Vergleichende Eigenschaften von Antivirensoftware. Vergleichende Eigenschaften von Antivirenprogrammen
Tabelle 1. Vergleich der Funktionalität von Antivirenlösungen
Nicht weniger interessant ist es natürlich, die getesteten Antivirenprogramme hinsichtlich ihrer Wirksamkeit bei der Erkennung schädlicher Software zu vergleichen. Dieser Parameter wird in speziellen und international anerkannten Zentren und Labors wie ICSA Labs, West Coast Labs, Virus Bulletin usw. ausgewertet. Die ersten beiden stellen spezielle Zertifikate für Antivirenprogramme aus, die ein bestimmtes Testniveau bestanden haben, mit nur einer Einschränkung – allen Bekannte Pakete verfügen heute über solche Zertifikate (dies ist ein bestimmtes Minimum). Das Antiviren-Magazin Virus Bulletin testet mehrmals im Jahr eine Vielzahl von Antivirenprogrammen und vergibt auf der Grundlage der Ergebnisse die Auszeichnung VB100 %. Leider haben heute auch alle gängigen Viren solche Auszeichnungen, natürlich auch die von uns getesteten. Daher werden wir versuchen, die Ergebnisse anderer Tests zu analysieren. Wir konzentrieren uns auf die Tests des renommierten österreichischen Labors Av-Comparatives.org, das Antivirenprogramme testet, und des griechischen Unternehmens Virus.gr, das sich auf Tests spezialisiert hat Antivirenprogramme und Zusammenstellung von Bewertungen von Antivirenprogrammen und der berühmten einer der größten Virensammlungen. Laut dem neuesten On-Demand-Scan-Test von Av-Comparatives.org im August 2009 (Tabelle 2) schnitten Avira AntiVir Premium und Norton AntiVirus unter den getesteten Anbietern am besten ab. Allerdings konnte Kaspersky Anti-Virus nur 97,1 % der Viren erkennen, obwohl es natürlich völlig unfair ist, diesen Grad der Virenerkennung als niedrig zu bezeichnen. Für weitere Informationen stellen wir fest, dass das Volumen der an diesem Test beteiligten Virendatenbanken mehr als 1,5 Millionen Schadcodes betrug und der Unterschied nur 0,1 % beträgt – das sind weder mehr noch weniger, sondern 1,5 Tausend Schadprogramme. Was die Geschwindigkeit betrifft, ist es in diesem Aspekt noch schwieriger, Lösungen objektiv zu vergleichen, da die Scangeschwindigkeit von vielen Faktoren abhängt – insbesondere davon, ob das Antivirenprodukt Emulationscode verwendet, ob es in der Lage ist, komplexe polymorphe Viren zu erkennen, ob tiefgreifend Es wird eine Analyse des heuristischen Scans und des aktiven Scans von Rootkits usw. durchgeführt. Alle oben genannten Punkte stehen in direktem Zusammenhang mit der Qualität der Virenerkennung, sodass bei Antivirenlösungen die Scangeschwindigkeit nicht der wichtigste Indikator für deren Leistung ist . Dennoch hielten es die Spezialisten von Av-Comparatives.org für möglich, die Lösungen zu bewerten, und laut diesem Indikator erwies sich Avast als Spitzenreiter unter den betrachteten Antivirenprogrammen! AntiVirus und Norton AntiVirus.Tabelle 2. Vergleich von Antivirenlösungen hinsichtlich der Malware-Erkennung (Quelle – Av-Comparatives.org, August 2009)
| Name | Scangeschwindigkeit | |
| Avira AntiVir Premium 8.2 | 99,7 | Mittel |
| Norton AntiVirus 16.2 | 98,7 | Schnell |
| 98,2 | Schnell | |
| ESET NOD32 Antivirus 3.0 | 97,6 | Mittel |
| Kaspersky Anti-Virus 8.0 | 97,1 | Mittel |
| AVG Anti-Virus 8.0.234 | 93 | langsam |
| Dr.Web Antivirus für Windows | Nicht getestet | Keine Daten |
| PANDA Antivirus Pro 2010 | Nicht getestet | Keine Daten |
Gemäß den Ergebnissen des August-Tests von Virus.gr, dargestellt in der Tabelle. 3, die Daten sind etwas anders. Spitzenreiter sind hier Kaspersky Anti-Virus 2010 mit 98,67 % und Avira AntiVir Premium 9.0 mit 98,64 %. Im Übrigen ist es hier erwähnenswert kostenloses Programm Avira AntiVir Personal, das die gleichen Signaturbasen und die gleichen Testmethoden nutzt wie das kostenpflichtige Avira AntiVir Premium, liegt deutlich hinter der kommerziellen Lösung zurück. Unterschiede in den Ergebnissen sind darauf zurückzuführen, dass verschiedene Labore unterschiedliche Virendatenbanken verwenden – natürlich basieren alle solchen Datenbanken auf der „In the Wild“-Sammlung von Wildviren, diese wird jedoch durch andere Viren ergänzt. Es hängt davon ab, um welche Art von Viren es sich handelt und wie viel Prozent davon in der gesamten Datenbank vorhanden sind, welches der Pakete die Nase vorn hat.
Tisch 3. Vergleich von Antivirenlösungen hinsichtlich der Malware-Erkennung (Quelle – Virus.gr, August 2009)
| Name | Erkennungsprozentsatz verschiedene Typen Schadsoftware |
| Kaspersky Anti-Virus 2010 | 98,67 |
| Avira AntiVir Premium 9.0 | 98,64 |
| Avira AntiVir Personal 9.0 | 98,56 |
| AVG Anti-Virus Free 8.5.392 | 97 |
| ESET NOD32 Antivirus 4.0 | 95,97 |
| Avast! AntiVirus Free 4.8 | 95,87 |
| Norton AntiVirus Norton 16.5 | 87,37 |
| DR. Web 5.00 | 82,89 |
| Panda 2009 9.00.00 | 70,8 |
Es lohnt sich auch, darauf zu achten, inwieweit Antivirenprogramme unbekannte Bedrohungen praktisch bewältigen können – also auf die Wirksamkeit der darin eingesetzten proaktiven Methoden. Virenschutz. Dies ist äußerst wichtig, da sich alle führenden Experten auf diesem Gebiet seit langem darüber einig sind, dass dieser spezielle Bereich der vielversprechendste auf dem Antiviren-Markt ist. Ähnliche Tests wurden von Anti-Malware.ru-Spezialisten vom 3. Dezember 2008 bis 18. Januar 2009 durchgeführt. Zur Durchführung des Tests sammelten sie beim Einfrieren von Antiviren-Datenbanken eine Sammlung von 5166 eindeutigen Codes der neuesten Schadprogramme. Unter den in diesem Artikel betrachteten Antivirenprogrammen zeigten Avira AntiVir Premium und Dr.Web die besten Ergebnisse (Tabelle 4), denen es gelang, eine relativ hohe Anzahl an in ihren Datenbanken fehlenden Schadcodes zu erkennen, die Anzahl der Fehlalarme stieg jedoch an Diese Antivirenprogramme erwiesen sich als hoch. Daher wurden die Lorbeeren in Form des „Gold Proactive Protection Award“ von Experten an völlig unterschiedliche Lösungen verliehen. Dies sind Kaspersky Anti-Virus, ESET NOD32 AntiVirus und BitDefender Antivirus, die sich im Hinblick auf das Gleichgewicht zwischen proaktiver Erkennung und Fehlalarmen als die besten herausstellten. Ihre Ergebnisse waren nahezu identisch – der Grad der heuristischen Erkennung lag bei 60 % und der Grad falsch positiver Ergebnisse im Bereich von 0,01–0,04 %.
Tabelle 4. Vergleich von Antivirenlösungen hinsichtlich der Wirksamkeit des proaktiven Virenschutzes (Quelle – Anti-Malware.ru, Januar 2009)
| Name | Prozentsatz der erkannten Viren | Prozentsatz falsch positiver Ergebnisse |
| Avira AntiVir Premium 8.2 | 71 | 0,13 |
| Dr.Web 5.0 | 61 | 0,2 |
| Kaspersky Anti-Virus 2009 | 60,6 | 0,01 |
| ESET NOD32 AntiVirus 3.0 | 60,5 | 0,02 |
| AVG AntiVirus 8.0 | 58,1 | 0,02 |
| Avast! AntiVirus Professional 4.8 | 53,3 | 0,03 |
| Norton AntiVirus 2009 | 51,5 | 0 |
| Panda Antivirus 2009 | 37,9 | 0,02 |
Aus den oben genannten Daten lässt sich nur eine Schlussfolgerung ziehen: Alle betrachteten Antivirenlösungen können wirklich als beachtenswert eingestuft werden. Allerdings sollte man bei der Arbeit in keinem dieser Programme die rechtzeitige Aktualisierung der Signaturdatenbanken vergessen, da das Niveau der proaktiven Schutzmethoden in keinem der Programme noch alles andere als ideal ist.
Die wichtigsten Bewertungskriterien, die 200 Indikatoren umfassten, waren:
- Virus Schutz;
- Benutzerfreundlichkeit;
- Auswirkungen auf die Computergeschwindigkeit.
Der Malware-Schutz ist das wichtigste Bewertungskriterium: Indikatoren innerhalb dieser Parametergruppe machten 65 % des gesamten Antiviren-Scores aus. Die Benutzerfreundlichkeit und die Auswirkung auf die Computergeschwindigkeit machten 25 % bzw. 10 % der Gesamtpunktzahl aus.
Für die Untersuchung wurden Antivirenprogramme aufgrund ihrer Beliebtheit bei den Verbrauchern und ihrer Erschwinglichkeit ausgewählt. Aus diesem Grund umfasste die Liste der untersuchten Antivirenprogramme:
- Kostenlose Programme – sowohl integriert als auch separat angeboten.
- Bezahlte Programme von führenden Antiviren-Marken. Aufgrund der Auswahlprinzipien wurden die teuersten Versionen von Softwareprodukten dieser Marken nicht in die Studie einbezogen.
- Von einer Marke für ein Betriebssystem konnte nur ein kostenpflichtiges Produkt in der Bewertung aufgeführt werden. Das zweite Produkt könnte nur dann in die Bewertung gelangen, wenn es kostenlos ist.
Dieses Mal wurden von russischen Unternehmen entwickelte Produkte in die Kategorie der internationalen Studie aufgenommen. In der Regel umfasst die Liste der Produkte für internationale Tests Produkte mit ausreichendem Marktanteil und hoher Bekanntheit bei den Verbrauchern, so dass die Einbeziehung russischer Entwicklungen in die Studie auf deren breite Präsenz und Nachfrage im Ausland hinweist.
Top Ten für Windows
Alle Antivirenprogramme in den Top Ten bewältigen den Schutz vor Spyware und schützen vor Phishing – Versuchen, Zugriff auf vertrauliche Daten zu erhalten. Es gibt jedoch Unterschiede zwischen den Antivirenprogrammen im Schutzniveau sowie im Vorhandensein oder Fehlen einer bestimmten Funktion in den getesteten Versionen des Antivirenprogramms.
Die Pivot-Tabelle zeigt zehn die besten Programme nach Gesamtbewertung. Es berücksichtigt auch die Eigenschaften der Pakete hinsichtlich des Funktionsumfangs.
Wie gut ist die Standardsicherheit von Windows 10?
Im Februar 2018 betrug der Anteil der Windows-PC-Benutzer, auf deren Desktops das Betriebssystem Windows 10 installiert war, 43 %. Auf solchen Computern ist das Antivirenprogramm standardmäßig installiert – es schützt das System Windows-Programm Defender, der im Betriebssystem enthalten ist.
Das Standard-Antivirenprogramm, das laut Statistik von den meisten Menschen verwendet wird, landete nur auf der 17. Zeile der Bewertung. Insgesamt erzielte Windows Defender 3,5 von 5,5 möglichen Punkten.
Integrierter Last-Minute-Schutz Windows-Versionen Es wird von Jahr zu Jahr besser, erreicht aber immer noch nicht das Niveau vieler spezialisierter Antivirenprogramme, einschließlich derer, die kostenlos vertrieben werden. Beim Online-Schutz zeigte Windows Defender zufriedenstellende Ergebnisse, scheiterte jedoch beim Test auf Phishing und Ransomware völlig. Der Schutz vor Phishing wird übrigens von Antiviren-Herstellern erklärt. Es stellte sich auch heraus, dass er Ihren Computer im Offline-Modus schlecht schützt.
Windows Defender ist vom Design her recht einfach. Es kommuniziert deutlich das Vorhandensein einer bestimmten Bedrohung, zeigt deutlich den Schutzgrad an und verfügt über eine „Kindersicherungsfunktion“, die Kinder daran hindert, unerwünschte Ressourcen zu besuchen.
Der Standardschutz von Windows 10 kann nur als ordentlich bezeichnet werden. Basierend auf der Gesamtbewertung sind 16 Programme zu schützen persönlicher Computer unter Windows erwies sich als besser. Darunter vier kostenlose.
Theoretisch können Sie sich nur dann auf Windows Defender verlassen, wenn der Benutzer regelmäßige Updates aktiviert hat, sein Computer die meiste Zeit mit dem Internet verbunden ist und er so weit fortgeschritten ist, dass er verdächtige Websites nicht bewusst besucht. Roskachestvo empfiehlt jedoch die Installation eines speziellen Antivirenpakets für mehr Vertrauen in die Sicherheit des PCs.
Wie wir getestet haben
Die Tests wurden sechs Monate lang im weltweit qualifiziertesten, auf Antivirenprogramme spezialisierten Labor durchgeführt. Insgesamt wurden vier Gruppen von Anti-Malware-Tests durchgeführt: der allgemeine Online-Schutztest, der Offline-Test, der Test zur Falsch-Positiv-Rate und der automatische und On-Demand-Scan-Test. In geringerem Maße wurde die endgültige Bewertung durch die Überprüfung der Benutzerfreundlichkeit des Antivirenprogramms und seiner Auswirkungen auf die Geschwindigkeit des Computers beeinflusst.
- Allgemeiner Schutz
Jedes Antivirenpaket wurde online auf eine Reihe von Viren getestet, insgesamt mehr als 40.000. Außerdem wurde getestet, wie gut das Antivirenprogramm mit Phishing-Angriffen umgeht – wenn jemand versucht, auf die vertraulichen Daten des Benutzers zuzugreifen. Ransomware wurde zum Schutz vor Ransomware getestet, die den Zugriff auf einen Computer und darauf befindliche Daten einschränkt, um ein Lösegeld zu erpressen. Darüber hinaus wird ein Online-Test eines USB-Sticks mit Schadsoftware durchgeführt. Es muss herausgefunden werden, wie gut das Antivirenprogramm bei der Suche und Beseitigung von Viren zurechtkommt, wenn weder das Vorhandensein schädlicher Dateien noch deren Herkunft im Voraus bekannt ist.
- USB-Offline-Test
Erkennung von Malware, die sich auf einem an einen Computer angeschlossenen USB-Laufwerk befindet. Vor dem Scan war der Rechner mehrere Wochen lang vom Internet getrennt, so dass die Antivirenpakete nicht zu 100 % auf dem neuesten Stand waren.
- Falscher Alarm
Wir haben getestet, wie effektiv das Antivirenprogramm echte Bedrohungen erkennt und Dateien überspringt, die eigentlich sicher sind, aber vom Produkt als gefährlich eingestuft werden.
- Auto-Scan und On-Demand-Scan-Test
Getestet wurde, wie gut die Scan-Funktion funktioniert, wenn sie den Computer automatisch auf Schadsoftware überprüft und wenn sie manuell gestartet wird. Außerdem wurde im Rahmen der Studie geprüft, ob es möglich ist, Scans für eine bestimmte Zeit einzuplanen, wenn der Computer nicht genutzt wird.
Es gibt Antivirenprogramme, die Ihren Computer vor Malware, Viren, Trojanern, Würmern und Spyware schützen, die Ihre Dateien löschen, Ihre persönlichen Daten stehlen und Ihren Computer und Ihre Internetverbindung extrem langsam und problematisch machen können. Daher ist die Auswahl eines guten Antivirenprogramms eine wichtige Priorität für Ihr System.
Weltweit gibt es heute über 1 Million Computerviren. Aufgrund der Verbreitung von Viren und anderer Schadsoftware stehen Computernutzern im Bereich Antivirensoftware vielfältige Möglichkeiten zur Verfügung. Software.
Antivirenprogramme entwickelte sich schnell zu einem großen Geschäft und die ersten kommerziellen Antivirenprogramme kamen Ende der 1980er Jahre auf den Markt. Heutzutage gibt es viele kostenlose und kostenpflichtige Antivirenprogramme zum Schutz Ihres Computers.
Was machen Antivirenprogramme?
Antivirenprogramme scannen Ihren Computer regelmäßig auf Viren und andere Malware, die sich möglicherweise auf Ihrem PC befinden. Wenn die Software einen Virus erkennt, stellt sie ihn normalerweise unter Quarantäne, heilt ihn oder entfernt ihn.
Sie entscheiden, wie oft der Scan durchgeführt werden soll. Im Allgemeinen wird jedoch empfohlen, ihn mindestens einmal pro Woche auszuführen. Darüber hinaus schützen Sie die meisten Antivirenprogramme bei Ihren täglichen Aktivitäten wie dem Abrufen von E-Mails und dem Surfen im Internet.
Wann immer Sie eine Datei aus dem Internet oder per E-Mail auf Ihren Computer herunterladen, prüft das Antivirenprogramm diese und stellt sicher, dass die Datei in Ordnung (virenfrei oder „sauber“) ist.
Antivirenprogramme aktualisieren auch sogenannte „Antivirendefinitionen“. Diese Definitionen werden aktualisiert, sobald neue Viren und Malware auftauchen und entdeckt werden.
Da täglich neue Viren auftauchen, sollten Sie die Antiviren-Datenbank auf der Website des Herstellers des Antivirenprogramms regelmäßig aktualisieren. Denn wie Sie wissen, kann jedes Antivirenprogramm nur die Viren erkennen und neutralisieren, mit denen der Hersteller es „trainiert“ hat. Und es ist kein Geheimnis, dass von der Übermittlung des Virus an die Programmentwickler bis zur Aktualisierung der Antiviren-Datenbanken mehrere Tage vergehen können. In diesem Zeitraum können Tausende von Computern auf der ganzen Welt infiziert werden!
Stellen Sie also sicher, dass Sie eines der besten Antivirenpakete installiert haben und aktualisieren Sie es regelmäßig.
FIREWALL (FIREWALL)
Der Schutz Ihres Computers vor Viren hängt von mehr als nur einem Antivirenprogramm ab. Die meisten Benutzer glauben fälschlicherweise, dass das auf dem Computer installierte Antivirenprogramm ein Allheilmittel gegen alle Viren ist. Selbst mit einem leistungsstarken Antivirenprogramm kann ein Computer immer noch mit einem Virus infiziert werden. Wenn Ihr Computer über einen Internetzugang verfügt, reicht ein Antivirenprogramm nicht aus.
Ein Antivirenprogramm kann einen Virus entfernen, wenn er sich direkt auf Ihrem Computer befindet. Wenn jedoch derselbe Virus über das Internet auf Ihren Computer gelangt, beispielsweise durch das Herunterladen einer Webseite, kann das Antivirenprogramm nichts damit anfangen – bis Es zeigt seine Aktivität nicht auf dem PC an. Daher ist ein vollständiger Computerschutz vor Viren ohne eine Firewall nicht möglich – ein spezielles Schutzprogramm, das Sie über verdächtige Aktivitäten benachrichtigt, wenn ein Virus oder Wurm versucht, eine Verbindung zu Ihrem Computer herzustellen.
Durch den Einsatz einer Firewall im Internet können Sie die Anzahl unerwünschter Verbindungen von außen zu Ihrem Computer begrenzen und die Wahrscheinlichkeit einer Infektion erheblich verringern. Es schützt nicht nur vor Viren, sondern macht es Eindringlingen (Hackern) auch viel schwerer, auf Ihre Daten zuzugreifen und zu versuchen, ein potenziell gefährliches Programm auf Ihren Computer herunterzuladen.
Wenn eine Firewall in Verbindung mit einem Antivirenprogramm und Betriebssystemaktualisierungen verwendet wird, bleibt der Computerschutz auf dem höchstmöglichen Sicherheitsniveau.
Betriebssystem- und Software-Updates
Ein wichtiger Schritt zum Schutz Ihres Computers und Ihrer Daten besteht darin, Ihr Betriebssystem mit den neuesten Sicherheitspatches auf dem neuesten Stand zu halten. Es wird empfohlen, dies mindestens einmal im Monat durchzuführen. Die neuesten Updates des Betriebssystems und der Programme schaffen Bedingungen, unter denen der Schutz des Computers vor Viren auf einem ausreichend hohen Niveau ist.
Updates sind Korrekturen für Fehler, die im Laufe der Zeit in der Software gefunden wurden. Eine große Anzahl von Viren nutzt diese Fehler („Lücken“) in der System- und Programmsicherheit zur Verbreitung. Wenn Sie diese „Lücken“ jedoch schließen, haben Sie keine Angst vor Viren und der Computerschutz ist auf einem hohen Niveau. Ein zusätzliches Plus regelmäßiger Updates ist ein zuverlässigerer Systembetrieb durch Fehlerbehebungen.
PASSWORT
Passwort zum Anmelden bei Ihrem System, insbesondere für Konto„Administrator“ trägt dazu bei, Ihre Daten vor unbefugtem Zugriff lokal oder über das Netzwerk zu schützen und stellt außerdem eine zusätzliche Barriere gegen Viren und Spyware dar. Stellen Sie sicher, dass Sie ein komplexes Passwort verwenden – z Viele Viren verwenden für ihre Verbreitung einfache Passwörter, zum Beispiel 123, 12345, beginnend mit leeren Passwörtern.
Sicheres Surfen im Internet
Der Schutz Ihres Computers vor Viren wird schwierig, wenn Sie beim Surfen auf Websites und beim Surfen im Internet allem zustimmen und alles installieren. Unter dem Deckmantel der Aktualisierung des Adobe Flash Players wird beispielsweise eine der Varianten des Virus verbreitet – „SMS an eine Nummer senden“. Üben Sie sicheres Surfen im Internet. Lesen Sie immer genau, was Ihnen angeboten wird, und stimmen Sie erst dann zu oder lehnen Sie ab. Wenn Ihnen etwas in einer Fremdsprache angeboten wird, versuchen Sie es zu übersetzen, andernfalls lehnen Sie es gerne ab.
Viele Viren sind in E-Mail-Anhängen enthalten und verbreiten sich, sobald der Anhang geöffnet wird. Wir empfehlen Ihnen dringend, Anhänge nicht ohne vorherige Zustimmung zum Erhalt zu öffnen.
Antivirenprogramme auf SIM, Flash-Karten usw USB-Geräte
Heutzutage hergestellte Mobiltelefone verfügen über eine Vielzahl von Schnittstellen und Möglichkeiten zur Datenübertragung. Benutzer sollten die Schutzmethoden sorgfältig studieren, bevor sie kleine Geräte anschließen.
Schutzmethoden wie Hardware, vielleicht Antivirenprogramme auf USB-Geräten oder auf der SIM-Karte, sind für Verbraucher besser geeignet Mobiltelefone. Eine technische Bewertung und Überprüfung der Installation eines Antivirenprogramms auf einem Mobiltelefon sollte als Scanvorgang betrachtet werden, der sich möglicherweise auf andere legitime Anwendungen auf diesem Telefon auswirkt.
SIM-basierte Antivirensoftware mit integriertem Virenschutz im kleinen Speicherbereich bietet Anti-Malware-/Virenschutz zum Schutz von PIM- und Telefonbenutzerinformationen. Antivirenprogramme auf Flash-Karten ermöglichen dem Benutzer den Informationsaustausch und die Verwendung dieser Produkte mit verschiedenen Hardwaregeräten.
Antivirenprogramme, mobile Geräte und innovative Lösungen
Es wird niemanden überraschen, wenn Viren, die persönliche und Laptop-Computer wird auf mobile Geräte verlagert. Immer mehr Entwickler in diesem Bereich bieten Antivirenprogramme zur Virenbekämpfung und zum Schutz von Mobiltelefonen an. IN mobile Geräte Es gibt folgende Arten der Virenbekämpfung:
- § CPU-Einschränkungen
- § Speicherlimit
- § Identifizieren und Aktualisieren der Signaturen dieser Mobilgeräte
Antiviren-Unternehmen und -Programme
- § AOL® Virus Protection als Teil des AOL Safety and Security Center
- § ActiveVirusShield von AOL (basierend auf KAV 6, kostenlos)
- § AhnLab
- § Aladdin-Wissenssysteme
- § ALWIL Software (avast!) aus der Tschechischen Republik (kostenlose und kostenpflichtige Versionen)
- § ArcaVir aus Polen
- § AVZ aus Russland (kostenlos)
- § Avira aus Deutschland (verfügbar Freie Version klassisch)
- § Authentium aus Großbritannien
- § BitDefender aus Rumänien
- § BullGuard aus Dänemark
- § Computer Associates aus den USA
- § Comodo Group aus den USA
- § ClamAV – GPL-Lizenz – kostenloses und Open-Source-Programm
- § ClamWin – ClamAV für Windows
- § Dr.Web aus Russland
- § Eset NOD32 aus der Slowakei
- § Fortinet
- § Frisk Software aus Island
- § F-Secure aus Finnland
- § GeCAD aus Rumänien (Microsoft kaufte das Unternehmen 2003)
- § GFI-Software
- § GriSoft (AVG) aus der Tschechischen Republik (kostenlose und kostenpflichtige Versionen)
- § Hauri
- § H+BEDV aus Deutschland
- § Kaspersky Anti-Virus aus Russland
- § McAfee aus den USA
- § MicroWorld Technologies aus Indien
- § NuWave-Software aus der Ukraine
- § MKS aus Polen
- § Norman aus Norwegen
- § Außenposten aus Russland
- § Panda Software aus Spanien
- § Quick Heal AntiVirus aus Indien
- § steigend
- § ROSE SWE
- § Sophos aus Großbritannien
- § Spyware-Doktor
- § Stiller-Forschung
- § Sybari Software (Microsoft kaufte das Unternehmen Anfang 2005)
- § Symantec aus den USA oder Großbritannien
- § Trojaner-Jäger
- § Trend Micro aus Japan (nominell Taiwan-USA)
- § Ukrainisches nationales Antivirenprogramm aus der Ukraine
- § VirusBlockAda (VBA32) aus Weißrussland
- § VirusBuster aus Ungarn
- § ZoneAlarm AntiVirus (amerikanisch)
- § Überprüfen einer Datei mit mehreren Antivirenprogrammen
- § Überprüfen einer Datei mit mehreren Antivirenprogrammen
- § Dateien vor dem Herunterladen auf Viren prüfen
- § virusinfo.info Informationssicherheitsportal (Virologiekonferenz), wo Hilfe angefordert werden kann.
- § antivse.com Ein weiteres Portal, auf dem Sie die gängigsten kostenpflichtigen und kostenlosen Antivirenprogramme herunterladen können.
- § www.viruslist.ru Internet-Virenenzyklopädie, erstellt von Kaspersky Lab
Antivirus
Avast! * AVS * Ashampoo Antivirus * AVG * Avira AntiVir * BitDefender * Clam Antivirus * ClamWin * Comodo Antivirus * Dr. Web * F-Prot *F-Secure Antivirus * Kaspersky Anti-Virus * McAfee VirusScan * NOD32 * Norton Antivirus * Outpost Antivirus * Panda Antivirus * PC-cillin * Windows Live OneCare
Einführung
1. Theoretischer Teil
1.1 Das Konzept der Informationssicherheit
1.2 Arten von Bedrohungen
1.3 Informationssicherheitsmethoden
2. Designteil
2.1 Klassifizierung von Computerviren
2.2 Das Konzept eines Antivirenprogramms
2.3 Arten von Antiviren-Tools
2.4 Vergleich von Antivirenpaketen
Abschluss
Liste der verwendeten Literatur
Anwendung
Einführung
Entwicklung neuer Informationstechnologien und die allgemeine Computerisierung haben dazu geführt, dass Informationssicherheit nicht nur zur Pflicht wird, sondern auch zu den Merkmalen von Informationssystemen gehört. Es gibt eine ziemlich umfangreiche Klasse von Informationsverarbeitungssystemen, bei deren Entwicklung der Sicherheitsfaktor eine vorrangige Rolle spielt.
Die Massennutzung von Personalcomputern ist mit der Entstehung selbstreproduzierender Virenprogramme verbunden, die dies verhindern normale Operation Computer beschädigen, die Dateistruktur der Festplatten zerstören und die auf dem Computer gespeicherten Informationen beschädigen.
Trotz der in vielen Ländern verabschiedeten Gesetze zur Bekämpfung der Computerkriminalität und der Entwicklung von spezielle Programme Durch neue Virenschutztools nimmt die Zahl neuer Softwareviren stetig zu. Dies setzt voraus, dass der Benutzer eines PCs mit der Natur von Viren vertraut ist und weiß, wie man Viren infiziert und wie man sich vor Viren schützt.
Mit jedem Tag werden Viren immer ausgefeilter, was zu einer erheblichen Veränderung des Bedrohungsprofils führt. Doch der Markt für Antivirensoftware steht nicht still und bietet eine Vielzahl von Produkten. Ihre Benutzer, die das Problem nur allgemein darstellen, übersehen oft wichtige Nuancen und geraten am Ende in die Illusion von Schutz statt in den Schutz selbst.
Der Zweck dieser Kursarbeit besteht darin, eine vergleichende Analyse von Antivirenpaketen durchzuführen.
Um dieses Ziel zu erreichen, werden in der Arbeit folgende Aufgaben gelöst:
Untersuchung der Konzepte der Informationssicherheit, Computerviren und Antiviren-Tools;
Bestimmen Sie die Arten von Bedrohungen für die Informationssicherheit und Schutzmethoden.
Untersuchung der Klassifizierung von Computerviren und Antivirenprogrammen;
Führen Sie eine vergleichende Analyse von Antivirenpaketen durch;
Erstellen Sie ein Antivirenprogramm.
Die praktische Bedeutung der Arbeit.
Die gewonnenen Ergebnisse und die Kursarbeitsmaterialien können als Grundlage für den Selbstvergleich von Antivirenprogrammen genutzt werden.
Der Aufbau der Studienarbeit.
Diese Kursarbeit besteht aus Einleitung, zwei Abschnitten, Fazit und Literaturverzeichnis.
Computerviren-Sicherheits-Antivirus
1. Theoretischer Teil
Im Rahmen einer vergleichenden Analyse von Antivirenpaketen müssen die folgenden Konzepte definiert werden:
1 Informationssicherheit.
2 Arten von Bedrohungen.
3 Informationssicherheitsmethoden.
Schauen wir uns diese Konzepte genauer an:
1.1 Das Konzept der Informationssicherheit
Trotz der ständig wachsenden Bemühungen, Datenschutztechnologien zu entwickeln, nimmt ihre Anfälligkeit unter modernen Bedingungen nicht nur nicht ab, sondern nimmt ständig zu. Daher nimmt die Dringlichkeit der mit dem Schutz von Informationen verbundenen Probleme immer mehr zu.
Das Problem der Informationssicherheit ist vielfältig und komplex und umfasst eine Reihe wichtiger Aufgaben. Beispielsweise die Vertraulichkeit der Daten, die durch den Einsatz verschiedener Methoden und Mittel gewährleistet wird. Die Liste ähnlicher Aufgaben zur Informationssicherheit kann fortgesetzt werden. Die intensive Entwicklung moderner Informationstechnologien und insbesondere Netzwerktechnologien schafft hierfür alle Voraussetzungen.
Informationsschutz ist eine Reihe von Maßnahmen, die darauf abzielen, die Integrität, Verfügbarkeit und gegebenenfalls Vertraulichkeit von Informationen und Ressourcen sicherzustellen, die zur Eingabe, Speicherung, Verarbeitung und Übertragung von Daten verwendet werden.
Bisher wurden zwei Grundprinzipien für die Informationssicherheit formuliert:
1 Datenintegrität – Schutz vor Fehlern, die zum Verlust von Informationen führen, sowie Schutz vor unbefugter Erstellung oder Zerstörung von Daten;
2 Vertraulichkeit von Informationen.
Der Schutz vor Ausfällen, die zum Verlust von Informationen führen, erfolgt in Richtung einer Erhöhung der Zuverlässigkeit einzelner Elemente und Systeme, die Daten eingeben, speichern, verarbeiten und übertragen, der Duplizierung und Redundanz einzelner Elemente und Systeme sowie der Verwendung verschiedener, auch autonomer, Stromquellen, Erhöhung des Qualifikationsniveaus der Benutzer, Schutz vor unbeabsichtigten und vorsätzlichen Handlungen, die zu Geräteausfällen, Zerstörung oder Änderung (Änderung) von Software und geschützten Informationen führen.
Der Schutz vor unbefugter Erstellung oder Zerstörung von Daten erfolgt durch physischen Schutz von Informationen, Differenzierung und Beschränkung des Zugriffs auf Elemente geschützter Informationen, Schließung geschützter Informationen im Prozess ihrer direkten Verarbeitung, Entwicklung von Software- und Hardwaresystemen, Geräten und Spezialsoftware um unbefugten Zugriff auf geschützte Informationen zu verhindern.
Die Vertraulichkeit der Informationen wird durch die Identifizierung und Authentifizierung von Zugangssubjekten beim Betreten des Systems anhand von ID und Passwort, Identifizierung externer Geräte anhand physischer Adressen, Identifizierung von Programmen, Volumes, Verzeichnissen, Dateien anhand des Namens, Ver- und Entschlüsselung von Informationen sowie Differenzierung und Kontrolle gewährleistet Zugriff darauf.
Unter den Maßnahmen zum Schutz von Informationen sind die wichtigsten technischer, organisatorischer und rechtlicher Natur.
Zu den technischen Maßnahmen gehören der Schutz vor unbefugtem Zugriff auf das System, die Redundanz besonders wichtiger Computersubsysteme, die Organisation von Computernetzwerken mit der Möglichkeit der Ressourcenumverteilung bei Fehlfunktionen einzelner Verbindungen und die Installation Backup-Systeme Stromversorgung, Ausstattung von Räumen mit Schlössern, Installation von Alarmanlagen usw.
Zu den organisatorischen Maßnahmen gehören: Schutz des Rechenzentrums (Informatikräume); Abschluss eines Vertrages über die Wartung von Computergeräten mit einer seriösen Organisation mit gutem Ruf; Ausschluss der Möglichkeit der Arbeit an Computergeräten durch Fremde, zufällige Personen usw.
Zu den rechtlichen Maßnahmen gehören die Entwicklung von Regeln zur Festlegung der Verantwortung für die Zerstörung von Computerausrüstung und die Zerstörung (Änderung) von Software sowie die öffentliche Kontrolle über Entwickler und Benutzer von Computersystemen und -programmen.
Es sollte betont werden, dass keine Hardware, Software oder andere Lösungen die absolute Zuverlässigkeit und Sicherheit der Daten in Computersystemen garantieren können. Gleichzeitig ist es möglich, das Verlustrisiko zu minimieren, jedoch nur mit einem integrierten Ansatz zum Informationsschutz.
1.2 Arten von Bedrohungen
Passive Bedrohungen zielen hauptsächlich auf die unbefugte Nutzung von Informationsressourcen eines Informationssystems ab, ohne dessen Funktionsfähigkeit zu beeinträchtigen. Zum Beispiel unbefugter Zugriff auf Datenbanken, Abhören von Kommunikationskanälen usw.
Aktive Bedrohungen zielen darauf ab, die normale Funktion des Informationssystems durch gezielte Beeinflussung seiner Komponenten zu stören. Zu den aktiven Bedrohungen zählen beispielsweise die Zerstörung eines Computers oder seines Betriebssystems, die Zerstörung von Computersoftware, die Unterbrechung von Kommunikationsleitungen usw. Die Quelle aktiver Bedrohungen können die Aktionen von Hackern, Malware und dergleichen sein.
Absichtliche Bedrohungen werden ebenfalls in interne (innerhalb der verwalteten Organisation entstehende) und externe Bedrohungen unterteilt.
Interne Bedrohungen werden meist durch soziale Spannungen und ein schwieriges moralisches Klima bestimmt.
Externe Bedrohungen können durch böswillige Handlungen von Wettbewerbern, wirtschaftliche Bedingungen und andere Ursachen (z. B. Naturkatastrophen) bestimmt werden.
Zu den Hauptbedrohungen für die Informationssicherheit und das normale Funktionieren des Informationssystems gehören:
Weitergabe vertraulicher Informationen;
Informationskompromittierung;
Unbefugte Nutzung von Informationsressourcen;
Fehlerhafte Nutzung von Informationsressourcen;
Unbefugter Informationsaustausch zwischen Abonnenten;
Informationsverweigerung;
Verletzung des Informationsdienstes;
Illegale Nutzung von Privilegien.
Unter der Offenlegung vertraulicher Informationen versteht man die unkontrollierte Weitergabe vertraulicher Informationen außerhalb des Informationssystems oder des Personenkreises, denen sie im Dienst anvertraut wurden oder im Rahmen der Arbeit bekannt wurden. Dieses Leck kann folgende Ursachen haben:
Offenlegung vertraulicher Informationen;
Weitergabe von Informationen über verschiedene, hauptsächlich technische Kanäle;
Unbefugter Zugriff auf vertrauliche Informationen auf verschiedene Weise.
Die Offenlegung von Informationen durch ihren Eigentümer oder Besitzer ist das vorsätzliche oder fahrlässige Handeln von Beamten und Nutzern, denen die relevanten Informationen im Rahmen der Dienstleistung oder Arbeit ordnungsgemäß anvertraut wurden und die dazu führten, dass Personen, denen diese Informationen nicht zugänglich waren, mit ihnen vertraut gemacht wurden.
Ein unkontrollierter Zugriff auf vertrauliche Informationen über visuell-optische, akustische, elektromagnetische und andere Kanäle ist möglich.
Unter unbefugtem Zugriff versteht man den unrechtmäßigen und vorsätzlichen Besitz vertraulicher Informationen durch eine Person, die nicht das Recht hat, auf geschützte Informationen zuzugreifen.
Die häufigsten Arten des unbefugten Zugriffs auf Informationen sind:
Abfangen elektronischer Strahlung;
Die Verwendung von Abhörgeräten;
Fernfotografie;
Abfangen akustischer Emissionen und Wiederherstellung des Textes des Druckers;
Kopieren von Medien mit Überwindung von Schutzmaßnahmen;
Als registrierter Benutzer ausgeben;
Tarnung unter Systemanforderungen;
Verwendung von Softwarefallen;
Ausnutzen von Mängeln in Programmiersprachen und Betriebssystemen;
Illegale Verbindung zu Geräten und Kommunikationsleitungen speziell entwickelter Hardware, die den Zugriff auf Informationen ermöglicht;
Böswillige Deaktivierung von Schutzmechanismen;
Entschlüsselung verschlüsselter Informationen durch spezielle Programme;
Informationsinfektionen.
Die aufgeführten Möglichkeiten des unberechtigten Zugriffs erfordern seitens des Crackers einiges an technischem Wissen und entsprechende Hardware- bzw. Softwareentwicklungen. Beispielsweise werden technische Leckkanäle genutzt – das sind physische Wege von der Quelle vertraulicher Informationen bis zum Angreifer, über die es möglich ist, an geschützte Informationen zu gelangen. Der Grund für das Auftreten von Leckagekanälen sind konstruktive und technologische Unvollkommenheiten von Schaltungslösungen oder der betriebsbedingte Verschleiß der Elemente. All dies ermöglicht es Hackern, Konverter zu erstellen, die nach bestimmten physikalischen Prinzipien arbeiten und einen diesen Prinzipien innewohnenden Informationsübertragungskanal bilden – einen Leckkanal.
Allerdings gibt es recht primitive Möglichkeiten des unbefugten Zugriffs:
Diebstahl von Informationsträgern und Dokumentenabfällen;
Proaktive Zusammenarbeit;
Verweigerung der Kooperation seitens des Einbrechers;
Sondierung;
Lauschen;
Beobachtung und andere Methoden.
Alle Methoden der Weitergabe vertraulicher Informationen können zu erheblichen materiellen und moralischen Schäden sowohl für die Organisation, in der das Informationssystem betrieben wird, als auch für seine Benutzer führen.
Es gibt und wird ständig eine Vielzahl von Schadprogrammen weiterentwickelt, deren Zweck darin besteht, Informationen in Datenbanken und Computersoftware zu beschädigen. Eine große Anzahl von Varianten dieser Programme erlaubt es nicht, dauerhafte und zuverlässige Abhilfemaßnahmen dagegen zu entwickeln.
Es wird angenommen, dass das Virus durch zwei Hauptmerkmale gekennzeichnet ist:
Die Fähigkeit zur Selbstreproduktion;
Die Fähigkeit, in den Rechenprozess einzugreifen (um die Kontrolle zu erlangen).
Die unbefugte Nutzung von Informationsressourcen ist einerseits die Folge ihrer Weitergabe und ein Mittel zur Kompromittierung. Andererseits hat es einen eigenständigen Wert, da es dem verwalteten System oder seinen Abonnenten großen Schaden zufügen kann.
Die fehlerhafte Nutzung von Informationsressourcen kann, auch wenn sie genehmigt ist, zur Zerstörung, zum Verlust oder zur Gefährdung dieser Ressourcen führen.
Der unbefugte Informationsaustausch zwischen Abonnenten kann dazu führen, dass einer von ihnen Informationen erhält, zu denen ihm der Zugriff verboten ist. Die Folgen sind die gleichen wie bei einem unbefugten Zugriff.
1.3 Informationssicherheitsmethoden
Die Erstellung von Informationssicherheitssystemen basiert auf folgenden Grundsätzen:
1 Ein systematischer Ansatz zum Aufbau eines Schutzsystems, d. h. die optimale Kombination miteinander verbundener Organisations- und Programmfunktionen. Hardware, physische und andere Eigenschaften, die durch die Praxis der Schaffung in- und ausländischer Schutzsysteme bestätigt und in allen Phasen des technologischen Zyklus der Informationsverarbeitung verwendet werden.
2 Das Prinzip der kontinuierlichen Weiterentwicklung des Systems. Dieses Prinzip, das für Computerinformationssysteme eines der Grundprinzipien ist, ist für Informationssicherheitssysteme noch relevanter. Die Methoden zur Umsetzung von Informationsbedrohungen werden ständig verbessert, sodass die Gewährleistung der Sicherheit von Informationssystemen kein einmaliger Akt sein kann. Hierbei handelt es sich um einen kontinuierlichen Prozess, der darin besteht, die rationalsten Methoden, Methoden und Wege zur Verbesserung von Informationssicherheitssystemen zu konkretisieren und umzusetzen, kontinuierlich zu überwachen, Engpässe und Schwächen, potenzielle Informationsleckkanäle und neue Methoden des unbefugten Zugriffs zu identifizieren.
3 Gewährleistung der Zuverlässigkeit des Schutzsystems, d. h. der Unmöglichkeit, die Zuverlässigkeit bei Ausfällen, Ausfällen, vorsätzlichen Handlungen eines Eindringlings oder unbeabsichtigten Fehlern von Benutzern und Wartungspersonal im System zu verringern.
4 Sicherstellung der Kontrolle über die Funktionsweise des Schutzsystems, d. h. Schaffung von Mitteln und Methoden zur Überwachung der Leistung von Schutzmechanismen.
5 Bereitstellung aller Arten von Anti-Malware-Tools.
6 Sicherstellung der Wirtschaftlichkeit der Nutzung des Systems. Schutz, der sich im Überschuss des möglichen Schadens aus der Umsetzung von Bedrohungen über die Kosten für die Entwicklung und den Betrieb von Informationssicherheitssystemen ausdrückt.
Als Ergebnis der Lösung von Informationssicherheitsproblemen sollten moderne Informationssysteme die folgenden Hauptmerkmale aufweisen:
Verfügbarkeit von Informationen mit unterschiedlichem Vertraulichkeitsgrad;
Bestimmung kryptografischer Schutz Informationen unterschiedlicher Vertraulichkeit bei der Datenübertragung;
Obligatorisches Informationsflussmanagement, wie in lokale Netzwerke und bei der Übertragung über Kommunikationskanäle über große Entfernungen;
Das Vorhandensein eines Mechanismus zur Registrierung und Abrechnung unbefugter Zugriffsversuche, Ereignisse im Informationssystem und gedruckter Dokumente;
Obligatorische Gewährleistung der Integrität von Software und Informationen;
Verfügbarkeit von Mitteln zur Wiederherstellung des Informationsschutzsystems;
Obligatorische Abrechnung magnetischer Medien;
Das Vorhandensein eines physischen Schutzes von Computergeräten und magnetischen Medien;
Das Vorhandensein eines speziellen Informationssicherheitsdienstes des Systems.
Methoden und Mittel zur Gewährleistung der Informationssicherheit.
Hindernis – eine Methode, um einem Angreifer den Weg zu geschützten Informationen physisch zu versperren.
Zugriffskontrolle – Methoden zum Schutz von Informationen durch Regulierung der Nutzung aller Ressourcen. Diese Methoden müssen allen möglichen Arten des unbefugten Zugriffs auf Informationen standhalten. Die Zugangskontrolle umfasst die folgenden Sicherheitsfunktionen:
Identifizierung von Benutzern, Personal und Ressourcen des Systems (Zuweisung einer persönlichen Kennung zu jedem Objekt);
Identifizierung eines Objekts oder Subjekts anhand der ihm präsentierten Kennung;
Erlaubnis und Schaffung von Arbeitsbedingungen im Rahmen der festgelegten Vorschriften;
Registrierung von Anrufen an geschützte Ressourcen;
Reaktion auf Versuche unbefugter Handlungen.
Verschlüsselungsmechanismen – kryptografisches Verschließen von Informationen. Diese Schutzmethoden werden zunehmend sowohl bei der Verarbeitung als auch bei der Speicherung von Informationen auf magnetischen Medien eingesetzt. Bei der Übertragung von Informationen über Fernkommunikationskanäle ist diese Methode die einzig zuverlässige.
Die Abwehr von Malware-Angriffen erfordert eine Reihe verschiedener organisatorischer Maßnahmen und den Einsatz von Antivirenprogrammen.
Der gesamte Satz technischer Mittel ist in Hardware und physisch unterteilt.
Hardware – Geräte, die direkt eingebaut sind Computertechnologie oder Geräte, die über eine Standardschnittstelle damit verbunden sind.
Zu den physischen Mitteln zählen verschiedene technische Geräte und Strukturen, die das physische Eindringen von Eindringlingen in geschützte Objekte verhindern und Personal (persönliche Sicherheitsausrüstung), Sachwerte und Finanzen sowie Informationen vor illegalen Handlungen schützen.
Softwaretools sind spezielle Programme und Softwaresysteme zum Schutz von Informationen in Informationssystemen.
Aus der Software des Schutzsystems muss mehr Software herausgegriffen werden, die Verschlüsselungsmechanismen (Kryptographie) implementiert. Kryptographie ist die Wissenschaft von der Gewährleistung der Geheimhaltung und/oder Authentizität (Authentizität) übertragener Nachrichten.
Organisatorische Mittel führen durch ihre komplexe Regelung der Produktionstätigkeiten in Informationssystemen und des Verhältnisses der ausübenden Künstler auf rechtlicher Grundlage so aus, dass Offenlegung, Weitergabe und unbefugter Zugriff auf vertrauliche Informationen durch organisatorische Maßnahmen unmöglich werden oder erheblich erschwert werden.
Die Rechtsbehelfe werden durch die Gesetze des Landes bestimmt, die die Regeln für die Nutzung, Verarbeitung und Übermittlung von Informationen regeln beschränkter Zugang und Strafen für Verstöße gegen diese Regeln werden festgelegt.
Zu den moralischen und ethischen Schutzmitteln zählen alle Arten von Verhaltensnormen, die sich traditionell früher entwickelt haben, durch die Verbreitung von Informationen im Land und in der Welt entstanden oder speziell entwickelt wurden. Moralische und ethische Standards können ungeschrieben sein oder in bestimmten Regeln oder Vorschriften festgelegt sein. Diese Normen sind in der Regel nicht gesetzlich anerkannt, da ihre Nichteinhaltung jedoch zu einem Ansehensverlust der Organisation führt, gelten sie als verbindlich.
2. Designteil
Im Designteil müssen folgende Schritte durchgeführt werden:
1 Definieren Sie das Konzept eines Computervirus und die Klassifizierung von Computerviren.
2 Definieren Sie das Konzept eines Antivirenprogramms und die Klassifizierung von Antiviren-Tools.
3 Führen Sie eine vergleichende Analyse der Antivirenpakete durch.
2.1 Klassifizierung von Computerviren
Ein Virus ist ein Programm, das andere Programme infizieren kann, indem es in ihnen eine modifizierte Kopie einfügt, die sich weiter reproduzieren lässt.
Viren können nach folgenden Hauptmerkmalen in Klassen eingeteilt werden:
Zerstörerische Möglichkeiten
Merkmale des Arbeitsalgorithmus;
Lebensraum;
Aufgrund ihrer zerstörerischen Fähigkeiten können Viren in folgende Gruppen eingeteilt werden:
Unbedenklich, das heißt, es beeinträchtigt in keiner Weise den Betrieb des Computers (außer der Reduzierung des freien Speicherplatzes infolge seiner Verteilung);
Ungefährlich, dessen Auswirkungen sich auf eine Verringerung des freien Speicherplatzes sowie Grafik-, Ton- und andere Effekte beschränken;
Gefährliche Viren, die schwere Computerstörungen verursachen können;
Sehr gefährlich, dessen Algorithmus bewusst auf Verfahren basiert, die zum Verlust von Programmen, zur Zerstörung von Daten und zum Löschen der für den Betrieb des Computers erforderlichen Informationen führen können, die in Systemspeicherbereichen gespeichert sind
Merkmale des Virenalgorithmus können durch die folgenden Eigenschaften charakterisiert werden:
Residenz;
Verwendung von Stealth-Algorithmen;
Polymorphismus;
Residente Viren.
Der Begriff „Residency“ bezieht sich auf die Fähigkeit von Viren, ihre Kopien im Systemspeicher zu belassen, bestimmte Ereignisse abzufangen und dadurch Prozeduren zur Infektion erkannter Objekte (Dateien und Sektoren) aufzurufen. Somit sind residente Viren nicht nur aktiv, während das infizierte Programm ausgeführt wird, sondern auch, nachdem das Programm seine Arbeit beendet hat. Residente Kopien solcher Viren bleiben bis zum nächsten Neustart funktionsfähig, selbst wenn alle infizierten Dateien auf der Festplatte zerstört werden. Es ist oft unmöglich, solche Viren zu entfernen, indem alle Dateikopien von Distributionsdisketten oder Sicherungskopien wiederhergestellt werden. Die residente Kopie des Virus bleibt aktiv und infiziert neu erstellte Dateien. Das Gleiche gilt für Boot-Viren – das Formatieren eines Laufwerks, während sich ein residenter Virus im Speicher befindet, heilt das Laufwerk nicht immer, da viele residente Viren das Laufwerk nach der Formatierung erneut infizieren.
nicht residente Viren. Im Gegensatz dazu sind gebietsfremde Viren nur für kurze Zeit aktiv – nämlich nur in dem Moment, in dem das infizierte Programm gestartet wird. Für ihre Verteilung suchen sie nach nicht infizierten Dateien auf der Festplatte und schreiben darauf. Nachdem der Virencode die Kontrolle an das Host-Programm übergeben hat, wird die Auswirkung des Virus auf den Betrieb des Betriebssystems bis zum nächsten Start eines infizierten Programms auf Null reduziert. Daher lassen sich Dateien, die mit nicht residenten Viren infiziert sind, viel einfacher von der Festplatte entfernen und verhindern gleichzeitig, dass der Virus sie erneut infiziert.
Stealth-Viren. Stealth-Viren verbergen auf die eine oder andere Weise ihre Präsenz im System. Durch den Einsatz von Stealth-Algorithmen können sich Viren ganz oder teilweise im System verstecken. Der gebräuchlichste Stealth-Algorithmus besteht darin, Betriebssystemanforderungen zum Lesen (Schreiben) infizierter Objekte abzufangen. Gleichzeitig heilen Stealth-Viren sie entweder vorübergehend oder „ersetzen“ nicht infizierte Informationen an ihrer Stelle. Bei Makroviren besteht die beliebteste Methode darin, Aufrufe des Makroansichtsmenüs zu deaktivieren. Es sind Stealth-Viren aller Art bekannt, mit Ausnahme von Windows-Viren – Bootviren, DOS-Dateiviren und sogar Makroviren. Die Entstehung von Stealth-Viren, die infizieren Windows-Dateien, ist höchstwahrscheinlich eine Frage der Zeit.
Polymorphe Viren. Selbstverschlüsselung und Polymorphie werden von fast allen Arten von Viren genutzt, um den Virenerkennungsvorgang so weit wie möglich zu erschweren. Polymorphe Viren sind eher schwer zu erkennende Viren, die keine Signaturen haben, das heißt, sie enthalten keinen einzigen permanenten Code. In den meisten Fällen weisen zwei Proben desselben polymorphen Virus keine einzige Übereinstimmung auf. Dies wird durch die Verschlüsselung des Hauptkörpers des Virus und die Änderung des Entschlüsselungsprogramms erreicht.
Zu den polymorphen Viren zählen solche, die nicht mithilfe der sogenannten Virenmasken erkannt werden können – Abschnitte eines permanenten Codes, die für einen bestimmten Virus spezifisch sind. Dies wird im Wesentlichen auf zwei Arten erreicht: durch Verschlüsselung des Hauptvirencodes mit einem nicht permanenten Aufruf und einem zufälligen Satz von Entschlüsselungsbefehlen oder durch Änderung des tatsächlich ausgeführten Virencodes. Polymorphismus unterschiedlicher Komplexität findet sich bei Viren aller Art, von Boot- und Datei-DOS-Viren bis hin zu Windows-Viren.
Je nach Lebensraum können Viren unterteilt werden in:
Datei;
Stiefel;
Makroviren;
Netzwerk.
Dateiviren. Dateiviren infiltrieren entweder auf verschiedene Weise ausführbare Dateien, erstellen doppelte Dateien (Begleitviren) oder nutzen Funktionen zur Dateisystemorganisation (Linkviren).
Die Einschleppung eines Dateivirus ist in fast allen Fällen möglich ausführbare Dateien alle gängigen Betriebssysteme. Bisher sind Viren bekannt, die alle Arten von standardmäßigen ausführbaren DOS-Objekten infizieren: Batchdateien (BAT), ladbare Treiber (SYS, einschließlich der Spezialdateien IO.SYS und MSDOS.SYS) und ausführbare Binärdateien (EXE, COM). Es gibt Viren, die ausführbare Dateien anderer Betriebssysteme infizieren – Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, einschließlich Windows 3.x und Windows95 VxD-Treiber.
Es gibt Viren, die Dateien infizieren, die enthalten Quellcode Programme, Bibliotheken oder Objektmodule. Es ist möglich, dass ein Virus in Datendateien schreibt, dies geschieht jedoch entweder aufgrund eines Virenfehlers oder wenn seine aggressiven Eigenschaften zum Vorschein kommen. Makroviren schreiben ihren Code auch in Datendateien wie Dokumente oder Tabellenkalkulationen, diese Viren sind jedoch so spezifisch, dass sie in eine separate Gruppe eingeordnet werden.
Bootviren. Bootviren infizieren den Bootsektor einer Diskette und den Bootsektor oder Master Boot Record (MBR) einer Festplatte. Das Funktionsprinzip von Boot-Viren basiert auf den Algorithmen zum Starten des Betriebssystems beim Einschalten oder Neustarten des Computers – nach den notwendigen Tests der installierten Geräte (Speicher, Festplatten usw.) liest das System-Boot-Programm das erste physischer Sektor Boot-Diskette(A:, C: oder CD-ROM, abhängig von den im BIOS-Setup eingestellten Optionen) und überträgt die Kontrolle darauf.
Bei einer Diskette oder CD übernimmt der Bootsektor die Steuerung, der die Festplattenparametertabelle (BPB – BIOS Parameter Block) analysiert, die Adressen der Betriebssystemdateien berechnet, sie in den Speicher einliest und zur Ausführung startet. Systemdateien sind normalerweise MSDOS.SYS und IO.SYS oder IBMDOS.COM und IBMBIO.COM oder andere, je nachdem installierte Version DOS, Windows oder andere Betriebssysteme. Wenn auf der Bootdiskette keine Betriebssystemdateien vorhanden sind, zeigt das im Bootsektor der Diskette befindliche Programm eine Fehlermeldung an und schlägt vor, die Bootdiskette auszutauschen.
Bei einer Festplatte übernimmt ein Programm die Steuerung, das sich im MBR der Festplatte befindet. Dieses Programm analysiert die Festplattenpartitionstabelle (Disk Partition Table), berechnet die Adresse des aktiven Bootsektors (normalerweise ist dieser Sektor der Bootsektor von Festplatte C), lädt ihn in den Speicher und überträgt die Kontrolle darauf. Nachdem er die Kontrolle erhalten hat, wird der aktive Der Bootsektor der Festplatte führt die gleichen Aktionen aus wie der Bootsektor der Diskette.
Beim Infizieren von Festplatten „ersetzen“ Bootviren ihren Code durch ein Programm, das beim Systemstart die Kontrolle übernimmt. Somit ist das Infektionsprinzip bei allen oben beschriebenen Methoden dasselbe: Der Virus „zwingt“ das System beim Neustart, in den Speicher einzulesen und die Kontrolle nicht an den ursprünglichen Bootloader-Code, sondern an den Virencode zu übergeben.
Disketten werden mit der einzigen bekannten Methode infiziert: Der Virus schreibt seinen eigenen Code anstelle des ursprünglichen Bootsektorcodes der Diskette. Die Festplatte wird auf drei mögliche Arten infiziert: Der Virus wird entweder anstelle des MBR-Codes oder anstelle des Bootsektorcodes der Bootdiskette (normalerweise Laufwerk C) geschrieben oder er ändert die Adresse des aktiven Bootsektors auf der Festplatte Partitionstabelle im MBR der Festplatte.
Makroviren. Makroviren infizieren Dateien – Dokumente und Tabellenkalkulationen mehrerer beliebter Editoren. Makroviren sind Programme in Sprachen (Makrosprachen), die in einige Datenverarbeitungssysteme integriert sind. Solche Viren nutzen für ihre Reproduktion die Fähigkeiten von Makrosprachen und übertragen sich mit ihrer Hilfe von einer infizierten Datei auf andere. Am weitesten verbreitet sind Makroviren für Microsoft Word, Excel und Office97. Es gibt auch Makroviren, die Ami Pro-Dokumente und Microsoft Access-Datenbanken infizieren.
Netzwerkviren. Zu den Netzwerkviren zählen Viren, die für ihre Verbreitung aktiv die Protokolle und Fähigkeiten lokaler und globaler Netzwerke nutzen. Das Hauptprinzip eines Netzwerkvirus ist die Fähigkeit, seinen Code unabhängig zu übertragen Remote-Server oder Arbeitsplatz. Gleichzeitig haben „vollwertige“ Netzwerkviren auch die Möglichkeit, ihren Code zu starten entfernter Computer oder den Benutzer zumindest dazu „drängen“, die infizierte Datei auszuführen. Ein Beispiel für Netzwerkviren sind die sogenannten IRC-Würmer.
IRC (Internet Relay Chat) ist ein spezielles Protokoll, das für die Echtzeitkommunikation zwischen Internetnutzern entwickelt wurde. Dieses Protokoll bietet ihnen die Möglichkeit, mithilfe speziell entwickelter Software im Internet zu „sprechen“. Zusätzlich zur Teilnahme an Generalkonferenzen haben IRC-Benutzer die Möglichkeit, mit jedem anderen Benutzer einzeln zu chatten. Darüber hinaus gibt es eine recht große Anzahl von IRC-Befehlen, mit denen der Benutzer Informationen über andere Benutzer und Kanäle abrufen, einige Einstellungen des IRC-Clients ändern usw. kann. Es gibt auch die Möglichkeit, Dateien zu senden und zu empfangen, auf der IRC-Würmer basieren. Das leistungsstarke und umfangreiche Befehlssystem von IRC-Clients ermöglicht es, auf Basis ihrer Skripte Computerviren zu erstellen, die ihren Code auf die Computer von Benutzern von IRC-Netzwerken übertragen, die sogenannten „IRC-Würmer“. Das Funktionsprinzip solcher IRC-Würmer ist ungefähr das gleiche. Mit Hilfe von IRC-Befehlen wird von einem infizierten Computer automatisch eine Arbeitsskriptdatei (Skript) an jeden Benutzer gesendet, der dem Kanal erneut beigetreten ist. Die gesendete Skriptdatei ersetzt die Standarddatei und während der nächsten Sitzung sendet der neu infizierte Client den Wurm aus. Einige IRC-Würmer enthalten auch eine Trojaner-Komponente: Sie führen mithilfe bestimmter Schlüsselwörter zerstörerische Aktionen auf den betroffenen Computern aus. Beispielsweise löscht der Wurm „pIRCH.Events“ mit einem bestimmten Befehl alle Dateien auf der Festplatte des Benutzers.
Es gibt eine Vielzahl von Kombinationen – zum Beispiel File-Boot-Viren, die sowohl Dateien als auch Bootsektoren von Festplatten infizieren. Solche Viren verfügen in der Regel über einen recht komplexen Arbeitsalgorithmus, nutzen oft originelle Methoden zum Eindringen in das System, nutzen Stealth- und polymorphe Technologien. Ein weiteres Beispiel für eine solche Kombination ist ein Netzwerkmakrovirus, der nicht nur bearbeitete Dokumente infiziert, sondern auch Kopien von sich selbst per E-Mail versendet.
Zusätzlich zu dieser Klassifizierung sollten noch einige Worte zu anderer Malware gesagt werden, die manchmal mit Viren verwechselt wird. Diese Programme verfügen nicht wie Viren über die Fähigkeit, sich selbst zu verbreiten, können aber ebenso verheerenden Schaden anrichten.
Trojanische Pferde (Logikbomben oder Zeitbomben).
Zu den Trojanischen Pferden zählen Programme, die destruktive Aktionen ausführen, d. h. je nach Bedingungen oder bei jedem Start Informationen auf Festplatten zerstören, das System „schweben“ lassen usw. Als Beispiel kann man einen solchen Fall anführen – wenn ein solches Programm während einer Sitzung im Internet seine Autorenkennungen und Passwörter von den Computern sendete, auf denen es lebte. Die meisten der bekannten Trojaner sind Programme, die etwas „fälschen“. nützliche Programme, neue Versionen beliebter Dienstprogramme oder Ergänzungen dazu. Sehr oft werden sie an BBS-Stationen oder elektronische Konferenzen gesendet. Im Vergleich zu Viren werden „Trojanische Pferde“ aus folgenden Gründen nicht häufig eingesetzt: Sie zerstören sich entweder selbst zusammen mit den übrigen Daten auf der Festplatte oder enttarnen ihre Anwesenheit und zerstören den betroffenen Benutzer.
2.2 Das Konzept eines Antivirenprogramms
Möglichkeiten zur Bekämpfung von Computerviren lassen sich in mehrere Gruppen einteilen:
Vorbeugung einer Virusinfektion und Verringerung des erwarteten Schadens durch eine solche Infektion;
Methodik zur Verwendung von Antivirenprogrammen, einschließlich der Neutralisierung und Entfernung eines bekannten Virus;
Möglichkeiten zum Erkennen und Entfernen eines unbekannten Virus.
Prävention von Computerinfektionen.
Eine der wichtigsten Methoden zur Virenbekämpfung ist, wie in der Medizin, die rechtzeitige Vorbeugung. Zur Computerprävention gehört die Einhaltung einer kleinen Anzahl von Regeln, die die Wahrscheinlichkeit einer Virusinfektion und eines Datenverlusts erheblich verringern können.
Um die Grundregeln der Computer-„Hygiene“ festzulegen, ist es notwendig, die Hauptwege herauszufinden, über die ein Virus in einen Computer und Computernetzwerke eindringt.
Die Hauptquelle von Viren ist heute das globale Internet. Die meisten Virusinfektionen treten beim Austausch von Briefen im Word/Office97-Format auf. Der Benutzer eines mit einem Makrovirus infizierten Editors sendet, ohne es zu ahnen, infizierte Briefe an Empfänger, die wiederum neue infizierte Briefe senden usw. Der Kontakt mit verdächtigen Informationsquellen sollte vermieden und nur legale (lizenzierte) Softwareprodukte verwendet werden.
Wiederherstellung beschädigter Objekte.
In den meisten Fällen einer Virusinfektion besteht das Verfahren zur Wiederherstellung infizierter Dateien und Datenträger darin, ein geeignetes Antivirenprogramm auszuführen, das das System neutralisieren kann. Wenn der Virus keinem Antivirenprogramm bekannt ist, reicht es aus, die infizierte Datei an den Antivirenhersteller zu senden und nach einer Weile ein „Update“-Medikament gegen den Virus zu erhalten. Wenn die Zeit nicht wartet, muss das Virus selbst neutralisiert werden. Die meisten Benutzer müssen haben Backups Ihre Informationen.
Allgemeine Informationssicherheitstools dienen nicht nur dem Schutz vor Viren. Es gibt zwei Haupttypen dieser Fonds:
1 Informationen kopieren – Kopien von Dateien und Systembereichen von Festplatten erstellen.
2 Die Zugangskontrolle verhindert die unbefugte Nutzung von Informationen, insbesondere den Schutz vor Veränderungen von Programmen und Daten durch Viren, fehlerhaften Programmen und fehlerhaften Handlungen von Benutzern.
Die rechtzeitige Erkennung vireninfizierter Dateien und Datenträger sowie die vollständige Zerstörung erkannter Viren auf jedem Computer tragen dazu bei, die Ausbreitung einer Virenepidemie auf andere Computer zu verhindern.
Die wichtigste Waffe im Kampf gegen Viren sind Antivirenprogramme. Sie ermöglichen nicht nur die Erkennung von Viren, einschließlich Viren, die verschiedene Maskierungsmethoden verwenden, sondern auch deren Entfernung vom Computer.
Es gibt mehrere grundlegende Virenscanmethoden, die von Antivirenprogrammen verwendet werden. Die traditionellste Methode zum Auffinden von Viren ist das Scannen.
Um Computerviren zu erkennen, zu entfernen und vor ihnen zu schützen, wurden verschiedene Arten von Spezialprogrammen entwickelt, mit denen Sie Viren erkennen und zerstören können. Solche Programme werden Antivirenprogramme genannt.
2.3 Arten von Antiviren-Tools
Programme-Detektoren. Detektorprogramme suchen nach einer Signatur, die für einen bestimmten Virus charakteristisch ist Arbeitsspeicher Sowohl in Dateien als auch bei Entdeckung geben sie eine entsprechende Meldung aus. Der Nachteil solcher Antivirenprogramme besteht darin, dass sie nur Viren finden können, die den Entwicklern solcher Programme bekannt sind.
Arztprogramme. Arztprogramme oder Phagen sowie Impfprogramme finden nicht nur mit Viren infizierte Dateien, sondern „heilen“ sie auch, das heißt, sie entfernen den Hauptteil des Virenprogramms aus der Datei und versetzen die Dateien in ihren ursprünglichen Zustand zurück. Zu Beginn ihrer Arbeit suchen Phagen im RAM nach Viren, zerstören diese und beginnen erst dann mit der „Behandlung“ der Dateien. Unter den Phagen werden Polyphagen unterschieden, also Arztprogramme, die eine große Anzahl von Viren suchen und zerstören sollen. Die bekanntesten davon sind: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.
Da ständig neue Viren auftauchen, veralten Erkennungs- und Arztprogramme schnell und erfordern regelmäßige Updates.
Auditor-Programme (Inspektoren) gehören zu den zuverlässigsten Mitteln zum Schutz vor Viren.
Auditoren (Inspektoren) überprüfen die Daten auf der Festplatte auf unsichtbare Viren. Darüber hinaus darf der Inspektor nicht über die Mittel des Betriebssystems auf Datenträger zugreifen, was bedeutet, dass ein aktiver Virus diesen Zugriff nicht abfangen kann.
Tatsache ist, dass eine Reihe von Viren, die Dateien infiltrieren (d. h. an das Ende oder den Anfang der Datei anhängen), die Einträge zu dieser Datei in den Dateizuordnungstabellen unseres Betriebssystems ersetzen.
Prüfer (Inspektoren) merken sich den Ausgangszustand von Programmen, Verzeichnissen und Systembereichen der Festplatte, wenn der Computer nicht mit einem Virus infiziert ist, und vergleichen dann regelmäßig oder auf Wunsch des Benutzers den aktuellen Zustand mit dem Originalzustand. Die erkannten Änderungen werden auf dem Monitorbildschirm angezeigt. Der Zustandsvergleich erfolgt in der Regel unmittelbar nach dem Laden des Betriebssystems. Beim Vergleich werden die Dateilänge, der zyklische Steuercode (Dateiprüfsumme), Datum und Uhrzeit der Änderung sowie weitere Parameter überprüft. Programmprüfer (Inspektoren) verfügen über ausreichend entwickelte Algorithmen, erkennen Stealth-Viren und können sogar Änderungen in der Version des überprüften Programms von den durch den Virus vorgenommenen Änderungen bereinigen.
Es ist notwendig, den Auditor (Inspektor) zu starten, wenn der Computer noch nicht infiziert ist, damit er im Stammverzeichnis jeder Festplatte eine Tabelle mit allen erforderlichen Informationen zu den Dateien auf dieser Festplatte erstellen kann über seinen Boot-Bereich. Für die Erstellung jeder Tabelle wird eine Genehmigung eingeholt. Bei den nächsten Starts durchsucht der Auditor (Inspektor) die Datenträger und vergleicht die Daten zu jeder Datei mit ihren eigenen Datensätzen.
Wenn Infektionen festgestellt werden, kann der Prüfer (Inspektor) sein eigenes Heilungsmodul verwenden, das die durch den Virus beschädigte Datei wiederherstellt. Um Dateien wiederherzustellen, muss der Inspektor nichts über einen bestimmten Virentyp wissen, es reicht aus, die in den Tabellen gespeicherten Daten zu den Dateien zu verwenden.
Darüber hinaus kann bei Bedarf ein Virenscanner aufgerufen werden.
Filterprogramme (Monitore). Filterprogramme (Monitore) oder „Watchmen“ sind kleine residente Programme, die dazu dienen, verdächtige Aktionen während des Computerbetriebs zu erkennen, die für Viren charakteristisch sind. Solche Aktionen können sein:
Versucht, Dateien mit den Erweiterungen COM, EXE zu korrigieren;
Dateiattribute ändern;
Direktes Schreiben auf die Festplatte an der absoluten Adresse;
Schreiben in die Bootsektoren der Festplatte;
Wenn ein Programm versucht, die angegebenen Aktionen auszuführen, sendet der „Wächter“ eine Nachricht an den Benutzer und bietet an, die entsprechende Aktion zu verbieten oder zuzulassen. Filterprogramme sind sehr nützlich, da sie in der Lage sind, einen Virus im frühesten Stadium seiner Existenz vor der Reproduktion zu erkennen. Allerdings „heilen“ sie keine Dateien und Festplatten. Um Viren zu zerstören, müssen Sie andere Programme verwenden, beispielsweise Phagen.
Impfstoffe oder Immunisierungsmittel. Impfstoffe sind residente Programme, die eine Dateiinfektion verhindern. Impfstoffe werden eingesetzt, wenn es keine Arztprogramme gibt, die dieses Virus „behandeln“. Eine Impfung ist nur gegen bekannte Viren möglich. Der Impfstoff verändert das Programm oder die Festplatte so, dass ihre Arbeit dadurch nicht beeinträchtigt wird und der Virus sie als infiziert wahrnimmt und daher keine Wurzeln schlägt. Impfprogramme sind derzeit von begrenztem Nutzen.
Scanner. Das Funktionsprinzip von Antivirenscannern basiert darauf, Dateien, Sektoren und Systemspeicher zu scannen und darin nach bekannten und neuen (dem Scanner unbekannten) Viren zu suchen. Zur Suche nach bekannten Viren werden sogenannte „Masken“ verwendet. Eine Virenmaske ist eine konstante Codesequenz, die für diesen bestimmten Virus spezifisch ist. Wenn der Virus keine permanente Maske enthält oder die Länge dieser Maske nicht groß genug ist, werden andere Methoden verwendet. Ein Beispiel für eine solche Methode ist eine algorithmische Sprache, die alle möglichen Codevarianten beschreibt, die bei einer Infektion mit diesem Virustyp auftreten können. Dieser Ansatz wird von einigen Antivirenprogrammen verwendet, um polymorphe Viren zu erkennen. Scanner können auch in zwei Kategorien unterteilt werden – „universell“ und „spezialisiert“. Universelle Scanner dienen dazu, alle Arten von Viren zu suchen und zu neutralisieren, unabhängig vom Betriebssystem, für das der Scanner konzipiert ist. Spezialisierte Scanner sind darauf ausgelegt, eine begrenzte Anzahl von Viren oder nur eine Klasse davon, beispielsweise Makroviren, zu neutralisieren. Spezialisierte Scanner, die nur für Makroviren entwickelt wurden, erweisen sich häufig als die bequemste und zuverlässigste Lösung zum Schutz von Workflow-Systemen in MSWord- und MSExcel-Umgebungen.
Scanner werden außerdem in „Resident“ (Überwacher, Wächter) unterteilt, die „im laufenden Betrieb“ scannen, und „Nicht-Resident“, die Systemprüfungen nur auf Anfrage durchführen. „Residente“ Scanner bieten in der Regel einen zuverlässigeren Systemschutz, da sie sofort auf das Auftreten eines Virus reagieren, während ein „nicht residenter“ Scanner einen Virus erst beim nächsten Start identifizieren kann. Andererseits kann ein residenter Scanner den Computer etwas verlangsamen, auch aufgrund möglicher Fehlalarme.
Zu den Vorteilen von Scannern aller Art zählt ihre Vielseitigkeit, zu den Nachteilen gehört die relativ geringe Geschwindigkeit der Virensuche.
CRC-Scanner. Das Funktionsprinzip von CRC-Scannern basiert auf der Berechnung von CRC-Summen (Prüfsummen) für auf der Festplatte vorhandene Dateien/Systemsektoren. Diese CRC-Summen werden dann zusammen mit einigen anderen Informationen in der Antiviren-Datenbank gespeichert: Dateilängen, Datum der letzten Änderung usw. Wenn CRC-Scanner das nächste Mal ausgeführt werden, überprüfen sie die in der Datenbank enthaltenen Daten mit den tatsächlich gezählten Werten. Wenn die in der Datenbank erfassten Dateiinformationen nicht mit den tatsächlichen Werten übereinstimmen, signalisieren CRC-Scanner, dass die Datei geändert oder mit einem Virus infiziert wurde. CRC-Scanner mit Anti-Stealth-Algorithmen sind eine ziemlich starke Waffe gegen Viren: Fast 100 % der Viren werden fast unmittelbar nach ihrem Auftreten auf einem Computer erkannt. Diese Art von Antivirenprogramm weist jedoch einen inhärenten Fehler auf, der ihre Wirksamkeit erheblich verringert. Dieser Nachteil besteht darin, dass CRC-Scanner einen Virus nicht sofort erkennen können, wenn er im System auftritt, sondern dies erst nach einiger Zeit tun, nachdem sich der Virus im Computer ausgebreitet hat. CRC-Scanner können einen Virus in neuen Dateien (in E-Mails, auf Disketten, in aus einem Backup wiederhergestellten Dateien oder beim Entpacken von Dateien aus einem Archiv) nicht erkennen, da ihre Datenbanken keine Informationen über diese Dateien enthalten. Darüber hinaus tauchen regelmäßig Viren auf, die diese „Schwäche“ von CRC-Scannern ausnutzen, nur neu erstellte Dateien infizieren und somit für diese unsichtbar bleiben.
Blocker. Blocker sind residente Programme, die „virengefährliche“ Situationen abfangen und den Benutzer darüber informieren. Zu den „virengefährlich“ zählen Aufrufe von open zum Schreiben in ausführbare Dateien, Schreiben in die Bootsektoren von Datenträgern oder den MBR einer Festplatte, Versuche von Programmen, resident zu bleiben usw., also Aufrufe, die typisch für Viren sind in den Momenten der Reproduktion. Manchmal sind einige Blockerfunktionen in residenten Scannern implementiert.
Zu den Vorteilen von Blockern gehört ihre Fähigkeit, das Virus im frühesten Stadium seiner Vermehrung zu erkennen und zu stoppen. Zu den Nachteilen gehören die Möglichkeit, den Schutz von Blockern zu umgehen, und eine große Anzahl falsch positiver Ergebnisse.
Es ist auch notwendig, eine solche Richtung von Antiviren-Tools wie Antiviren-Blockern zu beachten, die in Form von Computer-Hardwarekomponenten hergestellt werden. Am gebräuchlichsten ist der im BIOS integrierte Schreibschutz im MBR der Festplatte. Wie bei Softwareblockern kann dieser Schutz jedoch leicht umgangen werden, indem direkt auf die Ports des Festplattencontrollers geschrieben wird, und die Ausführung des DOS-Dienstprogramms FDISK führt sofort zu einem „falsch positiven“ Schutz.
Es gibt mehrere universellere Hardware-Blocker, aber zu den oben aufgeführten Nachteilen kommen auch Kompatibilitätsprobleme mit Standard-Computerkonfigurationen und Schwierigkeiten bei deren Installation und Konfiguration. All dies macht Hardwareblocker im Vergleich zu anderen Arten des Virenschutzes äußerst unbeliebt.
2.4 Vergleich von Antivirenpaketen
Egal welches Informationssystem geschützt werden muss, ist der wichtigste Parameter beim Vergleich von Antivirenprogrammen die Fähigkeit, Viren und andere Malware zu erkennen.
Obwohl dieser Parameter wichtig ist, ist er keineswegs der einzige.
Tatsache ist, dass die Wirksamkeit eines Antivirenschutzsystems nicht nur von seiner Fähigkeit, Viren zu erkennen und zu neutralisieren, sondern auch von vielen anderen Faktoren abhängt.
Ein Antivirenprogramm sollte einfach zu bedienen sein, ohne den Computerbenutzer von der Erfüllung seiner direkten Aufgaben abzulenken. Wenn das Antivirenprogramm den Benutzer mit anhaltenden Anfragen und Nachrichten nervt, wird es früher oder später deaktiviert. Die Antiviren-Oberfläche sollte benutzerfreundlich und verständlich sein, da nicht alle Benutzer über umfassende Erfahrung mit Computerprogrammen verfügen. Ohne die Bedeutung der auf dem Bildschirm angezeigten Meldung zu verstehen, kann es auch bei installiertem Antivirenprogramm unbeabsichtigt zu einer Virusinfektion kommen.
Die bequemste Art des Virenschutzes besteht darin, alle geöffneten Dateien zu scannen. Wenn das Antivirenprogramm in diesem Modus nicht funktionieren kann, muss der Benutzer jeden Tag einen Scan aller Festplatten durchführen, um neu auftretende Viren zu erkennen. Dieser Vorgang kann mehrere zehn Minuten oder sogar Stunden dauern, wenn es sich um große Festplatten handelt, die beispielsweise auf einem Server installiert sind.
Da jeden Tag neue Viren auftauchen, ist es notwendig, die Antiviren-Datenbank regelmäßig zu aktualisieren. Andernfalls ist die Wirksamkeit des Virenschutzes sehr gering. Moderne Antivirenprogramme können nach entsprechender Konfiguration Antivirendatenbanken automatisch über das Internet aktualisieren, ohne Benutzer und Administratoren mit dieser Routinearbeit abzulenken.
Beim Schutz eines großen Unternehmensnetzwerks steht ein Antiviren-Vergleichsparameter wie das Vorhandensein eines Netzwerkkontrollzentrums im Vordergrund. Wenn ein Unternehmensnetzwerk Hunderte und Tausende von Arbeitsplätzen, Dutzende und Hunderte von Servern vereint, ist es praktisch unmöglich, einen wirksamen Virenschutz ohne ein Netzwerkkontrollzentrum zu organisieren. Ein oder mehrere Systemadministratoren werden nicht in der Lage sein, alle Arbeitsstationen und Server zu umgehen, indem sie darauf Antivirenprogramme installieren und konfigurieren. Dafür sind Technologien erforderlich, die eine zentrale Installation und Konfiguration von Antivirenprogrammen auf allen Computern in einem Unternehmensnetzwerk ermöglichen.
Der Schutz von Internet-Hosts wie Mailservern und Messaging-Servern erfordert den Einsatz spezieller Antiviren-Tools. Herkömmliche Antivirenprogramme zum Scannen von Dateien sind nicht in der Lage, bösartigen Code in den Datenbanken von Messaging-Servern oder im Datenstrom, der über Mailserver läuft, zu finden.
Normalerweise werden beim Vergleich antiviraler Wirkstoffe weitere Faktoren berücksichtigt. Staatliche Institutionen bevorzugen unter sonst gleichen Bedingungen möglicherweise im Inland hergestellte Antivirenprogramme, die über alle erforderlichen Zertifikate verfügen. Auch der Ruf, den das eine oder andere Antiviren-Tool bei Computerbenutzern und Systemadministratoren genießt, spielt eine wichtige Rolle. Auch persönliche Vorlieben können bei der Wahl eine wichtige Rolle spielen.
Um die Vorteile ihrer Produkte nachzuweisen, nutzen Antiviren-Entwickler häufig die Ergebnisse unabhängiger Tests. Gleichzeitig verstehen Anwender oft nicht, was genau und wie in diesem Test überprüft wurde.
In dieser Arbeit wurden die derzeit gängigsten Antivirenprogramme einer vergleichenden Analyse unterzogen, nämlich: Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft.
Eines der ersten, das Antivirenprodukte testete, war das britische Magazin Virus Bulletin. Die ersten auf ihrer Website veröffentlichten Tests stammen aus dem Jahr 1998. Der Test basiert auf der WildList-Malware-Sammlung. Um den Test erfolgreich zu bestehen, ist es notwendig, alle Viren in dieser Sammlung zu identifizieren und eine Falsch-Positiv-Rate von Null bei der Sammlung „sauberer“ Protokolldateien nachzuweisen. Mehrmals im Jahr werden verschiedene Tests durchgeführt Betriebssysteme; Produkte, die den Test erfolgreich bestehen, erhalten die VB100%-Auszeichnung. Abbildung 1 zeigt, wie viele VB100%-Auszeichnungen die Produkte verschiedener Antiviren-Unternehmen erhalten haben.
Natürlich kann das Virus Bulletin-Magazin als ältester Antiviren-Tester bezeichnet werden, aber der Status des Patriarchen bewahrt ihn nicht vor der Kritik der Antiviren-Community. Erstens enthält WildList nur Viren und Würmer und ist nur für die Windows-Plattform geeignet. Zweitens enthält die WildList-Sammlung eine kleine Anzahl Schadprogramme und wird sehr langsam wieder aufgefüllt: Pro Monat erscheinen nur ein paar Dutzend neue Viren in der Sammlung, während beispielsweise die AV-Test-Sammlung mit mehreren Dutzend oder sogar Hunderten aufgefüllt wird Tausende Kopien schädlicher Software in dieser Zeit. .
All dies deutet darauf hin, dass die WildList-Sammlung in ihrer jetzigen Form veraltet ist und nicht die tatsächliche Situation mit Viren im Internet widerspiegelt. Dadurch werden Tests, die auf der WildList-Sammlung basieren, immer sinnloser. Sie sind gut für die Werbung für Produkte, die sie bestanden haben, aber sie spiegeln nicht wirklich die Qualität des Virenschutzes wider.
Abbildung 1 – Die Anzahl der erfolgreich bestandenen VB-Tests zu 100 %
Unabhängige Forschungslabore wie AV-Comparatives und AV-Tests testen Antivirenprodukte zweimal im Jahr auf Malware-Erkennung bei Bedarf. Gleichzeitig enthalten die getesteten Sammlungen bis zu eine Million Schadprogramme und werden regelmäßig aktualisiert. Die Testergebnisse werden auf den Websites dieser Organisationen (www.AV-Comparatives.org, www.AV-Test.org) und in den bekannten Computerzeitschriften PC World, PC Welt veröffentlicht. Nachfolgend werden die Ergebnisse der nächsten Tests vorgestellt:
Abbildung 2 – Gesamt-Malware-Erkennungsrate laut AV-Test
Wenn wir über die gängigsten Produkte sprechen, dann sind nach den Ergebnissen dieser Tests nur Lösungen von Kaspersky Lab und Symantec unter den ersten drei. Besondere Aufmerksamkeit verdient Avira, der Spitzenreiter in den Tests.
Tests der Forschungslabore AV-Comparatives und AV-Test sowie alle anderen Tests haben ihre Vor- und Nachteile. Der Vorteil besteht darin, dass die Tests an großen Sammlungen von Malware durchgeführt werden und dass diese Sammlungen eine große Vielfalt an Malware-Typen repräsentieren. Der Nachteil besteht darin, dass diese Sammlungen nicht nur „frische“, sondern auch relativ alte Malware-Beispiele enthalten. In der Regel werden Proben verwendet, die innerhalb der letzten sechs Monate gesammelt wurden. Darüber hinaus analysieren diese Tests die Ergebnisse harte Kontrollen Bei Bedarf lädt der Benutzer infizierte Dateien aus dem Internet herunter oder erhält sie als E-Mail-Anhang. Es ist wichtig, solche Dateien genau in dem Moment zu erkennen, in dem sie auf dem Computer des Benutzers erscheinen.
Eines der ältesten britischen Computermagazine – PC Pro – hat den Versuch unternommen, eine Testmethodik zu entwickeln, die dieses Problem nicht aufweist. Ihr Test nutzte eine Sammlung von Malware, die zwei Wochen vor dem Test im Datenverkehr über die Server von MessageLabs entdeckt worden war. MessageLabs bietet seinen Kunden Dienste zum Filtern verschiedener Arten von Datenverkehr an und seine Schadprogrammsammlung spiegelt die Situation bei der Verbreitung von Computerviren im Web wider.
Das Protokollteam von PC Pro scannte nicht nur infizierte Dateien, sondern simulierte Benutzeraktionen: Infizierte Dateien wurden als Anhänge an E-Mails angehängt und diese E-Mails wurden von dort auf einen Computer heruntergeladen Antivirenprogramm installiert. Darüber hinaus wurden mit Hilfe speziell geschriebener Skripte infizierte Dateien von einem Webserver heruntergeladen, also das Surfen des Benutzers im Internet simuliert. Die Bedingungen, unter denen solche Tests durchgeführt werden, sind möglichst realitätsnah, was sich nur auf die Ergebnisse auswirken konnte: Die Erkennungsrate der meisten Antivirenprogramme fiel im AV-Comparatives deutlich geringer aus als bei einem einfachen On-Demand-Scan und AV-Test-Tests. Bei solchen Tests spielt es eine wichtige Rolle, wie schnell Antiviren-Entwickler auf das Auftauchen neuer Schadsoftware reagieren und welche proaktiven Mechanismen bei der Erkennung von Schadsoftware zum Einsatz kommen.
Die Geschwindigkeit der Veröffentlichung von Antiviren-Updates mit neuen Malware-Signaturen ist eine der wichtigsten Komponenten eines wirksamen Virenschutzes. Je früher das Update der Signaturdatenbank veröffentlicht wird, desto weniger Zeit bleibt der Benutzer ungeschützt.
Abbildung 3 – Durchschnittliche Reaktionszeit auf neue Bedrohungen
In letzter Zeit taucht so häufig neue Schadsoftware auf, dass die Antiviren-Labore kaum noch mit neuen Proben Schritt halten können. In einer solchen Situation stellt sich die Frage, wie ein Antivirenprogramm nicht nur bereits bekannten Viren, sondern auch neuen Bedrohungen, für deren Erkennung noch keine Signatur freigegeben wurde, widerstehen kann.
Zur Erkennung unbekannter Bedrohungen werden sogenannte proaktive Technologien eingesetzt. Diese Technologien können in zwei Typen unterteilt werden: Heuristiken (Erkennung bösartiger Programme anhand der Analyse ihres Codes) und Verhaltensblocker (blockieren die Aktionen bösartiger Programme, wenn sie auf einem Computer ausgeführt werden, basierend auf ihrem Verhalten).
Wenn wir über Heuristiken sprechen, dann wird ihre Wirksamkeit seit langem von AV-Comparatives, einem Forschungslabor unter der Leitung von Andreas Clementi, untersucht. Das AV-Comparatives-Team verwendet eine spezielle Technik: Antivirenprogramme werden anhand der aktuellen Virensammlung überprüft, es wird jedoch ein Antivirenprogramm mit drei Monate alten Signaturen verwendet. Daher muss das Antivirenprogramm Malware bekämpfen, von der es nichts weiß. Antivirenprogramme werden durch Scannen der Malware-Sammlung auf der Festplatte gescannt, sodass nur die Effizienz der Heuristik überprüft wird. Eine andere proaktive Technologie, der Verhaltensblocker, kommt bei diesen Tests nicht zum Einsatz. Selbst die besten Heuristiken zeigen derzeit eine Erkennungsrate von nur etwa 70 %, und viele von ihnen leiden immer noch unter Fehlalarmen bei sauberen Dateien. All dies deutet darauf hin, dass diese proaktive Erkennungsmethode bisher nur gleichzeitig mit der Signaturmethode verwendet werden kann.
Was eine andere proaktive Technologie betrifft – einen Verhaltensblocker – wurden in diesem Bereich keine ernsthaften Vergleichstests durchgeführt. Erstens verfügen viele Antivirenprodukte (Doctor Web, NOD32, Avira und andere) nicht über einen Verhaltensblocker. Zweitens ist die Durchführung solcher Tests mit einigen Schwierigkeiten verbunden. Tatsache ist, dass es zum Testen der Wirksamkeit eines Verhaltensblockers nicht erforderlich ist, eine Festplatte mit einer Sammlung schädlicher Programme zu scannen, sondern diese Programme auf einem Computer auszuführen und zu beobachten, wie erfolgreich das Antivirenprogramm ihre Aktionen blockiert. Dieser Prozess ist sehr zeitaufwändig und nur wenige Forscher sind in der Lage, solche Tests durchzuführen. Der breiten Öffentlichkeit stehen derzeit lediglich die Ergebnisse einzelner Produkttests des AV-Comparatives-Teams zur Verfügung. Wenn Antivirenprogramme im Test erfolgreich die Aktionen ihnen unbekannter Schadprogramme blockierten, während diese auf einem Computer ausgeführt wurden, erhielt das Produkt den Proactive Protection Award. Derzeit wurden solche Auszeichnungen von F-Secure mit der DeepGuard-Verhaltenstechnologie und Kaspersky Anti-Virus mit dem Proactive Defense-Modul erhalten.
Technologien zur Infektionsprävention, die auf der Analyse des Malware-Verhaltens basieren, werden immer weiter verbreitet, und das Fehlen umfassender Vergleichstests in diesem Bereich ist nur alarmierend. Kürzlich führten Spezialisten des AV-Test-Forschungslabors eine breite Diskussion zu diesem Thema, an der sich auch Entwickler von Antivirenprodukten beteiligten. Das Ergebnis dieser Diskussion war eine neue Methode zum Testen der Fähigkeit von Antivirenprodukten, unbekannten Bedrohungen zu widerstehen.
Ein hohes Maß an Malware-Erkennung mithilfe verschiedener Technologien ist eines der wichtigsten Merkmale eines Antivirenprogramms. Ein ebenso wichtiges Merkmal ist jedoch das Fehlen falsch positiver Ergebnisse. Falsch positive Ergebnisse können dem Benutzer nicht weniger Schaden zufügen als eine Virusinfektion: Blockieren Sie die Arbeit gewünschten Programme, den Zugriff auf Websites blockieren usw.
Im Rahmen seiner Forschung untersucht AV-Comparatives nicht nur die Fähigkeit von Antivirenprogrammen, Malware zu erkennen, sondern führt auch Tests auf Fehlalarme bei Sammlungen sauberer Dateien durch. Dem Test zufolge wurden die meisten Fehlalarme bei den Antivirenprogrammen Doctor Web und Avira gefunden.
Einen hundertprozentigen Schutz vor Viren gibt es nicht. Von Zeit zu Zeit sind Benutzer mit der Situation konfrontiert, dass ein Schadprogramm in einen Computer eingedrungen ist und der Computer infiziert wurde. Dies liegt entweder daran, dass überhaupt kein Antivirenprogramm auf dem Computer vorhanden war, oder weil das Antivirenprogramm die Malware weder durch Signatur noch durch proaktive Methoden erkannt hat. In einer solchen Situation ist es wichtig, dass bei der Installation eines Antivirenprogramms mit neuen Signaturdatenbanken auf einem Computer das Antivirenprogramm nicht nur ein Schadprogramm erkennen, sondern auch alle Folgen seiner Aktivität erfolgreich beseitigen und eine aktive Infektion heilen kann. Gleichzeitig ist es wichtig zu verstehen, dass die Ersteller von Viren ihre „Fähigkeiten“ ständig verbessern und einige ihrer Kreationen nur sehr schwer vom Computer zu entfernen sind – Schadprogramme können ihre Präsenz im System auf verschiedene Weise verschleiern ( (auch mit Hilfe von Rootkits) und wirken sogar der Arbeit von Antivirenprogrammen entgegen. Darüber hinaus reicht es nicht aus, eine infizierte Datei einfach zu löschen oder zu desinfizieren. Sie müssen alle durch einen bösartigen Prozess im System vorgenommenen Änderungen beseitigen und das System vollständig wiederherstellen. Das Team des russischen Portals Anti-Malware.ru führte einen ähnlichen Test durch, dessen Ergebnisse in Abbildung 4 dargestellt sind.
Abbildung 4 – Behandlung einer aktiven Infektion
Oben wurden verschiedene Ansätze zum Testen von Antivirenprogrammen betrachtet und gezeigt, welche Parameter des Antivirenbetriebs beim Testen berücksichtigt werden. Daraus lässt sich schließen, dass sich für einige Antivirenprogramme ein Indikator als vorteilhaft erweist, für andere ein anderer. Gleichzeitig ist es selbstverständlich, dass sich Antiviren-Entwickler in ihren Werbematerialien nur auf die Tests konzentrieren, bei denen ihre Produkte eine Spitzenposition einnehmen. Kaspersky Lab konzentriert sich beispielsweise auf die Reaktionsgeschwindigkeit auf das Aufkommen neuer Bedrohungen, Eset auf die Stärke seiner heuristischen Technologien und Doctor Web beschreibt seine Vorteile bei der Behandlung aktiver Infektionen.
Daher sollte eine Synthese der Ergebnisse verschiedener Tests durchgeführt werden. Auf diese Weise werden die Positionen, die Antivirenprogramme in den betrachteten Tests eingenommen haben, zusammengefasst und eine integrierte Einschätzung abgeleitet, welchen Platz ein bestimmtes Produkt im Durchschnitt aller Tests einnimmt. Infolgedessen unter den ersten drei Gewinnern: Kaspersky, Avira, Symantec.
Basierend auf den analysierten Antivirenpaketen wurde ein Softwareprodukt erstellt, das nach Dateien sucht und diese desinfiziert, die mit dem SVC 5.0-Virus infiziert sind. Dieser Virus führt nicht zum unbefugten Löschen oder Kopieren von Dateien, beeinträchtigt jedoch erheblich die vollwertige Arbeit mit Computersoftware.
Infizierte Programme sind länger als Quelle. Beim Durchsuchen von Verzeichnissen auf einem infizierten Computer ist dies jedoch nicht sichtbar, da der Virus prüft, ob die gefundene Datei infiziert ist oder nicht. Wenn die Datei infiziert ist, wird die Länge der nicht infizierten Datei in den DTA geschrieben.
Sie können diesen Virus auf folgende Weise erkennen. Im Datenbereich des Virus befindet sich eine Zeichenfolge „(c) 1990 by SVC,Ver. 5.0“, anhand derer der Virus, sofern er sich auf der Festplatte befindet, erkannt werden kann.
Beim Schreiben eines Antivirenprogramms wird die folgende Abfolge von Aktionen ausgeführt:
1 Für jede zu prüfende Datei wird der Zeitpunkt ihrer Erstellung ermittelt.
2 Wenn die Anzahl der Sekunden sechzig beträgt, werden drei Bytes mit einem Offset geprüft, der „Dateilänge minus 8AH“ entspricht. Wenn sie jeweils 35, 2 und 30 betragen, ist die Datei infiziert.
3 Es werden die ersten 24 Bytes des Originalcodes dekodiert, die sich am Offset „Dateilänge minus 01CFH plus 0BAAH“ befinden. Die Schlüssel zur Dekodierung liegen am Offset „Dateilänge minus 01CFH plus 0C1AN“ und „Dateilänge minus 01CFH plus 0C1BH“.
4 Die dekodierten Bytes werden an den Anfang des Programms geschrieben.
5 Die Datei wird auf „Dateilänge minus 0C1F“ „abgeschnitten“.
Das Programm wurde in der Programmierumgebung TurboPascal erstellt. Der Text des Programms ist in Anhang A aufgeführt.
Abschluss
In dieser Kursarbeit wurde eine vergleichende Analyse von Antivirenpaketen durchgeführt.
Im Zuge der Analyse wurden die zu Beginn der Arbeit gestellten Aufgaben erfolgreich gelöst. So wurden die Konzepte der Informationssicherheit, Computerviren und Antiviren-Tools untersucht, Arten von Inund Schutzmethoden identifiziert, die Klassifizierung von Computerviren und Antivirenprogrammen berücksichtigt und eine vergleichende Analyse von Antivirenpaketen durchgeführt durchgeführt wurde, wurde ein Programm geschrieben, das nach infizierten Dateien sucht.
Die dabei erzielten Ergebnisse können bei der Auswahl eines Antiviren-Tools berücksichtigt werden.
Alle erzielten Ergebnisse werden in der Arbeit mithilfe von Diagrammen widergespiegelt, sodass der Benutzer die im endgültigen Diagramm getroffenen Schlussfolgerungen unabhängig überprüfen kann, das die Synthese der offenbarten Ergebnisse verschiedener Tests von Antiviren-Tools widerspiegelt.
Die im Rahmen der Arbeit gewonnenen Ergebnisse können als Grundlage für einen Selbstvergleich von Antivirenprogrammen dienen.
Im Hinblick auf die weite Verbreitung von IT-Technologien sind die vorgestellten Studienleistungen relevant und erfüllen die entsprechenden Anforderungen. Dabei wurden die gängigsten Antiviren-Tools berücksichtigt.
Liste der verwendeten Literatur
1 Anin B. Schutz von Computerinformationen. - St. Petersburg. : BHV - St. Petersburg, 2000. - 368 S.
2 Artyunov VV Informationsschutz: Lehrbuch. - Methode. Zuschuss. M.: Liberia – Bibinform, 2008. – 55 S. – (Bibliothekar und Zeit. 21. Jahrhundert; Ausgabe Nr. 99).
3 Korneev I. K., E. A. Stepanov Informationssicherheit im Büro: Lehrbuch. - M.: Prospekt, 2008. - 333 S.
5 Kupriyanov A. I. Grundlagen der Informationssicherheit: Lehrbuch. Zuschuss. - 2. Aufl. gelöscht – M.: Akademie, 2007. – 254 S. – (Höhere Berufsausbildung).
6 Semenenko V. A., N. V. Fedorov Software- und Hardware-Informationsschutz: Lehrbuch. Zuschuss für Studierende. Universitäten. - M.: MGIU, 2007. - 340 S.
7 Tsirlov VL Grundlagen der Informationssicherheit: ein kurzer Kurs. - Rostow n/D: Phoenix, 2008. - 254 S. (Berufliche Ausbildung).
Anwendung
Programmliste
ProgrammANTIVIRUS;
Verwendet dos,crt,printer;
Typ St80 = String;
FileInfection:Byte-Datei;
SearchFile:SearchRec;
Mas:Array von St80;
MasByte:Array von Byte;
Position,I,J,K:Byte;
Num,NumberOfFile,NumberOfInfFile:Word;
Flag,NextDisk,Error:Boolean;
Key1,Key2,Key3,NumError:Byte;
MasScreen:Array Of Byte Absolute $B800:0000;
Prozedur Heilung (St: St80);
I: Bytes; MasCure: Byte-Array;
Assign(FileInfection,St); Zurücksetzen(FileInfection);
NumError:=IOResult;
If(NumError<>
Seek(FileInfection,FileSize(FileInfection) - ($0C1F - $0C1A));
NumError:=IOResult;
If(NumError<>0) Then Begin Error:=True; Ausfahrt; Ende;
Read(FileInfection,Key1);
NumError:=IOResult;
If(NumError<>0) Then Begin Error:=True; Ausfahrt; Ende;
Read(FileInfection,Key2);
NumError:=IOResult;
If(NumError<>0) Then Begin Error:=True; Ausfahrt; Ende;
Seek(FileInfection,FileSize(FileInfection) - ($0C1F - $0BAA));
NumError:=IOResult;
If(NumError<>0) Then Begin Error:=True; Ausfahrt; Ende;
Für I:=1 bis 24 gilt
Read(FileInfection,MasCure[i]);
NumError:=IOResult;
If(NumError<>0) Then Begin Error:=True; Ausfahrt; Ende;
Key3:=MasCure[i];
MasCure[i]:=Key3;
Seek(FileInfection,0);
NumError:=IOResult;
If(NumError<>0) Then Begin Error:=True; Ausfahrt; Ende;
Für I:=1 bis 24 do Write(FileInfection,MasCure[i]);
Seek(FileInfection,FileSize(FileInfection) - $0C1F);
NumError:=IOResult;
If(NumError<>0) Then Begin Error:=True; Ausfahrt; Ende;
Truncate(FileInfection);
NumError:=IOResult;
If(NumError<>0) Then Begin Error:=True; Ausfahrt; Ende;
Close(FileInfection); NumError:=IOResult;
If(NumError<>0) Then Begin Error:=True; Ausfahrt; Ende;
Verfahren F1(St: St80);
FindFirst(St + "*.*", $3F, SearchFile);
While (SearchFile.Attr = $10) And (DosError = 0) And
((SearchFile.Name = ".") Oder (SearchFile.Name = "..")) Do
FindNext(SearchFile);
While (DosError = 0) Do
Wenn die Taste gedrückt wird, dann
If (Ord(ReadKey) = 27) Then Halt;
Wenn (SearchFile.Attr = $10) Dann
Mas[k]:=St + SearchFile.Name + "\";
If(SearchFile.Attr<>10 $) Dann
NumberOfFile:=NumberOfFile + 1;
UnpackTime(SearchFile.Time, DT);
Für I:=18 bis 70 mache MasScreen:=$20;
Write(St + SearchFile.Name, " ");
Wenn (Dt.Sec = 60) Dann
Assign(FileInfection,St + SearchFile.Name);
Zurücksetzen(FileInfection);
NumError:=IOResult;
If(NumError<>0) Then Begin Error:=True; Ausfahrt; Ende;
Seek(FileInfection,FileSize(FileInfection) - $8A);
NumError:=IOResult;
If(NumError<>0) Then Begin Error:=True; Ausfahrt; Ende;
For I:=1 to 3 do Read(FileInfection,MasByte[i]);
Close(FileInfection);
NumError:=IOResult;
If(NumError<>0) Then Begin Error:=True; Ausfahrt; Ende;
Wenn (MasByte = $35) Und (MasByte = $2E) Und
(MasByte = $30) Dann
NumberOfInfFile:=NumberOfInfFile + 1;
Write(St + SearchFile.Name," infiziert. ",
"Entfernen?");
If (Ord(Ch) = 27) Then Exit;
Bis (Ch = „Y“) Oder (Ch = „y“) Oder (Ch = „N“)
Wenn (Ch = „Y“) oder (Ch = „y“), dann
Cure(St + SearchFile.Name);
If(NumError<>0) Dann beenden;
Für I:=0 bis 79 mache MasScreen:=$20;
FindNext(SearchFile);
GoToXY(29,1); TextAttr:=$1E; GoToXY(20,2); TextAttr:=$17;
Writeln("Programma dlya poiska i lecheniya fajlov,");
Writeln("zaagennih SVC50.");
TextAttr:=$4F; GoToXY(1.25);
Write("ESC - Beenden");
TextAttr:=$1F; GoToXY(1,6);
Write("Kakaj Disk Prorit? ");
If (Ord(Disk) = 27) Then Exit;
R.Ah:=$0E; R.Dl:=Ord(UpCase(Disk))-65;
Intr($21,R); R.Ah:=$19; Intr($21,R);
Flag:=(R.Al = (Ord(UpCase(Disk))-65));
St:=UpCase(Disk) + ":\";
Writeln("Testiruetsya disk ","St," ");
Writeln("testiruetsya file");
NumberOfFile:=0;
NumberOfInfFile:=0;
Wenn (k = 0) oder Fehler, dann Flag:=False;
Wenn (k > 0), dann K:=K-1;
If (k=0) Then Flag:=False;
Wenn (k > 0), dann K:=K-1;
Writeln("Provereno fajlov - ",NumberOfFile);
Writeln("Zarageno fajlov - ",NumberOfInfFile);
Writeln("Izlecheno fajlov - ",Num);
Write("Drogendiskette überprüfen? ");
If (Ord(Ch) = 27) Then Exit;
Bis (Ch = „Y“) Oder (Ch = „y“) Oder (Ch = „N“) Oder (Ch = „n“);
Wenn (Ch = „N“) oder (Ch = „n“), dann NextDisk:=False;
