoređenje antivirusnih programa.

U svjetlu široke upotrebe IT-tehnologija, prezentirani predmetni rad je relevantan i ispunjava uslove za njega. U procesu rada razmatrani su najpopularniji antivirusni alati.

Spisak korišćene literature

1 Anin B. Zaštita kompjuterskih informacija. - St. Petersburg. : BHV - Sankt Peterburg, 2000. - 368 str.

2 Artyunov VV Zaštita informacija: udžbenik. - metoda. dodatak. M. : Liberija - Bibinform, 2008. - 55 str. – (Bibliotekar i vreme. 21. vek; br. 99).

3 Korneev I. K., E. A. Stepanov Sigurnost informacija u kancelariji: udžbenik. - M. : Prospekt, 2008. - 333 str.

5 Kuprijanov A. I. Osnove informacione bezbednosti: udžbenik. dodatak. - 2nd ed. izbrisani – M.: Akademija, 2007. – 254 str. – (Visoko stručno obrazovanje).

6 Semenenko V. A., N. V. Fedorov Softverska i hardverska zaštita informacija: udžbenik. dodatak za studente. univerziteti. - M. : MGIU, 2007. - 340 str.

7 Tsirlov VL Osnove informacione bezbednosti: kratak kurs. - Rostov n/D: Phoenix, 2008. - 254 str. (Stručno obrazovanje).


Aplikacija

Listing programa

ProgramANTIVIRUS;

Koristi dos,crt,printer;

Tip St80 = String;

FileInfection:File Of Byte;

SearchFile:SearchRec;

Mas: Niz St80;

MasByte: Niz bajtova;

Pozicija,I,J,K:Bajt;

Num,NumberOfFile,NumberOfInfFile:Word;

Flag,NextDisk,Error:Boolean;

Key1,Key2,Key3,NumError:Byte;

MasScreen: Niz bajtova Apsolutno $B800:0000;

Procedura Cure(St: St80);

I: bajtovi; MasCure: niz bajtova;

Dodijeli(FileInfection,St); Reset (FileInfection);

NumError:=IORezultat;

Ako(BrojGreška<>

Traži(FileInfection,FileSize(FileInfection) - ($0C1F - $0C1A));

NumError:=IORezultat;

Ako(BrojGreška<>0) Onda Begin Error:=Tačno; Izlaz; kraj;

Čitanje(FileInfection,Key1);

NumError:=IORezultat;

Ako(BrojGreška<>0) Onda Begin Error:=Tačno; Izlaz; kraj;

Read(FileInfection,Key2);

NumError:=IORezultat;

Ako(BrojGreška<>0) Onda Begin Error:=Tačno; Izlaz; kraj;

Traži(FileInfection,FileSize(FileInfection) - ($0C1F - $0BAA));

NumError:=IORezultat;

Ako(BrojGreška<>0) Onda Begin Error:=Tačno; Izlaz; kraj;

Za I:=1 do 24 do

Read(FileInfection,MasCure[i]);

NumError:=IORezultat;

Ako(BrojGreška<>0) Onda Begin Error:=Tačno; Izlaz; kraj;

Key3:=MasCure[i];

MasCure[i]:=Ključ3;

Traži(FileInfection,0);

NumError:=IORezultat;

Ako(BrojGreška<>0) Onda Begin Error:=Tačno; Izlaz; kraj;

Za I:=1 do 24 do Write(FileInfection,MasCure[i]);

Traži(FileInfection,FileSize(FileInfection) - $0C1F);

NumError:=IORezultat;

Ako(BrojGreška<>0) Onda Begin Error:=Tačno; Izlaz; kraj;

Skratiti (FileInfection);

NumError:=IORezultat;

Ako(BrojGreška<>0) Onda Begin Error:=Tačno; Izlaz; kraj;

Close(FileInfection); NumError:=IORezultat;

Ako(BrojGreška<>0) Onda Begin Error:=Tačno; Izlaz; kraj;

Procedura F1(St: St80);

FindFirst(St + "*.*", $3F, SearchFile);

Dok (SearchFile.Attr = $10) I (DosError = 0) I

((SearchFile.Name = ".") Ili (SearchFile.Name = "..")) Uradite

FindNext(Datoteka za pretragu);

Dok (DosError = 0) Uradite

Ako se pritisne tada

Ako je (Ord(ReadKey) = 27) Onda Zaustavi;

If (SearchFile.Attr = $10) Onda

Mas[k]:=St + SearchFile.Name + "\";

If(SearchFile.Attr<>10 dolara) Onda

NumberOfFile:=Broj fajla + 1;

UnpackTime(SearchFile.Time, DT);

Za I:=18 do 70 do MasScreen:=20$;

Write(St + SearchFile.Name, " ");

Ako (Dt.Sec = 60) Onda

Assign(FileInfection,St + SearchFile.Name);

Reset (FileInfection);

NumError:=IORezultat;

Ako(BrojGreška<>0) Onda Begin Error:=Tačno; Izlaz; kraj;

Seek(FileInfection,FileSize(FileInfection) - $8A);

NumError:=IORezultat;

Ako(BrojGreška<>0) Onda Begin Error:=Tačno; Izlaz; kraj;

Za I:=1 do 3 uradi Read(FileInfection,MasByte[i]);

Close(FileInfection);

NumError:=IORezultat;

Ako(BrojGreška<>0) Onda Begin Error:=Tačno; Izlaz; kraj;

Ako (MasByte = $35) I (MasByte = $2E) I

(MasByte = $30) Onda

NumberOfInfFile:=BrojInfFile + 1;

Write(St + SearchFile.Name," zaraženo. ",

"Ukloniti?");

Ako je (Ord(Ch) = 27) Onda Exit;

Do (Ch = "Y") Ili (Ch = "y") Ili (Ch = "N")

Ako (Ch = "Y") Ili (Ch = "y") Onda

Cure(St + SearchFile.Name);

Ako(BrojGreška<>0) Zatim Exit;

Za I:=0 do 79 do MasScreen:=$20;

FindNext(Datoteka za pretragu);

GoToXY(29,1); TextAttr:=$1E; GoToXY(20,2); TextAttr:=$17;

Writeln("Program za poiska i lečenija fajlova,");

Writeln("zaragennih SVC50.");

TextAttr:=$4F; GoToXY(1.25);

Write("ESC - izlaz");

TextAttr:=$1F; GoToXY(1,6);

Write("Kako proveriti disk? ");

Ako je (Ord(Disk) = 27) Onda Exit;

R.Ah:=$0E; R.Dl:=Ord(UpCase(Disk))-65;

Intr($21,R); R.Ah:=19$; Intr($21,R);

Zastava:=(R.Al = (Red(UpCase(Disk))-65));

St:=UpCase(Disk) + ":\";

Writeln("Testira disk ",St," ");

Writeln("testira fajl");

NumberOfFile:=0;

NumberOfInfFile:=0;

Ako (k = 0) ili greška, onda zastava:=False;

Ako je (k > 0) Tada je K:=K-1;

Ako je (k=0) Onda Zastava:=False;

Ako je (k > 0) Tada je K:=K-1;

Writeln("Provereno fajlov - ",NumberOfFile);

Writeln("Zarageno fajlov - ",NumberOfInfFile);

Writeln("Izlečeno fajlov - ",Num);

Write("Provjeriti drugu disk? ");

Ako je (Ord(Ch) = 27) Onda Exit;

Dok (Ch = "Y") Ili (Ch = "y") Ili (Ch = "N") Ili (Ch = "n");

Ako (Ch = "N") ili (Ch = "n") Onda NextDisk:=False;

mob_info