Каковы современные технологии антивирусной защиты кратко

Обновлено: 04.07.2024

Если не принимать меры для защиты от компьютерных вирусов, то следствия заражения могут быть очень серьёзными. В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе за внедрение вирусов. Для защиты информации от вирусов используются общие и программные средства.

К общим средствам, помогающим предотвратить заражение и его разрушительных последствий относят:

Основными мерами профилактики вирусов являются:

· резервное копирование информации (создание копий файлов и системных областей жестких дисков);

· избегание пользования случайными и неизвестными программами. Чаще всего вирусы распространяются вместе с компьютерными программами;

· перезагрузка компьютера перед началом работы, в частности, в случае, если за этим компьютером работали другие пользователи;

· ограничение доступа к информации, в частности физическая защита дискеты во время копирования файлов с неё;

· применение различных защитных средств при работе на компьютере в любой информационной среде (например, в Интернете).

· Проверка на наличие вирусов файлов, полученных по сети;

К программным средствам защиты относят разные антивирусные программы (антивирусы). Антивирус - это программа, выявляющая и обезвреживающая компьютерные вирусы.

Следует заметить, что вирусы в своём развитии опережают антивирусные программы, поэтому даже в случае регулярного пользования антивирусов, нет 100% гарантии безопасности. Антивирусные программы могут выявлять и уничтожать лишь известные вирусы, при появлении нового компьютерного вируса защиты от него не существует до тех пор, пока для него не будет разработан свой антивирус.

Однако, много современных антивирусных пакетов имеют в своём составе специальный программный модуль, называемый эвристическим анализатором, который способен исследовать содержимое файлов на наличие кода, характерного для компьютерных вирусов. Это даёт возможность своевременно выявлять и предупреждать об опасности заражения новым вирусом.

Различают такие типы антивирусных программ:

1) программы-детекторы: предназначены для нахождения заражённых файлов одним из известных вирусов. Некоторые программы-детекторы могут также лечить файлы от вирусов или уничтожать заражённые файлы. Существуют специализированные, то есть предназначенные для борьбы с одним вирусом детекторы и полифаги, которые могут бороться с многими вирусами;

2) программы-лекари: предназначены для лечения заражённых дисков и программ. Лечение программы состоит в изъятии из заражённой программы тела вируса. Также могут быть как полифагами, так и специализированными;

4) лекари-ревизоры: предназначены для выявления изменений в файлах и системных областях дисков и, в случае изменений, возвращают их в начальное состояние.

5) программы-фильтры: предназначены для перехвата обращений к операционной системе, которые используются вирусами для размножения и сообщают об этом пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции. Такие программы являются резидентными, то есть они находятся в оперативной памяти компьютера.

6) программы-вакцины: используются для обработки файлов и boot-секторов с целью предупреждения заражения известными вирусами (в последнее время этот метод используется все чаще).

Следует заметить, что выбор одного "наилучшего" антивируса крайне ошибочное решение. Рекомендуется использовать несколько разных антивирусных пакетов одновременно. Выбирая антивирусную программу следует обратить внимание на такой параметр, как количество распознающих сигнатур (последовательность символов, которые гарантированно распознают вирус). Второй параметр - наличие эвристического анализатора неизвестных вирусов, его присутствие очень полезно, но существенно замедляет время работы программы. На сегодняшний день существует большое количество разнообразных антивирусных программ. Рассмотрим коротко, распространённые в странах СНГ.

DRWEB

Один из лучших антивирусов с мощным алгоритмом нахождения вирусов. Полифаг, способный проверять файлы в архивах, документы Word и рабочие книги Excel, выявляет полиморфные вирусы, которые в последнее время, получают все большее распространение. Достаточно сказать, что эпидемию очень опасного вируса OneHalf остановил именно DrWeb. Эвристический анализатор DrWeb, исследуя программы на наличие фрагментов кода, характерных для вирусов, разрешает найти почти 90% неизвестных вирусов. При загрузке программы, в первую очередь DrWeb проверяет самого себя на целостность, после чего тестирует оперативную память. Программа может работать в диалоговом режиме, имеет удобный настраиваемый интерфейс пользователя.

ADINF

Антивирус-ревизор диска ADINF (Avanced DiskINFoscope) разрешает находить и уничтожать, как существующие обычные, stealth- и полиморфные вирусы, так и совсем новые. Антивирус имеет в своем распоряжении лечащий блок ревизора ADINF - Adinf Cure Module - что может обезвредить до 97% всех вирусов. Эту цифру приводит "Диалогнаука", исходя из результатов тестирования, которое происходило на коллекциях вирусов двух признанных авторитетов в этой области - Д.Н.Лозинского и фирмы Dr.Sоlомоn's (Великобритания).

AVP

Антивирус AVP (AntiVirus Program) относится к полифагам, в процессе работы проверяет оперативную память, файлы, в том числе архивные, на гибких, локальных, сетевых и CD-ROM дисках, а также системные структуры данных, такие как загрузочный сектор, таблицу разделов и т.д. Программа имеет эвристический анализатор, который, по утверждениям разработчиков антивируса способен находить почти 80% всех вирусов. Программа AVP является 32-разрядным приложением для работы в среде операционных систем Windows, имеет удобный интерфейс, а также одну из самых больших в мире антивирусную базу. Базы антивирусов к AVP обновляются приблизительно один раз в неделю и их можно получить с Internеt. Эта программа осуществляет поиск и изъятие разнообразнейших вирусов, в том числе:

· полиморфных, или самошифрующихся вирусов;

· стелс-вирусов, или вирусов-невидимок;

· новых вирусов для Windows;

· макровирусов, заражающих документы Word и таблицы Excel.

Кроме того, программа AVP осуществляет контроль файловых операций в системе в фоновом режиме, выявляет вирус до момента реального заражения системы, а также определяет неизвестные вирусы с помощью эвристического модуля.

Антивирус Касперского Personal - разработка "Лаборатории Касперского", воплощающая результаты многолетних исследований ведущих экспертов в области защиты от вредоносных программ. Продукт сочетает уникальную функциональность, удобный пользовательский интерфейс и высокий уровень защиты от вирусов. Программный комплекс позволяет организовать полномасштабную систему антивирусной защиты персонального компьютера. Он охватывает все возможные источники проникновения вирусной угрозы - съемные и постоянные файловые носители, электронную почту и Интернет. Использование "Антивируса Касперского" обеспечивает полное восстановление работоспособности системы при вирусной атаке. В то же время функция антивирусной проверки и лечения электронной почты позволяет очистить от вирусов входящую и исходящую корреспонденцию в режиме реального времени. В случае необходимости пользователю также доступны проверка и лечение почтовых баз различных почтовых систем.

Регулярное использование нескольких постоянно обновляемых антивирусных программ для проверки не только собственных носителей информации при переносе на них сторонних файлов, но и любых “чужих” дискет и дисков с любой информацией на них, в т.ч. и переформатированных позволяет поддерживать информационную безопасность.

К общим средствам, помогающим предотвратить заражение и его разрушительных последствий относят:

Основными мерами профилактики вирусов являются:

· резервное копирование информации (создание копий файлов и системных областей жестких дисков);

· Проверка на наличие вирусов файлов, полученных по сети;

Различают такие типы антивирусных программ:

DRWEB

ADINF

AVP

· полиморфных, или самошифрующихся вирусов;

· стелс-вирусов, или вирусов-невидимок;

· новых вирусов для Windows;

· макровирусов, заражающих документы Word и таблицы Excel.

Актуальность. В наш век тотальной компьютеризации и электронной информации каждый пользовать после первого же запуска компьютера оказывается один на один с довольно серьезным вопросом: как уберечь свои данные и систему, безбоязненно использовать принесенную извне информацию и обеспечить стабильную работу настольного друга? С развитием Интернета проблема внешних угроз стала, как никогда, острой, новые вирусы и другие и другие вредоносные программы появляются практически каждый день и ежедневно заражают тысячи компьютеров по всему миру. Черви, трояны, вирусы, дозвонщики, программы-шпионы, фишинговые атаки-вот далеко не полный перечень неприятных сюрпризов, с которыми рано или поздно сталкивается пользователь.

Естественно, специалисты IT- индустрии не могли обойти стороной эту проблему. Сегодня на рынке компьютерной безопасности предлагаются десятки самых разнообразных средств защиты. Остановить свой выбор на каком-либо решении становится весьма трудным делом, ведь необходимо владеть информацией о возможностях каждого продукта.

Цель. В статье мы рассмотрим современные средства антивирусной защиты, которые по той или иной причине смогли найти свою аудиторию среди пользователей.

Вирусы созданы специально для поражения других компьютеров, информации, содержащейся на них. Они представляют собой программы, написанные на низшем компьютерном языке, которые автоматически распространяются на другой программный продукт через зараженные носители или при подключении к интернет-ресурсам.

Вирусы бывают трех видов:

– черви. Распространяются через социальные сети, письма, направляемые по электронной почте;

– вирусы. Они получают управление компьютером при запуске зараженных файлов;

– троянские программы. Они наиболее опасны, так как могут производить на чужом компьютере самостоятельные действия, несанкционированные владельцем, уничтожить или повредить файлы, воровать данные.

Вирусы могут находиться в любой части системы компьютера и ждать определенного события или действия, чтобы начать активную работу. Они вполне могут быть неопасными, существовать на компьютере годами, не причиняя особого вреда, создавая лишь некоторые затруднения в работе определенных программ. Стоит отметить, что таких единицы, основная масса вирусов очень опасны, для этого они и созданы.

Сейчас вирусы настолько разработаны, что могут выполнять различные функции. Есть некоторые количество вирусов, которые поражают оперативную память и потом весь компьютер, есть такие, которые существуют недолгое время, производят определенные действия и остаются неопознанными.

Антивирусные программы постоянно совершенствуются. Это означает, что пользователь должен находится в поиске более эффективной системы защиты персонального компьютера.

В основном все антивирусные программы можно условно поделить на несколько ключевых типов, каждый их которых ориентирован на некоторую доминирующую функцию. Данный перечень программ выглядит так:

Каждый из данных компонентов может понадобиться в таком ответственном и нелегком деле, как организация системы защиты информации. Так, например, антивирусные программы, относящиеся к типу докторов, могут не только обнаружить угрозу, но и вылечить систему. Это является крайне актуальным свойством. Тело вируса в данном случае удаляется из пораженного файла. Последний же возвращается в исходное состояние. Такие программы, которые называют флагами, ведут поиск вирусов. При обнаружении таковых, они, прежде всего, уничтожают их и только после этого активируют процессы восстановления. Если в силу различных причин компьютер постоянно подвергается воздействию множества угроз, имеет смысл использовать полифаги.

Они предназначены специально для таких нагрузок. Если же речь идет о детекторах, то данный тип антивирусных программ используется для быстрого поиска вирусов в оперативной памяти и различных носителях. Такие антивирусные системы и защиты информации не могут быть рассмотрены по отдельности. Особое внимание следует обратить на программы-фильтры. Они разработаны специально для обнаружения в системе подозрительных процессов. Именно благодаря работе антивирусных программ такого типа пользователи периодически могут видеть на мониторе предупреждения о том, что некоторая программа пытает выполнить подозрительное или некорректное действие.

Из вышеуказанных достоинств поиска и устранения вирусных атак является разработка современных методов поиска и обнаружения внешнего воздействия вирусных баз на ПЭВМ. Перспективным направлением является Эвристический анализ.

Метод эвристического анализа (heuristic-based detection) служит для выявления даже трех вирусов, для которых не существует образцов в базе антивирусной программы. Существует множество различных методов эвристического анализа. Основной принцип-идентифицировать программный код, который является крайне нежелательным для безопасных программных продуктов. Как бы то и ни было, этот метод неточен и может вызвать множество ложных тревог. Хороший эвристический анализ отлично сбалансирован и вызывает минимальное количество ложных тревог при большой доле обнаружения вредоносного ПО. Чувствительность эвристики может быть настроена.

Основные термины (генерируются автоматически): вирус, программа, эвристический анализ, антивирусная программа, компьютер, оперативная память, программный продукт.

Сегодня с основными правилами антивирусной гигиены знакомы почти все пользователи и системные администраторы. Но ни регулярное обновление антивирусных баз, ни своевременная установка всех "сервис-паков" не могут гарантировать 100%-ной безопасности. С определенной погрешностью (в окрестности 3%) эффективность стационарных антивирусных средств (к ним относятся модули, использующие антивирусные базы данных) можно оценить в 90%. Именно об оставшихся 10% и пойдет разговор.

Любой компьютер более всего уязвим в момент между появлением нового вируса и установкой обновления антивирусного ПО, защищающего от этого вируса. К безусловным плюсам сегодняшнего дня относятся скорость доставки обновлений на удаленные компьютеры (благодаря Интернету ежедневное обновление можно переписать за несколько секунд), круглосуточная техническая поддержка и оперативный выпуск самих обновлений (вакцина к опасному вирусу появляется в тот же день, когда вирус попал "на стол" к аналитикам). Еще несколько лет назад эти ресурсы могли бы свести на нет любую вирусную эпидемию и гарантированно добавить дополнительные 9% к уже имеющимся 90% защиты. Но технический прогресс имеет и обратную сторону: сегодня вирусы, такие, как Интернет-черви, способны распространяться по всему миру за считанные секунды и вызывать глобальные эпидемии за сутки своей "жизни на свободе".

Таким образом, задачи эффективной борьбы с вирусами не сводятся только к повышению уровня сервиса для клиентов антивирусных компаний и к соблюдению нескольких догматических правил на все случаи жизни. Проблема лежит в самой технологии.

Каждому из существующих ныне подходов, позволяющих обеспечить тот или иной уровень защищенности от еще неизвестных угроз, соответствует дополнительный антивирусный модуль. К ним относят инспекторы изменений, поведенческие блокираторы и эвристические анализаторы (их можно рассматривать и как часть сканеров, так как эвристики не пользуются базами). Когда-то в этот "первый эшелон" входили еще и иммунизаторы, но время доказало их непригодность для современной жизни; как именно, мы обсудим ниже.

Иммунизаторы

Понимание механизма работы иммунизаторов и причин их несостоятельности поможет читателю лучше разобраться с современными технологиями в целом. В конце концов, некоторые самые перспективные технологии сегодняшнего дня - прямые потомки иммунизаторов.

Алгоритм работы иммунизатора таков: он копирует свое тело в конец некоторых исполняемых файлов - либо критичных с точки зрения безопасности, либо выбранных пользователем. Далее модифицируется точка входа в приложение так, чтобы при запуске файла управление получал иммунизатор. В принципе такие действия сродни тому, что делают вирусы. Теперь при каждом выполнении приложения иммунизатор проверяет целостность своего "файла-донора". Естественно, первоначальные данные, соответствующие "чистым" файлам, хранятся у самого анализатора. Чаще всего в этом качестве выступает CRC-сумма, которая служит аналогом человеческих отпечатков пальцев для программ.

Рис. 1. Логика работы вирусов типа stealth.

Некоторое время были также популярны иммунизаторы другой разновидности - те, которые симулировали состоявшееся заражение файлов, тем самым отваживая вирусы от проникновения в них. Например, хорошо известный в 80-е годы вирус Jerusalem никогда дважды не заражал один и тот же файл. Он метил уже пораженные объекты меткой "MSDOS", а затем, обнаруживая ее, пропускал помеченный файл. Буквально сразу же появились многочисленные иммунизаторы, которые метили все исполняемые файлы в системе, так что Jerusalem, попав на компьютер, считал его уже полностью зараженным и не причинял никакого вреда. Этот метод, безусловно, эффективен. Однако есть несколько "но", которые сильно ограничивают его использование. Во-первых, далеко не все вирусы имеют системы, ограничивающие повторное заражение. Во-вторых, можно себе представить, как "разбухнет" иммунизированный файл, если в него записать иммунизирующие метки (к сведению читателя: сегодня существует более 60 тыс. разнообразных вредоносных программ). В-третьих, эта технология не слишком эффективна в борьбе с абсолютно новыми вирусами - скорее, она помогает бороться с новыми модификациями старых.

Инспекторы изменений

На смену иммунизаторам пришли инспекторы изменений. Хотя общий принцип не поменялся, но изменился сам подход к контролю целостности файлов. Данные о "чистых" файлах теперь находятся во внешней базе, и код, проверяющий их целостность, размещается тоже в виде отдельного внешнего модуля. Запись, проверка и обновление всех изменений выполняются только при перезагрузке компьютера.

Что дает такой подход? Во-первых, ликвидирована утечка ресурсов системы на постоянную проверку исполняемых файлов. Возьмем, к примеру, приложение Internet Explorer. Пользователи во время работы запускают по нескольку его копий, притом довольно часто. А данное приложение, безусловно, важно для антивируса. Отсюда неусыпный контроль целостности системного сервиса, "тормозящий" работу системы в целом.

Во-вторых, теперь появилась возможность контролировать загрузочные секторы жесткого диска и предохранять их от заражения. В-третьих, емкая база данных позволяет легко восстанавливать зараженные файлы, так как имеется информация о его первоначальном виде. В данном случае вычищается все, чего не было в исправной копии.

Каждый раз при запуске системы инспектор изменений сравнивает новую информацию о загрузочных секторах, дереве каталогов и файлов с "чистыми" данными, сохраненными в надежном месте. Обнаружив отличия, модуль определяет, насколько они характерны для следов вирусов, и сам принимает решения об инфицированности объектов (почти всегда вирусы модифицируют точки входа в файл или его процедуры - именно на эти изменения "ревизор" обращает внимание в первую очередь). Помимо этого ведется статистика всех отличий/изменений, с помощью которой опытные пользователи или системные администраторы могут самостоятельно принимать решения о зараженности объектов.

Что же мешает stealth-вирусам обхитрить "ревизора" в этом случае? Другой механизм работы модуля (рис. 2): размещение антивирусного кода во внешнем модуле позволяет обращаться к диску непосредственно через драйвер дисковой подсистемы IOS (это альтернативный по сравнению с системными прерываниями способ получения данных о файле, для его реализации приходится использовать собственный драйвер). Таким образом, инспектор изменений подстраховывает свои действия, обращаясь к файлу двумя способами: через стандартный интерфейс ОС и через собственный IOS. Даже если файл заражен stealth-вирусом, данные, полученные вторым способом, будут всегда достоверны. А если информация из этих двух источников различается - исследуемый файл на 100% заражен вирусом-невидимкой.

Хотя первое появление stealth-вирусов, а именно Frodo и Whale, нанесло серьезный удар по репутации инспекторов изменений, правильный подход, к счастью, был быстро найден, и сегодня инспекторы - это весьма экономичное, качественное и быстрое антивирусное средство. К примеру, эти модули нетребовательны к системным и аппаратным ресурсам, почти всегда позволяют восстановить инфицированные файлы и секторы жесткого диска (даже если они заражены новым, еще неизвестным вирусом). Пожалуй, самый главный плюс этой технологии - полная независимость от антивирусной базы (и ее обновлений), а значит, и эффективность применения таких модулей в борьбе с новыми вирусами.

Рис. 2. Схема работы инспектора изменений.

Наконец, большую роль играет совместное использование инспекторов и традиционных антивирусных средств - сканеров. Зачем, скажем, сканеру проверять файл (и соответственно тратить ценные системные ресурсы и замедлять работу компьютера), если тот не изменился с момента последней проверки? Именно для этого сейчас активно разрабатываются технологии, интегрирующие инспекторы и сканеры для оптимизации защиты. Например, в последние версии "Антивируса Касперского" уже входит такая функция.

Однако не все так гладко. У инспекторов изменений тоже есть свои недостатки. Во-первых, они неспособны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. Во-вторых, они не могут идентифицировать вирус в новых файлах (в электронной почте и на дискетах), поскольку в их базах данных отсутствует необходимая информация. Некоторые вирусы используют эту "слабость" инспекторов и заражают только вновь создаваемые файлы, оставаясь, таким образом, невидимыми для антивирусных программ.

Эвристические анализаторы и избыточное сканирование

Эвристический анализатор - это некое подобие искусственного интеллекта, самостоятельно определяющее, заражен объект или нет. Многие вирусы используют одни и те же (или очень похожие) алгоритмы для заражения файлов, сокрытия своего присутствия и модификации кода. Таким образом, в каждом вирусе присутствует тот или иной набор команд (характерный для определенного алгоритма).

История эвристиков насчитывает два поколения. Первое поколение было впервые внедрено голландской компанией ThunderByte (впоследствии поглощена норвежской компанией Norman Defense Systems). Эти эвристики сканируют код приложения и, обнаружив соответствующий набор команд, считают файл инфицированным. Такой алгоритм характеризуется большим числом ложных срабатываний. Кроме того, вирусам достаточно просто обмануть такой эвристик: нужно лишь шифровать свой код (быть полиморфным). Сейчас эвристики первого поколения не используются.

Первый эвристик второго поколения внедрила компания "Лаборатория Касперского" в 1992 г. Суть алгоритма такова: вирус запускается в безопасной среде, полностью эмулирующей поведение реальной среды (аналог мини-эмулятора процессора и ОС). Далее анализируются действия вируса - его поведение и активность. По ряду критериев можно определить, заражен объект или нет. Для DOS-приложений такими критериями считаются, например, поиск исполняемых файлов, запись в оперативную память, чтение из исполняемых файлов и запись из них, возврат управления файлу-носителю. При обнаружении всех четырех признаков программа считается инфицированной. Windows-эвристик анализирует лишь код приложения: секции флагов, точку входа и другие параметры.

Если вирус располагается внутри файла и не связан с точкой входа (т. е. записан в какую-либо процедуру), вполне возможно, что ни сканер, ни эвристик его не заметят. В таком случае следует прибегнуть к избыточному сканированию. Суть последнего в том, чтобы проверить абсолютно весь файл и выявить "спящие" вирусы.

Вирус ищет в файле последовательности стандартного C/Pascal-кода (так поступают вирусы Lucretia, Zhengxi). Найдя какую-нибудь C/Pascal-процедуру, они записывают свой код на ее место.
Вирус загружает файл-донор в память, трассирует или дизассемблирует его код (таковы вирусы CNTV, MidInfector, NexivDer) и потом в зависимости от условий выбирает команду (или команды), вместо которых записывается код перехода на тело вируса.
Последний способ применяют только резидентные вирусы - при запуске файла они контролируют какое-либо прерывание (чаще INT 21h). Как только заражаемый файл вызывает это прерывание, вирус записывает свой код вместо команды вызова прерывания (так работают Avatar.Positron, Markiz).

По сути, избыточное сканирование нельзя назвать технологией поиска неизвестных вирусов в строгом понимании этого слова. Его преимущество в том, что оно позволяет антивирусной программе заглянуть в глубь файла и увидеть то, что недоступно другим. Основной же минус данного метода - очень низкая скорость работы.

Поведенческие блокираторы

Эту технологию можно считать на сегодняшний день самой эффективной. Она позволяет бороться и с новыми вирусами, и с теми, которые есть в антивирусной базе (точнее, не бороться, а предотвращать их размножение). Поведенческий блокиратор - это резидентная программа, следящая за всеми действиями запущенных приложений и проверяющая их на допустимость (рис. 3).

Рис. 3. Схема действия поведенческого блокиратора.

Узкое звено всей технологии - критерий вредоносности действий. Если бы все операции можно было разделить на две группы - свойственные вирусам и свойственные всем остальным программам, то проблем с вирусами больше никогда бы не было. На практике операционная система осуществляет вирусоподобные действия, вызывающие реакцию поведенческого блокиратора.

Чтобы решить эту проблему, существует несколько путей. Самый простой: обеспечить постоянный контроль над программой со стороны пользователя. При обнаружении подозрительных действий блокиратор выдает диалоговое окно, содержащее данные о программе-нарушителе и ее "желаниях", и запрашивает разрешение у пользователя. Этот способ не прошел испытания временем, так как человеку приходится постоянно реагировать на системные события.

Второй способ был реализован, например, "Лабораторией Касперского" в модуле Office Guard - специализированном модуле, предназначенном для работы в приложениях Microsoft Office. Его отличительная особенность состоит в том, что блокиратор реагирует лишь на макрособытия, число которых неизмеримо меньше, чем общее число событий системы и приложений. Более того, все действия, которые может совершить макропрограмма, строго ограничены и зависят лишь от языка Visual Basic for Application. Таким образом, среди них легко вычленить вредные и предотвратить их. В таком случае, когда множество всех операций конечно и исследуемо, модуль Office Guard дает 100%-ную гарантию безопасности (защиты от макровирусов).

Следует обратить внимание, что любой поведенческий блокиратор только предотвращает вредные действия вирусов, но не идентифицирует вредителя и тем более не лечит зараженные объекты. Таким образом, поведенческий блокиратор сам по себе, в одиночестве, вряд ли сможет создать комплексную защиту. Это важное дополнение к антивирусной системе, включающей сканер, монитор и ревизор, которое поможет предотвратить проникновение в компьютер неизвестных вирусов и не допустит дальнейшего распространения "заразы" в уже пораженной системе.

Резюме

На практике для эффективной защиты необходим целый комплекс антивирусных технологий: и сканер, и монитор, и инспектор изменений, и поведенческий блокиратор. Использование функции избыточного сканирования рекомендуется лишь в тех случаях, когда соотношение затрат и времени приемлемо для пользователя. Эвристический анализатор, напротив, необходимо активизировать; сканер и монитор должны его использовать всегда. Скорость его работы намного выше, чем у избыточного сканирования.

Инспекторы изменений и поведенческие блокираторы следует использовать очень разумно. Например, блокиратор целесообразен лишь в тех случаях, когда он интегрируется в конкретный программный пакет (например, Microsoft Office или CAD-системы). Тогда число его ложных срабатываний будет ничтожно мало, а гибкая система правил позволит вообще не обращаться к пользователю в случае конфликтов.

Очень важный параметр - периодичность обновления баз данных инспектора изменений. Желательно проводить обновление каждый раз при перезагрузке компьютера. Однако, если компьютер содержит важные данные, обновление нужно проводить и во время его работы, к тому же это не занимает много времени. Обратите внимание на тот факт, что инспектор изменений способен лечить многие как известные, так и абсолютно новые вирусы. Но при восстановлении стертых файлов, чье содержимое полностью утеряно, он бессилен. Следовательно, нужно делать резервные копии наиболее критичной информации.

Комплексное использование всех перечисленных выше технологий позволяет создать достаточно прочную оборону, которая выдержит столкновение и с неизвестными вирусами. Особое внимание следует обратить на то, что стандартных мер противодействия вирусам (установка пакетов обновлений ПО и обновлений антивирусных баз) сегодня оказывается недостаточно. Более того, ни эвристик, ни поведенческий блокиратор, ни инспектор изменений не могут по отдельности гарантировать безопасность. Только комплексное использование всего антивирусного арсенала позволит взять верх в борьбе с любыми вирусами.

Технология IСhecker

ведение базы проверенных объектов;
контроль изменений объектов;
проверку только новых или измененных объектов;
использование технологии в сканерах On-Demand (стандартный сканер, запускаемый пользователем самостоятельно) и On-Access (монитор).

В результате проверяются лишь файлы, подвергшиеся каким-либо изменениям. Благодаря наличию дополнительных параметров сканирования (инспектор изменений сохраняет в своей базе довольно много уникальных признаков файла) возрастает вероятность детектирования вируса и успешного излечения файла. Использование той же технологии и в мониторе позволяет ускорить рутинный процесс проверки файлов, так как большинство системных файлов (библиотек и приложений) изменениям не подвергаются. Суть технологии IChecker можно описать и иначе: антивирус кэширует уже проверенные файлы и не тратит время на повторную обработку. Эффективность применения технологии IChecker демонстрирует рис. 4, где показано, какой объем оперативной памяти используется монитором.

Рис. 4. Сравнительный анализ антивирусных технологий.

Другие статьи из раздела

Chloride
Демонстрация Chloride Trinergy
Впервые в России компания Chloride Rus провела демонстрацию системы бесперебойного электропитания Chloride Trinergy®, а также ИБП Chloride 80-NET™, NXC и NX для своих партнеров и заказчиков.

Adaptec by PMC
RAID-контроллеры Adaptec Series 5Z с безбатарейной защитой кэша
Опытные сетевые администраторы знают, что задействование в работе кэш-памяти RAID-контроллера дает серьезные преимущества в производительности …

Chloride
Трехфазный ИБП Chloride от 200 до 1200 кВт: Trinergy
Trinergy — новое решение на рынке ИБП, впервые с динамическим режимом работы, масштабируемостью до 9.6 МВт и КПД до 99%. Уникальное сочетание …

Чтобы эффективно бороться с вирусами, необходимо иметь представление о “привычках” вирусов и ориентироваться в методах противодействия вирусам. Если вирус попал в компьютер вместе с одной из программ или с файлом документа, то через некоторое время другие программы или файлы на этом компьютере будут заражены.

Если компьютер подключен к локальной или глобальной сети, то вирус может распространиться и дальше, на другие компьютеры. В прошлой статье я дал подробную классификацию компьютерных вирусов. Именно поэтому сегодня я расскажу о всех способах защиты от них.

Для защиты от вирусов можно использовать:

Общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;
профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
специализированные программы для защиты от вирусов.

Для защиты от проникновения вирусов необходимо проводить мероприятия, исключающие заражение программ и данных компьютерной системы. Основными источниками проникновение вирусов являются коммуникационные сети и съемные носители информации.

Для исключения проникновения вирусов через коммуникационную сеть необходимо осуществлять автоматический входной контроль всех данных, поступающих по сети, который выполняется сетевым экраном (брандмауэром), принимающим пакеты из сети только от надежных источников, рекомендуется проверять всю электронную почту на наличие вирусов, а почту, полученную от неизвестных источников, удалять не читая.

Средства антивирусной защиты

Основным средством защиты информации является резервное копирование наиболее ценных данных. В случае утраты информации жесткие диски переформатируются и подготавливают к новой эксплуатации. На “чистый” отформатированный диск устанавливают все необходимое программное обеспечение, которое тоже берут с дистрибутивных носителей. Восстановление компьютера завершается восстановлением данных, которые берут с резервных носителей.

Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Так, например, простое отключение перемычки на материнской плате не позволит осуществить стирание перепрограммируемой микросхемы ПЗУ (флеш-BIOS), независимо от того, кто будет пытаться это сделать: компьютерный вирус, злоумышленник или неосторожный пользователь.

Классификация антивирусных средств

Детекторы осуществляют поиск компьютерных вирусов в памяти и при обнаружении сообщают об этом пользователю.

Ревизоры выполняют значительно более сложные действия для обнаружения вирусов. Они запоминают исходное состояние программ, каталогов, системных областей и периодически сравнивают их с текущими значениями. При изменении контролируемых параметров ревизоры сообщают об этом пользователю.

Фильтры выполняют выявление подозрительных процедур, например, коррекция исполняемых программ, изменение загрузочных записей диска, изменение атрибутов или размеров файлов. При обнаружении подобных процедур фильтры запрашивают пользователя о правомерности их выполнения.

Доктора являются самым распространенным типом антивирусных программ. Эти программы не только обнаруживают, но и удаляют вирусный код из файла “лечат” программы. Доктора способны обнаружить и удалить только известные им вирусы, поэтому их необходимо периодически, обычно раз в месяц, обновлять.

Вакцины – это антивирусные программы, которые так модифицируют файл или диск, что он воспринимается программой-вирусом уже зараженным и поэтому вирус не внедряется.

Каковы современные технологии антивирусной защиты кратко

Иммунизаторы

Инспекторы изменений

Эвристические анализаторы и избыточное сканирование

Поведенческие блокираторы

Резюме

Технология IСhecker

Другие статьи из раздела

Средства антивирусной защиты

Классификация антивирусных средств

Популярные антивирусные средства

Антивирус Касперского

ESET NOD32 Antivirus

Антивирус Dr.Web

Avast Pro Antivirus