Примеры антивирусных программ

       Чистые антивирусы отличаются наличием антивирусного ядра, которое выполняет функцию сканирования по образцам. Принципиальным в этом случае является то, что возможно лечение, если известен вирус. Чистые антивирусы, в свою очередь, по типу доступа к файлам подразделяются на две категории: осуществляющие контроль по доступу (on access) или по требованию пользователя (on demand). Обычно on access - продукты называют мониторами, а on demand - продукты сканерами. Кроме того, антивирусные программы, так же как и вирусы, можно разделить в зависимости от платформы, внутри которой данный антивирус работает. В этом смысле наряду с Windows или Linux к платформам могут быть отнесены Microsoft Exchange Server, Microsoft Office, Lotus Notes.

         Программы  двойного назначения - это программы, используемые как в антивирусах, так и в программном обеспечении, которое антивирусом не является. Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их.

В соответствии с выполняемыми и функциями,  различают следующие виды антивирусных программ:

   -   программы - детекторы;

   -   программы - доктора или фаги;

   -   программы - ревизоры;

   -   программы - фильтры;

   -   программы - вакцины или иммунизаторы.

        Программы - детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

      Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы - вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы - доктора быстро устаревают, и требуется регулярное обновление версий.

       Программы - ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля  (контрольная сумма файла), дата и время модификации, другие параметры.         

      Программы - ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ - ревизоров относится широко распространенная в России программа Adinf.

       Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:    -   попытки коррекции файлов с расширениями COM, EXE;

   -   изменение атрибутов файла прямая запись на диск по абсолютному адресу;

   -   запись в загрузочные сектора диска загрузка резидентной программы.

При попытке какой-либо программы  произвести указанные действия «сторож» посылает пользователю сообщение и  предлагает запретить или разрешить  соответствующее действие. Программы - фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы - фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS.

      Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы - доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

     Так же антивирусные программы можно разбить на две группы  по технологии обнаружения вирусов:

   -   Технологии сигнатурного анализа;

   -   Технологии вероятностного анализа

        Сигнатурный анализ - метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов. Сигнатурный анализ является наиболее известным методом обнаружения вирусов и используется практически во всех современных антивирусах. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе. Ввиду того, что сигнатурный анализ предполагает проверку файлов на наличие сигнатур вирусов, антивирусная база нуждается в периодическом обновлении для поддержания актуальности антивируса. Сам принцип работы сигнатурного анализа также определяет границы его функциональности - возможность обнаруживать лишь уже известные вирусы - против новых вирусов сигнатурный сканер бессилен. С другой стороны, наличие сигнатур вирусов предполагает возможность лечения инфицированных файлов, обнаруженных при помощи сигнатурного анализа. Однако, лечение допустимо не для всех вирусов - трояны и большинство червей не поддаются лечению по своим конструктивным особенностям, поскольку являются цельными модулями, созданными для нанесения ущерба. Грамотная реализация вирусной сигнатуры позволяет обнаруживать известные вирусы со стопроцентной вероятностью.

       Технологии вероятностного анализа в свою очередь подразделяются на три категории:    

   -   Эвристический анализ

   -   Поведенческий анализ

   -   Анализ контрольных сумм

      Эвристический анализ - технология, основанная на вероятностных алгоритмах, результатом работы которых является выявление подозрительных объектов. В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Наиболее популярной эвристической технологией является проверка содержимого файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы. Эвристический анализ применяется для обнаружения неизвестных вирусов, и, как следствие, не предполагает лечения. Данная технология не способна на 100% определить вирус перед ней или нет, и как любой вероятностный алгоритм грешит ложными срабатываниями.

      Поведенческий анализ - технология, в которой решение о характере проверяемого объекта принимается на основе анализа выполняемых им операций. Поведенческий анализ весьма узко применим на практике, так как большинство действий, характерных для вирусов, могут выполняться и обычными приложениями. Наибольшую известность получили поведенческие анализаторы скриптов и макросов, поскольку соответствующие вирусы практически всегда выполняют ряд однотипных действий. Средства защиты, вшиваемые в BIOS, также можно отнести к поведенческим анализаторам. При попытке внести изменения в MBR компьютера, анализатор блокирует действие и выводит соответствующее уведомление пользователю. Помимо этого поведенческие анализаторы могут отслеживать попытки прямого доступа к файлам, внесение изменений в загрузочную запись дискет, форматирование жестких дисков. Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам и, как следствие, неспособны различать известные и неизвестные вирусы - все подозрительные программы априори считаются неизвестными вирусами. Аналогично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения.

      Анализ контрольных сумм - это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений - одновременность, массовость, идентичные изменения длин файлов - можно делать вывод о заражении системы. Анализаторы контрольных сумм (также используется название ревизоры изменений) как и поведенческие анализаторы не используют в работе дополнительные объекты и выдают вердикт о наличии вируса в системе исключительно методом экспертной оценки. Подобные технологии применяются в сканерах при доступе - при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается еще раз, сравнивается, и в случае отсутствия изменений файл считается незараженным.

 

 

 

 

 

 

 

 

      4.Требования к  антивирусным программам.                                                   

        Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам.

       Стабильность и надежность работы. Этот параметр, без сомнения, является определяющим - даже самый лучший антивирус окажется совершенно бесполезным, если он не сможет нормально функционировать на вашем компьютере, если в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца. Тогда всегда есть вероятность того, что какие то зараженные файлы остались незамеченными.

        Размеры вирусной базы  программы. С учетом постоянного появления новых вирусов база данных должна регулярно обновляться - что толку от программы, не видящей половину новых вирусов и, как следствие, создающей ошибочное ощущение “чистоты” компьютера. Сюда же следует отнести и возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы). Немаловажным также является наличие резидентного монитора, осуществляющего проверку всех новых файлов автоматически, по мере их записи на диск.

      Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование). Сюда же следует отнести возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы. Немаловажным является также процент ложных срабатываний программы (ошибочное определение вируса в “чистом” файле).

      Многоплатформенность (наличие версий программы под различные операционные системы). Конечно, если антивирус используется только дома, на одном компьютере, то этот параметр не имеет большого значения. Но вот антивирус для крупной организации просто обязан поддерживать все распространенные операционные системы. Кроме того, при работе в сети немаловажным является наличие серверных функций, предназначенных для административной работы, а также возможность работы с различными видами серверов.

      Частота обновления антивирусной программы и наличие дополнительных функций имеют так же огромное значение, так как необходимо учитывать не только количество вирусов в антивирусной базе и процент обнаружения вирусов, но и способность обнаруживать новые вирусы.

       Немаловажным для пользователя являются такие свойства антивирусных программ как удобство и визуальная привлекательность пользовательского интерфейса, что увеличивает скорость обучения, уменьшает количество ошибок пользователей и выражается в субъективной удовлетворенности и технической эстетике в работе с антивирусом.

      5. Примеры антивирусных программ.  

      Бороться с вредоносными программами необходимо и домашним, и корпоративным пользователям, поэтому для них предназначены разные версии антивирусов наиболее популярные антивирусы для персонального использования известных разработчиков рассмотрим ниже. Следует отметить, что некоторые из рассмотренных компаний предлагают несколько версий персональных программ, различающихся по функциональности и соответственно по цене. Основное различие между ними состоит в том, что персональный антивирус защищает только домашний компьютер, а корпоративный - рабочие станции (персональные компьютеры в компании) и серверы. Существует целый ряд программ, который обеспечивает комплексную антивирусную защиту: Антивирус Касперского (www.kaspersky.ru), Doctor Web (www.drweb.ru), Norton AntiVirus (www.symantec.com), McAfee VirusScan (www.mcafee.ru),  Panda Antivirus (www.pandasoftware.com). Рассмотрим некоторые продукты этих компаний более подробно.

      Kaspersky Anti-Virus:

Защита от вредоносных программ.

Проверка репутации программ.

Модуль проверки ссылок.

Высокая скорость работы.

Совместимость с Windows 8

Преимущества: 
Защита от вредоносных программ. В Kaspersky Anti-Virus входят новейшие технологии защиты от основных вредоносных программ, в том числе от эксплойтов, использующих уязвимости в операционной системе и приложениях.

Проверка репутации программ. Функция  позволяет вам мгновенно проверить  безопасность любого исполняемого файла на своем компьютере. Актуальная информация о репутации программы поступает в режиме реального времени из «облака». 
Модуль проверки ссылок. Вы можете убедиться в безопасности любого сайта, на который собираетесь перейти. Ссылки на подозрительные и опасные ресурсы автоматически помечаются специальным цветовым индикатором.

Высокая скорость работы. Благодаря  облачным технологиям защиты, интеллектуальному сканированию и компактной установке обновлений работа антивируса на вашем компьютере практически незаметна.

Совместимость с Windows 8. Kaspersky Anti-Virus полностью совместим с новейшей операционной системой Microsoft — Windows 8, и поддерживает последние инновации Microsoft в области IT-безопасности.

Ключевые функции:

Гибридная защита мгновенно реагирует на новые угрозы.

Защита от эксплойтов не позволяет вредоносным программам использовать уязвимости в системе и приложениях.

Режим Безопасных программ разрешает  запуск только доверенных приложений и ограничивая работу всех подозрительных программ.