Порівняльна характеристика антивірусного програмного забезпечення. Порівняльна характеристика антивірусних програм
Таблиця 1. Порівняння функціональності антивірусних рішень
Не менш цікаво, звісно, порівняти розглянуті антивіруси з погляду ефективності виявлення ними шкідливого софту. Даний параметр оцінюється в спеціальних і визнаних на міжнародному рівні центрах і лабораторіях, таких як ICSA Labs, West Сoast Labs, Virus Bulletin та ін. пакети на сьогодні такі сертифікати мають (це якийсь мінімум). Антивірусний журнал Virus Bulletin кілька разів на рік проводить тестування великої кількості антивірусів та за результатами надає їм нагороди VB100%. На жаль, сьогодні такі нагороди є також у всіх популярних вірусів, включаючи, зрозуміло, і розглянуті нами. Тому спробуємо проаналізувати результати інших випробувань. Ми зупинимося на тестах авторитетної австрійської лабораторії Av-Comparatives.org, що займається тестуванням антивірусів, та грецької компанії Virus.gr, що спеціалізується на тестах антивірусних програмта складання рейтингів антивірусів та відомої однієї з найбільших колекцій вірусів. Згідно з результатами останнього тестування на Av-Comparatives.org, проведеного в серпні 2009 року на предмет сканування на запит (табл. 2), серед розглянутих найкращі результати продемонстрували програми Avira AntiVir Premium та Norton AntiVirus. А ось "Антивірус Касперського" зміг виявити лише 97,1% вірусів, хоча назвати такий рівень виявлення вірусів низьким, зрозуміло, зовсім несправедливо. Для більшої інформативності зазначимо, що обсяг задіяних у цьому тесті вірусних баз становив понад 1,5 млн шкідливих кодів, а різниця лише в 0,1% - це не багато, не мало, а 1,5 тис. шкідливих програм. Що стосується швидкості, то об'єктивно зіставити рішення з даного аспекту ще складніше, адже швидкість сканування залежить від безлічі факторів - зокрема, чи використовує антивірусний продукт код емуляції, чи здатний він розпізнавати складні поліморфні віруси, чи проводиться глибокий аналіз евристичного сканування і активне сканування руткітів та ін. Всі перелічені моменти безпосередньо пов'язані з якістю розпізнавання вірусів, тому у разі антивірусних рішень швидкість сканування – це не найважливіший показник результативності їхньої роботи. Тим не менш, фахівці Av-Comparatives.org вважали за можливе провести оцінку рішень і за цим показником, в результаті, серед антивірусників, що розглядаються, на висоті виявилися Avast! AntiVirus та Norton AntiVirus.Таблиця 2. Порівняння антивірусних рішень у плані виявлення ними шкідливого програмного забезпечення (джерело - Av-Comparatives.org, серпень 2009)
| Найменування | Швидкість сканування | |
| Avira AntiVir Premium 8.2 | 99,7 | Середня |
| Norton AntiVirus 16.2 | 98,7 | Швидка |
| 98,2 | Швидка | |
| ESET NOD32 Antivirus 3.0 | 97,6 | Середня |
| Антивірус Касперського 8.0 | 97,1 | Середня |
| AVG Anti-Virus 8.0.234 | 93 | Повільна |
| Антивірус Dr.Web для Windows | Чи не тестувався | Немає даних |
| PANDA Antivirus Pro 2010 | Чи не тестувався | Немає даних |
За результатами серпневого тестування Virus.gr, представленим у табл. 3, дані дещо інші. Тут у лідерах "Антивірус Касперського 2010" з 98,67% та Avira AntiVir Premium 9.0 з 98,64%. До речі, відразу варто звернути увагу, що безкоштовна програма Avira AntiVir Personal, що використовує ті ж сигнатурні бази і ті ж методи тестування, що і платна Avira AntiVir Premium, зовсім небагато відстала від комерційного рішення. Відмінності в результатах викликані тим, що різні лабораторії використовують різні вірусні бази - звичайно, в основі таких баз лежить колекція диких вірусів "In the Wild", але вона доповнюється іншими вірусами. Від того, що це за віруси і який їх відсоток у загальній базі, і залежить, який із пакетів виб'ється в лідери.
Таблиця 3. Порівняння антивірусних рішень щодо виявлення ними шкідливого ПЗ (джерело - Virus.gr, серпень 2009)
| Найменування | Відсоток виявлення різних типів шкідливого ПЗ |
| Антивірус Касперського 2010 | 98,67 |
| Avira AntiVir Premium 9.0 | 98,64 |
| Avira AntiVir Personal 9.0 | 98,56 |
| AVG Anti-Virus Free 8.5.392 | 97 |
| ESET NOD32 Antivirus 4.0 | 95,97 |
| Avast! AntiVirus Free 4.8 | 95,87 |
| Norton AntiVirus Norton 16.5 | 87,37 |
| Dr. Web 5.00 | 82,89 |
| Panda 2009 9.00.00 | 70,8 |
Варто звернути увагу також на те, наскільки антивіруси можуть на практиці справлятися з невідомими погрозами - тобто на ефективність проактивних методів, що використовуються в них. антивірусного захисту. Це дуже важливо, оскільки всі провідні в даній сфері фахівці давно дійшли єдиної думки про те, що саме цей напрямок є найперспективнішим на антивірусному ринку. Подібне тестування проводили фахівці Anti-Malware.ru в період з 3 грудня 2008 до 18 січня 2009 року. Для проведення тесту ними під час заморожування антивірусних баз було зібрано колекцію з 5166 унікальних кодів новітніх шкідливих програм. Серед антивірусів, що розглядаються в даній статті, найкращі результати продемонстрували Avira AntiVir Premium і Dr.Web (табл. 4), яким вдалося виявити відносно високу кількість відсутніх в їх базах шкідливих кодів, однак і кількість помилкових спрацьовувань у цих антивірусів виявилося велике. Тому лаври першості у вигляді нагороди Gold Proactive Protection Award фахівці видали зовсім іншим рішенням. Це "Антивірус Касперського", ESET NOD32 AntiVirus та BitDefender Antivirus, які виявилися кращими за балансом проактивного детектування та помилкових спрацьовувань. Їх результати були практично ідентичні – рівень евристичного детектування у 60% та рівень хибних спрацьовувань у районі 0,01-0,04%.
Таблиця 4. Порівняння антивірусних рішень щодо ефективності проактивного антивірусного захисту (джерело - Anti-Malware.ru, січень 2009)
| Найменування | Відсоток виявлених вірусів | Відсоток хибних спрацьовувань |
| Avira AntiVir Premium 8.2 | 71 | 0,13 |
| Dr.Web 5.0 | 61 | 0,2 |
| Антивірус Касперського 2009 | 60,6 | 0,01 |
| ESET NOD32 AntiVirus 3.0 | 60,5 | 0,02 |
| AVG Anti-Virus 8.0 | 58,1 | 0,02 |
| Avast! AntiVirus Professional 4.8 | 53,3 | 0,03 |
| Norton Anti-Virus 2009 | 51,5 | 0 |
| Panda Antivirus 2009 | 37,9 | 0,02 |
З вищенаведених даних можна зробити лише один висновок - всі розглянуті антивірусні рішення дійсно можна віднести до гідних уваги. Однак при роботі в будь-якому з них у жодному разі не можна забувати про своєчасне оновлення сигнатурних баз, оскільки рівень проактивних методів захисту в будь-якій із програм поки що далекий від ідеального.
Основними критеріями оцінки, до яких було включено 200 показників, стали:
- захист від вірусів;
- зручність використання;
- впливає на швидкість роботи комп'ютера.
Захист від шкідливих програм – найважливіший критерій оцінки: показники у межах цієї групи параметрів давали 65% загальної оцінки антивируса. Зручність використання та вплив на швидкість роботи комп'ютера давали 25% та 10% від загальної оцінки, відповідно.
Антивірусні програми відбиралися для дослідження за принципом популярності у споживачів та доступністю за ціною. З цієї причини до списку досліджених антивірусних програм увійшли:
- Безкоштовні програми – як інтегровані, так і пропоновані окремо.
- Платні програмивід провідних брендів антивірусів Виходячи з принципів відбору, дослідження не включали найдорожчі версії програмних продуктів від цих брендів.
- Від одного бренду для однієї операційної системи рейтинг міг бути представлений лише один платний продукт. Другий продукт міг потрапити до рейтингу лише у тому випадку, якщо він безкоштовний.
На цей раз у міжнародне дослідження до категорії були включені і продукти, розроблені російськими компаніями. Як правило, до списку товарів для міжнародних випробувань входять продукти з достатньою часткою ринку та високою впізнаваністю серед споживачів, тому включення до дослідження російських розробок говорить про їхню широку представленість та затребуваність за кордоном.
Десять найкращих для Windows
Усі антивіруси в десятці найкращих справляються із захистом від шпигунських програм та захищають від фішингу – спроб отримати доступ до конфіденційних даних. Але між антивірусами є відмінності в рівні захисту, а також у наявності або відсутності тієї чи іншої функції тестованих версіях антивірусу.
У зведеній таблиці представлено десятку найкращих програмза загальним рейтингом. Також у ній враховані особливості пакетів з набору функций.
Наскільки гарний стандартний захист Windows 10
Станом на лютий 2018 року частка користувачів ПК під управлінням ОС Windows, на чиїх стаціонарних комп'ютерах встановлені операційні системи Windоws 10, становила 43%. На таких комп'ютерах антивірус встановлений за замовчуванням – захищає систему програма Windows Defender, яка включена до складу операційної системи.
Стандартний антивірус, яким, судячи зі статистики, користується більшість людей, виявився лише на 17-му рядку рейтингу. За загальним показником Windows Defender набрав 3,5 бала із 5,5 можливих.
Вбудований захист останніх версій Windows рік у рік стає тільки кращим, але він все ще не відповідає рівню багатьох спеціалізованих антивірусних програм, у тому числі і тих, які поширюються безкоштовно. Windows Defender показав задовільні результати в частині онлайн захисту, проте повністю провалив тест на фішинг та протидію програмам-вимагачам. До речі, захист від фішингу заявлено виробниками антивірусу. Також виявилося, що він погано справляється із захистом комп'ютера в офлайн-режимі.
Windows Defender досить простий з погляду дизайну. Він зрозуміло повідомляє про наявність тієї чи іншої загрози, наочно демонструє ступінь захисту та має функцію «батьківський контроль», яка обмежує дітям відвідування небажаних ресурсів.
Стандартний захист Windows 10 можна назвати хіба що пристойним. Виходячи із загального рейтингу, 16 програм для захисту персонального комп'ютера на ОС Windows виявилися кращими за нього. Включно з чотирма безкоштовними.
Теоретично, можна покладатися тільки на Windows Defender, якщо у користувача включено регулярне оновлення, його комп'ютер більшу частину часу підключений до Інтернету, і він досить просунутий, щоб свідомо не відвідувати підозрілі сайти. Однак Роскацтво рекомендує встановити спеціалізований антивірусний пакет для більшої впевненості у захищеності ПК.
Як ми тестували
Тестування проводилося в самій кваліфікованій у світі лабораторії, що спеціалізується на антивірусних програмах протягом півроку. Загалом було проведено чотири групи тестів на захист від шкідливих програм: загальний тест на захист в онлайн-режимі, офлайн-тест, тест на рівень помилкових спрацьовувань та тест на автоматичне сканування та сканування на запит. У меншій мірі на підсумковий рейтинг впливали перевірка зручності використання антивірусу та його вплив на швидкість роботи комп'ютера.
- Загальний захист
Кожен антивірусний пакет випробовувався в онлайн-режимі на набір вірусів, загальна кількість понад 40 000. Також перевірялося, наскільки добре антивірус справляється з фішинговими атаками – коли хтось намагається отримати доступ до конфіденційних даних користувача. Було проведено перевірку на захист від програм-вимагачів, які обмежують доступ до комп'ютера та даних на ньому з метою отримання викупу. Крім того, проводиться онлайн-тест USB-накопичувача зі шкідливим програмним забезпеченням. Він потрібний, щоб дізнатися, наскільки добре антивірус справляється з пошуком та ліквідацією вірусів, коли не відомо заздалегідь ні про наявність шкідливих файлів, ні їхнє походження.
- Офлайн-тест USB
Виявлення шкідливих програм, що знаходяться на USB-накопичувачі, підключеному до комп'ютера. Перед перевіркою комп'ютер кілька тижнів було відключено від інтернету, щоб антивірусні пакети були актуальними не на 100%.
- Хибне спрацьовування
Ми перевіряли, наскільки ефективно антивірус ідентифікує справжні загрози та пропускає файли, які насправді безпечні, але які класифікуються продуктом як небезпечні.
- Тест на автоматичне сканування та сканування на запит
Перевірялося, наскільки ефективно функція сканування працює при автоматичній перевірці комп'ютера на наявність шкідливих програм та запуску вручну. Також під час дослідження перевірялося, чи можна планувати сканування на певний час, коли комп'ютер не використовується.
Антивірусні програми (antivirus) існують для захисту вашого комп'ютера від шкідливих програм, вірусів, троянів, черв'яків та шпигунських програм, які можуть видалити ваші файли, вкрасти ваші особисті дані та зробити роботу вашого комп'ютера та веб-з'єднання надзвичайно повільною та проблематичною. Отже, вибір хорошої антивірусної програми є важливим пріоритетом для вашої системи.
На сьогоднішній день у світі існує понад 1 мільйон комп'ютерних вірусів. Через таку широку поширеність вірусів та інших шкідливих програм, є багато різних варіантів для користувачів комп'ютерів в галузі антивірусного програмного забезпечення.
Антивірусні програми швидко перетворилися на великий бізнес, а перші комерційні антивіруси з'явилися на ринку наприкінці 1980-х років. Сьогодні ви можете знайти безліч як платних, так і безкоштовних антивірусних програм для захисту вашого комп'ютера.
Що антивірусні програми роблять
Антивірусні програми регулярно сканують ваш комп'ютер у пошуках вірусів та інших шкідливих програм, які можуть бути на вашому ПК. Якщо програмне забезпечення виявить вірус, воно, як правило, поміщає його в карантин, лікує або видаляє його.
Ви самі вибираєте, як часто сканування відбуватиметься, хоча, як правило, рекомендується, щоб ви запускали його принаймні раз на тиждень. Крім того, більшість антивірусних програм будуть захищати вас у повсякденній діяльності, такій, наприклад, як перевірка електронної пошти та веб-серфінг.
Щоразу, коли ви завантажуєте будь-який файл на свій комп'ютер з Інтернету або з e-mail, антивірус перевірить його та переконається, що файл OK (вільний від вірусів або “чистий”).
Антивірусні програми також оновлюватимуть те, що називається “антивірусні визначення”. Ці визначення оновлюються так часто, як з'являються та виявляються нові віруси та шкідливі програми.
Нові віруси з'являються щодня, тому необхідно регулярно оновлювати антивірусну базу на веб-сайті виробника антивірусної програми. Адже, як відомо, будь-яка антивірусна програма вміє розпізнавати та знешкоджувати лише ті віруси, яким її "навчив" виробник. І не секрет, що від моменту, як вірус відправляється розробникам програми, до моменту оновлення антивірусних баз може пройти кілька днів. У цей період можуть бути заражені тисячі комп'ютерів по всьому світу!
Отже, переконайтеся, що Ви встановили один із найкращих антивірусних пакетів, і регулярно оновлюйте його.
ФАЄРВОЛ (БРАНДМАУЕР)
Захист комп'ютера від вірусів залежить від однієї антивірусної програми. Більшість користувачів помиляються, вважаючи, що встановлений на комп'ютері антивірус є панацеєю всіх вірусів. Комп'ютер все ж таки може заразитися вірусом, навіть маючи в наявності потужну антивірусну програму. Якщо ваш комп'ютер має вихід в інтернет, одного антивіруса мало.
Антивірус може видалити вірус, коли той безпосередньо знаходиться на Вашому комп'ютері, але якщо той самий вірус почне впроваджуватися у Ваш комп'ютер з Інтернету, наприклад, із завантаженням веб-сторінки, то антивірусна програма нічого з ним зробити не зможе - доти, доки він не виявить своєї активності на ПК. Тому повноцінний захист комп'ютера від вірусів неможливий без фаєрволу - спеціальної захисної програми, яка сповістить про наявність підозрілої активності, коли вірус або черв'як намагаються підключитися до комп'ютера.
Використання фаєрволу в Інтернеті дозволяє обмежувати кількість небажаних підключень ззовні до Вашого комп'ютера, і значно знижує ймовірність його зараження. Крім захисту від вірусів, також значно утруднюється доступ зловмисників (хакерів) до Вашої інформації та спроба завантажити потенційно небезпечну програму на Ваш комп'ютер.
Коли фаєрвол використовується у поєднанні з антивірусною програмою та оновленнями операційної системи, захист комп'ютера підтримується на максимально високому рівні безпеки.
ОБНОВЛЕННЯ ОПЕРАЦІЙНОЇ СИСТЕМИ І ПРОГРАМ
Важливим кроком захисту Вашого комп'ютера та даних є систематичне оновлення операційної системи новітніми патчами безпеки. Рекомендується робити це щонайменше один раз на місяць. Останні оновлення для ОС та програм дозволять створити умови, за яких захист комп'ютера від вірусів буде достатньо високий.
Оновлення – це виправлення знайдених з часом помилок у програмному забезпеченні. Велика кількість вірусів використовують ці помилки (“дірки”) у безпеці системи та програм для свого поширення. Однак, якщо Ви закриєте ці "дірки", то віруси Вам не страшні та захист комп'ютера буде на високому рівні. Додатковий плюс регулярного оновлення – більш надійна робота системи внаслідок виправлення помилок.
ПАРОЛЬ ВХОДУ В СИСТЕМУ
Пароль для входу до Вашої системи, особливо для облікового запису"Адміністратор" допоможе захистити Вашу інформацію від несанкціонованого доступу локально або по мережі, до того ж створить додаткову перешкоду вірусам і шпигунським програмам. Переконайтеся, що Ви використовуєте складний пароль – т.к. безліч вірусів для поширення використовують прості паролі, наприклад 123, 12345, починаючи підбір з порожніх паролів.
БЕЗПЕЧНИЙ WEB-СЕРФІНГ
Захист комп'ютера від вірусів буде ускладнений, якщо, переглядаючи сайти та блукаючи інтернетом, Ви погоджуєтесь з усім і встановлюєте все підряд. Наприклад, під виглядом оновити Adobe Flash Player поширюється один із різновидів вірусу - "Надайте sms на номер". Практикуйте безпечний веб-серфінг. Завжди читайте, що конкретно Вам пропонують зробити, і лише потім погоджуйтесь або відмовляйтеся. Якщо Вам пропонують щось іноземною мовою - спробуйте це перекласти, інакше сміливо відмовляйтесь.
Багато вірусів містяться у вкладеннях електронної пошти і починають поширюватися відразу після відкриття вкладення. Переконливо не рекомендуємо Вам відкривати вкладення без попередньої домовленості щодо його отримання.
Антивіруси на SIM, флеш-картах та USB пристроях
Мобільні телефони, що випускаються сьогодні, володіють широким спектром інтерфейсів і можливостями передачі даних. Споживачам слід ретельно вивчити методи захисту, перш ніж під'єднувати якісь невеликі пристрої.
Такі методи захисту, як апаратні, можливо, антивіруси на USB-пристроях або на SIM, більше підійдуть споживачам мобільних телефонів. Технічна оцінка та огляд того, як встановити антивірусну програму на мобільний телефон, повинні розглядатися як процес сканування, який може вплинути на інші легальні програми на цьому телефоні.
Антивірусні програми на SIM з антивірусом, вбудованим у зону пам'яті невеликої ємності, забезпечують боротьбу зі шкідливим програмним забезпеченням/вірусами, захищаючи PIM та інформацію користувача телефону. Антивіруси на флеш-картах дають користувачеві можливість обмінюватися інформацією та використовувати ці продукти з різними апаратними пристроями.
Антивіруси, мобільні пристрої та інноваційні рішення
Нікого не здивує, коли віруси, які заражають персональні та портативні комп'ютери, перейдуть на мобільні пристрої. Все більше розробників цієї галузі пропонують антивірусні програми для боротьби з вірусами та захисту мобільних телефонів. У мобільних пристрояхє такі види боротьби з вірусами:
- § обмеження процесора
- § обмеження пам'яті
- § визначення та оновлення сигнатур цих мобільних пристроїв
Антивірусні компанії та програми
- § AOL® Virus Protection у складі AOL Safety and Security Center
- § ActiveVirusShield від AOL (на базі KAV 6, безкоштовна)
- § AhnLab
- § Aladdin Knowledge Systems
- § ALWIL Software (avast!) з Чехії (безкоштовна та платна версії)
- § ArcaVir з Польщі
- § AVZ з Росії (безкоштовна)
- § Avira з Німеччини (є безкоштовна версія Classic)
- § Authentium з Великобританії
- § BitDefender з Румунії
- § BullGuard з Данії
- § Computer Associates зі США
- § Comodo Group зі США
- § ClamAV - Ліцензія GPL - безкоштовний з відкритим вихідними кодами програми
- § ClamWin -- ClamAV для Windows
- § Dr.Web з Росії
- § Eset NOD32 зі Словаччини
- § Fortinet
- § Frisk Software з Ісландії
- § F-Secure з Фінляндії
- § GeCAD з Румунії (Microsoft купив компанію в 2003)
- § GFI Software
- § GriSoft (AVG) з Чехії (безкоштовна та платна версії)
- § Hauri
- § H+BEDV з Німеччини
- § Антивірус Касперського з Росії
- § McAfee зі США
- § MicroWorld Technologies з Індії
- § NuWave Software з України
- § MKS з Польщі
- § Norman з Норвегії
- § Outpost з Росії
- § Panda Software з Іспанії
- § Quick Heal AntiVirus з Індії
- § Rising
- § ROSE SWE
- § Sophos з Великобританії
- § Spyware Doctor
- § Stiller Research
- § Sybari Software (Microsoft купив компанію на початку 2005)
- § Symantec зі США або Великобританія
- § Trojan Hunter
- § Trend Micro з Японії (номінально Тайвань-США)
- § Український Національний Антивірус з України
- § ВірусБлокАда (VBA32) з Білорусі
- § VirusBuster з Угорщини
- § ZoneAlarm AntiVirus (Американський)
- § Перевірка файлу кількома антивірусами
- § Перевірка файлу кількома антивірусами (англ.)
- § Перевірка файлів на віруси до завантаження (англ.)
- § virusinfo.info Портал присвячений інформаційній безпеці (конференція вірусологів), на якому можна запросити допомогу.
- § antivse.com Ще один портал, звідки можна завантажити найпоширеніші антивірусні програми, як платні, так і безкоштовні.
- § www.viruslist.ru вірусна інтернет-енциклопедія, створювана «Лабораторією Касперського»
Антивіруси
Avast! * AVS * Ashampoo Antivirus * AVG * Avira AntiVir * BitDefender * Clam Antivirus * ClamWin * Comodo Antivirus * Dr. Web * F-Prot * F-Secure Antivirus * Антивірус Касперського * McAfee VirusScan * NOD32 * Norton Antivirus * Outpost Antivirus * Panda Antivirus * PC-cillin * Windows Live OneCare
Вступ
1. Теоретична частина
1.1 Поняття захисту інформації
1.2 Види загроз
1.3 Методи захисту інформації
2. Проектна частина
2.1 Класифікація комп'ютерних вірусів
2.2 Поняття антивірусної програми
2.3 Види антивірусних засобів
2.4 Порівняння антивірусних пакетів
Висновок
Список використаної літератури
додаток
Вступ
Розвиток нових інформаційних технологій та загальна комп'ютеризація призвели до того, що інформаційна безпека не тільки стає обов'язковою, вона ще й одна з характеристик інформаційних систем. Існує досить великий клас систем обробки інформації, розробки яких чинник безпеки грає першорядну роль.
Масове застосування персональних комп'ютерів пов'язане з появою програм, що самовідтворюються, вірусів, що перешкоджають нормальній роботікомп'ютера, що руйнують файлову структуру дисків і завдають шкоди інформації, що зберігається в комп'ютері.
Незважаючи на ухвалені в багатьох країнах закони про боротьбу з комп'ютерними злочинами та розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно зростає. Це вимагає від користувача персонального комп'ютера знань про природу вірусів, способи зараження вірусами та захисту від них.
З кожним днем віруси стають дедалі витонченішими, що призводить до суттєвої зміни профілю загроз. Але й ринок антивірусного програмного забезпечення не стоїть на місці, пропонуючи багато продуктів. Їхні користувачі, представляючи проблему лише в загальних рисах, нерідко упускають важливі нюанси і в результаті отримують ілюзію захисту замість захисту.
Метою даної курсової є проведення порівняльного аналізу антивірусних пакетів.
Для досягнення цієї мети у роботі вирішуються такі завдання:
Вивчити поняття інформаційної безпеки, комп'ютерних вірусів та антивірусних засобів;
Визначити види загроз безпеці інформації, методи захисту;
Вивчити класифікацію комп'ютерних вірусів та антивірусних програм;
Провести порівняльний аналіз антивірусних пакетів;
Створити програму-антивірус.
Практична значущість роботи.
Отримані результати, матеріал курсової можна використовувати як основу для самостійного порівняння антивірусних програм.
Структура курсової роботи.
Ця курсова робота складається з вступу, двох розділів, висновків, списку використовуваної літератури.
комп'ютерний вірус безпека антивірусний
1. Теоретична частина
У процесі проведення порівняльного аналізу антивірусних пакетів необхідно визначити такі поняття:
1 Інформаційна безпека.
2 Види загроз.
3 Методи захисту.
Перейдемо до докладного розгляду цих понять:
1.1 Поняття захисту інформації
Незважаючи на всі зростаючі зусилля щодо створення технологій захисту даних, їх вразливість у сучасних умовах не тільки не зменшується, а й постійно зростає. Тому актуальність проблем, пов'язаних із захистом інформації, все більше посилюється.
Проблема захисту інформації є багатоплановою та комплексною та охоплює низку важливих завдань. Наприклад, конфіденційність даних, що забезпечується застосуванням різних методів та засобів. Перелік аналогічних завдань захисту інформації може бути продовжено. Інтенсивний розвиток сучасних інформаційних технологій, і особливо мережевих технологій, створює при цьому всі передумови.
Захист інформації – комплекс заходів, спрямованих на забезпечення цілісності, доступності та, якщо потрібно, конфіденційності інформації та ресурсів, які використовуються для введення, зберігання, обробки та передачі даних.
На сьогоднішній день сформульовано два базові принципи захисту інформації:
1 цілісність даних – захист від збоїв, які ведуть до втрати інформації, і навіть захист від неавторизованого створення чи знищення даних;
2 конфіденційність інформації.
Захист від збоїв, що ведуть до втрати інформації, ведеться у напрямку підвищення надійності окремих елементів та систем, що здійснюють введення, зберігання, обробку та передачу даних, дублювання та резервування окремих елементів та систем, використання різних, у тому числі автономних, джерел живлення, підвищення рівня кваліфікації користувачів, захисту від ненавмисних та навмисних дій, що ведуть до виходу з ладу апаратури, знищення або зміни (модифікації) програмного забезпечення та інформації, що захищається.
Захист від неавторизованого створення або знищення даних забезпечується фізичним захистом інформації, розмежуванням і обмеженням доступу до елементів інформації, що захищається, закриттям інформації, що захищається в процесі безпосередньої її обробки, розробкою програмно-апаратних комплексів, пристроїв і спеціалізованого програмного забезпечення для попередження несанкціонованого доступу до інформації, що захищається.
Конфіденційність інформації забезпечується ідентифікацією та перевіркою справжності суб'єктів доступу при вході в систему за ідентифікатором та паролем, ідентифікацією зовнішніх пристроїв за фізичними адресами, ідентифікацією програм, томів, каталогів, файлів за іменами, шифруванням та дешифруванням інформації, розмежуванням.
Серед заходів, спрямованих на захист інформації, основними є технічні, організаційні та правові.
До технічних заходів можна віднести захист від несанкціонованого доступу до системи, резервування особливо важливих комп'ютерних підсистем, організацію обчислювальних мереж з можливістю перерозподілу ресурсів у разі порушення працездатності окремих ланок, встановлення резервних системелектроживлення, оснащення приміщень замками, встановлення сигналізації тощо.
До організаційних заходів належать: охорона обчислювального центру (кабінетів інформатики); укладання договору обслуговування комп'ютерної техніки з солідної, має гарну репутацію організацією; виключення можливості роботи на комп'ютерній техніці сторонніх, випадкових осіб тощо.
До правових заходів відносяться розробка норм, що встановлюють відповідальність за виведення з ладу комп'ютерної техніки та знищення (зміну) програмного забезпечення, громадський контроль над розробниками та користувачами комп'ютерних систем та програм.
Слід зазначити, що жодні апаратні, програмні та будь-які інші рішення не зможуть гарантувати абсолютну надійність та безпеку даних у комп'ютерних системах. Водночас звести ризик втрат до мінімуму можливо, але лише за комплексного підходу до захисту інформації.
1.2 Види загроз
Пасивні загрози спрямовані в основному на несанкціоноване використання інформаційних ресурсів інформаційної системи, не впливаючи на її функціонування. Наприклад, несанкціонований доступ до баз даних, прослуховування каналів зв'язку тощо.
Активні загрози мають на меті порушення нормального функціонування інформаційної системи шляхом цілеспрямованого впливу на її компоненти. До активних погроз відносяться, наприклад, виведення з ладу комп'ютера або його операційної системи, руйнування програмного забезпечення комп'ютерів, порушення роботи ліній зв'язку і таке інше. Джерелом активних загроз можуть бути дії зломщиків, шкідливі програми тощо.
Умисні загрози поділяються також на внутрішні (що виникають усередині керованої організації) та зовнішні.
Внутрішні загрози найчастіше визначаються соціальною напруженістю та важким моральним кліматом.
Зовнішні загрози можуть визначатись зловмисними діями конкурентів, економічними умовами та іншими причинами (наприклад, стихійними лихами).
До основних загроз безпеці інформації та нормального функціонування інформаційної системи належать:
Витік конфіденційної інформації;
компрометація інформації;
несанкціоноване використання інформаційних ресурсів;
Помилкове використання інформаційних ресурсів;
несанкціонований обмін інформацією між абонентами;
Відмова від інформації;
Порушення інформаційного обслуговування;
Незаконне використання привілеїв.
Витік конфіденційної інформації – це безконтрольний вихід конфіденційної інформації за межі інформаційної системи або кола осіб, яким вона була довірена по службі або стала відома у процесі роботи. Цей витік може бути наслідком:
Розголошення конфіденційної інформації;
Відходу інформації з різних, головним чином технічних, каналів;
Несанкціонований доступ до конфіденційної інформації різними способами.
Розголошення інформації її власником або власником є навмисними або необережними діями посадових осіб та користувачів, яким відповідні відомості в установленому порядку були довірені по службі або роботі, що призвели до ознайомлення з ним осіб, не допущених до цих відомостей.
Можливий безконтрольний догляд конфіденційної інформації з візуально-оптичних, акустичних, електромагнітних та інших каналів.
Несанкціонований доступ – це протиправне навмисне оволодіння конфіденційною інформацією особою, яка не має права доступу до інформації, що охороняється.
Найбільш поширеними шляхами несанкціонованого доступу до інформації є:
Перехоплення електронних випромінювань;
застосування підслуховуючих пристроїв;
Дистанційне фотографування;
Перехоплення акустичних випромінювань та відновлення тексту принтера;
Копіювання носіїв інформації з подолання заходів захисту;
Маскування під зареєстрованого користувача;
Маскування під запити системи;
Використання програмних пасток;
Використання недоліків мов програмування та операційних систем;
Незаконне підключення до апаратури та ліній зв'язку спеціально розроблених апаратних засобів, що забезпечують доступ інформації;
Зловмисне виведення з ладу механізмів захисту;
Розшифрування спеціальними програмами зашифрованої інформації;
Інформаційні інфекції.
Перелічені шляхи несанкціонованого доступу вимагають чималих технічних знань та відповідних апаратних чи програмних розробок з боку хакера. Наприклад, використовуються технічні канали витоку - це фізичні шляхи від джерела конфіденційної інформації до зловмисника, за допомогою яких можливе отримання відомостей, що охороняються. Причиною виникнення каналів витоку є конструктивні та технологічні недосконалості схемних рішень або експлуатаційне зношування елементів. Усе це дозволяє зломщикам створювати які у певних фізичних принципах перетворювачі, утворюють властивий цим принципам канал передачі – канал витоку.
Проте є й досить примітивні шляхи несанкціонованого доступу:
Розкрадання носіїв інформації та документальних відходів;
Ініціативна співпраця;
Схиляння до співпраці з боку хакера;
Випитування;
Підслуховування;
Спостереження та інші шляхи.
Будь-які способи витоку конфіденційної інформації можуть спричинити значні матеріальні та моральні збитки як для організації, де функціонує інформаційна система, так і для її користувачів.
Існує і постійно розробляється безліч шкідливих програм, мета яких - псування інформації в базах даних і програмному забезпеченні комп'ютерів. Велика кількість різновидів цих програм не дозволяє розробити постійні та надійні засоби захисту проти них.
Вважається, що вірус характеризується двома основними особливостями:
Здатністю до саморозмноження;
Здібністю до втручання у обчислювальний процес (до отримання можливості управління).
Несанкціоноване використання інформаційних ресурсів, з одного боку, є наслідками її витоку та засобом її компрометації. З іншого боку, воно має самостійне значення, оскільки може завдати великої шкоди керованій системі або її абонентам.
Помилкове використання інформаційних ресурсів, будучи санкціонованим, може призвести до руйнування, витоку або компрометації зазначених ресурсів.
Несанкціонований обмін інформацією між абонентами може призвести до отримання однієї з них відомостей, доступ до яких йому заборонено. Наслідки – ті ж, що й за несанкціонованого доступу.
1.3 Методи захисту інформації
Створення систем інформаційної безпеки ґрунтується на наступних принципах:
1 Системний підхід до побудови системи захисту, що означає оптимальне поєднання взаємозалежних організаційних, програмних,. Апаратних, фізичних та інших властивостей, підтверджених практикою створення вітчизняних та зарубіжних систем захисту та застосовуваних на всіх етапах технологічного циклу обробки інформації.
2 Принцип безперервного розвитку системи. Цей принцип, що є одним із основоположних для комп'ютерних інформаційних систем, ще актуальніший для систем інформаційної безпеки. Способи реалізації загроз інформації безперервно вдосконалюються, а тому забезпечення безпеки інформаційних систем не може бути одноразовим актом. Це безперервний процес, що полягає в обґрунтуванні та реалізації найбільш раціональних методів, способів та шляхів удосконалення систем інформаційної безпеки, безперервному контролі, виявленні її вузьких та слабких місць, потенційних каналів витоку інформації та нових способів несанкціонованого доступу,
3 Забезпечення надійності системи захисту, тобто неможливість зниження рівня надійності у разі виникнення в системі збоїв, відмов, навмисних дій зломщика або ненавмисних помилок користувачів та обслуговуючого персоналу.
4 Забезпечення контролю над функціонуванням системи захисту, тобто створення засобів і методів контролю працездатності механізмів захисту.
5 Забезпечення різноманітних засобів боротьби зі шкідливими програмами.
6 Забезпечення економічної доцільності використання системи. Захисту, що виражається у перевищенні можливої шкоди від реалізації загроз над вартістю розробки та експлуатації систем інформаційної безпеки.
В результаті вирішення проблем безпеки інформації сучасні інформаційні системи повинні мати такі основні ознаки:
Наявністю інформації різного ступеня конфіденційності;
Забезпечення криптографічного захисту інформації різного ступеня конфіденційності при передачі даних;
Обов'язковим управлінням потоками інформації, як локальних мережах, і під час передачі каналами зв'язку далекі відстані;
Наявністю механізму реєстрації та обліку спроб несанкціонованого доступу, подій в інформаційній системі та документів, що виводяться на друк;
Обов'язковим забезпеченням цілісності програмного забезпечення та інформації;
Наявність засобів відновлення системи захисту інформації;
Обов'язковий облік магнітних носіїв;
Наявністю фізичної охорони засобів обчислювальної техніки та магнітних носіїв;
Наявність спеціальної служби інформаційної безпеки системи.
Методи та засоби забезпечення безпеки інформації.
Перешкода – метод фізичного перегородження шляху зловмиснику до інформації, що захищається.
Управління доступом – методи захисту інформації регулювання використання всіх ресурсів. Ці методи мають протистояти всім можливим шляхам несанкціонованого доступу до інформації. Управління доступом включає такі функції захисту:
Ідентифікацію користувачів, персоналу та ресурсів системи (присвоєння кожному об'єкту персонального ідентифікатора);
Упізнання об'єкта чи суб'єкта по пред'явленому їм ідентифікатору;
Дозвіл та створення умов роботи в межах встановленого регламенту;
Реєстрацію звернень до ресурсів, що захищаються;
Реагування під час спроб несанкціонованих дій.
Механізми шифрування – криптографічне закриття інформації. Ці методи захисту дедалі ширше застосовуються як із обробці, і при зберіганні інформації на магнітних носіях. При передачі інформації каналами зв'язку великої протяжності цей метод єдино надійним.
Протидія атакам шкідливих програм передбачає комплекс різноманітних заходів організаційного характеру та використання антивірусних програм.
Вся сукупність технічних засобів поділяється на апаратні та фізичні.
Апаратні засоби - пристрої, що вбудовуються безпосередньо в обчислювальну техніку, або пристрої, які сполучаються з нею за стандартним інтерфейсом.
Фізичні засоби включають різні інженерні пристрої та споруди, що перешкоджають фізичному проникненню зловмисників на об'єкти захисту та здійснюють захист персоналу (особисті засоби безпеки), матеріальних засобів та фінансів, інформації від протиправних дій.
Програмні засоби – це спеціальні програми та програмні комплекси, призначені для захисту інформації в інформаційних системах.
Із засобів програмного забезпечення системи захисту необхідно виділити ще програмні засоби, що реалізують механізми шифрування (криптографії). Криптографія – це наука про забезпечення таємності та/або автентичності (справжності) повідомлень, що передаються.
Організаційні засоби здійснюють своїм комплексом регламентацію виробничої діяльності в інформаційних системах та взаємин виконавців на нормативно-правовій основі таким чином, що розголошення, витік та несанкціонований доступ до конфіденційної інформації стає неможливим або суттєво утруднюється за рахунок проведення організаційних заходів.
Законодавчі засоби захисту визначаються законодавчими актами країни, якими регламентуються правила користування, обробки та передачі інформації обмеженого доступута встановлюються заходи відповідальності за порушення цих правил.
Морально-етичні засоби захисту включають всілякі норми поведінки, які традиційно склалися раніше, складаються в міру поширення інформації в країні та світі або спеціально розробляються. Морально-етичні норми може бути неписані чи оформлені у певний звід правил чи розпоряджень. Ці норми, зазвичай, є законодавчо затвердженими, але оскільки їх недотримання призводить до падіння престижу організації, вони вважаються обов'язковими виконання.
2. Проектна частина
У проектній частині необхідно виконати такі етапи:
1 Визначити поняття комп'ютерного вірусу та класифікації комп'ютерних вірусів.
2 Визначити поняття антивірусної програми та класифікації антивірусних засобів.
3 Провести порівняльний аналіз антивірусних пакетів.
2.1 Класифікація комп'ютерних вірусів
Вірус – програма, яка може заражати інші програми шляхом включення до них модифікованої копії, що має здатність до подальшого розмноження.
Віруси можна розділити на класи за такими основними ознаками:
Деструктивні можливості
особливості алгоритму роботи;
Середовище проживання;
За деструктивними можливостями віруси можна поділити на:
Нешкідливі, тобто не впливають працювати комп'ютера (крім зменшення вільної пам'яті на диску внаслідок свого поширення);
Небезпечні, вплив яких обмежується зменшенням вільної пам'яті на диску та графічними, звуковими та іншими ефектами;
Небезпечні віруси, які можуть призвести до серйозних збоїв у роботі комп'ютера;
Дуже небезпечні, алгоритм роботи яких свідомо закладено процедури, які можуть призвести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті
Особливості алгоритму роботи вірусів можна охарактеризувати такими властивостями:
резидентність;
використання стелс-алгоритмів;
Поліморфічність;
резидентні віруси.
Під терміном «резидентність» розуміється здатність вірусів залишати свої копії в системній пам'яті, перехоплювати деякі події та викликати при цьому процедури зараження виявлених об'єктів (файлів та секторів). Таким чином, резидентні віруси активні не тільки в момент роботи зараженої програми, а й після того, як програма закінчила свою роботу. Резидентні копії таких вірусів залишаються життєздатними до чергового перезавантаження, навіть якщо на диску знищені всі заражені файли. Часто таких вірусів неможливо позбутися відновленням усіх копій файлів з дистрибутивних дисків або backup-копій. Резидентна копія вірусу залишається активною і заражає новостворені файли. Те ж саме і для завантажувальних вірусів - форматування диска за наявності в пам'яті резидентного вірусу не завжди виліковує диск, оскільки багато резидентних вірусів заражає диск повторно після того, як він відформатований.
Нерезидентні віруси Нерезидентні віруси, навпаки, активні досить нетривалий час – лише у момент запуску зараженої програми. Для свого поширення вони шукають на диску незаражені файли та записуються у них. Після того, як код вірусу передає управління програмі-носія, вплив вірусу на роботу операційної системи зводиться до нуля аж до чергового запуску будь-якої зараженої програми. Тому файли, заражені нерезидентними вірусами, значно простіше видалити з диска і при цьому не дозволити вірусу заразити їх повторно.
Стелс віруси. Стелс-віруси тими чи іншими способами приховують факт своєї присутності у системі. Використання стелс-алгоритмів дозволяє вірусам повністю або частково приховати себе у системі. Найбільш поширеним стелс-алгоритмом є перехоплення запитів операційної системи читання (запис) заражених об'єктів. Стелс-віруси у своїй або тимчасово лікують їх, або «підставляють» замість себе незаражені ділянки інформації. У разі макро-вірусів найпопулярніший спосіб – заборона викликів меню перегляду макросів. Відомі стелс-віруси всіх типів, крім Windows-вірусів – завантажувальні віруси, файлові DOS-віруси і навіть макро-віруси. Поява стелс-вірусів, що заражають файли Windows, є швидше за все справою часу.
Поліморфік-віруси. Самошифрування та поліморфічність використовуються практично всіма типами вірусів для того, щоб максимально ускладнити процедуру детектування вірусу. Поліморфік-віруси - це досить важко виявити віруси, що не мають сигнатур, тобто не містять жодної постійної ділянки коду. У більшості випадків два зразки одного і того ж поліморфік-вірусу не матимуть жодного збігу. Це досягається шифруванням основного тіла вірусу та модифікаціями програми-розшифровника.
До поліморфік-вірусів належать ті з них, детектування яких неможливо здійснити за допомогою так званих вірусних масок - ділянок постійного коду, специфічних для конкретного вірусу. Досягається це двома основними способами - шифруванням основного коду вірусу з непостійним кличем і випадковим набором команд розшифровувача або зміною коду вірусу, що виконується. Поліморфізм різного ступеня складності зустрічається у вірусах всіх типів – від завантажувальних та файлових DOS-вірусів до Windows-вірусів.
За середовищем проживання віруси можна розділити на:
Файлові;
Завантажувальні;
Макровіруси;
Мережеві.
Файлові віруси Файлові віруси або різними методами впроваджуються у виконувані файли, або створюють файли-двійники (компаньон-вирусы), або застосовують особливості організації файлової системи (link-вирусы).
Використання файлового вірусу можливе практично у всі файли всіх популярних операційних систем. На сьогоднішній день відомі віруси, що вражають усі типи виконуваних об'єктів стандартної DOS: командні файли (BAT), драйвери (SYS, в тому числі спеціальні файли IO.SYS і MSDOS.SYS), що завантажуються і виконуються двійкові файли (EXE, COM). Існують віруси, що вражають файли інших операційних систем, що виконуються - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, включаючи VxD-драйвера Windows 3.x і Windows95.
Існують віруси, що заражають файли, які містять вихідні текстипрограм, бібліотечні чи об'єктні модулі. Можливий запис вірусу й у файли даних, але це відбувається або внаслідок помилки вірусу, або при прояві його агресивних властивостей. Макро-віруси також записують свій код у файли даних - документи або електронні таблиці, проте ці віруси настільки специфічні, що винесені до окремої групи.
Завантажувальні віруси. Завантажувальні віруси заражають завантажувальний (boot) сектор флоппі-диска та boot-сектор або Master Boot Record (MBR) вінчестера. Принцип дії завантажувальних вірусів ґрунтується на алгоритмах запуску операційної системи при включенні або перезавантаженні комп'ютера – після необхідних тестів встановленого обладнання (пам'яті, дисків тощо) програма системного завантаження зчитує перший фізичний сектор завантажувального диска(A:, C: або CD-ROM в залежності від параметрів, встановлених у BIOS Setup) і передає на нього керування.
У разі дискети або компакт-диска управління отримує boot-сектор, який аналізує таблицю параметрів диска (BPB – BIOS Parameter Block), вираховує адреси системних файлів операційної системи, зчитує їх у пам'ять і запускає виконання. Системними файлами зазвичай є MSDOS.SYS та IO.SYS, або IBMDOS.COM та IBMBIO.COM, або інших залежно від встановленої версії DOS, Windows чи інших операційних систем. Якщо на завантажувальному диску відсутні файли операційної системи, програма, розташована в boot-секторі диска, видає повідомлення про помилку і пропонує замінити завантажувальний диск.
У випадку вінчестера управління отримує програму, розташовану в MBR вінчестера. Ця програма аналізує таблицю розбиття диска (Disk Partition Table), обчислює адресу активного boot-сектору (зазвичай цим сектором є boot-сектор диска C, завантажує його в пам'ять і передає на нього керування. Отримавши керування, активний boot-сектор вінчестера робить ті ж самі дії, як і boot-сектор дискети.
При зараженні дисків завантажувальні віруси «підставляють» свій код замість будь-якої програми, яка отримує керування під час завантаження системи. Принцип зараження, таким чином, однаковий у всіх описаних вище способах: вірус «примушує» систему при її перезапуску рахувати на згадку і віддати управління не оригінальному коду завантажувача, але коду вірусу.
Зараження дискет проводиться єдиним відомим способом – вірус записує свій код замість оригінального коду boot-сектора дискети. Вінчестер заражається трьома можливими способами - вірус записується або замість коду MBR, або замість коду boot-сектора завантажувального диска (зазвичай диска C, або модифікує адресу активного boot-сектора Disk Partition Table, розташованої в MBR вінчестера.
Макро-віруси. Макро-віруси заражають файли – документи та електронні таблиці кількох популярних редакторів. Макро-віруси (macro viruses) є програмами мовами (макро-мовах), вбудованих у деякі системи обробки даних. Для свого розмноження такі віруси використовують можливості макромов і за їхньої допомоги переносять себе з одного зараженого файлу в інші. Найбільшого поширення набули макро-віруси для Microsoft Word, Excel та Office97. Існують також макро-віруси, що заражають документи Ami Pro та бази даних Microsoft Access.
Мережеві віруси. До мережевих відносяться віруси, які для свого поширення активно використовують протоколи та можливості локальних та глобальних мереж. Основним принципом роботи мережного вірусу є можливість самостійно передати свій код на віддалений серверчи робочу станцію. "Повноцінні" мережеві віруси при цьому мають ще й можливість запустити на виконання свій код на віддаленому комп'ютері або, принаймні, "підштовхнути" користувача до запуску зараженого файлу. Приклад мережевих вірусів – так звані IRC-хробаки.
IRC (Internet Relay Chat) – це спеціальний протокол, розроблений для комунікації користувачів Інтернету у реальному часі. Цей протокол надає їм можливість Ітрернет-«розмови» за допомогою спеціально розробленого програмного забезпечення. Крім відвідування спільних конференцій користувачі IRC мають можливість спілкуватися віч-на-віч з будь-яким іншим користувачем. Крім цього існує досить велика кількість IRC-команд, за допомогою яких користувач може отримати інформацію про інших користувачів та каналів, змінювати деякі установки IRC-клієнта та інше. Існує також можливість передавати та приймати файли – саме на цій можливості і базуються IRC-хробаки. Потужна та розгалужена система команд IRC-клієнтів дозволяє на основі їхніх скриптів створювати комп'ютерні віруси, що передають свій код на комп'ютери користувачів мереж IRC, так звані IRC-хробаки. Принцип дії таких IRC-хробаків приблизно однаковий. За допомогою IRC-команд файл сценарію роботи (скрипт) автоматично надсилається з зараженого комп'ютера кожному користувачу, який знову приєднався до каналу. Надісланий файл-сценарій замінює стандартний і при наступному сеансі роботи вже знову заражений клієнт розсилатиме хробака. Деякі IRC-хробаки також містять троянський компонент: за заданими ключовими словами роблять руйнівні дії на уражених комп'ютерах. Наприклад, черв'як «pIRCH.Events» за певною командою стирає всі файли на диску користувача.
Існує велика кількість поєднань - наприклад, файлово-завантажувальні віруси, що заражають як файли, так і завантажувальні сектори дисків. Такі віруси зазвичай мають досить складний алгоритм роботи, часто застосовують оригінальні методи проникнення в систему, використовують стелс і поліморфік-технології. Інший приклад такого поєднання – мережевий макро-вірус, який не тільки заражає редаговані документи, але й розсилає свої копії електронною поштою.
На додаток до цієї класифікації слід сказати кілька слів про інші шкідливі програми, які іноді плутають з вірусами. Ці програми не мають здатності до самопоширення як віруси, але здатні завдати такої ж руйнівної шкоди.
Троянські коні (логічні бомби чи тимчасові бомби).
До троянських коней відносяться програми, що завдають будь-яких руйнівних дій, тобто в залежності від будь-яких умов або при кожному запуску знищує інформацію на дисках, що «завішує» систему, та інше. Як приклад можна навести і такий випадок – коли така програма під час сеансу роботи в Інтернеті пересилала своєму автору ідентифікатори та паролі з комп'ютерів, де вона мешкала. Більшість відомих троянських коней є програмами, які «підробляють» під будь-які корисні програми, нові версії популярних утиліт або додатків до них. Дуже часто вони розсилаються BBS-станціям або електронним конференціям. Порівняно з вірусами «троянські коні» не набувають широкого поширення з таких причин – вони або знищують себе разом з іншими даними на диску, або демаскують свою присутність і знищуються користувачем.
2.2 Поняття антивірусної програми
Способи протидії комп'ютерним вірусам можна поділити на кілька груп:
Профілактика вірусного зараження та зменшення передбачуваної шкоди від такого зараження;
Методика використання антивірусних програм, у тому числі знешкодження та видалення відомого вірусу;
Способи виявлення та видалення невідомого вірусу.
Профілактика зараження комп'ютера.
Одним із основних методів боротьби з вірусами є, як і в медицині, своєчасна профілактика. Комп'ютерна профілактика передбачає дотримання небагатьох правил, що дозволяє значно знизити ймовірність зараження вірусом і втрати будь-яких даних.
Щоб визначити основні правила комп'ютерної «гігієни», необхідно з'ясувати основні шляхи проникнення вірусу в комп'ютер і комп'ютерні мережі.
Основним джерелом вірусів нині є світова мережа Internet. Найбільше зараження вірусом відбувається під час обміну листами у форматах Word/Office97. Користувач зараженого макро-вірусом редактора, сам того не підозрюючи, розсилає заражені листи адресатам, які у свою чергу надсилають нові заражені листи і таке інше. Слід уникати контактів із підозрілими джерелами інформації та користуватися лише законними (ліцензійними) програмними продуктами.
Відновлення уражених об'єктів.
Найчастіше зараження вірусом процедура відновлення заражених файлів і дисків зводиться до запуску відповідного антивіруса, здатного знешкодити систему. Якщо ж вірус невідомий жодному антивірусу, достатньо відіслати заражений файл фірмам-виробникам антивірусів і через деякий час отримати ліки-«апдейт» проти вірусу. Якщо ж час не чекає, то знешкодження вірусу доведеться зробити самостійно. Для більшості користувачів необхідно мати резервні копіїсвоєї інформації.
Загальні засоби захисту корисні не тільки для захисту від вірусів. Є два основні різновиди цих коштів:
1 Копіювання інформації – створення копій файлів та системних областей дисків.
2 Розмежування доступу запобігає несанкціонованому використанню інформації, зокрема, захисту від змін програм і даних вірусами, неправильно працюючими програмами та помилковими діями користувачів.
Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення виявлених вірусів кожному комп'ютері дозволяють уникнути поширення вірусної епідемії інші комп'ютери.
Головною зброєю у боротьбі з вірусами є антивірусні програми. Вони дозволяють не тільки виявити віруси, у тому числі віруси, що використовують різні методи маскування, але видалити їх з комп'ютера.
Існує кілька основних методів пошуку вірусів, які застосовуються антивірусними програмами. Найбільш традиційним методом пошуку вірусів є сканування.
Для виявлення, видалення та захисту від комп'ютерних вірусів розроблено кілька видів спеціальних програм, які дозволяють виявляти та знищувати віруси. Такі програми називають антивірусними.
2.3 Види антивірусних засобів
Програми-детектори. Програми-детектори здійснюють пошук характерної для конкретного вірусу сигнатури в оперативній пам'яті та файлах і при виявленні видають відповідне повідомлення. Недоліком таких антивірусних програм є те, що вони можуть знаходити ті віруси, які відомі розробникам таких програм.
Програми-лікарі. Програми-лікарі чи фаги, і навіть програми-вакцини як знаходять заражені вірусами файли, а й «лікують» їх, тобто видаляють з файлу тіло програми-вірусу, повертаючи файли у вихідний стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх і лише потім переходять до «лікування» файлів. Серед фагів виділяють поліфаги, тобто програми-лікарі, призначені для пошуку та знищення великої кількості вірусів. Найбільш відомі з них: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.
Враховуючи, що постійно з'являються нові віруси, програми-детектори та програми-лікарі швидко застарівають, і потрібне регулярне оновлення версій.
Програми-ревізори (інспектори) відносяться до найнадійніших засобів захисту від вірусів.
Ревізори (інспектори) перевіряють дані на диску щодо вірусів-невидимок. Причому інспектор може не користуватися засобами операційної системи для звернення до дисків, а отже активний вірус не зможе перехопити це звернення.
Справа в тому, що ряд вірусів, впроваджуючись у файли (тобто дописуючись в кінець або початок файлу), підмінюють записи про цей файл у таблицях розміщення файлів нашої операційної системи.
Ревізори (інспектори) запам'ятовують вихідний стан програм, каталогів та системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни відображаються на екрані монітора. Як правило, порівняння станів роблять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файлу, код циклічного контролю (контрольна сума файлу), дата та час модифікації та інші параметри. Програми-ревізори (інспектори) мають досить розвинені алгоритми, виявляють стелс-віруси і можуть навіть очистити зміни версії програми, що перевіряється від змін, внесених вірусом.
Запускати ревізора (інспектора) треба тоді, коли комп'ютер ще не заражений, щоб він міг створити в кореневій директорії кожного диска по таблиці, з усією необхідною інформацією про файли, що є на цьому диску, а також про завантажувальну область. На створення кожної таблиці буде запрошено дозвіл. При наступних запусках ревізор (інспектор) переглядатиме диски, порівнюючи дані про кожен файл зі своїми записами.
У разі виявлення заражень ревізор (інспектор) зможе використовувати свій власний модуль, який відновить зіпсований вірусом файл. Для відновлення файлів інспектору не потрібно нічого знати про конкретний тип вірусу, достатньо скористатися даними про файли, збережені в таблицях.
Крім того, у разі потреби може бути викликаний антивірусний сканер.
Програми-фільтри (монітори). Програми-фільтри (монітори) або «сторожі» є невеликими резидентними програмами, призначеними для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:
Спроби корекції файлів із розширеннями COM, EXE;
Зміна атрибутів файлу;
Прямий запис на диск за абсолютною адресою;
Запис у завантажувальні сектори диска;
При спробі будь-якої програми зробити зазначені дії «сторож» надсилає користувачеві повідомлення та пропонує заборонити чи дозволити відповідну дію. Програми-фільтри дуже корисні, оскільки здатні виявити вірус на ранній стадії його існування до розмноження. Однак, вони не "лікують" файли та диски. Для знищення вірусів потрібно застосувати інші програми, наприклад, фаги.
Вакцини чи імунізатори. Вакцини – це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-лікарі, які «лікують» цей вірус. Вакцинація можлива лише від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їхній роботі, а вірус сприйматиме їх зараженими і тому не впровадиться. В даний час програми-вакцини мають обмежене застосування.
Сканер. Принцип роботи антивірусних сканерів заснований на перевірці файлів, секторів та системної пам'яті та пошуку в них відомих та нових (невідомих сканеру) вірусів. Для пошуку відомих вірусів використовують так звані «маски». Маскою вірусу є деяка стала послідовність коду, специфічна для цього конкретного вірусу. Якщо вірус не містить постійної маски або довжина цієї маски недостатньо велика, то використовуються інші методи. Прикладом такого методу є алгоритмічна мова, що описує всі можливі варіанти коду, які можуть зустрітися при зараженні такого типу вірусом. Такий підхід використовують деякі антивіруси для детектування поліморфік-вірусів. Сканери також можна розділити на дві категорії – «універсальні» та «спеціалізовані». Універсальні сканери розраховані на пошук та знешкодження всіх типів вірусів незалежно від операційної системи, на роботу в якій розрахований сканер. Спеціалізовані сканери призначені для знешкодження обмеженої кількості вірусів або лише одного їх класу, наприклад макро-вірусів. Спеціалізовані сканери, розраховані тільки на макро-віруси, часто виявляються найбільш зручним та надійним рішенням для захисту систем документообігу у середовищах MSWord та MSExcel.
Сканери також поділяються на «резидентні» (монітори, сторожа), які проводять сканування «нальоту», та «нерезидентні», що забезпечують перевірку системи лише за запитом. Як правило, «резидентні» сканери забезпечують надійніший захист системи, оскільки вони негайно реагують на появу вірусу, тоді як «нерезидентний» сканер здатний пізнати вірус лише під час чергового запуску. З іншого боку резидентний сканер може дещо сповільнити роботу комп'ютера, зокрема, і через можливі помилкові спрацьовування.
До переваг сканерів всіх типів належить їхня універсальність, до недоліків – відносно невелику швидкість пошуку вірусів.
CRC-сканери. Принцип роботи CRC-сканерів ґрунтується на підрахунку CRC-сум (контрольних сум) для присутніх на диску файлів/системних секторів. Ці CRC-суми потім зберігаються в базі даних антивірусу, як, втім, і інша інформація: довжини файлів, дати їх останньої модифікації і так далі. При наступному запуску CRC-сканери звіряють дані, що містяться в базі даних, з реально підрахованими значеннями. Якщо інформація про файл, записана в базі даних, не збігається з реальними значеннями, то CRC-сканери сигналізують про те, що файл змінено або заражено вірусом. CRC-сканери, що використовують анти-стелс алгоритми, є досить сильною зброєю проти вірусів: практично 100% вірусів виявляються виявленими майже відразу після появи на комп'ютері. Однак цей тип антивірусів має вроджений недолік, який помітно знижує їх ефективність. Цей недолік полягає в тому, що CRC-сканери не здатні зловити вірус у момент його появи в системі, а роблять це лише через деякий час, вже після того, як вірус розійшовся комп'ютером. CRC-сканери не можуть визначити вірус у нових файлах (в електронній пошті, на дискетах, у файлах, що відновлюються з backup або під час розпакування файлів з архіву), оскільки в їх базах даних відсутня інформація про ці файли. Більше того, періодично з'являються віруси, які використовують цю «слабкість» CRC-сканерів, заражають тільки нові файли і залишаються, таким чином, невидимими для них.
Блокувальники. Блокувальники – це резидентні програми, що перехоплюють «вірусонебезпечні» ситуації та повідомляють про це користувачеві. До «вірусо-небезпечних» відносяться виклики на відкриття для запису у виконувані файли, запис у boot-секторі дисків або MBR вінчестера, спроби програм залишитися резидентно і так далі, тобто виклики, які характерні для вірусів у моменти з розмноження. Іноді деякі функції блокувальників реалізовані у резидентних сканерах.
До переваг блокувальників відноситься їх здатність виявляти і зупиняти вірус на ранній стадії його розмноження. До недоліків відносяться існування шляхів обходу захисту блокувальників та велика кількість помилкових спрацьовувань.
Необхідно також відзначити такий напрямок антивірусних засобів, як антивірусні блокувальники, виконані у вигляді апаратних компонентів комп'ютера. Найбільш поширеною є вбудований в BIOS захист від запису MBR вінчестера. Однак, як і у випадку з програмними блокувальниками, такий захист легко обійти прямим записом у порти контролера диска, а запуск DOS-утиліти FDISK негайно викликає «хибне спрацювання» захисту.
Існує кілька більш універсальних апаратних блокувальників, але до перерахованих вище недоліків додаються також проблеми сумісності зі стандартними конфігураціями комп'ютерів та складності при їх встановленні та налаштуванні. Усе це робить апаратні блокувальники вкрай непопулярними і натомість інших типів антивірусного захисту.
2.4 Порівняння антивірусних пакетів
Незалежно від того, яку інформаційну систему потрібно захищати, найважливіший параметр при порівнянні антивірусів – здатність виявляти віруси та інші шкідливі програми.
Однак цей параметр хоч і важливий, але не єдиний.
Справа в тому, що ефективність системи антивірусного захисту залежить не тільки від її здатності виявляти та нейтралізувати віруси, а й від багатьох інших факторів.
Антивірус має бути зручним у роботі, не відволікаючи користувача комп'ютера від виконання його обов'язків. Якщо антивірус дратуватиме користувача наполегливими проханнями та повідомленнями, рано чи пізно його буде вимкнено. Інтерфейс антивірусу повинен бути дружнім і зрозумілим, так як далеко не всі користувачі мають великий досвід роботи з комп'ютерними програмами. Не розібравшись зі змістом повідомлення, що з'явилося на екрані, можна мимоволі допустити вірусне зараження навіть при встановленому антивірусі.
Найбільш зручний режим антивірусного захисту, коли перевірці піддаються всі файли, що відкриваються. Якщо антивірус не здатний працювати в такому режимі, користувачеві доведеться для виявлення вірусів, що знову з'явилися, кожен день запускати сканування всіх дисків. На цю процедуру можуть піти десятки хвилин або навіть годинник, якщо йдеться про диски великого обсягу, встановлені, наприклад, на сервері.
Оскільки нові віруси з'являються щодня, необхідно періодично оновлювати базу даних антивірусу. В іншому випадку ефективність антивірусного захисту буде дуже низькою. Сучасні антивіруси після відповідного налаштування можуть автоматично оновлювати антивірусні бази даних через Інтернет, не відволікаючи користувачів та адміністраторів на виконання цієї рутинної роботи.
При захисті великої корпоративної мережі передній план висувається такий параметр порівняння антивірусів, як наявність мережевого центру управління. Якщо корпоративна мережа об'єднує сотні та тисячі робочих станцій, десятки та сотні серверів, то без мережевого центру управління ефективний антивірусний захист організувати практично неможливо. Один або кілька системних адміністраторів не зможуть обійти всі робочі станції та сервери, встановивши на них та настроївши антивірусні програми. Тут необхідні технології, що допускають централізовану установку та налаштування антивірусів на всі комп'ютери корпоративної мережі.
Захист вузлів Інтернету, таких як поштові сервери та серверів служб обміну повідомленнями, вимагає застосування спеціалізованих антивірусних засобів. Звичайні антивіруси, призначені для перевірки файлів, не зможуть знайти шкідливий програмний код у базах даних серверів обміну повідомленнями або потоку даних, що проходять через поштові сервери.
Зазвичай при порівнянні антивірусних засобів враховують інші чинники. Державні установи можуть за інших рівних умов віддати перевагу антивірусам вітчизняного виробництва, які мають усі необхідні сертифікати. Неабияку роль грає і репутація, отримана тим чи іншим антивірусним засобом серед користувачів комп'ютерів та системних адміністраторів. Чималу роль при виборі можуть відігравати й особисті переваги.
Для підтвердження переваг своїх продуктів розробники антивірусів часто використовують результати незалежних тестів. При цьому користувачі часто не розуміють, що саме і як перевірялося в цьому тесті.
У цій роботі порівняльному аналізу зазнали найпопулярніші на даний момент антивірусні програми, а саме: Антивірус Касперського, Symantec/Norton, Доктор Веб, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft.
Одним із перших тестувати антивірусні продукти розпочав британський журнал Virus Bulletin. Перші тести, опубліковані на їхньому сайті, відносяться до 1998 року. Основу тесту складає колекція шкідливих програм WildList. Для успішного проходження тесту необхідно виявити всі віруси цієї колекції та продемонструвати нульовий рівень помилкових спрацьовувань на колекції «чистих» файлів журналу. Тестування проводиться кілька разів на рік на різних операційні системи; продукти, що успішно пройшли тест, отримують нагороду VB100%. На малюнку 1 відображено, скільки нагород VB100% було отримано продуктами різних антивірусних компаній.
Безумовно, журнал Virus Bulletin можна назвати найстарішим антивірусним тестером, але статус патріарха не позбавляє його критики антивірусної спільноти. По-перше, WildList включає тільки віруси і черв'яки і тільки для платформи Windows. По-друге, колекція WildList містить невелику кількість шкідливих програм і дуже повільно поповнюється: за місяць у колекції з'являється лише кілька десятків нових вірусів, тоді як, наприклад, колекція AV-Test за цей час поповнюється кількома десятками або навіть сотнями тисяч екземплярів шкідливого програмного забезпечення .
Все це говорить про те, що у цьому вигляді колекція WildList морально застаріла і не відображає реальної ситуації з вірусами в мережі Інтернет. В результаті тести, засновані на колекції WildList, стають все більш безглуздими. Вони хороші для реклами продуктів, які їх пройшли, але реально якість антивірусного захисту вони не відображають.
Малюнок 1 – Кількість успішно пройдених тестів VB 100%
Незалежні дослідні лабораторії, такі як AV-Comparatives, AV-Tests, двічі на рік проводять тестування антивірусних продуктів на рівень виявлення шкідливих програм на вимогу. Колекції, на яких проводиться тестування, містять до мільйона шкідливих програм і регулярно оновлюються. Результати тестів публікуються на сайтах цих організацій (www.AV-Comparatives.org, www.AV-Test.org) та у відомих комп'ютерних журналах PC World, PC Welt. Підсумки чергових тестів наведені нижче:
Рисунок 2 – Загальний рівень виявлення шкідливого програмного забезпечення на думку AV-Test
Якщо говорити про найбільш поширені продукти, то за результатами цих тестів до трійки лідерів входять лише рішення Лабораторії Касперського та Symantec. На окрему увагу заслуговує Avira, що лідирує в тестах.
Тести дослідницьких лабораторій AV-Comparatives та AV-Test, так само як і будь-які тести, мають свої плюси та свої мінуси. Плюси полягають у тому, що тестування проводиться на великих колекціях шкідливого програмного забезпечення, і в тому, що в цих колекціях представлені різноманітні типи шкідливих програм. Мінуси ж у тому, що у цих колекціях містяться не лише «свіжі» зразки шкідливих програм, а й відносно старі. Як правило, використовуються зразки, зібрані останні півроку. Крім того, під час цих тестів аналізуються результати перевірки жорсткогодиска на вимогу, тоді як у реальному житті користувач завантажує заражені файли з Інтернету або отримує їх у вигляді вкладень електронною поштою. Важливо виявляти такі файли саме в момент їх появи на комп'ютері користувача.
Спробу виробити методику тестування, яка не страждає від цієї проблеми, зробив один із найстаріших британських комп'ютерних журналів – PC Pro. У їхньому тесті використовувалася колекція шкідливих програм, виявлених за два тижні до проведення тесту у трафіку, що проходить через сервери компанії MessageLabs. MessageLabs пропонує своїм клієнтам сервіси фільтрації різних видів трафіку, і її колекція шкідливих програм реально відображає ситуацію з поширенням комп'ютерних вірусів в Мережі.
Команда журналу PC Pro не просто сканувала заражені файли, а моделювала дії користувача: заражені файли прикріплювалися до листів у вигляді вкладень і ці листи завантажувалися на комп'ютер встановленим антивірусом. Крім того, за допомогою спеціально написаних скриптів заражені файли завантажувалися з Web-сервера, тобто моделювався серфінг користувача в Інтернеті. Умови, в яких проводяться подібні тести, максимально наближені до реальних, що не могло не вплинути на результати: рівень виявлення у більшості антивірусів виявився істотно нижчим, ніж при простій перевірці на вимогу в тестах AV-Comparatives і AV-Test. У таких тестах важливу роль відіграє те, наскільки швидко розробники антивіруса реагують на появу нових шкідливих програм, а також які проактивні механізми використовуються для виявлення шкідливих програм.
Швидкість випуску оновлень антивірусу із сигнатурами нових шкідливих програм – це одна з найважливіших складових ефективного антивірусного захисту. Чим швидше буде випущено оновлення баз сигнатур, тим менший час залишиться незахищеним.
Рисунок 3 – Середній час реакцію нові загрози
Останнім часом нові шкідливі програми з'являються настільки часто, що антивірусні лабораторії ледве встигають реагувати на появу нових зразків. У подібній ситуації постає питання про те, як антивірус може протистояти не тільки вже відомим вірусам, а й новим загрозам, для виявлення яких ще не випущено сигнатури.
Для виявлення невідомих загроз використовуються звані проактивні технології. Можна розділити ці технології на два види: евристики (виявляють шкідливі програми на основі аналізу їх коду) та поведінкові блокатори (блокують дії шкідливих програм при їх запуску на комп'ютері, ґрунтуючись на їх поведінці).
Якщо говорити про евристиків, то їхня ефективність уже давно вивчає AV-Comparatives – дослідницька лабораторія під керівництвом Андреаса Клименті. Команда AV-Comparatives застосовує особливу методику: антивіруси перевіряються на актуальній вірусній колекції, але при цьому використовується антивірус із сигнатурами тримісячної давності. Таким чином, антивірус доводиться протистояти шкідливим програмам, про які він нічого не знає. Антивіруси перевіряються шляхом сканування колекції шкідливого програмного забезпечення на жорсткому диску, тому перевіряється лише ефективність евристики. Інша проактивна технологія – поведінковий блокатор – у цих тестах не задіяна. Навіть найкращі евристики на даний момент показують рівень виявлення лише близько 70%, а багато з них ще й хворіють на помилкові спрацьовування на чистих файлах. Все це говорить про те, що поки що цей проактивний метод виявлення може використовуватися тільки одночасно з сигнатурним методом.
Що ж до іншої проактивної технології – поведінкового блокатора, то у цій галузі серйозних порівняльних тестів не проводилося. По-перше, у багатьох антивірусних продуктах («Доктор Веб», NOD32, Avira та інших) відсутній поведінковий блокатор. По-друге, проведення таких тестів пов'язане з деякими труднощами. Справа в тому, що для перевірки ефективності поведінкового блокатора необхідно не сканувати диск із колекцією шкідливих програм, а запускати ці програми на комп'ютері та спостерігати, наскільки успішно антивірус блокує їх дії. Цей процес дуже трудомісткий, і лише небагато дослідників здатні взятися за проведення таких тестів. Все, що поки доступне широкому загалу, це результати тестування окремих продуктів, проведеного командою AV-Comparatives. Якщо під час тестування антивіруси успішно блокували дії невідомих шкідливих програм під час їх запуску на комп'ютері, то продукт отримував нагороду Proactive Protection Award. Наразі такі нагороди отримали F-Secure з поведінковою технологією DeepGuard та «Антивірус Касперського» з модулем «Проактивний захист».
Технології попередження зараження, засновані на аналізі поведінки шкідливих програм, набувають все більшого поширення, і відсутність комплексних порівняльних тестів у цій галузі не може не турбувати. Нещодавно фахівці дослідницької лабораторії AV-Test провели широке обговорення цього питання, в якому брали участь розробники антивірусних продуктів. Підсумком цього обговорення стала нова методика тестування здатності антивірусних продуктів протистояти невідомим загрозам.
Високий рівень виявлення шкідливих програм з різних технологій є однією з найважливіших характеристик антивірусу. Однак не менш важливою характеристикою є відсутність хибних спрацьовувань. Помилкові спрацьовування можуть завдати не меншої шкоди користувачу, ніж вірусне зараження: заблокувати роботу потрібних програм, перекрити доступ до сайтів тощо.
У ході своїх досліджень AV-Comparatives, поряд з вивченням можливостей антивірусів щодо виявлення шкідливого програмного забезпечення, проводить і тести на помилкові спрацьовування на колекціях чистих файлів. Згідно з тестом найбільшу кількість помилкових спрацьовувань виявлено у антивірусів «Доктор Веб» та Avira.
Стовідсоткового захисту від вірусів немає. Користувачі іноді стикаються з ситуацією, коли шкідлива програма проникла на комп'ютер і комп'ютер виявився заражений. Це відбувається через те, що на комп'ютері взагалі не було антивірусу, або тому, що антивірус не виявив шкідливу програму ні сигнатурними, ні проактивними методами. У такій ситуації важливо, щоб при встановленні антивірусу зі свіжими базами сигнатур на комп'ютері антивірус зміг не тільки виявити шкідливу програму, але й успішно ліквідувати всі наслідки її діяльності, вилікувати активне зараження. При цьому важливо розуміти, що творці вірусів постійно вдосконалюють свою «майстерність», і деякі їх витвори досить важко видалити з комп'ютера – шкідливі програми можуть різними способами маскувати свою присутність у системі (у тому числі за допомогою руткітів) і навіть протидіяти антивірусним програмам. Крім того, мало просто видалити або вилікувати заражений файл, потрібно ліквідувати всі зміни, зроблені шкідливим процесом в системі і повністю відновити працездатність системи. Команда російського порталу Anti-Malware.ru провели подібний тест, його результати представлені малюнку 4.
Рисунок 4 – Лікування активного зараження
Вище розглянуто різні підходи до тестування антивірусів, показано, які параметри роботи антивірусів розглядаються при тестуванні. Можна дійти невтішного висновку, що з одних антивірусів виграшним виявляється один показник, в інших – інший. При цьому природно, що у своїх рекламних матеріалах розробники антивірусів наголошують тільки на ті тести, де їх продукти займають лідируючі позиції. Так, наприклад, «Лабораторія Касперського» наголошує на швидкості реакції на появу нових загроз, Еset – на силі своїх евристичних технологій, «Доктор Веб» описує свої переваги у лікуванні активного зараження.
Отже, слід провести синтез результатів різних тестів. Так зведено позиції, які антивіруси зайняли в розглянутих тестах, а також виведена інтегрована оцінка – яке в середньому за всіма тестами займає той чи інший продукт. У результаті в трійці призерів: Касперський, Avira, Symantec.
На основі проаналізованих антивірусних пакетів було створено програмний продукт, призначений для пошуку та лікування файлів, заражених вірусом SVC 5.0. Цей вірус не призводить до несанкціонованого видалення або копіювання файлів, проте значно заважає повноцінній роботі з програмним забезпеченням комп'ютера.
Заражені програми мають довжину більшу, ніж вихідний код. Однак при перегляді каталогів на зараженій машині цього видно не буде, оскільки вірус перевіряє, чи заражений знайдений файл чи ні. Якщо файл заражений, то DTA записується довжина незараженого файла.
Виявити цей вірус можна наступним чином. В області даних вірусу є символьний рядок "(c) 1990 by SVC, Ver. 5.0", за яким вірус, якщо він є на диску, можна виявити.
Під час написання антивірусної програми виконується така послідовність дій:
1 Для кожного файлу, що перевіряється, визначається час його створення.
2 Якщо число секунд дорівнює шістдесяти, то перевіряються три байти зі зміщення, що дорівнює "довжина файлу мінус 8АН". Якщо вони рівні відповідно 35Н, 2ЕН, 30Н, файл заражений.
3 Виконується декодування перших 24 байт оригінального коду, які розташовані за усуненням "довжина файлу мінус 01CFН плюс 0BAAН". Ключі для декодування розташовані за усунення "довжина файлу мінус 01CFН плюс 0С1AН" і "довжина файлу мінус 01CFН плюс 0С1BН".
4 Розкодовані байти переписуються на початок програми.
5 Файл "усікається" до величини "довжина файлу мінус 0С1F".
Програма створена серед програмування TurboPascal. Текст програми викладено у Додатку А.
Висновок
У цій роботі був проведений порівняльний аналіз антивірусних пакетів.
У процесі проведення аналізу успішно вирішено завдання, поставлені на початку роботи. Так було вивчено поняття інформаційної безпеки, комп'ютерних вірусів та антивірусних засобів, визначено види загроз безпеці інформації, методи захисту, розглянуто класифікацію комп'ютерних вірусів та антивірусних програм та проведено порівняльний аналіз антивірусних пакетів, написано програму, яка здійснює пошук заражених файлів.
Результати, отримані в процесі роботи, можуть бути застосовані при виборі антивірусного засобу.
Усі отримані результати відбито у роботі з допомогою діаграм, тому користувач може самостійно перевірити висновки, зроблені у підсумковій діаграмі, що відбиває синтез виявлених результатів різних тестів антивірусних засобів.
Результати, отримані в процесі роботи, можуть бути застосовані як основа для самостійного порівняння антивірусних програм.
У світлі широкого використання IT-технологій представлена курсова робота є актуальною та відповідає пред'явленим до неї вимогам. У процесі роботи було розглянуто найпопулярніші антивірусні засоби.
Список використаної літератури
1 Анін Б. Захист комп'ютерної інформації. - СПб. : БХВ - Санкт - Петербург, 2000. - 368 с.
2 Артюнов В. В. Захист інформації: навч. – метод. допомога. М.: Ліберія - Бібінформ, 2008. - 55 с. – (Бібліотекар та час. 21 століття; вип. №99).
3 Корнєєв І. К., Є. А. Степанов Захист інформації в офісі: підручник. - М.: Проспект, 2008. - 333 с.
5 Купріянов А. І. Основи захисту інформації: навч. допомога. - 2-ге вид. стер. - М.: Академія, 2007. - 254 с. – (Вища професійна освіта).
6 Семененко В. А., Н. В. Федоров Програмно - апаратний захист інформації: навч. посібник для студ. вишів. - М.: МДІУ, 2007. - 340 с.
7 Цирлов В. Л. Основи інформаційної безпеки: короткий курс. - Ростов н / Д: Фенікс, 2008. - 254 с. (Професійну освіту).
додаток
Лістинг програми
ProgramANTIVIRUS;
Uses dos,crt,printer;
Type St80 = String;
FileInfection:File Of Byte;
SearchFile:SearchRec;
Mas: Array of St80;
MasByte:Array of Byte;
Position,I,J,K:Byte;
Num,NumberOfFile,NumberOfInfFile:Word;
Flag,NextDisk,Error:Boolean;
Key1,Key2,Key3,NumError:Byte;
MasScreen:Array Of Byte Absolute $B800:0000;
Procedure Cure(St: St80);
I: Byte; MasCure: Array Of Byte;
Assign(FileInfection,St); Reset (FileInfection);
NumError:=IOResult;
If (NumError<>
Seek(FileInfection,FileSize(FileInfection) - ($0C1F - $0C1A));
NumError:=IOResult;
If (NumError<>0) Then Begin Error:=True; Exit; End;
Read(FileInfection,Key1);
NumError:=IOResult;
If (NumError<>0) Then Begin Error:=True; Exit; End;
Read(FileInfection,Key2);
NumError:=IOResult;
If (NumError<>0) Then Begin Error:=True; Exit; End;
Seek (FileInfection, FileSize (FileInfection) - ($ 0C1F - $ 0BAA));
NumError:=IOResult;
If (NumError<>0) Then Begin Error:=True; Exit; End;
For I:=1 to 24 do
Read (FileInfection, MasCure [i]);
NumError:=IOResult;
If (NumError<>0) Then Begin Error:=True; Exit; End;
Key3:=MasCure[i];
MasCure[i]:=Key3;
Seek(FileInfection,0);
NumError:=IOResult;
If (NumError<>0) Then Begin Error:=True; Exit; End;
For I:=1 to 24 do Write(FileInfection,MasCure[i]);
Seek(FileInfection,FileSize(FileInfection) - $0C1F);
NumError:=IOResult;
If (NumError<>0) Then Begin Error:=True; Exit; End;
Truncate (FileInfection);
NumError:=IOResult;
If (NumError<>0) Then Begin Error:=True; Exit; End;
Close(FileInfection); NumError:=IOResult;
If (NumError<>0) Then Begin Error:=True; Exit; End;
Procedure F1(St: St80);
FindFirst(St + "*.*", $3F, SearchFile);
While (SearchFile.Attr = $10) And (DosError = 0) And
((SearchFile.Name = ".") Or (SearchFile.Name = "..")) Do
FindNext(SearchFile);
While (DosError = 0) Do
If KeyPressed Then
If (Ord(ReadKey) = 27) Then Halt;
If (SearchFile.Attr = $10) Then
Mas[k]:=St + SearchFile.Name + "\";
If (SearchFile.Attr<>$10) Then
NumberOfFile:=NumberOfFile + 1;
UnpackTime(SearchFile.Time, DT);
For I:=18 to 70 do MasScreen:=$20;
Write(St + SearchFile.Name," ");
If (Dt.Sec = 60) Then
Assign(FileInfection,St + SearchFile.Name);
Reset (FileInfection);
NumError:=IOResult;
If (NumError<>0) Then Begin Error:=True; Exit; End;
Seek (FileInfection, FileSize (FileInfection) - $ 8A);
NumError:=IOResult;
If (NumError<>0) Then Begin Error:=True; Exit; End;
For I:=1 to 3 do Read(FileInfection,MasByte[i]);
Close(FileInfection);
NumError:=IOResult;
If (NumError<>0) Then Begin Error:=True; Exit; End;
If (MasByte = $35) And (MasByte = $2E) And
(MasByte = $30) Then
NumberOfInfFile:=NumberOfInfFile + 1;
Write(St + SearchFile.Name," inficirovan. ",
"Udalit? ");
If (Ord(Ch) = 27) Then Exit;
Until (Ch = "Y") Or (Ch = "y") Or (Ch = "N")
If (Ch = "Y") Or (Ch = "y")
Cure(St + SearchFile.Name);
If (NumError<>0) Then Exit;
For I:=0 to 79 do MasScreen:=$20;
FindNext(SearchFile);
GoToXY (29,1); TextAttr:=$1E; GoToXY (20,2); TextAttr:=$17;
Writeln("Programma для poiska і леченія fajlov,");
Writeln("zaragennih SVC50.");
TextAttr:=$4F; GoToXY(1,25);
Write("ESC - exit");
TextAttr:=$1F; GoToXY(1,6);
Write("Kakoj disk proverit? ");
If (Ord(Disk) = 27) Then Exit;
R.Ah:=$0E; R.Dl: = Ord (UpCase (Disk))-65;
Intr($21,R); R.Ah: = $ 19; Intr($21,R);
Flag:=(R.Al = (Ord(UpCase(Disk))-65));
St:=UpCase(Disk) + ":\";
Writeln("Testiruetsya disk ",St," ");
Writeln("Testiruetsya fajl ");
NumberOfFile:=0;
NumberOfInfFile:=0;
If (k = 0) або Error Then Flag:=False;
If (k> 0) Then K: = K-1;
If (k=0) Then Flag:=False;
If (k> 0) Then K: = K-1;
Writeln("Provereno fajlov - ",NumberOfFile);
Writeln("Zarageno fajlov - ",NumberOfInfFile);
Writeln("Izlecheno fajlov - ",Num);
Write("Proverit drugoj disk? ");
If (Ord(Ch) = 27) Then Exit;
Until (Ch = "Y") Or (Ch = "y") Or (Ch = "N") Or (Ch = "n");
If (Ch = "N") або (Ch = "n") Then NextDisk:=False;
