Caractéristiques comparatives des logiciels antivirus. Caractéristiques comparatives des programmes antivirus
Tableau 1. Comparaison des fonctionnalités des solutions antivirus
Il n'en est pas moins intéressant, bien sûr, de comparer les antivirus passés en revue en fonction de leur efficacité à détecter les logiciels malveillants. Ce paramètre est évalué dans des centres et laboratoires spéciaux et internationalement reconnus, tels que ICSA Labs, West Сoast Labs, Virus Bulletin, etc. Les deux premiers délivrent des certificats spéciaux aux antivirus qui ont passé un certain niveau de tests, une seule mise en garde - tous les packages connus aujourd'hui disposent de tels certificats (c'est un certain minimum). Le magazine antivirus Virus Bulletin teste un grand nombre d'antivirus plusieurs fois par an et, sur la base des résultats, leur attribue des récompenses VB100%. Hélas, aujourd'hui, tous les virus populaires ont également de tels prix, y compris, bien sûr, ceux que nous avons examinés. Par conséquent, nous essaierons d'analyser les résultats d'autres tests. Nous nous concentrerons sur les tests du laboratoire autrichien réputé Av-Comparatives.org, qui teste les antivirus, et de la société grecque Virus.gr, spécialisée dans les tests programmes antivirus et compiler les cotes des antivirus et la fameuse des plus grandes collections de virus. Selon le dernier test d'analyse à la demande d'Av-Comparatives.org en août 2009 (tableau 2), Avira AntiVir Premium et Norton AntiVirus ont obtenu les meilleurs résultats parmi ceux examinés. Mais Kaspersky Anti-Virus n'a pu détecter que 97,1 % des virus, bien qu'il soit, bien sûr, totalement injuste de qualifier un tel niveau de détection de virus de faible. Pour plus d'informations, notons que le volume de bases de données virales impliquées dans ce test s'élevait à plus de 1,5 million de codes malveillants, et la différence n'est que de 0,1% - ce n'est ni plus ni moins, mais 1,5 mille programmes malveillants. Quant à la vitesse, il est encore plus difficile de comparer objectivement les solutions à cet égard, car la vitesse d'analyse dépend de nombreux facteurs - en particulier, si le produit antivirus utilise un code d'émulation, s'il est capable de reconnaître des virus polymorphes complexes, si profond une analyse de l'analyse heuristique est effectuée et une analyse active des rootkits, etc. Tous les points ci-dessus sont directement liés à la qualité de la reconnaissance des virus, donc dans le cas des solutions antivirus, la vitesse d'analyse n'est pas l'indicateur le plus important de leurs performances . Néanmoins, les spécialistes d'Av-Comparatives.org ont estimé qu'il était possible d'évaluer les solutions, et selon cet indicateur, en conséquence, Avast s'est avéré être en tête parmi les programmes antivirus à l'étude ! AntiVirus et Norton AntiVirus.Tableau 2. Comparatif des solutions antivirus en termes de détection des malwares (source - Av-Comparatives.org, août 2009)
| Nom | Vitesse de numérisation | |
| Avira AntiVir Premium 8.2 | 99,7 | Moyen |
| Norton AntiVirus 16.2 | 98,7 | Rapide |
| 98,2 | Rapide | |
| ESET NOD32 Antivirus 3.0 | 97,6 | Moyen |
| Kaspersky Anti-Virus 8.0 | 97,1 | Moyen |
| AVG Antivirus 8.0.234 | 93 | lent |
| Antivirus Dr.Web pour Windows | Pas testé | Pas de données |
| PANDA Antivirus Pro 2010 | Pas testé | Pas de données |
Selon les résultats des tests d'août de Virus.gr, présentés dans le tableau. 3, les données sont légèrement différentes. Les leaders ici sont Kaspersky Anti-Virus 2010 avec 98,67 % et Avira AntiVir Premium 9.0 avec 98,64 %. Incidemment, il convient de noter ici que programme gratuit Avira AntiVir Personal, qui utilise les mêmes bases de signature et les mêmes méthodes de test que l'Avira AntiVir Premium payant, accuse un certain retard par rapport à la solution commerciale. Les différences dans les résultats sont dues au fait que différents laboratoires utilisent différentes bases de données de virus - bien sûr, toutes ces bases de données sont basées sur la collection "In the Wild" de virus sauvages, mais elle est complétée par d'autres virus. Cela dépend de quel type de virus il s'agit et de leur pourcentage dans la base de données totale, lequel des packages prendra la tête.
Tableau 3. Comparatif des solutions antivirus en termes de détection des malwares (source - Virus.gr, août 2009)
| Nom | Pourcentage de détection de différents types de logiciels malveillants |
| Kaspersky Anti-Virus 2010 | 98,67 |
| Avira AntiVir Premium 9.0 | 98,64 |
| Avira AntiVir Personal 9.0 | 98,56 |
| AVG Antivirus gratuit 8.5.392 | 97 |
| ESET NOD32 Antivirus 4.0 | 95,97 |
| Avast ! Antivirus Gratuit 4.8 | 95,87 |
| Norton AntiVirus Norton 16.5 | 87,37 |
| Dr. Internet 5.00 | 82,89 |
| Panda 2009 9.00.00 | 70,8 |
Il convient également de prêter attention à la mesure dans laquelle les antivirus peuvent pratiquement faire face aux menaces inconnues, c'est-à-dire à l'efficacité des méthodes proactives qu'ils utilisent. protection antivirus. Ceci est extrêmement important, car tous les principaux experts dans ce domaine s'accordent depuis longtemps sur le fait que ce domaine particulier est le plus prometteur sur le marché des antivirus. Des tests similaires ont été effectués par des spécialistes d'Anti-Malware.ru du 3 décembre 2008 au 18 janvier 2009. Pour effectuer le test, ils ont collecté une collection de 5166 codes uniques des derniers programmes malveillants lors du gel des bases de données antivirus. Parmi les antivirus considérés dans cet article, les meilleurs résultats ont été démontrés par Avira AntiVir Premium et Dr.Web (Tableau 4), qui ont réussi à détecter un nombre relativement élevé de codes malveillants manquants dans leurs bases de données, cependant, le nombre de faux positifs pour ces antivirus se sont avérés élevés. Par conséquent, les lauriers du championnat sous la forme du "Gold Proactive Protection Award" ont été décernés par des experts à des solutions complètement différentes. Il s'agit de Kaspersky Anti-Virus, ESET NOD32 AntiVirus et BitDefender Antivirus, qui se sont avérés être les meilleurs en termes d'équilibre entre détection proactive et faux positifs. Leurs résultats étaient presque identiques - le niveau de détection heuristique dans 60% et le niveau de faux positifs dans la région de 0,01-0,04%.
Tableau 4. Comparaison des solutions antivirus en termes d'efficacité de la protection antivirus proactive (source - Anti-Malware.ru, janvier 2009)
| Nom | Pourcentage de virus détectés | Pourcentage de faux positifs |
| Avira AntiVir Premium 8.2 | 71 | 0,13 |
| Dr Web 5.0 | 61 | 0,2 |
| Kaspersky Anti-Virus 2009 | 60,6 | 0,01 |
| ESET NOD32 Antivirus 3.0 | 60,5 | 0,02 |
| AVG Antivirus 8.0 | 58,1 | 0,02 |
| Avast ! Antivirus Professionnel 4.8 | 53,3 | 0,03 |
| Norton antivirus 2009 | 51,5 | 0 |
| Panda antivirus 2009 | 37,9 | 0,02 |
À partir des données ci-dessus, une seule conclusion peut être tirée - toutes les solutions antivirus considérées peuvent vraiment être classées comme dignes d'attention. Cependant, lorsque vous travaillez dans l'un d'entre eux, il ne faut jamais oublier la mise à jour rapide des bases de données de signatures, car le niveau des méthodes de protection proactives dans l'un des programmes est encore loin d'être idéal.
Les principaux critères d'évaluation, qui comprenaient 200 indicateurs, étaient les suivants :
- protection contre le virus;
- Facilité d'utilisation;
- impact sur la vitesse de l'ordinateur.
La protection contre les logiciels malveillants est le critère d'évaluation le plus important : les indicateurs de ce groupe de paramètres représentaient 65 % du score antivirus global. La facilité d'utilisation et l'impact sur la vitesse de l'ordinateur représentaient respectivement 25 % et 10 % de la note globale.
Les programmes antivirus ont été sélectionnés pour la recherche sur la base de leur popularité auprès des consommateurs et de leur prix abordable. Pour cette raison, la liste des programmes antivirus étudiés comprenait :
- Programmes gratuits - à la fois intégrés et offerts séparément.
- Programmes payants des principales marques d'antivirus. Sur la base des principes de sélection, l'étude n'a pas inclus les versions les plus chères des produits logiciels de ces marques.
- D'une marque pour un système d'exploitation, un seul produit payant pouvait être présenté dans le classement. Le deuxième produit ne peut entrer dans le classement que s'il est gratuit.
Cette fois, les produits développés par des entreprises russes ont été inclus dans la catégorie de l'étude internationale. En règle générale, la liste des produits pour les tests internationaux comprend des produits avec une part de marché suffisante et une grande reconnaissance parmi les consommateurs, de sorte que l'inclusion des développements russes dans l'étude indique leur large représentation et demande à l'étranger.
Top 10 pour Windows
Tous les antivirus du top dix offrent une protection contre les logiciels espions et une protection contre le phishing - les tentatives d'accès à des données confidentielles. Mais il existe des différences entre les antivirus dans le niveau de protection, ainsi que dans la présence ou l'absence d'une fonction particulière dans les versions testées de l'antivirus.
Le tableau croisé dynamique montre dix les meilleurs programmes par note globale. Il prend également en compte les caractéristiques des packages en termes d'ensemble de fonctions.
Quelle est la qualité de la sécurité standard de Windows 10 ?
En février 2018, la part des utilisateurs de PC Windows avec les systèmes d'exploitation Windows 10 installés sur leurs ordinateurs de bureau était de 43 %. Sur ces ordinateurs, l'antivirus est installé par défaut - il protège le système Programme Windows Defender, qui est inclus avec le système d'exploitation.
L'antivirus standard, qui, à en juger par les statistiques, est utilisé par la plupart des gens, n'était que sur la 17e ligne du classement. Dans l'ensemble, Windows Defender a obtenu une note de 3,5 sur 5,5 possibles.
La protection intégrée des versions récentes de Windows n'a fait que s'améliorer au fil des ans, mais elle ne correspond toujours pas au niveau de nombreux programmes antivirus spécialisés, y compris ceux qui sont distribués gratuitement. Windows Defender a montré des résultats satisfaisants en termes de protection en ligne, mais a complètement échoué au test de phishing et de ransomware. Soit dit en passant, la protection contre le phishing est déclarée par les fabricants d'antivirus. Il s'est également avéré qu'il protégeait mal votre ordinateur en mode hors connexion.
Windows Defender est assez simple en termes de conception. Il communique clairement la présence d'une menace particulière, démontre clairement le degré de protection et dispose d'une fonction de «contrôle parental» qui empêche les enfants de visiter des ressources non désirées.
La protection standard de Windows 10 ne peut être qualifiée que de décente. Sur la base de la note globale, 16 programmes de protection d'un ordinateur personnel sous Windows se sont avérés meilleurs que cela. Dont quatre gratuits.
Théoriquement, vous ne pouvez compter sur Windows Defender que si l'utilisateur a activé les mises à jour régulières, que son ordinateur est connecté à Internet la plupart du temps et qu'il est suffisamment avancé pour ne pas visiter consciemment des sites suspects. Cependant, Roskachestvo recommande d'installer un package antivirus spécialisé pour une plus grande confiance dans la sécurité du PC.
Comment nous avons testé
Les tests ont été effectués dans le laboratoire le plus qualifié au monde spécialisé dans les programmes antivirus pendant six mois. Au total, quatre groupes de tests anti-malware ont été effectués : le test général de protection en ligne, le test hors ligne, le test de taux de faux positifs et le test d'analyse automatique et à la demande. Dans une moindre mesure, la note finale a été influencée par la vérification de la convivialité de l'antivirus et de son impact sur la vitesse de l'ordinateur.
- Protection générale
Chaque package antivirus a été testé en ligne pour un ensemble de virus, totalisant plus de 40 000. Il a également testé la capacité de l'antivirus à faire face aux attaques de phishing - lorsque quelqu'un tente d'accéder aux données confidentielles de l'utilisateur. Les ransomwares ont été testés pour se protéger contre les ransomwares qui restreignent l'accès à un ordinateur et aux données qu'il contient afin d'obtenir une rançon. De plus, un test en ligne d'une clé USB contenant des logiciels malveillants est effectué. Il est nécessaire de savoir dans quelle mesure l'antivirus fait face à la recherche et à l'élimination des virus lorsque ni la présence de fichiers malveillants ni leur origine ne sont connues à l'avance.
- Test hors ligne USB
Détection de logiciels malveillants résidant sur une clé USB connectée à un ordinateur. Avant l'analyse, l'ordinateur a été déconnecté d'Internet pendant plusieurs semaines, de sorte que les packages antivirus n'étaient pas à jour à 100 %.
- Fausse alarme
Nous avons testé l'efficacité de l'antivirus pour identifier les menaces réelles et ignorer les fichiers qui sont réellement sûrs, mais qui sont classés comme dangereux par le produit.
- Analyse automatique et test d'analyse à la demande
Il a été testé à quel point la fonction d'analyse fonctionne lorsqu'elle recherche automatiquement les logiciels malveillants sur l'ordinateur et lorsqu'elle est démarrée manuellement. Également au cours de l'étude, il a été vérifié s'il est possible de programmer des analyses pendant un certain temps lorsque l'ordinateur n'est pas utilisé.
Des programmes antivirus existent pour protéger votre ordinateur contre les logiciels malveillants, les virus, les chevaux de Troie, les vers et les logiciels espions qui peuvent supprimer vos fichiers, voler vos informations personnelles et rendre votre ordinateur et votre connexion Web extrêmement lents et problématiques. Par conséquent, choisir un bon programme antivirus est une priorité importante pour votre système.
Il existe aujourd'hui plus d'un million de virus informatiques dans le monde. En raison de la prévalence des virus et autres logiciels malveillants, il existe de nombreuses options différentes pour les utilisateurs d'ordinateurs dans le domaine des logiciels antivirus. logiciel.
Programmes antivirus est rapidement devenu une grande entreprise et les premiers antivirus commerciaux sont arrivés sur le marché à la fin des années 1980. Aujourd'hui, vous pouvez trouver de nombreux programmes antivirus gratuits et payants pour protéger votre ordinateur.
Que font les programmes antivirus
Les programmes antivirus analysent régulièrement votre ordinateur à la recherche de virus et d'autres logiciels malveillants susceptibles de se trouver sur votre PC. Si le logiciel détecte un virus, il le met généralement en quarantaine, le guérit ou le supprime.
Vous choisissez la fréquence de l'analyse, bien qu'il soit généralement recommandé de l'exécuter au moins une fois par semaine. De plus, la plupart des programmes antivirus vous protégeront lors de vos activités quotidiennes, telles que la consultation de vos e-mails et la navigation sur le Web.
Chaque fois que vous téléchargez un fichier sur votre ordinateur à partir d'Internet ou d'un e-mail, l'antivirus le vérifie et s'assure que le fichier est correct (sans virus ou "propre").
Les programmes antivirus mettront également à jour ce qu'on appelle les « définitions antivirus ». Ces définitions sont mises à jour aussi souvent que de nouveaux virus et logiciels malveillants apparaissent et sont découverts.
De nouveaux virus apparaissent chaque jour, vous devez donc régulièrement mettre à jour la base de données antivirus sur le site Web du fabricant du programme antivirus. Après tout, comme vous le savez, tout programme antivirus ne peut reconnaître et neutraliser que les virus avec lesquels le fabricant l'a "formé". Et ce n'est un secret pour personne que plusieurs jours peuvent s'écouler entre le moment où le virus est envoyé aux développeurs du programme et la mise à jour des bases de données antivirus. Pendant cette période, des milliers d'ordinateurs dans le monde peuvent être infectés !
Assurez-vous donc d'avoir installé l'un des meilleurs packages antivirus et mettez-le à jour régulièrement.
PARE-FEU (PARE-FEU)
La protection de votre ordinateur contre les virus dépend de plusieurs programmes antivirus. La plupart des utilisateurs se trompent en croyant que l'antivirus installé sur l'ordinateur est une panacée pour tous les virus. Un ordinateur peut toujours être infecté par un virus, même avec un programme antivirus puissant. Si votre ordinateur dispose d'un accès Internet, un seul antivirus ne suffit pas.
Un antivirus peut supprimer un virus lorsqu'il se trouve directement sur votre ordinateur, mais si le même virus pénètre dans votre ordinateur depuis Internet, par exemple en téléchargeant une page Web, le programme antivirus ne pourra rien en faire - jusqu'à ce que il ne montrera pas son activité sur le PC. Par conséquent, une protection complète de l'ordinateur contre les virus est impossible sans pare-feu - un programme de protection spécial qui vous avertira de toute activité suspecte lorsqu'un virus ou un ver tente de se connecter à votre ordinateur.
L'utilisation d'un pare-feu sur Internet vous permet de limiter le nombre de connexions indésirables de l'extérieur à votre ordinateur et réduit considérablement le risque d'infection. En plus de protéger contre les virus, il rend également beaucoup plus difficile pour les intrus (pirates) d'accéder à vos informations et de tenter de télécharger un programme potentiellement dangereux sur votre ordinateur.
Lorsqu'un pare-feu est utilisé conjointement avec un programme antivirus et des mises à jour du système d'exploitation, la protection de l'ordinateur est maintenue au niveau de sécurité le plus élevé possible.
MISES À JOUR DU SYSTÈME D'EXPLOITATION ET DES LOGICIELS
Une étape importante dans la protection de votre ordinateur et de vos données consiste à maintenir votre système d'exploitation à jour avec les derniers correctifs de sécurité. Il est recommandé de le faire au moins une fois par mois. Les dernières mises à jour du système d'exploitation et des programmes créeront des conditions dans lesquelles la protection de l'ordinateur contre les virus sera à un niveau suffisamment élevé.
Les mises à jour sont des correctifs pour les bogues trouvés au fil du temps dans le logiciel. Un grand nombre de virus utilisent ces bogues ("trous") dans la sécurité des systèmes et des programmes pour se propager. Cependant, si vous fermez ces "trous", vous n'aurez pas peur des virus et la protection de l'ordinateur sera à un niveau élevé. Un avantage supplémentaire des mises à jour régulières est un fonctionnement plus fiable du système grâce aux corrections de bogues.
MOT DE PASSE
Mot de passe pour se connecter à votre système, en particulier pour compte« Administrateur » aidera à protéger vos informations contre tout accès non autorisé localement ou sur le réseau, et créera également une barrière supplémentaire contre les virus et les logiciels espions. Assurez-vous d'utiliser un mot de passe complexe - comme de nombreux virus utilisent des mots de passe simples pour leur propagation, par exemple 123, 12345, en commençant par des mots de passe vides.
SURF SUR LE WEB EN TOUTE SÉCURITÉ
La protection de votre ordinateur contre les virus sera compliquée si, en naviguant sur des sites et en surfant sur Internet, vous acceptez tout et installez tout. Par exemple, sous le couvert de la mise à jour d'Adobe Flash Player, l'une des variétés du virus est distribuée - "Envoyer des sms à un numéro". Pratiquez la navigation sur le Web en toute sécurité. Lisez toujours exactement ce qu'on vous propose de faire, et ensuite seulement acceptez ou refusez. Si on vous propose quelque chose dans une langue étrangère, essayez de le traduire, sinon n'hésitez pas à refuser.
De nombreux virus sont contenus dans les pièces jointes des e-mails et commencent à se propager dès que la pièce jointe est ouverte. Nous vous déconseillons fortement d'ouvrir les pièces jointes sans accord préalable pour les recevoir.
Antivirus sur SIM, cartes flash et Périphériques USB
Les téléphones mobiles produits aujourd'hui disposent d'un large éventail d'interfaces et de capacités de transfert de données. Les utilisateurs doivent étudier attentivement les méthodes de protection avant de connecter de petits appareils.
Les méthodes de protection telles que le matériel, peut-être les antivirus sur les périphériques USB ou sur la carte SIM, conviennent mieux aux consommateurs téléphones portables. Une évaluation technique et un examen de la façon d'installer un programme antivirus sur un téléphone mobile cellulaire doivent être considérés comme un processus d'analyse qui peut affecter d'autres applications légitimes sur ce téléphone.
Un logiciel antivirus basé sur la carte SIM avec un antivirus intégré dans la petite zone de mémoire fournit une protection anti-malware/virus pour protéger les informations PIM et utilisateur du téléphone. Les antivirus sur cartes flash permettent à l'utilisateur d'échanger des informations et d'utiliser ces produits avec divers périphériques matériels.
Antivirus, appareils mobiles et solutions innovantes
Cela ne surprendra personne lorsque des virus qui infectent des personnes et ordinateurs portables passera aux appareils mobiles. De plus en plus de développeurs dans ce domaine proposent des programmes anti-virus pour combattre les virus et protéger les téléphones portables. DANS appareils mobiles Il existe les types de contrôle antivirus suivants :
- § Limites du processeur
- § limite de mémoire
- § identifier et mettre à jour les signatures de ces appareils mobiles
Entreprises et programmes antivirus
- § Protection antivirus AOL® dans le cadre du centre de sécurité et de sûreté AOL
- § ActiveVirusShield par AOL (basé sur KAV 6, gratuit)
- § AhnLab
- § Systèmes de connaissances d'Aladdin
- § Logiciel ALWIL (avast !) de la République tchèque (versions gratuites et payantes)
- § ArcaVir de Pologne
- § AVZ de Russie (gratuit)
- § Avira d'Allemagne (disponible version gratuite classique)
- § Authentium du Royaume-Uni
- § BitDefender de Roumanie
- § BullGuard du Danemark
- § Associés informatiques des États-Unis
- § Groupe Comodo des États-Unis
- § ClamAV -- licence GPL -- programme libre et open source
- § ClamWin -- ClamAV pour Windows
- § Dr.Web de Russie
- § Eset NOD32 de Slovaquie
- § Fortinet
- § Logiciel Frisk d'Islande
- § F-Secure de Finlande
- § GeCAD de Roumanie (Microsoft a acheté la société en 2003)
- § Logiciel GFI
- § GriSoft (AVG) de la République tchèque (versions gratuites et payantes)
- § Hauri
- § H+BEDV d'Allemagne
- § Kaspersky Anti-Virus de Russie
- § McAfee des États-Unis
- § MicroWorld Technologies de l'Inde
- § Logiciel NuWave d'Ukraine
- § MKS de Pologne
- § Normand de Norvège
- § Avant-poste de Russie
- § Logiciel Panda d'Espagne
- § Quick Heal AntiVirus de l'Inde
- § en hausse
- § ROSE SUE
- § Sophos du Royaume-Uni
- § Docteur des logiciels espions
- § Recherche Stiller
- § Sybari Software (Microsoft a racheté la société début 2005)
- § Symantec des États-Unis ou du Royaume-Uni
- § Chasseur de Troie
- § Trend Micro du Japon (nominalement Taiwan-US)
- § Antivirus national ukrainien d'Ukraine
- § VirusBlockAda (VBA32) de Biélorussie
- § VirusBuster de Hongrie
- § ZoneAlarm AntiVirus (américain)
- § Vérifier un fichier avec plusieurs antivirus
- § Vérifier un fichier avec plusieurs antivirus
- § Vérification des fichiers pour les virus avant le téléchargement
- § virusinfo.info Portail de sécurité de l'information (conférence de virologie) où l'aide peut être demandée.
- § antivse.com Un autre portail où vous pouvez télécharger les programmes antivirus les plus courants, payants et gratuits.
- § www.viruslist.ru Encyclopédie des virus Internet créée par Kaspersky Lab
antivirus
Avast ! * AVS * Ashampoo Antivirus * AVG * Avira AntiVir * BitDefender * Clam Antivirus * ClamWin * Comodo Antivirus * Dr. Web * F-Prot * F-Secure Antivirus * Kaspersky Anti-Virus * McAfee VirusScan * NOD32 * Norton Antivirus * Outpost Antivirus * Panda Antivirus * PC-cillin * Windows Live OneCare
Introduction
1. Partie théorique
1.1 Le concept de sécurité de l'information
1.2 Types de menaces
1.3 Méthodes de sécurité de l'information
2. Partie conception
2.1 Classification des virus informatiques
2.2 Le concept d'un programme antivirus
2.3 Types d'outils antivirus
2.4 Comparaison des packages antivirus
Conclusion
Liste de la littérature utilisée
Application
Introduction
Le développement des nouvelles technologies de l'information et l'informatisation généralisée ont fait que la sécurité de l'information ne devient pas seulement obligatoire, elle est aussi l'une des caractéristiques des systèmes d'information. Il existe une classe assez étendue de systèmes de traitement de l'information dans le développement desquels le facteur de sécurité joue un rôle primordial.
L'utilisation massive d'ordinateurs personnels est associée à l'émergence de programmes de virus auto-reproducteurs qui empêchent fonctionnement normal ordinateur, détruisant la structure des fichiers des disques et endommageant les informations stockées dans l'ordinateur.
Malgré les lois adoptées dans de nombreux pays pour lutter contre la criminalité informatique et le développement de programmes spéciaux nouveaux outils de protection antivirus, le nombre de nouveaux virus logiciels ne cesse de croître. Cela nécessite que l'utilisateur d'un ordinateur personnel connaisse la nature des virus, comment infecter et se protéger contre les virus.
Chaque jour, les virus deviennent plus sophistiqués, ce qui entraîne une modification significative du profil des menaces. Mais le marché des logiciels antivirus n'est pas en reste, offrant une variété de produits. Leurs utilisateurs, ne présentant le problème qu'en termes généraux, manquent souvent des nuances importantes et se retrouvent avec l'illusion de la protection au lieu de la protection elle-même.
L'objectif de ce cours est de réaliser une analyse comparative des packages antivirus.
Pour atteindre cet objectif, les tâches suivantes sont résolues dans le travail:
Étudier les concepts de sécurité de l'information, les virus informatiques et les outils anti-virus;
Déterminer les types de menaces à la sécurité de l'information, les méthodes de protection ;
Étudier la classification des virus informatiques et des programmes anti-virus ;
Procéder à une analyse comparative des packages antivirus ;
Créez un programme antivirus.
L'importance pratique de l'œuvre.
Les résultats obtenus, le matériel de cours peuvent être utilisés comme base pour l'auto-comparaison des programmes antivirus.
La structure du travail de cours.
Ce travail de cours comprend une introduction, deux sections, une conclusion, une liste de références.
antivirus de sécurité contre les virus informatiques
1. Partie théorique
Dans le processus de réalisation d'une analyse comparative des packages antivirus, il est nécessaire de définir les concepts suivants:
1 Sécurité des informations.
2 Types de menaces.
3 Méthodes de sécurité de l'information.
Examinons de plus près ces concepts :
1.1 Le concept de sécurité de l'information
Malgré les efforts toujours croissants pour créer des technologies de protection des données, leur vulnérabilité dans les conditions modernes non seulement ne diminue pas, mais augmente constamment. Par conséquent, l'urgence des problèmes liés à la protection de l'information augmente de plus en plus.
Le problème de la sécurité de l'information est multiforme et complexe et couvre un certain nombre de tâches importantes. Par exemple, la confidentialité des données, qui est assurée par l'utilisation de diverses méthodes et moyens. La liste des tâches similaires pour la sécurité de l'information peut être poursuivie. Le développement intensif des technologies modernes de l'information, et en particulier des technologies de réseau, crée toutes les conditions préalables pour cela.
La protection des informations est un ensemble de mesures visant à assurer l'intégrité, la disponibilité et, si nécessaire, la confidentialité des informations et des moyens utilisés pour saisir, stocker, traiter et transmettre des données.
À ce jour, deux principes de base pour la sécurité de l'information ont été formulés :
1 intégrité des données - protection contre les défaillances entraînant la perte d'informations, ainsi que protection contre la création ou la destruction non autorisée de données ;
2 confidentialité des informations.
La protection contre les défaillances entraînant la perte d'informations vise à accroître la fiabilité des éléments et systèmes individuels qui saisissent, stockent, traitent et transmettent des données, la duplication et la redondance des éléments et systèmes individuels, l'utilisation de divers éléments, y compris autonomes, sources d'énergie, élévation du niveau de qualification des utilisateurs, protection contre les actions involontaires et intentionnelles entraînant la défaillance des équipements, la destruction ou la modification (modification) des logiciels et des informations protégées.
La protection contre la création ou la destruction non autorisée de données est assurée par la protection physique des informations, la différenciation et la restriction de l'accès aux éléments d'informations protégées, la fermeture des informations protégées lors de leur traitement direct, le développement de systèmes logiciels et matériels, d'appareils et de logiciels spécialisés pour empêcher l'accès non autorisé aux informations protégées.
La confidentialité des informations est assurée par l'identification et l'authentification des sujets d'accès lors de l'entrée dans le système par identifiant et mot de passe, l'identification des dispositifs externes par des adresses physiques, l'identification des programmes, des volumes, des répertoires, des fichiers par leur nom, le cryptage et le décryptage des informations, la différenciation et le contrôle des y accéder.
Parmi les mesures visant à protéger les informations, les principales sont d'ordre technique, organisationnel et juridique.
Les mesures techniques comprennent la protection contre l'accès non autorisé au système, la redondance de sous-systèmes informatiques particulièrement importants, l'organisation de réseaux informatiques avec possibilité de redistribution des ressources en cas de dysfonctionnement de liaisons individuelles, l'installation systèmes de sauvegarde alimentation électrique, équiper les chambres de serrures, installer des systèmes d'alarme, etc.
Les mesures organisationnelles comprennent : la protection du centre informatique (salles informatiques) ; conclusion d'un contrat de maintenance de matériel informatique avec un organisme réputé jouissant d'une bonne réputation ; exclusion de la possibilité de travail sur du matériel informatique par des inconnus, des personnes au hasard, etc.
Les mesures juridiques comprennent l'élaboration de règles établissant la responsabilité de la destruction de matériel informatique et de la destruction (modification) de logiciels, le contrôle public sur les développeurs et les utilisateurs de systèmes et de programmes informatiques.
Il convient de souligner qu'aucun matériel, logiciel ou toute autre solution ne peut garantir la fiabilité et la sécurité absolues des données dans les systèmes informatiques. Dans le même temps, il est possible de minimiser le risque de pertes, mais uniquement avec une approche intégrée de la protection des informations.
1.2 Types de menaces
Les menaces passives visent principalement l'utilisation non autorisée des ressources informationnelles d'un système d'information sans affecter son fonctionnement. Par exemple, accès non autorisé aux bases de données, écoute clandestine des canaux de communication, etc.
Les menaces actives visent à perturber le fonctionnement normal du système d'information en influençant délibérément ses composants. Les menaces actives incluent, par exemple, la destruction d'un ordinateur ou de son système d'exploitation, la destruction de logiciels informatiques, la perturbation des lignes de communication, etc. La source des menaces actives peut être les actions de pirates, de logiciels malveillants, etc.
Les menaces délibérées sont également divisées en menaces internes (survenant au sein de l'organisation gérée) et externes.
Les menaces internes sont le plus souvent déterminées par des tensions sociales et un climat moral difficile.
Les menaces externes peuvent être déterminées par les actions malveillantes des concurrents, les conditions économiques et d'autres causes (par exemple, les catastrophes naturelles).
Les principales menaces à la sécurité de l'information et au fonctionnement normal du système d'information comprennent :
Fuite d'informations confidentielles ;
compromission d'informations ;
Utilisation non autorisée des ressources d'information ;
Utilisation erronée des ressources d'information ;
Échange non autorisé d'informations entre abonnés ;
Refus d'informations ;
Violation du service d'information ;
Utilisation illégale des privilèges.
La fuite d'informations confidentielles est la diffusion incontrôlée d'informations confidentielles en dehors du système d'information ou du cercle des personnes à qui elles ont été confiées dans le service ou ont été connues dans le cadre du travail. Cette fuite peut être due à :
Divulgation d'informations confidentielles ;
Laisser des informations par divers canaux, principalement techniques ;
Accès non autorisé à des informations confidentielles de diverses manières.
La divulgation d'informations par son propriétaire ou détenteur est l'action intentionnelle ou imprudente des fonctionnaires et des utilisateurs à qui l'information pertinente a été dûment confiée dans le cadre du service ou du travail, qui a conduit à la familiarisation avec elle par des personnes qui n'ont pas été admises à cette information.
La conservation incontrôlée d'informations confidentielles via des canaux visuels-optiques, acoustiques, électromagnétiques et autres est possible.
L'accès non autorisé est une possession délibérée illégale d'informations confidentielles par une personne qui n'a pas le droit d'accéder aux informations protégées.
Les moyens les plus courants d'accès non autorisé à l'information sont :
Interception de rayonnement électronique ;
L'utilisation d'appareils d'écoute;
Photographie à distance ;
Interception des émissions acoustiques et restauration du texte de l'imprimeur ;
Copier des supports avec surmonter les mesures de protection ;
Déguisez-vous en tant qu'utilisateur enregistré ;
Déguisement sous les demandes du système ;
Utiliser des pièges logiciels ;
Exploiter les lacunes des langages de programmation et des systèmes d'exploitation ;
Connexion illégale à l'équipement et aux lignes de communication d'un matériel spécialement conçu permettant d'accéder à l'information ;
Désactivation malveillante des mécanismes de protection ;
Décryptage d'informations cryptées par des programmes spéciaux;
infections d'informations.
Les moyens d'accès non autorisés énumérés nécessitent de nombreuses connaissances techniques et des développements matériels ou logiciels appropriés de la part du pirate. Par exemple, des canaux de fuite techniques sont utilisés - il s'agit de chemins physiques allant de la source d'informations confidentielles à l'attaquant, par lesquels il est possible d'obtenir des informations protégées. La raison de l'apparition de canaux de fuite est la conception et les imperfections technologiques des solutions de circuit ou l'usure opérationnelle des éléments. Tout cela permet aux pirates de créer des convertisseurs fonctionnant selon certains principes physiques, formant un canal de transmission d'informations inhérent à ces principes - un canal de fuite.
Cependant, il existe des moyens assez primitifs d'accès non autorisé :
Vol de supports d'information et déchets documentaires ;
Collaboration proactive ;
Refuser de coopérer de la part du cambrioleur ;
sondage;
écoute clandestine ;
Observation et autres moyens.
Toutes les méthodes de fuite d'informations confidentielles peuvent entraîner des dommages matériels et moraux importants tant pour l'organisation où le système d'information fonctionne que pour ses utilisateurs.
Il existe et est constamment développé une grande variété de programmes malveillants, dont le but est de corrompre les informations dans les bases de données et les logiciels informatiques. Un grand nombre de variétés de ces programmes ne permet pas le développement de remèdes permanents et fiables contre eux.
On pense que le virus se caractérise par deux caractéristiques principales :
La capacité à s'auto-reproduire;
La capacité d'interférer dans le processus de calcul (pour prendre le contrôle).
L'utilisation non autorisée des ressources informationnelles, d'une part, est la conséquence de leur fuite et un moyen de la compromettre. D'autre part, il a une valeur indépendante, car il peut causer de gros dommages au système géré ou à ses abonnés.
L'utilisation erronée des ressources informationnelles, bien qu'autorisée, peut néanmoins entraîner la destruction, la fuite ou la compromission de ces ressources.
L'échange non autorisé d'informations entre les abonnés peut entraîner la réception par l'un d'eux d'informations dont l'accès lui est interdit. Les conséquences sont les mêmes qu'en cas d'accès non autorisé.
1.3 Méthodes de sécurité de l'information
La création de systèmes de sécurité de l'information repose sur les principes suivants :
1 Une approche systématique de la construction d'un système de protection, c'est-à-dire la combinaison optimale d'organisations, de programmes,. Propriétés matérielles, physiques et autres, confirmées par la pratique de la création de systèmes de protection nationaux et étrangers et utilisées à toutes les étapes du cycle technologique du traitement de l'information.
2 Le principe du développement continu du système. Ce principe, qui est l'un des fondamentaux des systèmes d'information informatiques, est encore plus pertinent pour les systèmes de sécurité de l'information. Les méthodes de mise en œuvre des menaces informatiques sont en constante amélioration, et donc assurer la sécurité des systèmes d'information ne peut pas être un acte ponctuel. Il s'agit d'un processus continu, qui consiste à justifier et à mettre en œuvre les méthodes, méthodes et moyens les plus rationnels d'améliorer les systèmes de sécurité de l'information, la surveillance continue, l'identification de ses goulots d'étranglement et de ses faiblesses, les canaux potentiels de fuite d'informations et les nouvelles méthodes d'accès non autorisé,
3 Assurer la fiabilité du système de protection, c'est-à-dire l'impossibilité de réduire le niveau de fiabilité en cas de pannes, de pannes, d'actions intentionnelles d'un intrus ou d'erreurs involontaires des utilisateurs et du personnel de maintenance du système.
4 Assurer le contrôle du fonctionnement du système de protection, c'est-à-dire la création de moyens et de méthodes de contrôle de la performance des mécanismes de protection.
5 Fournir toutes sortes d'outils anti-malware.
6 S'assurer de la faisabilité économique de l'utilisation du système. La protection, qui s'exprime par l'excédent des dommages possibles de la mise en œuvre des menaces sur le coût de développement et d'exploitation des systèmes de sécurité de l'information.
À la suite de la résolution des problèmes de sécurité de l'information, les systèmes d'information modernes devraient avoir les principales caractéristiques suivantes :
Disponibilité d'informations à des degrés divers de confidentialité ;
Assurer la protection cryptographique des informations plus ou moins confidentielles lors de la transmission des données ;
Gestion obligatoire des flux d'informations, comme dans réseaux locaux, et lors de la transmission sur des canaux de communication sur de longues distances ;
La présence d'un mécanisme d'enregistrement et de comptabilisation des tentatives d'accès non autorisées, des événements dans le système d'information et des documents imprimés ;
Obligatoire garantissant l'intégrité des logiciels et des informations ;
Disponibilité de moyens de restauration du système de protection des informations ;
Comptabilisation obligatoire des supports magnétiques ;
La présence de protection physique du matériel informatique et des supports magnétiques ;
La présence d'un service spécial de sécurité de l'information du système.
Méthodes et moyens d'assurer la sécurité de l'information.
Obstacle - une méthode pour bloquer physiquement le chemin d'un attaquant vers des informations protégées.
Contrôle d'accès - méthodes de protection des informations en réglementant l'utilisation de toutes les ressources. Ces méthodes doivent résister à toutes les voies possibles d'accès non autorisé à l'information. Le contrôle d'accès inclut les fonctions de sécurité suivantes :
Identification des utilisateurs, du personnel et des ressources du système (attribution d'un identifiant personnel à chaque objet) ;
Identification d'un objet ou d'un sujet par l'identifiant qui lui est présenté ;
Autorisation et création de conditions de travail dans le cadre des réglementations établies ;
Enregistrement des appels aux ressources protégées ;
Répondre aux tentatives d'actions non autorisées.
Mécanismes de cryptage - fermeture cryptographique des informations. Ces méthodes de protection sont de plus en plus utilisées tant pour le traitement que pour le stockage d'informations sur supports magnétiques. Lors de la transmission d'informations sur des canaux de communication longue distance, cette méthode est la seule fiable.
La lutte contre les attaques de logiciels malveillants implique un ensemble de diverses mesures organisationnelles et l'utilisation de programmes antivirus.
L'ensemble des moyens techniques est divisé en matériels et physiques.
Matériel - appareils intégrés directement dans la technologie informatique, ou des appareils qui s'interfacent avec lui via une interface standard.
Les moyens physiques comprennent divers dispositifs et structures d'ingénierie qui empêchent la pénétration physique des intrus dans les objets protégés et protègent le personnel (équipement de sécurité personnel), les biens matériels et les finances, ainsi que les informations contre les actions illégales.
Les outils logiciels sont des programmes spéciaux et des systèmes logiciels conçus pour protéger les informations dans les systèmes d'information.
Parmi les logiciels du système de protection, il faut distinguer davantage les logiciels mettant en œuvre des mécanismes de chiffrement (cryptographie). La cryptographie est la science qui garantit le secret et/ou l'authenticité (authenticité) des messages transmis.
Les moyens organisationnels réalisent par leur complexité la réglementation des activités de production dans les systèmes d'information et la relation des artistes interprètes sur une base légale de telle sorte que la divulgation, la fuite et l'accès non autorisé à des informations confidentielles deviennent impossibles ou considérablement entravés par des mesures organisationnelles.
Les recours législatifs sont déterminés par les lois du pays, qui réglementent les règles d'utilisation, de traitement et de transmission des informations accès limité et des sanctions en cas de violation de ces règles sont établies.
Les moyens de protection moraux et éthiques comprennent toutes sortes de normes de comportement qui se sont traditionnellement développées plus tôt, sont formées au fur et à mesure que l'information se répand dans le pays et dans le monde, ou sont spécialement développées. Les normes morales et éthiques peuvent être non écrites ou rédigées dans un certain ensemble de règles ou de règlements. Ces normes, en règle générale, ne sont pas légalement approuvées, mais comme leur non-respect entraîne une diminution du prestige de l'organisation, elles sont considérées comme obligatoires.
2. Partie conception
Dans la partie conception, les étapes suivantes doivent être complétées :
1 Définir le concept de virus informatique et la classification des virus informatiques.
2 Définir le concept d'un programme antivirus et la classification des outils antivirus.
3 Effectuez une analyse comparative des packages antivirus.
2.1 Classification des virus informatiques
Un virus est un programme qui peut infecter d'autres programmes en y incluant une copie modifiée qui a la capacité de se reproduire.
Les virus peuvent être divisés en classes selon les caractéristiques principales suivantes :
Possibilités destructrices
Caractéristiques de l'algorithme de travail ;
Habitat;
Selon leurs capacités destructrices, les virus peuvent être divisés en :
Inoffensif, c'est-à-dire n'affectant en rien le fonctionnement de l'ordinateur (à l'exception de la réduction de l'espace disque disponible en raison de sa distribution) ;
Non dangereux, dont l'impact se limite à une diminution de l'espace disque libre et des effets graphiques, sonores et autres ;
Virus dangereux pouvant provoquer de graves dysfonctionnements informatiques ;
Très dangereux, dont l'algorithme est volontairement basé sur des procédures pouvant entraîner la perte de programmes, détruire des données, effacer les informations nécessaires au fonctionnement de l'ordinateur, enregistrées dans des zones de mémoire système
Les caractéristiques de l'algorithme du virus peuvent être caractérisées par les propriétés suivantes :
Résidence;
Utilisation d'algorithmes furtifs ;
polymorphisme;
Virus résidents.
Le terme "résidence" fait référence à la capacité des virus à laisser leurs copies dans la mémoire système, à intercepter certains événements et, ce faisant, à appeler des procédures pour infecter les objets détectés (fichiers et secteurs). Ainsi, les virus résidents sont actifs non seulement pendant que le programme infecté est en cours d'exécution, mais également après que le programme a terminé son travail. Les copies résidentes de ces virus restent viables jusqu'au prochain redémarrage, même si tous les fichiers infectés sont détruits sur le disque. Il est souvent impossible de se débarrasser de ces virus en restaurant toutes les copies des fichiers à partir des disques de distribution ou des copies de sauvegarde. La copie résidente du virus reste active et infecte les fichiers nouvellement créés. Il en va de même pour les virus de démarrage - le formatage d'un disque alors qu'il y a un virus résident en mémoire ne guérit pas toujours le disque, car de nombreux virus résidents réinfectent le disque après qu'il a été formaté.
virus non résidents. Les virus non résidents, au contraire, sont actifs pendant une période assez courte - uniquement au moment où le programme infecté est lancé. Pour leur distribution, ils recherchent des fichiers non infectés sur le disque et y écrivent. Une fois que le code du virus a transféré le contrôle au programme hôte, l'effet du virus sur le fonctionnement du système d'exploitation est réduit à zéro jusqu'au prochain lancement de tout programme infecté. Par conséquent, les fichiers infectés par des virus non résidents sont beaucoup plus faciles à supprimer du disque et en même temps ne permettent pas au virus de les infecter à nouveau.
Virus furtifs. Les virus furtifs cachent d'une manière ou d'une autre le fait de leur présence dans le système. L'utilisation d'algorithmes furtifs permet aux virus de se cacher complètement ou partiellement dans le système. L'algorithme furtif le plus courant consiste à intercepter les requêtes du système d'exploitation pour lire (écrire) des objets infectés. Dans le même temps, les virus furtifs les guérissent temporairement ou « substituent » à leur place des informations non infectées. Dans le cas des virus de macro, la méthode la plus courante consiste à désactiver les appels au menu d'affichage des macros. Des virus furtifs de tous types sont connus, à l'exception des virus Windows - virus de démarrage, virus de fichiers DOS et même virus de macro. L'émergence de virus furtifs qui infectent Fichiers Windows, est probablement une question de temps.
Virus polymorphes. L'auto-cryptage et la polymorphicité sont utilisés par presque tous les types de virus afin de compliquer au maximum la procédure de détection du virus. Les virus polymorphes sont des virus plutôt difficiles à détecter qui n'ont pas de signatures, c'est-à-dire qu'ils ne contiennent pas un seul morceau de code permanent. Dans la plupart des cas, deux échantillons du même virus polymorphe n'auront pas une seule correspondance. Ceci est réalisé en chiffrant le corps principal du virus et en modifiant le programme de décryptage.
Les virus polymorphes comprennent ceux qui ne peuvent pas être détectés à l'aide des soi-disant masques de virus - des sections d'un code permanent spécifique à un virus particulier. Ceci est réalisé de deux manières principales - en chiffrant le code du virus principal avec un appel non permanent et un ensemble aléatoire de commandes de décryptage, ou en modifiant le code du virus en cours d'exécution. Des polymorphismes plus ou moins complexes se retrouvent dans tous les types de virus, des virus de démarrage et de fichier DOS aux virus Windows.
Par habitat, les virus peuvent être divisés en:
Déposer;
Botte;
Macrovirus;
Réseau.
Virus de fichiers. Les virus de fichiers infiltrent les fichiers exécutables de diverses manières, créent des fichiers en double (virus compagnons) ou utilisent des fonctionnalités d'organisation du système de fichiers (virus de liaison).
L'introduction d'un virus de fichier est possible dans presque tous fichiers exécutables tous les systèmes d'exploitation populaires. A ce jour, on connaît des virus qui infectent tous les types d'objets exécutables DOS standard : fichiers batch (BAT), pilotes chargeables (SYS, y compris les fichiers spéciaux IO.SYS et MSDOS.SYS) et fichiers binaires exécutables (EXE, COM). Il existe des virus qui infectent les fichiers exécutables d'autres systèmes d'exploitation - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, y compris les pilotes Windows 3.x et Windows95 VxD.
Il existe des virus qui infectent les fichiers contenant code source programmes, bibliothèques ou modules objets. Il est possible qu'un virus écrive dans des fichiers de données, mais cela se produit soit à la suite d'une erreur virale, soit lorsque ses propriétés agressives se manifestent. Les virus de macro écrivent également leur code dans des fichiers de données tels que des documents ou des feuilles de calcul, mais ces virus sont si spécifiques qu'ils sont placés dans un groupe séparé.
virus de démarrage. Les virus de démarrage infectent le secteur de démarrage d'une disquette et le secteur de démarrage ou Master Boot Record (MBR) d'un disque dur. Le principe de fonctionnement des virus de démarrage est basé sur les algorithmes de démarrage du système d'exploitation lorsque l'ordinateur est allumé ou redémarré - après les tests nécessaires de l'équipement installé (mémoire, disques, etc.), le programme de démarrage du système lit le premier secteur physique disque de démarrage(A:, C: ou CD-ROM, selon les options définies dans la configuration du BIOS) et lui transfère le contrôle.
Dans le cas d'une disquette ou d'un CD, le secteur de démarrage reçoit le contrôle, qui analyse la table des paramètres du disque (BPB - BIOS Parameter Block), calcule les adresses des fichiers du système d'exploitation, les lit en mémoire et les lance pour exécution. Les fichiers système sont généralement MSDOS.SYS et IO.SYS, ou IBMDOS.COM et IBMBIO.COM, ou d'autres selon version installée DOS, Windows ou autres systèmes d'exploitation. S'il n'y a pas de fichiers du système d'exploitation sur le disque de démarrage, le programme situé dans le secteur de démarrage du disque affiche un message d'erreur et suggère de remplacer le disque de démarrage.
Dans le cas d'un disque dur, la commande est reçue par un programme situé dans le MBR du disque dur. Ce programme analyse la table de partition du disque (Disk Partition Table), calcule l'adresse du secteur de démarrage actif (ce secteur est généralement le secteur de démarrage du disque C), le charge en mémoire et lui transfère le contrôle. secteur d'amorçage du disque dur effectue les mêmes actions que le secteur d'amorçage de la disquette.
Lors de l'infection des disques, les virus de démarrage "substituent" leur code à un programme qui prend le contrôle au démarrage du système. Ainsi, le principe d'infection est le même dans toutes les méthodes décrites ci-dessus : le virus "force" le système, lorsqu'il est redémarré, à lire en mémoire et à donner le contrôle non pas au code original du bootloader, mais au code du virus.
Les disquettes sont infectées par la seule méthode connue - le virus écrit son propre code au lieu du code du secteur d'amorçage d'origine de la disquette. Le disque dur est infecté de trois manières possibles - le virus est écrit soit à la place du code MBR, soit à la place du code du secteur de démarrage du disque de démarrage (généralement le lecteur C, soit il modifie l'adresse du secteur de démarrage actif dans le disque Table de partition située dans le MBR du disque dur.
Macro-virus. Les virus de macro infectent les fichiers - documents et feuilles de calcul de plusieurs éditeurs populaires. Les virus de macro sont des programmes dans des langages (langages de macro) intégrés à certains systèmes de traitement de données. Pour leur reproduction, ces virus utilisent les capacités des macro-langages et, avec leur aide, se transfèrent d'un fichier infecté à un autre. Les macro-virus pour Microsoft Word, Excel et Office97 ont reçu la plus grande diffusion. Il existe également des virus de macro qui infectent les documents Ami Pro et les bases de données Microsoft Access.
virus de réseau. Les virus de réseau incluent les virus qui utilisent activement les protocoles et les capacités des réseaux locaux et mondiaux pour leur propagation. Le principe de base d'un virus de réseau est la capacité de transférer indépendamment son code vers serveur distant ou poste de travail. Dans le même temps, les virus de réseau "à part entière" ont également la possibilité de lancer leur code sur ordinateur distant ou au moins "pousser" l'utilisateur à exécuter le fichier infecté. Un exemple de virus de réseau est ce que l'on appelle les vers IRC.
IRC (Internet Relay Chat) est un protocole spécial conçu pour la communication en temps réel entre les utilisateurs d'Internet. Ce protocole leur donne la possibilité de "parler" sur Internet à l'aide d'un logiciel spécialement conçu. En plus d'assister aux conférences générales, les utilisateurs IRC ont la possibilité de discuter en tête-à-tête avec n'importe quel autre utilisateur. De plus, il existe un assez grand nombre de commandes IRC avec lesquelles l'utilisateur peut obtenir des informations sur d'autres utilisateurs et canaux, modifier certains paramètres du client IRC, etc. Il y a aussi la possibilité d'envoyer et de recevoir des fichiers, ce sur quoi sont basés les vers IRC. Le système de commande puissant et étendu des clients IRC permet, sur la base de leurs scripts, de créer des virus informatiques qui transfèrent leur code aux ordinateurs des utilisateurs des réseaux IRC, les soi-disant "vers IRC". Le principe de fonctionnement de ces vers IRC est approximativement le même. À l'aide des commandes IRC, un fichier de script de travail (script) est automatiquement envoyé depuis un ordinateur infecté à chaque utilisateur qui a rejoint le canal à nouveau. Le fichier de script envoyé remplace le fichier standard et, lors de la prochaine session, le client nouvellement infecté enverra le ver. Certains vers IRC contiennent également un composant cheval de Troie : ils effectuent des actions destructrices sur les ordinateurs affectés à l'aide de mots-clés spécifiés. Par exemple, le ver "pIRCH.Events" efface tous les fichiers sur le disque de l'utilisateur sur une commande spécifique.
Il existe un grand nombre de combinaisons - par exemple, des virus d'amorçage de fichiers qui infectent à la fois les fichiers et les secteurs d'amorçage des disques. Ces virus, en règle générale, ont un algorithme de travail assez complexe, utilisent souvent des méthodes originales de pénétration du système, utilisent des technologies furtives et polymorphes. Un autre exemple d'une telle combinaison est un virus de macro réseau qui non seulement infecte les documents édités, mais envoie également des copies de lui-même par e-mail.
En plus de cette classification, il convient de dire quelques mots sur d'autres logiciels malveillants parfois confondus avec des virus. Ces programmes n'ont pas la capacité de se propager comme les virus, mais ils peuvent faire des dégâts tout aussi dévastateurs.
Chevaux de Troie (bombes logiques ou bombes à retardement).
Les chevaux de Troie incluent les programmes qui provoquent toutes les actions destructrices, c'est-à-dire, selon les conditions ou à chaque lancement, la destruction d'informations sur les disques, le « survol » du système, etc. A titre d'exemple, on peut citer un tel cas - lorsqu'un tel programme, lors d'une session sur Internet, a envoyé à son auteur des identifiants et des mots de passe depuis les ordinateurs où il vivait. La plupart des chevaux de Troie bien connus sont des programmes qui « usurpent » une sorte de programmes utiles, de nouvelles versions d'utilitaires populaires ou des ajouts à ceux-ci. Très souvent, ils sont envoyés à des stations BBS ou à des conférences électroniques. Comparés aux virus, les "chevaux de Troie" ne sont pas largement utilisés pour les raisons suivantes : soit ils se détruisent avec le reste des données sur le disque, soit ils démasquent leur présence et détruisent l'utilisateur concerné.
2.2 Le concept d'un programme antivirus
Les moyens de lutter contre les virus informatiques peuvent être divisés en plusieurs groupes :
Prévention de l'infection virale et réduction des dommages attendus d'une telle infection ;
Méthodologie d'utilisation des programmes antivirus, y compris la neutralisation et la suppression d'un virus connu ;
Façons de détecter et de supprimer un virus inconnu.
Prévention des infections informatiques.
L'une des principales méthodes de lutte contre les virus est, comme en médecine, une prévention rapide. La prévention informatique consiste à suivre un petit nombre de règles, ce qui peut réduire considérablement le risque d'infection par un virus et la perte de données.
Afin de déterminer les règles de base de «l'hygiène» informatique, il est nécessaire de connaître les principales voies par lesquelles un virus pénètre dans un ordinateur et des réseaux informatiques.
Aujourd'hui, la principale source de virus est l'Internet mondial. Le plus grand nombre d'infections virales se produit lors de l'échange de lettres au format Word/Office97. L'utilisateur d'un éditeur infecté par un macro-virus, sans s'en douter, envoie des lettres infectées à des destinataires, qui à leur tour envoient de nouvelles lettres infectées, et ainsi de suite. Le contact avec des sources d'informations suspectes doit être évité et seuls des produits logiciels légaux (sous licence) doivent être utilisés.
Récupération d'objets endommagés.
Dans la plupart des cas d'infection virale, la procédure de récupération des fichiers et des disques infectés consiste à exécuter un antivirus approprié capable de neutraliser le système. Si le virus est inconnu de tout antivirus, il suffit d'envoyer le fichier infecté aux fabricants d'antivirus et de recevoir après un certain temps un médicament de «mise à jour» contre le virus. Si le temps n'attend pas, alors le virus devra être neutralisé de lui-même. La plupart des utilisateurs doivent avoir sauvegardes vos informations.
Les outils généraux de sécurité des informations sont utiles pour plus que la simple protection contre les virus. Il existe deux principaux types de fonds :
1 Copie d'informations - création de copies de fichiers et de zones système de disques.
2 Le contrôle d'accès empêche l'utilisation non autorisée des informations, en particulier la protection contre les modifications des programmes et des données par des virus, les programmes défectueux et les actions erronées des utilisateurs.
La détection rapide des fichiers et disques infectés par des virus, la destruction complète des virus détectés sur chaque ordinateur permettent d'éviter la propagation d'une épidémie de virus à d'autres ordinateurs.
L'arme principale dans la lutte contre les virus sont les programmes antivirus. Ils permettent non seulement de détecter les virus, y compris les virus qui utilisent diverses méthodes de masquage, mais également de les supprimer de l'ordinateur.
Il existe plusieurs méthodes d'analyse antivirus de base utilisées par les programmes antivirus. La méthode la plus traditionnelle pour trouver des virus est l'analyse.
Pour détecter, supprimer et protéger contre les virus informatiques, plusieurs types de programmes spéciaux ont été développés pour vous permettre de détecter et de détruire les virus. Ces programmes sont appelés programmes antivirus.
2.3 Types d'outils antivirus
Programmes-détecteurs. Les programmes de détection recherchent une signature caractéristique d'un virus particulier dans mémoire viveà la fois dans les fichiers et lors de la détection, ils émettent un message approprié. L'inconvénient de ces programmes antivirus est qu'ils ne peuvent détecter que les virus connus des développeurs de ces programmes.
Programmes de docteur. Les programmes de médecin ou les phages, ainsi que les programmes de vaccination, non seulement trouvent les fichiers infectés par des virus, mais les «soignent» également, c'est-à-dire qu'ils suppriment le corps du programme viral du fichier, ramenant les fichiers à leur état d'origine. Au début de leur travail, les phages recherchent des virus dans la RAM, les détruisent, et ne procèdent qu'ensuite au «traitement» des fichiers. Parmi les phages, on distingue les polyphages, c'est-à-dire les programmes de médecin conçus pour rechercher et détruire un grand nombre de virus. Les plus connus d'entre eux sont : AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.
Étant donné que de nouveaux virus apparaissent constamment, les programmes de détection et les programmes de médecins deviennent rapidement obsolètes et des mises à jour régulières sont nécessaires.
Les programmes d'audit (inspecteurs) sont parmi les moyens les plus fiables de protection contre les virus.
Les auditeurs (inspecteurs) vérifient les données sur le disque pour les virus invisibles. De plus, l'inspecteur ne peut pas utiliser les moyens du système d'exploitation pour accéder aux disques, ce qui signifie qu'un virus actif ne pourra pas intercepter cet accès.
Le fait est qu'un certain nombre de virus, infiltrant des fichiers (c'est-à-dire s'ajoutant à la fin ou au début du fichier), remplacent les entrées concernant ce fichier dans les tables d'allocation de fichiers de notre système d'exploitation.
Les auditeurs (inspecteurs) se souviennent de l'état initial des programmes, répertoires et zones système du disque lorsque l'ordinateur n'est pas infecté par un virus, puis comparent périodiquement ou à la demande de l'utilisateur l'état actuel avec l'état d'origine. Les changements détectés sont affichés sur l'écran du moniteur. En règle générale, les états sont comparés immédiatement après le chargement du système d'exploitation. Lors de la comparaison, la longueur du fichier, le code de contrôle cyclique (somme de contrôle du fichier), la date et l'heure de la modification et d'autres paramètres sont vérifiés. Les auditeurs de programme (inspecteurs) disposent d'algorithmes suffisamment développés, détectent les virus furtifs et peuvent même effacer les modifications apportées à la version du programme en cours de vérification à partir des modifications apportées par le virus.
Il est nécessaire de lancer l'auditeur (inspecteur) lorsque l'ordinateur n'est pas encore infecté, afin qu'il puisse créer une table dans le répertoire racine de chaque disque, avec toutes les informations nécessaires sur les fichiers qui se trouvent sur ce disque, ainsi que sur sa zone de démarrage. Une autorisation sera demandée pour créer chaque table. Lors des prochains lancements, l'auditeur (inspecteur) examinera les disques, comparant les données de chaque fichier avec ses propres enregistrements.
Si des infections sont détectées, l'auditeur (inspecteur) pourra utiliser son propre module de curage, qui restaurera le fichier corrompu par le virus. Pour restaurer des fichiers, l'inspecteur n'a pas besoin de savoir quoi que ce soit sur un type de virus spécifique, il suffit d'utiliser les données sur les fichiers stockés dans les tables.
De plus, si nécessaire, un antivirus peut être appelé.
Filtrer les programmes (moniteurs). Les programmes de filtrage (moniteurs) ou "watchmen" sont de petits programmes résidents conçus pour détecter les actions suspectes pendant le fonctionnement de l'ordinateur qui sont caractéristiques des virus. De telles actions peuvent être :
Tente de corriger les fichiers avec les extensions COM, EXE ;
Modification des attributs de fichier ;
Ecriture directe sur disque à adresse absolue ;
Écriture sur les secteurs de démarrage du disque ;
Lorsqu'un programme tente d'effectuer les actions spécifiées, le "watchman" envoie un message à l'utilisateur et propose d'interdire ou d'autoriser l'action correspondante. Les programmes de filtrage sont très utiles, car ils sont capables de détecter un virus au stade le plus précoce de son existence avant sa reproduction. Cependant, ils ne "réparent" pas les fichiers et les disques. Pour détruire les virus, vous devez utiliser d'autres programmes, tels que les phages.
Vaccins ou immunisants. Les vaccins sont des programmes résidents qui empêchent l'infection des fichiers. Les vaccins sont utilisés s'il n'y a pas de programmes médicaux qui "traitent" ce virus. La vaccination n'est possible que contre des virus connus. Le vaccin modifie le programme ou le disque de telle manière qu'il n'affecte pas leur travail, et le virus les percevra comme infectés et ne prendra donc pas racine. Les programmes de vaccination sont actuellement d'une utilité limitée.
Scanner. Le principe de fonctionnement des analyseurs antivirus est basé sur l'analyse des fichiers, des secteurs et de la mémoire système et la recherche de virus connus et nouveaux (inconnus de l'analyseur). Les soi-disant "masques" sont utilisés pour rechercher des virus connus. Un masque de virus est une séquence de code constante spécifique à ce virus particulier. Si le virus ne contient pas de masque permanent, ou si la longueur de ce masque n'est pas assez grande, alors d'autres méthodes sont utilisées. Un exemple d'une telle méthode est un langage algorithmique qui décrit toutes les variantes de code possibles qui peuvent être rencontrées lorsque ce type de virus est infecté. Cette approche est utilisée par certains antivirus pour détecter les virus polymorphes. Les scanners peuvent également être divisés en deux catégories - "universel" et "spécialisé". Les scanners universels sont conçus pour rechercher et neutraliser tous les types de virus, quel que soit le système d'exploitation dans lequel le scanner est conçu pour fonctionner. Les scanners spécialisés sont conçus pour neutraliser un nombre limité de virus ou une seule classe d'entre eux, tels que les virus de macro. Les analyseurs spécialisés conçus uniquement pour les macro-virus s'avèrent souvent être la solution la plus pratique et la plus fiable pour protéger les systèmes de flux de travail dans les environnements MSWord et MSExcel.
Les scanners sont également divisés en "résidents" (moniteurs, gardiens), qui scannent "à la volée", et "non-résidents", qui fournissent des vérifications du système uniquement sur demande. En règle générale, les scanners "résidents" offrent une protection du système plus fiable, car ils réagissent immédiatement à l'apparition d'un virus, tandis qu'un scanner "non résident" n'est capable d'identifier un virus que lors de son prochain lancement. D'un autre côté, un scanner résident peut ralentir quelque peu l'ordinateur, notamment en raison d'éventuels faux positifs.
Les avantages des scanners de tous types incluent leur polyvalence, les inconvénients sont la vitesse relativement faible de la recherche de virus.
Scanners CRC. Le principe de fonctionnement des scanners CRC est basé sur le calcul de sommes CRC (checksums) pour les fichiers/secteurs système présents sur le disque. Ces sommes CRC sont ensuite stockées dans la base de données antivirus, ainsi que quelques autres informations : longueurs des fichiers, dates de leur dernière modification, etc. La prochaine fois que les scanners CRC sont exécutés, ils vérifient les données contenues dans la base de données avec les valeurs réelles comptées. Si les informations du fichier enregistrées dans la base de données ne correspondent pas aux valeurs réelles, les scanners CRC signalent que le fichier a été modifié ou infecté par un virus. Les scanners CRC utilisant des algorithmes anti-furtifs sont une arme assez puissante contre les virus : près de 100 % des virus sont détectés presque immédiatement après leur apparition sur un ordinateur. Cependant, ce type d'antivirus a un défaut inhérent, ce qui réduit considérablement leur efficacité. Cet inconvénient est que les scanners CRC ne sont pas capables d'attraper un virus au moment de son apparition dans le système, mais ne le font qu'après un certain temps, après que le virus se soit propagé dans tout l'ordinateur. Les analyseurs CRC ne peuvent pas détecter un virus dans les nouveaux fichiers (dans les e-mails, sur les disquettes, dans les fichiers restaurés à partir d'une sauvegarde ou lors de la décompression de fichiers à partir d'une archive), car leurs bases de données ne disposent pas d'informations sur ces fichiers. De plus, des virus apparaissent périodiquement qui utilisent cette "faiblesse" des scanners CRC, n'infectent que les fichiers nouvellement créés et restent ainsi invisibles pour eux.
Bloqueurs. Les bloqueurs sont des programmes résidents qui interceptent les situations « dangereuses pour les virus » et en informent l'utilisateur. Les « virus dangereux » incluent les appels à ouvrir pour écrire dans des fichiers exécutables, écrire dans les secteurs de démarrage des disques ou le MBR d'un disque dur, les tentatives des programmes de rester résidents, etc., c'est-à-dire les appels typiques pour les virus. aux moments de la reproduction. Parfois, certaines fonctions de blocage sont implémentées dans les scanners résidents.
Les avantages des bloqueurs incluent leur capacité à détecter et à arrêter le virus au stade le plus précoce de sa reproduction. Les inconvénients incluent l'existence de moyens de contourner la protection des bloqueurs et un grand nombre de faux positifs.
Il est également nécessaire de noter une telle direction des outils antivirus comme les bloqueurs d'antivirus, réalisés sous la forme de composants matériels informatiques. La plus courante est la protection en écriture intégrée au BIOS dans le MBR du disque dur. Cependant, comme dans le cas des bloqueurs de logiciels, une telle protection peut être facilement contournée en écrivant directement sur les ports du contrôleur de disque, et l'exécution de l'utilitaire FDISK DOS provoque immédiatement un "faux positif" de protection.
Il existe plusieurs autres bloqueurs matériels universels, mais aux inconvénients énumérés ci-dessus, il existe également des problèmes de compatibilité avec les configurations informatiques standard et des difficultés à les installer et à les configurer. Tout cela rend les bloqueurs matériels extrêmement impopulaires par rapport aux autres types de protection antivirus.
2.4 Comparaison des packages antivirus
Quel que soit le système d'information à protéger, le paramètre le plus important lors de la comparaison des antivirus est la capacité à détecter les virus et autres programmes malveillants.
Cependant, bien que ce paramètre soit important, il n'est en aucun cas le seul.
Le fait est que l'efficacité d'un système de protection antivirus dépend non seulement de sa capacité à détecter et à neutraliser les virus, mais également de nombreux autres facteurs.
Un antivirus doit être facile à utiliser, sans distraire l'utilisateur de l'ordinateur de l'exécution de ses tâches directes. Si l'antivirus agace l'utilisateur avec des demandes et des messages persistants, il sera tôt ou tard désactivé. L'interface antivirus doit être conviviale et compréhensible, car tous les utilisateurs n'ont pas une grande expérience des programmes informatiques. Sans comprendre la signification du message qui apparaît à l'écran, vous pouvez involontairement autoriser une infection virale même avec un antivirus installé.
Le mode de protection antivirus le plus pratique consiste à analyser tous les fichiers ouverts. Si l'antivirus n'est pas en mesure de fonctionner dans ce mode, l'utilisateur devra exécuter une analyse de tous les disques tous les jours pour détecter les nouveaux virus émergents. Cette procédure peut prendre des dizaines de minutes voire des heures s'il s'agit de gros disques installés, par exemple, sur un serveur.
Étant donné que de nouveaux virus apparaissent chaque jour, il est nécessaire de mettre à jour périodiquement la base de données antivirus. Sinon, l'efficacité de la protection antivirus sera très faible. Les antivirus modernes, après une configuration appropriée, peuvent mettre à jour automatiquement les bases de données antivirus via Internet, sans distraire les utilisateurs et les administrateurs pour effectuer ce travail de routine.
Lors de la protection d'un grand réseau d'entreprise, un paramètre de comparaison antivirus tel que la présence d'un centre de contrôle du réseau est mis en avant. Si un réseau d'entreprise regroupe des centaines et des milliers de postes de travail, des dizaines et des centaines de serveurs, il est pratiquement impossible d'organiser une protection antivirus efficace sans un centre de contrôle réseau. Un ou plusieurs administrateurs système ne pourront pas contourner tous les postes de travail et serveurs en installant et en configurant des programmes antivirus sur ceux-ci. Cela nécessite des technologies permettant l'installation et la configuration centralisées des antivirus sur tous les ordinateurs d'un réseau d'entreprise.
La protection des hôtes Internet tels que les serveurs de messagerie et les serveurs de messagerie nécessite l'utilisation d'outils antivirus spécialisés. Les antivirus classiques d'analyse de fichiers ne pourront pas trouver de code malveillant dans les bases de données des serveurs de messagerie ou dans le flux de données transitant par les serveurs de messagerie.
Habituellement, lors de la comparaison d'agents antiviraux, d'autres facteurs sont pris en compte. Les institutions publiques peuvent, toutes choses étant égales par ailleurs, préférer les antivirus produits localement qui disposent de tous les certificats nécessaires. La réputation reçue par l'un ou l'autre outil antivirus auprès des utilisateurs d'ordinateurs et des administrateurs système joue également un rôle important. Les préférences personnelles peuvent également jouer un rôle important dans le choix.
Pour prouver les avantages de leurs produits, les développeurs d'antivirus utilisent souvent les résultats de tests indépendants. Dans le même temps, les utilisateurs ne comprennent souvent pas exactement ce qui a été vérifié dans ce test et comment.
Dans cet ouvrage, les programmes antivirus les plus populaires du moment ont fait l'objet d'une analyse comparative, à savoir : Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft.
L'un des premiers à tester des produits antivirus a été le magazine britannique Virus Bulletin. Les premiers tests publiés sur leur site web remontent à 1998. Le test est basé sur la collection de logiciels malveillants WildList. Pour réussir le test, il est nécessaire d'identifier tous les virus de cette collection et de démontrer un taux de faux positifs nul sur la collection de fichiers journaux « propres ». Des tests sont effectués plusieurs fois par an sur différents systèmes d'exploitation; Les produits qui réussissent le test reçoivent le prix VB100%. La figure 1 montre combien de récompenses VB100% ont été reçues par les produits de différentes sociétés antivirus.
Bien sûr, le magazine Virus Bulletin peut être qualifié de plus ancien testeur d'antivirus, mais le statut du patriarche ne le sauve pas des critiques de la communauté antivirus. Tout d'abord, WildList n'inclut que les virus et les vers et n'est destiné qu'à la plate-forme Windows. Deuxièmement, la collection WildList contient un petit nombre de programmes malveillants et se reconstitue très lentement : seules quelques dizaines de nouveaux virus apparaissent dans la collection par mois, alors que, par exemple, la collection AV-Test se reconstitue avec plusieurs dizaines voire centaines de des milliers de copies de logiciels malveillants pendant cette période. .
Tout cela suggère que dans sa forme actuelle, la collection WildList est obsolète et ne reflète pas la situation réelle des virus sur Internet. En conséquence, les tests basés sur la collection WildList deviennent de plus en plus inutiles. Ils sont bons pour la publicité des produits qui les ont dépassés, mais ils ne reflètent pas vraiment la qualité de la protection antivirus.
Figure 1 - Le nombre de tests VB réussis à 100 %
Des laboratoires de recherche indépendants tels que AV-Comparatives, AV-Tests testent les produits antivirus deux fois par an pour la détection de logiciels malveillants à la demande. Parallèlement, les collections sur lesquelles des tests sont effectués contiennent jusqu'à un million de programmes malveillants et sont régulièrement mises à jour. Les résultats des tests sont publiés sur les sites Web de ces organisations (www.AV-Comparatives.org, www.AV-Test.org) et dans des magazines informatiques bien connus PC World, PC Welt. Les résultats des prochains tests sont présentés ci-dessous :
Figure 2 - Taux global de détection de logiciels malveillants selon AV-Test
Si nous parlons des produits les plus courants, alors selon les résultats de ces tests, seules les solutions de Kaspersky Lab et Symantec figurent dans le top trois. Avira, leader des tests, mérite une attention particulière.
Les tests des laboratoires de recherche AV-Comparatives et AV-Test, ainsi que tous les tests, ont leurs avantages et leurs inconvénients. L'avantage est que les tests sont effectués sur de grandes collections de logiciels malveillants et que ces collections représentent une grande variété de types de logiciels malveillants. L'inconvénient est que ces collections contiennent non seulement des échantillons de logiciels malveillants « frais », mais également des échantillons relativement anciens. En règle générale, les échantillons prélevés au cours des six derniers mois sont utilisés. De plus, ces tests analysent les résultats chèques durs disque à la demande, alors que dans la vraie vie, l'utilisateur télécharge des fichiers infectés à partir d'Internet ou les reçoit sous forme de pièces jointes à des e-mails. Il est important de détecter ces fichiers au moment même où ils apparaissent sur l'ordinateur de l'utilisateur.
Une tentative de développer une méthodologie de test qui ne souffre pas de ce problème a été entreprise par l'un des plus anciens magazines informatiques britanniques - PC Pro. Leur test a utilisé une collection de logiciels malveillants qui avaient été détectés deux semaines avant le test dans le trafic transitant par les serveurs de MessageLabs. MessageLabs offre à ses clients des services de filtrage de divers types de trafic, et sa collection de programmes malveillants reflète bien la situation avec la propagation des virus informatiques sur le Web.
L'équipe de journalisation de PC Pro ne s'est pas contentée d'analyser les fichiers infectés, mais a simulé les actions de l'utilisateur : les fichiers infectés étaient joints aux e-mails sous forme de pièces jointes, et ces e-mails étaient téléchargés sur un ordinateur à partir de antivirus installé. De plus, à l'aide de scripts spécialement écrits, des fichiers infectés ont été téléchargés à partir d'un serveur Web, c'est-à-dire que la navigation de l'utilisateur sur Internet a été simulée. Les conditions dans lesquelles ces tests sont effectués sont aussi proches que possible de la réalité, ce qui ne pouvait qu'affecter les résultats : le taux de détection de la plupart des antivirus s'est avéré nettement inférieur à celui d'un simple scan à la demande dans AV-Comparatives. et tests AV-Test. Dans ces tests, un rôle important est joué par la rapidité avec laquelle les développeurs d'antivirus réagissent à l'apparition de nouveaux logiciels malveillants, ainsi que par les mécanismes proactifs utilisés lorsqu'un logiciel malveillant est détecté.
La vitesse de publication des mises à jour antivirus avec de nouvelles signatures de logiciels malveillants est l'un des composants les plus importants d'une protection antivirus efficace. Plus la mise à jour de la base de données de signatures est publiée tôt, moins l'utilisateur restera sans protection.
Figure 3 - Temps de réponse moyen aux nouvelles menaces
Dernièrement, de nouveaux logiciels malveillants sont apparus si fréquemment que les laboratoires antivirus peuvent à peine suivre le rythme des nouveaux échantillons. Dans une telle situation, la question se pose de savoir comment un antivirus peut résister non seulement aux virus déjà connus, mais également aux nouvelles menaces pour la détection desquelles une signature n'a pas encore été publiée.
Les technologies dites proactives sont utilisées pour détecter les menaces inconnues. Ces technologies peuvent être divisées en deux types : les heuristiques (détectent les programmes malveillants sur la base de l'analyse de leur code) et les bloqueurs comportementaux (bloquent les actions des programmes malveillants lorsqu'ils s'exécutent sur un ordinateur, sur la base de leur comportement).
Si l'on parle d'heuristiques, alors leur efficacité est étudiée depuis longtemps par AV-Comparatives, un laboratoire de recherche dirigé par Andreas Clementi. L'équipe d'AV-Comparatives utilise une technique particulière : les antivirus sont vérifiés par rapport à la collection de virus actuelle, mais un antivirus avec des signatures vieilles de trois mois est utilisé. Ainsi, l'antivirus doit contrer les logiciels malveillants dont il ne sait rien. Les antivirus sont analysés en analysant la collection de logiciels malveillants sur le disque dur, de sorte que seule l'efficacité de l'heuristique est vérifiée. Une autre technologie proactive, le bloqueur comportemental, n'est pas utilisée dans ces tests. Même les meilleures heuristiques montrent actuellement un taux de détection d'environ 70% seulement, et beaucoup d'entre elles souffrent encore de faux positifs sur des fichiers sains. Tout cela suggère que jusqu'à présent cette méthode de détection proactive ne peut être utilisée que simultanément avec la méthode de signature.
Quant à une autre technologie proactive - un bloqueur comportemental -, aucun test comparatif sérieux n'a été mené dans ce domaine. Premièrement, de nombreux produits antivirus (Doctor Web, NOD32, Avira et autres) n'ont pas de bloqueur de comportement. Deuxièmement, la conduite de tels tests se heurte à certaines difficultés. Le fait est que pour tester l'efficacité d'un bloqueur comportemental, il est nécessaire de ne pas analyser un disque avec une collection de programmes malveillants, mais d'exécuter ces programmes sur un ordinateur et d'observer avec quel succès l'antivirus bloque leurs actions. Ce processus prend beaucoup de temps et peu de chercheurs sont capables d'entreprendre de tels tests. Tout ce qui est actuellement accessible au grand public, ce sont les résultats des tests de produits individuels effectués par l'équipe d'AV-Comparatives. Si, lors des tests, les antivirus ont réussi à bloquer les actions de programmes malveillants inconnus d'eux alors qu'ils s'exécutaient sur un ordinateur, le produit a reçu le prix de la protection proactive. Actuellement, de telles récompenses ont été reçues par F-Secure avec la technologie comportementale DeepGuard et Kaspersky Anti-Virus avec le module Proactive Defense.
Les technologies de prévention des infections basées sur l'analyse du comportement des logiciels malveillants sont de plus en plus répandues, et le manque de tests comparatifs complets dans ce domaine ne peut qu'être alarmant. Récemment, des spécialistes du laboratoire de recherche AV-Test ont tenu une large discussion sur cette question, à laquelle ont également participé des développeurs de produits antivirus. Le résultat de cette discussion a été une nouvelle méthodologie pour tester la capacité des produits antivirus à résister aux menaces inconnues.
Un niveau élevé de détection des logiciels malveillants à l'aide de diverses technologies est l'une des caractéristiques les plus importantes d'un antivirus. Cependant, une caractéristique tout aussi importante est l'absence de faux positifs. Les faux positifs ne causent pas moins de tort à l'utilisateur qu'une infection virale : bloquer le travail programmes souhaités, bloquer l'accès aux sites, etc.
Au cours de ses recherches, AV-Comparatives, en plus d'étudier la capacité des antivirus à détecter les logiciels malveillants, effectue également des tests de faux positifs sur des collections de fichiers sains. Selon le test, le plus grand nombre de faux positifs a été trouvé dans les antivirus Doctor Web et Avira.
Il n'y a pas de protection à 100% contre les virus. De temps en temps, les utilisateurs sont confrontés à une situation où un programme malveillant a pénétré dans un ordinateur et l'ordinateur a été infecté. Cela se produit soit parce qu'il n'y avait aucun antivirus sur l'ordinateur, soit parce que l'antivirus n'a pas détecté le logiciel malveillant, que ce soit par signature ou par des méthodes proactives. Dans une telle situation, il est important que lors de l'installation d'un antivirus avec de nouvelles bases de données de signatures sur un ordinateur, l'antivirus puisse non seulement détecter un programme malveillant, mais également éliminer avec succès toutes les conséquences de son activité, guérir une infection active. Dans le même temps, il est important de comprendre que les créateurs de virus améliorent constamment leurs "compétences" et que certaines de leurs créations sont assez difficiles à supprimer de l'ordinateur - les programmes malveillants peuvent masquer leur présence dans le système de différentes manières ( y compris à l'aide de rootkits) et même contrecarrer le travail des programmes antivirus. De plus, il ne suffit pas de simplement supprimer ou désinfecter un fichier infecté, vous devez éliminer toutes les modifications apportées par un processus malveillant dans le système et restaurer complètement le système en état de fonctionnement. L'équipe du portail russe Anti-Malware.ru a effectué un test similaire, ses résultats sont présentés dans la figure 4.
Figure 4 - Traitement de l'infection active
Ci-dessus, diverses approches de test des antivirus ont été envisagées, il a été montré quels paramètres de fonctionnement de l'antivirus sont pris en compte lors des tests. On peut en conclure que pour certains antivirus un indicateur s'avère avantageux, pour d'autres c'en est un autre. Dans le même temps, il est naturel que dans leurs supports promotionnels, les développeurs d'antivirus se concentrent uniquement sur les tests où leurs produits occupent une position de leader. Par exemple, Kaspersky Lab met l'accent sur la rapidité de réponse à l'émergence de nouvelles menaces, Eset sur la force de ses technologies heuristiques, Doctor Web décrit ses avantages dans le traitement des infections actives.
Ainsi, une synthèse des résultats des différents tests devrait être réalisée. C'est ainsi que les positions prises par les antivirus dans les tests considérés sont résumées et qu'une évaluation intégrée est dérivée - quelle place en moyenne pour tous les tests est occupée par un produit particulier. En conséquence, dans les trois premiers gagnants : Kaspersky, Avira, Symantec.
Sur la base des packages antivirus analysés, un produit logiciel a été créé pour rechercher et désinfecter les fichiers infectés par le virus SVC 5.0. Ce virus ne conduit pas à la suppression ou à la copie non autorisée de fichiers, cependant, il interfère de manière significative avec le travail à part entière avec les logiciels informatiques.
Les programmes infectés durent plus longtemps que source. Cependant, lors de la navigation dans les répertoires d'une machine infectée, cela ne sera pas visible, car le virus vérifie si le fichier trouvé est infecté ou non. Si le fichier est infecté, la longueur du fichier non infecté est écrite dans le DTA.
Vous pouvez détecter ce virus de la manière suivante. Dans la zone de données du virus, il y a une chaîne de caractères "(c) 1990 by SVC,Ver. 5.0", par laquelle le virus, s'il se trouve sur le disque, peut être détecté.
Lors de l'écriture d'un programme antivirus, la séquence d'actions suivante est effectuée :
1 Pour chaque fichier en cours de vérification, l'heure de sa création est déterminée.
2 Si le nombre de secondes est de soixante, alors trois octets sont vérifiés à un décalage égal à "longueur de fichier moins 8AH". S'ils sont égaux à 35Н, 2ЭН, 30Н, respectivement, le fichier est infecté.
3 Les 24 premiers octets du code d'origine sont décodés, qui sont situés à l'offset "longueur du fichier moins 01CFH plus 0BAAH". Les clés de décodage sont situées au décalage "longueur de fichier moins 01CFH plus 0C1AN" et "longueur de fichier moins 01CFH plus 0C1BH".
4 Les octets décodés sont écrits au début du programme.
5 Le fichier est "tronqué" à "la longueur du fichier moins 0C1F".
Le programme a été créé dans l'environnement de programmation TurboPascal. Le texte du programme est présenté à l'annexe A.
Conclusion
Dans ce travail de cours, une analyse comparative des packages antivirus a été réalisée.
Au cours de l'analyse, les tâches définies au début du travail ont été résolues avec succès. Ainsi, les concepts de sécurité de l'information, de virus informatiques et d'outils antivirus ont été étudiés, les types de menaces à la sécurité de l'information, les méthodes de protection ont été identifiés, la classification des virus informatiques et des programmes antivirus a été envisagée et une analyse comparative des packages antivirus a été effectuée, un programme a été écrit pour rechercher les fichiers infectés.
Les résultats obtenus au cours des travaux peuvent être appliqués lors du choix d'un outil antivirus.
Tous les résultats obtenus sont reflétés dans le travail à l'aide de diagrammes, de sorte que l'utilisateur peut vérifier indépendamment les conclusions tirées dans le diagramme final, qui reflète la synthèse des résultats révélés de divers tests d'outils antivirus.
Les résultats obtenus au cours des travaux peuvent être utilisés comme base pour l'auto-comparaison des programmes antivirus.
Compte tenu de l'utilisation généralisée des technologies informatiques, le travail de cours présenté est pertinent et répond aux exigences de celui-ci. Au cours du travail, les outils antivirus les plus populaires ont été pris en compte.
Liste de la littérature utilisée
1 Anin B. Protection des informations informatiques. - Saint-Pétersbourg. : BHV - Saint-Pétersbourg, 2000. - 368 p.
2 Artyunov VV Protection des informations : manuel. - méthode. allocation. M. : Libéria - Bibinform, 2008. - 55 p. – (Bibliothécaire et temps. 21e siècle; numéro 99).
3 Korneev I. K., E. A. Stepanov Sécurité de l'information au bureau : manuel. - M. : Prospekt, 2008. - 333 p.
5 Kupriyanov A. I. Principes fondamentaux de la sécurité de l'information : manuel. allocation. - 2e éd. effacé – M. : Académie, 2007. – 254 p. – (Enseignement professionnel supérieur).
6 Semenenko V. A., N. V. Fedorov Protection des informations logicielles et matérielles : manuel. allocation pour les étudiants. les universités. - M. : MGIU, 2007. - 340 p.
7 Tsirlov VL Fondamentaux de la sécurité de l'information : un petit cours. - Rostov n/D : Phoenix, 2008. - 254 p. (Formation professionnelle).
Application
Liste des programmes
ProgrammeANTVIRUS ;
Utilise dos, crt, imprimante ;
Tapez St80 = Chaîne ;
FileInfection:Fichier d'octets ;
SearchFile:SearchRec ;
Mas : Tableau de St80 ;
MasByte : Tableau d'octets ;
Position,I,J,K : Octet ;
Num,NumberOfFile,NumberOfInfFile:Word ;
Drapeau, NextDisk, Erreur : booléen ;
Clé1, Clé2, Clé3, ErreurNum: Octet ;
MasScreen : Tableau d'octets absolus $B800 : 0000 ;
Cure de procédure (St : St80) ;
I : octets ; MasCure : tableau d'octets ;
Assign(FileInfection,St); Réinitialiser(FileInfection);
NumError :=IOResult ;
Si(NombreErreur<>
Chercher(FileInfection,FileSize(FileInfection) - ($0C1F - $0C1A));
NumError :=IOResult ;
Si(NombreErreur<>0) Puis Commencer Erreur :=Vrai ; sortie; fin;
Lire(FileInfection,Key1);
NumError :=IOResult ;
Si(NombreErreur<>0) Puis Commencer Erreur :=Vrai ; sortie; fin;
Lire(FileInfection,Key2);
NumError :=IOResult ;
Si(NombreErreur<>0) Puis Commencer Erreur :=Vrai ; sortie; fin;
Rechercher (FileInfection, FileSize (FileInfection) - ($0C1F - $0BAA));
NumError :=IOResult ;
Si(NombreErreur<>0) Puis Commencer Erreur :=Vrai ; sortie; fin;
Pour I :=1 à 24 faire
Lire(FileInfection,MasCure[i]);
NumError :=IOResult ;
Si(NombreErreur<>0) Puis Commencer Erreur :=Vrai ; sortie; fin;
Key3 :=MasCure[i] ;
MasCure[i] :=Key3 ;
Chercher(FileInfection,0);
NumError :=IOResult ;
Si(NombreErreur<>0) Puis Commencer Erreur :=Vrai ; sortie; fin;
Pour I:=1 à 24 faites Write(FileInfection,MasCure[i]);
Chercher(FileInfection,FileSize(FileInfection) - $0C1F);
NumError :=IOResult ;
Si(NombreErreur<>0) Puis Commencer Erreur :=Vrai ; sortie; fin;
Tronquer(FileInfection);
NumError :=IOResult ;
Si(NombreErreur<>0) Puis Commencer Erreur :=Vrai ; sortie; fin;
Fermer(FileInfection); NumError :=IOResult ;
Si(NombreErreur<>0) Puis Commencer Erreur :=Vrai ; sortie; fin;
Procédure F1(St : St80) ;
FindFirst(St + "*.*", $3F, SearchFile);
Pendant que (SearchFile.Attr = $10) Et (DosError = 0) Et
((SearchFile.Name = ".") Ou (SearchFile.Name = ".."))
FindNext(RechercheFichier);
Tandis que (DosError = 0) Faire
Si la touche est enfoncée alors
Si (Ord(ReadKey) = 27) Alors Halt ;
Si (RechercheFichier.Attr = $10) Alors
Mas[k]:=St + SearchFile.Name + "\" ;
Si(RechercheFichier.Attr<>10 $) Alors
NumberOfFile :=NumberOfFile + 1 ;
UnpackTime(RechercheFichier.Heure, DT);
Pour I :=18 à 70, faites MasScreen :=$20 ;
Write(St + SearchFile.Name, " ");
Si (Dt.Sec = 60) Alors
Assign(FileInfection,St + SearchFile.Name);
Réinitialiser(FileInfection);
NumError :=IOResult ;
Si(NombreErreur<>0) Puis Commencer Erreur :=Vrai ; sortie; fin;
Rechercher (FileInfection, FileSize (FileInfection) - $8A);
NumError :=IOResult ;
Si(NombreErreur<>0) Puis Commencer Erreur :=Vrai ; sortie; fin;
Pour I:=1 à 3 faites Read(FileInfection,MasByte[i]);
Fermer(FileInfection);
NumError :=IOResult ;
Si(NombreErreur<>0) Puis Commencer Erreur :=Vrai ; sortie; fin;
Si (MasByte = $35) Et (MasByte = $2E) Et
(MasByte = 30 $) Alors
NumberOfInfFile :=NumberOfInfFile + 1 ;
Write(St + SearchFile.Name," infecté. ",
"Retirer?");
Si (Ord(Ch) = 27) Alors Sortie ;
Jusqu'à (Ch = "Y") Ou (Ch = "y") Ou (Ch = "N")
Si (Ch = "Y") Ou (Ch = "y") Alors
Cure(St + SearchFile.Name);
Si(NombreErreur<>0) Puis Quittez ;
Pour I :=0 à 79, faites MasScreen :=$20 ;
FindNext(RechercheFichier);
AllerVersXY(29,1); AttrTexte :=$1E ; AllerVersXY(20,2); AttrTexte :=$17 ;
Writeln("Programma dlya poiska i lecheniya fajlov,");
Writeln("zaragennih SVC50.");
AttrTexte :=$4F ; AllerVersXY(1.25);
Write("ESC - sortie");
AttrTexte :=$1F ; AllerVersXY(1,6);
Write("Kakoj disque prouve-t-il ? ");
Si (Ord(Disque) = 27) Alors Quitter ;
R.Ah :=$0E ; R.Dl :=Ord(Majuscule(Disque))-65 ;
Inter($21,R); R.Ah :=19 $ ; Inter($21,R);
Flag :=(R.Al = (Ord(UpCase(Disk))-65));
St:=Majuscule(Disque) + ":\" ;
Writeln("Testiruetsya disk ",St," ");
Writeln("fichier testiruetsya");
NombreDeFichier :=0 ;
NumberOfInfFile :=0 ;
Si (k = 0) Ou Erreur Alors Flag:=False;
Si (k > 0) Alors K :=K-1 ;
Si (k=0) Alors Flag:=Faux ;
Si (k > 0) Alors K :=K-1 ;
Writeln("Provereno fajlov - ",NumberOfFile);
Writeln("Zarageno fajlov - ",NumberOfInfFile);
Writeln("Izlecheno fajlov - ",Num);
Write("Vérifier le disque du médicament ? ");
Si (Ord(Ch) = 27) Alors Sortie ;
Jusqu'à (Ch = "Y") Ou (Ch = "y") Ou (Ch = "N") Ou (Ch = "n");
Si (Ch = "N") Ou (Ch = "n") Alors NextDisk :=False ;
