ÚVOD
Žijeme na přelomu dvou tisíciletí, kdy lidstvo vstoupilo do éry nové vědeckotechnické revoluce.
Do konce dvacátého století si lidé osvojili mnohá tajemství přeměny hmoty a energie a dokázali tyto znalosti využít ke zlepšení svého života. Kromě hmoty a energie ale hraje v životě člověka obrovskou roli ještě jedna složka – informace. Jedná se o širokou škálu informací, zpráv, zpráv, znalostí, dovedností.
V polovině našeho století byly speciální zařízení- počítače zaměřené na ukládání a transformaci informací a došlo k počítačové revoluci.
Dnes se bohužel ukázalo, že masové používání osobních počítačů je spojeno se vznikem samoreprodukujících se virových programů, které brání normálnímu provozu počítače, ničí souborovou strukturu disků a poškozují informace uložené v počítači.
Navzdory zákonům přijatým v mnoha zemích k boji proti počítačové kriminalitě a vývoji speciálních softwarové nástroje ochrana proti virům, počet nových softwarové viry neustále roste. To vyžaduje, aby uživatel osobního počítače věděl o povaze virů, jak infikovat viry a jak se před nimi chránit. To byl podnět k výběru tématu mé práce.
To je to, o čem mluvím ve své eseji. Ukazuji hlavní typy virů, zvažuji schémata jejich fungování, důvody jejich vzhledu a způsoby pronikání do počítače a také navrhuji opatření pro ochranu a prevenci.
Smyslem práce je seznámit uživatele se základy počítačové virologie, naučit detekovat viry a bojovat s nimi. Metodou práce je rozbor tištěných publikací na toto téma. Stál jsem před těžkým úkolem - mluvit o tom, co bylo velmi málo prozkoumáno a jak se to stalo - budete soudcem.
1. POČÍTAČOVÉ VIRY A JEJICH VLASTNOSTI A KLASIFIKACE
1.1. Vlastnosti počítačové viry
Nyní se používají osobní počítače, ve kterých má uživatel volný přístup ke všem zdrojům stroje. To otevřelo možnost nebezpečí, které se stalo známým jako počítačový virus.
Co je počítačový virus? Formální definice tohoto pojmu dosud nebyla vynalezena a existují vážné pochybnosti, že ji lze vůbec podat. Četné pokusy podat "moderní" definici viru nebyly úspěšné. Chcete-li pocítit složitost problému, zkuste si například definovat pojem „editor“. Buď vás napadne něco velmi obecného, nebo začnete vypisovat všechny známé typy editorů. Obojí lze stěží považovat za přijatelné. Proto se omezíme na zvážení některých vlastností počítačových virů, které nám umožňují hovořit o nich jako o určité specifické třídě programů.
Za prvé, virus je program. Už jen takové jednoduché tvrzení může vyvrátit mnohé legendy o mimořádných schopnostech počítačových virů. Virus může převrátit obraz na vašem monitoru, ale nemůže převrátit monitor samotný. K legendám o zabijáckých virech, které „ničí operátory zobrazením smrtícího barvy 25. snímek“ také není třeba brát vážně. Bohužel některé autoritativní publikace čas od času zveřejňují „nejnovější zprávy z počítačové fronty“, které se při bližším zkoumání ukazují jako výsledek ne zcela jasného pochopení tématu.
Virus je program, který má schopnost se sám reprodukovat. Tato schopnost je jediným prostředkem, který je vlastní všem typům virů. Ale nejen viry jsou schopné sebereplikace. Jakýkoli operační systém a mnoho dalších programů je schopno vytvářet vlastní kopie. Kopie stejného viru nejenže nemusí zcela odpovídat originálu, ale nemusí se s ním shodovat vůbec!
Virus nemůže existovat v „úplné izolaci“: dnes si nelze představit virus, který nepoužívá kód jiných programů, informace o struktuře souborů nebo dokonce jen názvy jiných programů. Důvod je jasný: virus musí nějak zajistit přenos kontroly na sebe.
1.2. Klasifikace virů
V současné době je známo více než 5 000 softwarových virů, které lze klasifikovat podle následujících kritérií:
místo výskytu
¨ způsob kontaminace životního prostředí
dopad
¨ vlastnosti algoritmu
V závislosti na lokalitě lze viry rozdělit na síťové, souborové, spouštěcí a spouštěcí ze souboru. Síťové viry distribuovány v různých počítačových sítích. Souborové viry jsou vnášeny především do spustitelných modulů, tedy do souborů s příponami COM a EXE. Souborové viry mohou být vloženy do jiných typů souborů, ale zpravidla zapsané v takových souborech nikdy nezískají kontrolu, a proto ztratí schopnost reprodukce. Spouštěcí viry jsou vloženy do zaváděcího sektoru disku (Boot-sector) nebo do sektoru obsahujícího spouštěcí program systémový disk(Master Boot Re-
šňůra). Zavedení souboru viry infikují oba soubory a boot sektory disky.
Podle způsobu infekce se viry dělí na rezidentní a nerezidentní. Rezidentní virus při infikování (infikování) počítače jej ponechá v paměť s náhodným přístupem jeho rezidentní část, která následně zachytí přístup operačního systému k infikovaným objektům (soubory, zaváděcí sektory disku atd.) a sama se do nich injektuje. Rezidentní viry jsou uloženy v paměti a zůstávají aktivní, dokud není počítač vypnut nebo restartován. Nerezidentní viry neinfikují paměť počítače a jsou aktivní po omezenou dobu.
Podle stupně dopadu lze viry rozdělit do následujících typů:
¨ nehazardní, které nenarušují provoz počítače, ale snižují množství volné paměti RAM a disku, akce takových virů se projevují v jakýchkoli grafických nebo zvukových efektech
¨ nebezpečný viry, které mohou způsobit různé problémy s vaším počítačem
¨ velmi nebezpečné, jehož dopad může vést ke ztrátě programů, zničení dat, vymazání informací v systémových oblastech disku.
2. HLAVNÍ TYPY VIRŮ A SCHÉMA JEJICH FUNGOVÁNÍ
Mezi různými viry lze rozlišit následující hlavní skupiny:
¨ nastartovat
¨ soubor
¨ zavádění souboru
Nyní podrobněji o každé z těchto skupin.
2.1. Spouštěcí viry
Zvažte fungování velmi jednoduchého boot viru, který infikuje diskety. Záměrně obcházíme všechny četné jemnosti, na které bychom nevyhnutelně narazili při rigorózní analýze algoritmu jeho fungování.
Co se stane, když zapnete počítač? Nejprve se přenese kontrola bootstrap program, která je uložena v paměti pouze pro čtení (ROM) tzn. PNZ ROM.
Tento program otestuje hardware a pokud testy projdou, pokusí se najít disketu v jednotce A:
Každá disketa je označena na tzv. sektory a stopy. Sektory se spojují do shluků, ale to pro nás není podstatné.
Mezi sektory je několik služeb využívaných operačním systémem pro vlastní potřeby (do těchto sektorů nelze umístit vaše data). Mezi sektory služeb nás stále zajímá jeden – tzv. bootstrap sektor(zaváděcí sektor).
Obchody v bootstrap sektoru informace o disketách- počet povrchů, počet stop, počet sektorů atd. Nás ale nyní tato informace nezajímá, ale v malém bootstrap program(PNZ), který by měl načíst samotný operační systém a přenést na něj řízení.
Takže normální bootstrap vzor je následující:
Nyní zvažte virus. U boot virů se rozlišují dvě části – tzv. hlava atd. ocas. Ocas, obecně řečeno, může být prázdný.
Předpokládejme, že máte prázdnou disketu a infikovaný počítač, čímž máme na mysli počítač s aktivním rezidentním virem. Jakmile tento virus zjistí, že se v mechanice objevila vhodná oběť – v našem případě disketa, která není chráněna proti zápisu a ještě není infikována, přistoupí k infekci. Při infikování diskety virus provede následující akce:
Přidělí určitou oblast disku a označí ji jako nepřístupnou pro operační systém, lze to provést různými způsoby, v nejjednodušším a tradičním případě jsou sektory obsazené virem označeny jako špatné (špatné)
Zkopíruje svůj konec a původní (zdravý) spouštěcí sektor do vybrané oblasti disku
Nahradí zaváděcí program v (skutečném) zaváděcím sektoru jeho hlavou
Organizuje řídicí přenosový řetězec podle schématu.
Hlava viru je tedy nyní první, kdo převezme kontrolu, virus se nainstaluje do paměti a přenese kontrolu do původního boot sektoru. V řetězci
PNZ (ROM) - PNZ (disk) - SYSTÉM
objeví se nový odkaz:
PNZ (ROM) - VIRUS - PNZ (disk) - SYSTÉM
Morálka je jasná: nikdy (náhodou) nenechávejte diskety v jednotce A.
Zkoumali jsme fungování jednoduchého butovy viru, který žije v boot sektorech disket. Viry mohou zpravidla infikovat nejen boot sektory disket, ale také boot sektory pevných disků. V tomto případě, na rozdíl od disket, má pevný disk dva typy spouštěcích sektorů obsahujících spouštěcí programy, které přijímají řízení. Při spouštění počítače z pevného disku převezme řízení nejprve spouštěcí program v MBR (Master Boot Record - Master Boot Record). Pokud je váš pevný disk rozdělen do několika oddílů, pak pouze jeden z nich je označen jako spouštěcí (bootovací). Zaváděcí program v MBR najde spouštěcí oddíl pevného disku a předá řízení zavaděči tohoto oddílu. Kód posledně jmenovaného je stejný jako kód zaváděcího programu obsaženého na běžných disketách a odpovídající zaváděcí sektory se liší pouze v tabulkách parametrů. Na pevném disku jsou tedy dva objekty útoku boot virů - bootstrap program v MBR a základní stahování v boot sektoru spouštěcí disk.
2.2. Souborové viry
Podívejme se nyní, jak funguje jednoduchý souborový virus. Na rozdíl od boot virů, které jsou téměř vždy rezidentní, souborové viry nemusí být nutně rezidentní. Podívejme se na schéma fungování nerezidentního souborového viru. Předpokládejme, že máme infikovaný spustitelný soubor. Když je takový soubor spuštěn, virus převezme kontrolu, provede některé akce a předá řízení „masterovi“ (ačkoli se stále neví, kdo je v takové situaci pánem).
Jaké akce virus provádí? Hledá nový objekt k infikování - soubor vhodného typu, který ještě nebyl infikován (v případě, že je virus „slušný“, jinak existují takové, které infikují okamžitě, aniž by cokoliv kontrolovaly). Infikováním souboru se virus vloží do svého kódu, aby získal kontrolu nad spuštěním souboru. Kromě své hlavní funkce - rozmnožování, může virus dělat i něco složitého (říkat, ptát se, hrát si) - to již závisí na představivosti autora viru. Pokud je souborový virus rezidentní, nainstaluje se do paměti a získá schopnost infikovat soubory a zobrazovat další schopnosti nejen při spuštění infikovaného souboru. Infikováním spustitelného souboru virus vždy upraví svůj kód - proto lze infekci spustitelného souboru vždy detekovat. Ale změnou kódu souboru virus nemusí nutně provádět další změny:
à není povinen měnit délku souboru
à nepoužité části kódu
à není nutné změnit začátek souboru
A konečně, souborové viry často zahrnují viry, které „mají něco společného se soubory“, ale není nutné, aby zasahovaly do jejich kódu. Vezměme si jako příklad schéma fungování virů známé rodiny Dir-II. Je třeba přiznat, že tyto viry, které se objevily v roce 1991, způsobily v Rusku skutečnou morovou epidemii. Zvažte model, který jasně ukazuje základní myšlenku viru. Informace o souborech jsou uloženy v adresářích. Každá položka adresáře obsahuje název souboru, datum a čas vytvoření, některé Dodatečné informace, číslo prvního shluku soubor atd. náhradní bajty. Ty jsou ponechány „v záloze“ a samotný MS-DOS se nepoužívá.
Při spouštění spustitelných souborů systém čte první shluk souboru z položky adresáře a poté všechny ostatní shluky. Viry rodiny Dir-II způsobují následující "reorganizaci" souborového systému: samotný virus je zapsán do některých volných sektorů disku, které označí jako špatné. Kromě toho ukládá informace o prvních shlucích spustitelných souborů do náhradních bitů a místo těchto informací zapisuje odkazy na sebe.
Při spuštění libovolného souboru tedy virus převezme řízení (operační systém jej spustí sám), usadí se v paměti a předá řízení volanému souboru.
2.3. Viry spouštěcích souborů
Model viru boot-file nebudeme uvažovat, protože v tomto případě se nedozvíte žádné nové informace. Zde je ale příležitost stručně probrat nedávno extrémně „populární“ boot-file virus OneHalf, který infikuje hlavní spouštěcí sektor (MBR) a spustitelné soubory. Hlavní destruktivní akcí je šifrování sektorů pevného disku. Při každém spuštění virus zašifruje další část sektorů a po zašifrování polovinu pevný disk, s radostí to oznamuje. Hlavním problémem při léčbě tohoto viru je, že nestačí pouze odstranit virus z MBR a souborů, je nutné dešifrovat jím zašifrované informace. Nejvíce "smrtící" akcí je jednoduše přepsat nový zdravý MBR. Hlavní věc - nepropadejte panice. Vše v klidu zvažte, poraďte se s odborníky.
2.4. Polymorfní viry
Většina otázek souvisí s pojmem „polymorfní virus“. Tento typ počítačového viru je zdaleka nejnebezpečnější. Pojďme si vysvětlit, co to je.
Polymorfní viry jsou viry, které upravují svůj kód v infikovaných programech tak, že se dvě instance stejného viru nemusí shodovat v jednom bitu.
Takové viry nejen zašifrují svůj kód pomocí různých šifrovacích cest, ale obsahují také generační kód šifrovače a dešifrovače, což je odlišuje od běžných šifrovacích virů, které dokážou zašifrovat i části svého kódu, ale zároveň mají konstantní kód šifrovače a dešifrovače.
Polymorfní viry jsou viry se samomodifikačními dekodéry. Účelem takového šifrování je, že pokud máte infikovaný a původní soubor, stále nebudete moci analyzovat jeho kód pomocí konvenčního rozebrání. Tento kód je zašifrovaný a je to nesmyslná sada příkazů. Dešifrování provádí samotný virus za běhu. Přitom jsou možné možnosti: může se dešifrovat všechny najednou, nebo může takové dešifrování provádět „za pochodu“, může opět šifrovat již vypracované úseky. To vše se děje kvůli ztížení analýzy virového kódu.
3. HISTORIE POČÍTAČOVÉ VIROLOGIE A PŘÍČINY VIRŮ
Historie počítačové virologie se dnes zdá být neustálým „závodem o vůdce“ a navzdory plné síle moderních antivirových programů jsou to viry, které jsou lídry. Mezi tisíci virů je pouze několik desítek originálních vývojových řešení využívajících skutečně zásadně nové myšlenky. Všechny ostatní jsou „variace na téma“. Ale každý originální vývoj nutí tvůrce antivirů přizpůsobit se novým podmínkám, dohnat virovou technologii. O tom druhém lze polemizovat. Například v roce 1989 se americkému studentovi podařilo vytvořit virus, který znefunkčnil asi 6000 počítačů amerického ministerstva obrany. Nebo epidemie slavného viru Dir-II, která vypukla v roce 1991. Virus používal skutečně originální, zásadně novou technologii a zpočátku se díky nedokonalosti tradiční dokázal široce rozšířit antivirové nástroje.
Nebo vypuknutí počítačových virů ve Spojeném království: Christopher Pine dokázal vytvořit viry Pathogen a Queeq a také virus Smeg. Právě poslední jmenovaný byl nejnebezpečnější, dal se aplikovat na první dva viry a kvůli tomu po každém spuštění programu měnily konfiguraci. Proto je nebylo možné zničit. Pine zkopíroval, aby šířil viry počítačové hry a programy, infikoval je a poté je poslal zpět do sítě. Uživatelé si stáhli infikované programy do svých počítačů a infikovaných disků. Situaci zhoršila skutečnost, že se Pine podařilo zanést viry do programu, který s nimi bojuje. Jeho spuštěním uživatelé místo ničení virů získali další. V důsledku toho byly soubory mnoha společností zničeny, ztráty dosáhly milionů liber.
Americký programátor Morris je všeobecně známý. Je známý jako tvůrce viru, který v listopadu 1988 infikoval asi 7000 osobních počítačů připojených k internetu.
Příčiny vzniku a šíření počítačových virů jsou na jedné straně skryty v psychologii lidské osobnosti a jejích stinných stránkách (závist, pomstychtivost, ješitnost neuznaných tvůrců, neschopnost konstruktivně uplatnit své schopnosti), na druhé straně kvůli chybějící hardwarové ochraně a protizásahu z operačního sálu.systémy osobních počítačů.
4. ZPŮSOBY PRŮNIKU VIRŮ DO POČÍTAČE A MECHANISMUS DISTRIBUCE VIROVÝCH PROGRAMŮ
Hlavními způsoby, jak se viry dostávají do počítače, jsou vyměnitelné disky (disketové a laserové) a také počítačové sítě. K infekci pevného disku viry může dojít, když je program načten z diskety obsahující virus. Taková infekce může být i náhodná, například pokud nebyla disketa vyjmuta z jednotky A a počítač byl restartován, přičemž disketa nemusí být systémová. Infikovat disketu je mnohem jednodušší. Virus se na něj může dostat, i když se disketa jednoduše vloží do disketové jednotky infikovaného počítače a přečte se například její obsah.
Virus se do pracovního programu zavádí zpravidla tak, že při jeho spuštění se mu nejprve předá řízení a až po provedení všech jeho příkazů se opět vrátí do pracovního programu. Po získání přístupu ke kontrole se virus nejprve přepíše do jiného pracovního programu a infikuje jej. Po spuštění programu obsahujícího virus je možné infikovat další soubory. Nejčastěji je virem infikován boot sektor disku a spustitelné soubory s příponami EXE, COM, SYS, BAT. Textové soubory jsou velmi zřídka infikovány.
Po infikování programu může virus provést nějakou sabotáž, ne příliš závažnou, aby nevzbudil pozornost. A nakonec nezapomeňte vrátit ovládání programu, ze kterého bylo spuštěno. Každé spuštění infikovaného programu přenese virus na další. Takže se všechno nakazí. software.
Pro ilustraci infekčního procesu počítačový program jako virus má smysl připodobňovat disková úložiště ke staromódnímu archivu se složkami na pásce. Složky obsahují programy a sekvence operací pro zavedení viru v tomto případě bude vypadat takto. (Viz Příloha 1)
5. ZNÁMKY VIRŮ
Když je počítač napaden virem, je důležité jej detekovat. Chcete-li to provést, měli byste vědět o hlavních příznacích projevu virů. Patří mezi ně následující:
¨ ukončení práce nebo nesprávné fungování dříve úspěšně fungujících programů
¨ pomalý výkon počítače
¨ nemožnost zavést operační systém
¨ zmizení souborů a adresářů nebo zkreslení jejich obsahu
¨ změnit datum a čas úpravy souborů
¨ změna velikosti souboru
¨ neočekávaně velký nárůst počtu souborů na disku
¨ výrazné snížení velikosti volné paměti RAM
¨ zobrazování neočekávaných zpráv nebo obrázků na obrazovce
¨ předložení nepředvídaných zvukové signály
¨ časté zamrzání a pády počítače
Je třeba poznamenat, že výše uvedené jevy nejsou nutně způsobeny přítomností viru, ale mohou být způsobeny jinými příčinami. Proto je vždy obtížné správně diagnostikovat stav počítače.
6. DETEKCE A OCHRANA A PREVENCE VIRŮ
6.1. Jak zjistit virus ? Tradiční přístup
Jistý autor virů tedy vytvoří virus a uvede ho do „života“. Nějakou dobu může chodit volně, ale dříve nebo později „lafa“ skončí. Někdo bude mít podezření, že něco není v pořádku. Viry jsou obvykle nalezeny běžní uživatelé kteří si všimnou určitých anomálií v chování počítače. Ve většině případů nejsou schopni se s infekcí sami vyrovnat, ale to se od nich nevyžaduje.
Je jen nutné, aby se virus dostal co nejdříve do rukou specialistů. Profesionálové ho prostudují, zjistí „co dělá“, „jak to dělá“, „kdy dělá“ atd. V procesu takové práce jsou všechny potřebné informace o tento virus zvýrazněna je zejména signatura viru - sekvence bajtů, která jej zcela určitě charakterizuje. K vytvoření podpisu se obvykle berou nejdůležitější a nejcharakterističtější části kódu viru. Zároveň se vyjasní mechanismy fungování viru, např. u boot viru je důležité vědět, kde skrývá svůj ocas, kde se nachází původní boot sektor a v případě soubor jedna, jak je soubor infikován. Získané informace nám umožňují zjistit:
Jak detekovat virus, za tímto účelem metody pro vyhledávání signatur v potenciálních objektech virového útoku - jsou specifikovány soubory a / nebo boot sektory
jak virus neutralizovat, pokud je to možné, vyvíjejí se algoritmy pro odstranění virového kódu z postižených objektů
6.2. Programy pro detekci a ochranu virů
Pro detekci, odstranění a ochranu před počítačovými viry bylo vyvinuto několik typů speciálních programů, které umožňují detekovat a ničit viry. Takové programy se nazývají antivirový . Existují následující typy antivirových programů:
programy-detektory
programy-lékaři nebo fágy
programoví auditoři
filtrační programy
očkovací programy nebo imunizátory
Programy-detektory proveďte vyhledání signatury charakteristického pro konkrétní virus v paměti RAM a v souborech a v případě zjištění vyšle příslušnou zprávu. Nevýhodou těchto antivirových programů je, že mohou najít pouze viry, které znají vývojáři takových programů.
Lékařské programy nebo fágy, stejně jako očkovací programy virem infikované soubory nejen najít, ale také „ošetřit“, tzn. odeberte tělo virového programu ze souboru a vraťte soubory do výchozí stav. Na začátku své práce hledají fágové viry v RAM, ničí je a teprve poté přistupují k „léčbě“ souborů. Mezi fágy se rozlišují polyfágy, tzn. doktorské programy určené k nalezení a zničení velkého množství virů. Nejznámější z nich jsou: Aidstest, Scan, Norton Antivirus, Doktor Web.
Vzhledem k tomu, že se neustále objevují nové viry, detekční programy a programy lékařů rychle zastarávají a jsou nutné pravidelné aktualizace.
Auditorské programy patří mezi nejspolehlivější prostředky ochrany proti virům. Auditoři si pamatují počáteční stav programů, adresářů a systémových oblastí disku, když počítač není infikován virem, a pak pravidelně nebo na žádost uživatele porovnávají aktuální stav s původním. Zjištěné změny se zobrazí na obrazovce monitoru. Stavy se porovnávají zpravidla ihned po načtení operačního systému. Při porovnávání se kontroluje délka souboru, cyklický řídicí kód (kontrolní součet souboru), datum a čas úpravy a další parametry. Auditorské programy mají poměrně pokročilé algoritmy, detekují stealth viry a mohou dokonce vyčistit změny verze kontrolovaného programu od změn provedených virem. Mezi programy-auditory je v Rusku široce používaný program Adinf.
Filtrovat programy nebo "hlídač" jsou malé rezidentní programy určené k detekci podezřelé činnosti počítače, která je charakteristická pro viry. Takové akce mohou být:
Pokusy o opravu souborů s příponami COM, EXE
změna atributů souboru
Přímý zápis na disk na absolutní adresu
Zápis do spouštěcích sektorů disku
Když se jakýkoli program pokusí provést zadané akce, „hlídač“ odešle zprávu uživateli a nabídne zákaz nebo povolení odpovídající akce. Filtrační programy jsou velmi užitečné, protože jsou schopny detekovat virus v nejranější fázi jeho existence před rozmnožováním. Soubory a disky však „neuzdravují“. Chcete-li zničit viry, musíte použít jiné programy, jako jsou fágy. Mezi nevýhody hlídacích programů patří jejich „otravnost“ (například neustále upozorňují na jakýkoli pokus o zkopírování spustitelného souboru), ale i možné konflikty s jiným softwarem. Příkladem filtračního programu je program Vsafe, který je součástí obslužného balíku MS DOS.
Vakcíny nebo imunizátory jsou rezidentní programy, které zabraňují infekci souborů. Vakcíny se používají, pokud neexistují žádné lékařské programy, které by tento virus „léčily“. Očkování je možné pouze proti známým virům. Vakcína upraví program nebo disk tak, že to neovlivní jejich práci a virus je bude vnímat jako infikované, a proto se nezakoření. Vakcinační programy mají v současnosti omezené využití.
Včasná detekce virem infikovaných souborů a disků, úplné zničení detekovaných virů na každém počítači pomáhá zabránit šíření virové epidemie na další počítače.
6.3. Základní opatření k ochraně před viry
Chcete-li zabránit napadení počítače viry a zajistit bezpečné úložiště informace na discích, je třeba dodržovat následující pravidla:
¨ vybavte svůj počítač aktuálními antivirovými programy, jako je Aidstest, Doctor Web, a neustále aktualizujte jejich verze
¨ před čtením informací uložených na jiných počítačích z disket vždy zkontrolujte tyto diskety na přítomnost virů spuštěním antivirových programů na vašem počítači
¨ při přenosu archivovaných souborů do počítače je zkontrolujte ihned po rozbalení na pevném disku, přičemž oblast kontroly omezte pouze na nově nahrané soubory
¨ pravidelně kontrolujte přítomnost virů pevné disky počítač spuštěním antivirových programů pro testování souborů, paměti a systémových oblastí disků z diskety chráněné proti zápisu po načtení operačního systému ze systémové diskety chráněné proti zápisu
¨ vždy chraňte své diskety proti zápisu při práci na jiných počítačích, pokud nebudou zapsány do informací
¨ Ujistěte se, že si vytváříte archivní kopie cenných informací pro vás na diskety
¨ neponechávejte diskety v kapse jednotky A při zapínání nebo restartování operačního systému, abyste zabránili infekci počítače spouštěcími viry
¨ používat antivirové programy pro kontrolu vstupu všech spustitelných souborů přijatých z počítačových sítí
¨ pro zajištění větší bezpečnosti musí být používání Aidstest a Doctor Web kombinováno s každodenním používáním auditora disku Adinf
ZÁVĚR
Můžeme tedy citovat mnoho faktů, které naznačují, že ohrožení informačního zdroje každým dnem narůstá, což zpanikaří odpovědné osoby v bankách, podnicích a společnostech po celém světě. A tato hrozba pochází z počítačových virů, které zkreslují nebo ničí životně důležité, cenné informace, což může vést nejen k finančním ztrátám, ale také k lidským obětem.
Počítačový virus - speciálně napsaný program, který se může spontánně připojit k jiným programům, vytvářet své kopie a vkládat je do souborů, oblastí počítačového systému a do počítačové sítě s cílem narušit činnost programů, poškodit soubory a adresáře, vytvořit všechny druhy rušení v provozu počítače.
V současné době je známo více než 5000 softwarových virů, jejichž počet neustále roste. Existují případy, kdy byly vytvořeny návody, které pomáhají při psaní virů.
Hlavní typy virů: boot, file, file-boot. Nejnebezpečnější typ virů je polymorfní.
Z historie počítačové virologie je zřejmé, že jakýkoli originální počítačový vývoj nutí tvůrce antivirů přizpůsobovat se novým technologiím, neustále vylepšovat antivirové programy.
Důvody vzniku a šíření virů jsou skryty na jedné straně v lidské psychologii, na druhé straně s nedostatečnou ochranou v operačním systému.
Hlavními způsoby pronikání virů jsou vyměnitelné jednotky a počítačové sítě. Abyste tomu zabránili, proveďte preventivní opatření. Bylo také vyvinuto několik typů speciálních programů nazývaných antivirové programy pro detekci, odstranění a ochranu před počítačovými viry. Pokud ve svém počítači stále najdete virus, je podle tradičního přístupu lepší zavolat profesionála, aby na to přišel dále.
Ale některé vlastnosti virů lámou hlavu i odborníkům. Až donedávna bylo těžké si představit, že by virus mohl přežít studený restart nebo se šířit prostřednictvím souborů dokumentů. Za takových podmínek nelze nepřikládat důležitost alespoň počáteční antivirové výchově uživatelů. Navzdory závažnosti problému není žádný virus schopen způsobit tolik škody jako vybělený uživatel s třesoucíma se rukama!
Tak, zdraví vašich počítačů, bezpečnost vašich dat – ve vašich rukou!
Bibliografický seznam
1. Informatika: Učebnice / ed. Prof. N.V. Makarová. - M.: Finance a statistika, 1997.
2. Encyklopedie tajemství a vjemů / Připraveno. text od Yu.N. Petrov. - Minsk: Literatura, 1996.
3. Bezrukov N.N. Počítačové viry. - M.: Nauka, 1991.
4. Mostovoy D.Yu. Moderní technologie boj proti virům // PC World. - č. 8. - 1993.
Antivirová ochrana je nejběžnějším opatřením pro zajištění informační bezpečnosti IT infrastruktury v podnikovém sektoru. Podle studie společnosti Kaspersky Lab společně s analytickou společností B2B International (podzim 2013) však řešení antivirové ochrany používá pouze 74 % ruských společností.
Zpráva také říká, že uprostřed exploze kybernetických hrozeb, proti kterým společnosti jednoduché antiviry Ruský byznys stále více využívá komplexní ochranné nástroje. Z velké části z tohoto důvodu vzrostlo používání nástrojů pro šifrování dat o 7 %. vyměnitelné médium(24 %). Společnosti jsou navíc ochotnější vymezovat bezpečnostní zásady pro vyměnitelná zařízení. Zvýšila se také diferenciace úrovně přístupu k různým částem IT infrastruktury (49 %). Malé a střední podniky přitom věnují větší pozornost kontrole vyměnitelných zařízení (35 %) a kontrole aplikací (31 %).
Vědci také zjistili, že navzdory neustálému objevování nových zranitelností v softwaru, ruské společnosti stále nevěnují náležitou pozornost pravidelným aktualizacím softwaru. A co víc, počet záplatovacích organizací se oproti minulému roku snížil na pouhých 59 %.
Moderní antivirové programy jsou schopny efektivně detekovat škodlivé objekty uvnitř programových souborů a dokumentů. V některých případech může antivirus odstranit tělo škodlivého objektu z infikovaného souboru a obnovit samotný soubor. Ve většině případů je antivirus schopen odstranit objekt škodlivého programu nejen z programového souboru, ale také ze souboru kancelářského dokumentu, aniž by narušil jeho integritu. Používání antivirových programů nevyžaduje vysokou kvalifikaci a je dostupné téměř každému uživateli počítače.
Většina antivirových programů kombinuje ochranu v reálném čase (virový monitor) a ochranu na vyžádání (virový skener).
Antivirové hodnocení
2019: Dvě třetiny antivirů pro Android byly k ničemu
V březnu 2019 zveřejnila AV-Comparatives, rakouská laboratoř specializující se na testování antivirového softwaru, výsledky studie, která prokázala nepoužitelnost většiny těchto programů pro Android.
Pouze 23 antivirů umístěných v oficiálním katalogu obchodu Google Play přesně rozpozná malware ve 100 % případů. Zbytek softwaru buď na mobilní hrozby nereaguje, nebo jim bere absolutně bezpečné aplikace.
Odborníci studovali 250 antivirů a uvedli, že pouze 80 % z nich dokáže detekovat více než 30 % malwaru. V testu tak neprošlo 170 aplikací. Produkty, které prošly testy, byla především řešení od velkých výrobců, mezi které patří Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro a Trustwave.
V rámci experimentu vědci nainstalovali každou antivirovou aplikaci na samostatné zařízení (bez emulátoru) a automatizovali zařízení tak, aby spouštěla prohlížeč, stahovala a následně instalovala malware. Každé zařízení bylo v roce 2018 testováno proti 2 000 nejrozšířenějších virů Android.
Podle AV-Comparatives nejvíce antivirová řešení pro Android jsou padělky. Desítky aplikací mají téměř identické rozhraní a jejich tvůrci zjevně více zajímá zobrazování reklam než psaní funkčního antivirového skeneru.
Některé antiviry „vidí“ hrozbu v jakékoli aplikaci, která není zahrnuta na jejich „bílém seznamu“. Kvůli tomu v řadě velmi neoficiálních případů vyvolali poplach kvůli jejich vlastním souborům, protože je vývojáři zapomněli uvést na „bílé listině“.
2017: Microsoft Security Essentials je uznáván jako jeden z nejhorších antivirů
Německá antivirová laboratoř AV-Test zveřejnila v říjnu 2017 výsledky komplexního antivirového testování. Podle studie je proprietární software společnosti Microsoft určený k ochraně proti škodlivá činnost, téměř nejhůře ze všech zvládají své povinnosti.
Podle výsledků testů provedených v červenci až srpnu 2017 experti AV-Test označili Kaspersky Internet Security za nejlepší antivirus pro Windows 7, který získal 18 bodů za ochranu, výkon a snadnost použití.
Mezi první tři patřily programy Trend Micro internetová bezpečnost a Bitdefender Internet Security, které získaly každý 17,5 bodu. Postavení produktů dalších antivirových společností, které byly zahrnuty do studie, lze nalézt na ilustracích níže:
Mnoho skenerů také používá heuristické skenovací algoritmy, tj. analýza posloupnosti příkazů v kontrolovaném objektu, sběr některých statistik a rozhodování pro každý kontrolovaný objekt.
Skenery lze také rozdělit do dvou kategorií – univerzální a specializované. Univerzální skenery jsou navrženy tak, aby vyhledávaly a neutralizovaly všechny typy virů bez ohledu na operační systém, ve kterém je skener navržen. Specializované skenery jsou navrženy tak, aby neutralizovaly omezený počet virů nebo pouze jednu z nich, například makroviry.
Skenery se také dělí na rezidentní (monitory), které skenují za chodu, a nerezidentní, které kontrolují systém pouze na vyžádání. Rezidentní skenery zpravidla poskytují spolehlivější ochranu systému, protože okamžitě reagují na výskyt viru, zatímco nerezidentní skener je schopen virus identifikovat až při jeho dalším spuštění.
CRC skenery
Princip činnosti skenerů CRC je založen na výpočtu součtů CRC (kontrolních součtů) pro soubory / systémové sektory přítomné na disku. Tyto součty CRC jsou pak uloženy v antivirové databázi, stejně jako některé další informace: délky souborů, data jejich poslední úpravy atd. Při příštím spuštění CRC skenery zkontrolují data obsažená v databázi se skutečně napočítanými hodnotami. Pokud se informace o souboru zaznamenané v databázi neshodují se skutečnými hodnotami, pak skenery CRC signalizují, že soubor byl upraven nebo infikován virem.
CRC skenery nejsou schopny zachytit virus v okamžiku, kdy se objeví v systému, ale udělají to až po nějaké době, poté, co se virus rozšíří po celém počítači. CRC skenery nemohou detekovat virus v nových souborech (v e-mailu, na disketách, v souborech obnovených ze zálohy nebo při rozbalování souborů z archivu), protože jejich databáze nemají informace o těchto souborech. Navíc se periodicky objevují viry, které tuto slabinu CRC skenerů využívají, infikují pouze nově vytvořené soubory a zůstávají pro ně tak neviditelné.
Blokátory
Antivirové blokátory jsou rezidentní programy, které zachycují virově nebezpečné situace a upozorňují na ně uživatele. Mezi virově nebezpečná volání patří volání k otevření pro zápis do spustitelných souborů, zápis do boot sektorů disků nebo MBR pevného disku, pokusy programů zůstat rezidentní atd., tedy volání, která jsou typická pro viry na doba reprodukce.
Mezi výhody blokátorů patří jejich schopnost detekovat a zastavit virus v nejranější fázi jeho reprodukce. Mezi nevýhody patří existence způsobů, jak obejít ochranu blokátorů a velké množství falešných poplachů.
Imunizátory
Imunizátory se dělí na dva typy: imunizátory hlásící infekci a imunizátory blokující infekci. První se většinou zapisují na konec souborů (podle principu souborového viru) a při každém spuštění souboru se kontroluje, zda nedošlo ke změnám. Nevýhoda takových imunizátorů je jen jedna, ale smrtelná: absolutní nemožnost hlásit infekci stealth virem. Proto se takové imunizátory, stejně jako blokátory, v současnosti prakticky nepoužívají.
Druhý typ imunizace chrání systém před napadením konkrétním typem viru. Soubory na discích jsou upraveny tak, že je virus bere za již infikované. K ochraně před rezidentním virem je do paměti počítače vložen program, který napodobuje kopii viru. Po spuštění na něj virus narazí a věří, že systém je již infikován.
Tento typ imunizace nemůže být univerzální, protože je nemožné imunizovat soubory proti všem známým virům.
Klasifikace antivirů na základě časové variability
Podle Valeryho Konyavského lze antivirotika rozdělit na dvě velké skupiny- analyzovat data a analyzovat procesy.
Analýza dat
Analýza dat zahrnuje auditory a polyfágy. Auditoři analyzují důsledky činnosti počítačových virů a jiných škodlivých programů. Důsledky se projeví ve změně dat, která by se měnit neměla. Právě skutečnost změny dat se z pohledu auditora podepisuje na činnosti škodlivých programů. Jinými slovy, auditoři kontrolují integritu dat a při porušení integrity rozhodují o přítomnosti malwaru v počítačovém prostředí.
Polyfágy se chovají jinak. Na základě analýzy dat identifikují fragmenty škodlivého kódu (například podle jeho podpisu) a na základě toho učiní závěr o přítomnosti škodlivých programů. Smazání nebo dezinfekce dat infikovaných virem pomáhá předcházet negativním důsledkům spouštění malwaru. Na základě analýzy ve statice je tak zabráněno následkům vznikajícím v dynamice.
Schéma práce auditorů i polyfágů je téměř stejné - porovnávat data (nebo jejich kontrolní součet) s jedním nebo více referenčními vzorky. Data se porovnávají s daty. K nalezení viru ve vašem počítači tedy potřebujete, aby již fungoval, aby se projevily následky jeho činnosti. Tato metoda dokáže najít pouze známé viry, pro které byly dříve popsány fragmenty kódu nebo signatury. Je nepravděpodobné, že takovou ochranu lze nazvat spolehlivou.
Procesní analýza
Antivirové nástroje založené na analýze procesů fungují poněkud odlišně. Heuristické analyzátory, jako ty popsané výše, analyzují data (na disku, v kanálu, v paměti atd.). Zásadní rozdíl je v tom, že analýza se provádí za předpokladu, že analyzovaný kód nejsou data, ale příkazy (v počítačích s von Neumannovou architekturou jsou data a příkazy nerozeznatelné, a proto je třeba předložit ten či onen předpoklad během analýzy.)
Heuristický analyzátor vybere posloupnost operací, každé z nich přiřadí určité hodnocení nebezpečnosti a na základě souhrnu nebezpečí rozhodne, zda je tato posloupnost operací součástí škodlivého kódu. Samotný kód není spuštěn.
Dalším typem antivirových nástrojů založených na analýze procesů jsou behaviorální blokátory. V tomto případě je podezřelý kód spouštěn krok za krokem, dokud není sada akcí iniciovaných kódem vyhodnocena jako nebezpečné (nebo bezpečné) chování. V tomto případě je kód částečně spuštěn, protože dokončení škodlivého kódu lze detekovat jednoduššími metodami analýzy dat.
Technologie detekce virů
Technologie používané v antivirech lze rozdělit do dvou skupin:
- Technologie analýzy podpisů
- Technologie pravděpodobnostní analýzy
Technologie analýzy podpisů
Analýza signatur je metoda detekce virů, která kontroluje přítomnost virových signatur v souborech. Analýza podpisů je nejznámější metodou detekce virů a používá se téměř ve všech moderních antivirech. K provedení kontroly potřebuje antivirus sadu virových signatur, která je uložena v antivirové databázi.
Vzhledem k tomu, že analýza signatur zahrnuje kontrolu souborů na přítomnost virových signatur, je potřeba pravidelně aktualizovat antivirovou databázi, aby byl antivirus aktuální. Samotný princip fungování analýzy signatur také určuje meze její funkčnosti - schopnost detekovat pouze známé viry - proti novým virům je skener signatur bezmocný.
Na druhé straně přítomnost virových signatur naznačuje možnost léčby infikované soubory detekovaný pomocí analýzy podpisů. Léčba však není přijatelná pro všechny viry - trojské koně a většina červů nejsou léčitelné kvůli jejich Designové vlastnosti, protože se jedná o pevné moduly určené k poškození.
Kompetentní implementace virové signatury umožňuje detekovat známé viry se 100% jistotou.
Technologie pravděpodobnostní analýzy
Technologie pravděpodobnostní analýzy se zase dělí do tří kategorií:
- Heuristická analýza
- Behaviorální analýza
- Analýza kontrolního součtu
Heuristická analýza
Heuristická analýza je technologie založená na pravděpodobnostních algoritmech, jejímž výsledkem je identifikace podezřelých objektů. V průběhu heuristická analýza kontroluje se struktura souboru, jeho soulad s virovými šablonami. Nejoblíbenější heuristickou technikou je kontrola obsahu souboru na modifikace již známých virových signatur a jejich kombinací. To pomáhá detekovat hybridy a nové verze dříve známých virů bez dodatečné aktualizace antivirové databáze.
Heuristická analýza se používá k detekci neznámých virů a v důsledku toho nezahrnuje léčbu. Tato technologie není schopna 100% určit virus před sebou nebo ne a jako každý pravděpodobnostní algoritmus hřeší falešně pozitivními výsledky.
Behaviorální analýza
Behaviorální analýza je technologie, ve které se o povaze kontrolovaného objektu rozhoduje na základě analýzy operací, které provádí. Behaviorální analýza má velmi úzké praktické využití, protože většinu akcí typických pro viry lze provádět běžnými aplikacemi. Behaviorální analyzátory skriptů a maker jsou nejznámější, protože odpovídající viry téměř vždy provádějí řadu podobných akcí.
Bezpečnostní funkce zabudované v systému BIOS lze také klasifikovat jako analyzátory chování. Při pokusu o provedení změn v MBR počítače analyzátor akci zablokuje a zobrazí příslušné upozornění pro uživatele.
Kromě toho mohou analyzátory chování sledovat pokusy o přímý přístup k souborům a provádění změn spouštěcí záznam formátování diskety pevné disky atd.
Behaviorální analyzátory ke své práci nepoužívají další objekty, jako jsou virové databáze, a v důsledku toho nejsou schopny rozlišit známé a neznámé viry – všechny podezřelé programy jsou a priori považovány za neznámé viry. Podobně vlastnosti fungování nástrojů, které implementují technologie analýzy chování, neimplikují léčbu.
Analýza kontrolního součtu
Analýza kontrolního součtu je způsob, jak sledovat změny v objektech počítačového systému. Na základě analýzy charakteru změn - simultánnost, hromadný charakter, shodné změny délek souborů - lze usoudit, že systém je infikován. Analyzátory kontrolních součtů (nazývané také auditoři změn), stejně jako analyzátoři chování, nepoužívají při své práci další objekty a vydávají verdikt o přítomnosti viru v systému výhradně prostřednictvím vzájemného hodnocení. Obdobné technologie se používají i v přístupových skenerech - při první kontrole je ze souboru odebrán kontrolní součet a umístěn do mezipaměti, před další kontrolou stejného souboru je kontrolní součet znovu odebrán, porovnán a pokud nedojde ke změnám, soubor je považován za neinfikovaný.
Antivirové komplexy
Antivirový komplex - sada antivirů, které používají stejný antivirový modul nebo motory, navržená k řešení praktických problémů při zajišťování antivirové bezpečnosti počítačové systémy. Součástí antivirového komplexu jsou i nástroje pro aktualizaci antivirových databází.
Antivirový komplex může navíc obsahovat analyzátory chování a auditory změn, které nepoužívají antivirový modul.
Existují následující typy antivirových komplexů:
- Antivirový komplex pro ochranu pracovních stanic
- Antivirový komplex pro ochranu souborových serverů
- Antivirový komplex pro ochranu poštovních systémů
- Antivirový komplex pro ochranu bran.
Cloud vs tradiční desktopový antivirus: který byste si měli vybrat?
(Podle zdroje Webroot.com)
Moderní trh antivirových nástrojů představuje především tradiční řešení pro desktopové systémy, jejichž ochranné mechanismy jsou postaveny na základě metod založených na signaturách. Alternativní způsob antivirová ochrana - využití heuristické analýzy.
Problémy s tradičním antivirovým softwarem
Tradiční antivirové technologie jsou v posledních letech stále méně účinné a rychle zastarávají v důsledku řady faktorů. Počet virových hrozeb identifikovaných jejich signaturami je již tak vysoký, že zajistit včasnou 100% aktualizaci databází signatur na počítačích uživatelů je často nereálný úkol. Hackeři a kyberzločinci stále častěji využívají botnety a další technologie k urychlení šíření virových hrozeb zero-day. Kromě toho se během cílených útoků nevytvářejí signatury odpovídajících virů. Konečně jsou aplikovány nové technologie detekce virů: šifrování malwaru, vytváření polymorfních virů na straně serveru, předběžné testování kvality virového útoku.
Tradiční antivirová ochrana je nejčastěji postavena v architektuře „tlustého klienta“. To znamená, že na klientském počítači je nainstalován svazek. programovací kód. Kontroluje příchozí data a zjišťuje přítomnost virových hrozeb.
Tento přístup má řadu nevýhod. Za prvé, skenování malwaru a odpovídajících signatur vyžaduje značnou výpočetní zátěž, která je „odebrána“ uživateli. V důsledku toho klesá produktivita počítače a provoz antiviru někdy narušuje paralelní provádění aplikovaných úloh. Někdy je zatížení systému uživatele tak patrné, že uživatelé vypnou antivirové programy, čímž odstraní bariéru potenciálnímu virovému útoku.
Za druhé, každá aktualizace na počítači uživatele vyžaduje přenos tisíců nových podpisů. Množství přenesených dat se obvykle pohybuje v řádu 5 MB za den na stroj. Přenos dat zpomaluje síť, odvádí další systémové zdroje, vyžaduje zapojení správci systému k řízení provozu.
Za třetí, uživatelé, kteří jsou na roamingu nebo jsou mimo své pevné pracoviště, jsou náchylní k útokům zero-day. Aby obdrželi aktualizovanou část podpisů, musí se připojit k síti VPN, která pro ně není vzdáleně přístupná.
Antivirová ochrana z cloudu
Při přechodu na antivirovou ochranu z cloudu se výrazně mění architektura řešení. Na počítači uživatele je nainstalován „odlehčený“ klient, jehož hlavní funkcí je vyhledávání nových souborů, výpočet hash hodnot a odesílání dat cloudový server. V cloudu se provádí úplné srovnání na velké databázi shromážděných podpisů. Tato databáze je neustále a včas aktualizována daty přenášenými antivirovými společnostmi. Klient obdrží zprávu s výsledky auditu.
Cloudová architektura antivirové ochrany tedy má celá řada výhody:
- objem výpočtů na počítači uživatele je ve srovnání s tlustým klientem zanedbatelný, takže produktivita uživatele neklesá;
- antivirový provoz nemá žádný katastrofický dopad propustnost sítě: má být odeslána kompaktní část dat obsahující pouze několik desítek hash hodnot, průměrný denní provoz nepřesahuje 120 KB;
- cloudové úložiště obsahuje obrovské pole podpisů, mnohem větší než ty uložené na počítačích uživatelů;
- algoritmy porovnávání signatur používané v cloudu jsou výrazně inteligentnější než zjednodušené modely používané na úrovni lokální stanice a díky vyššímu výkonu zabere porovnávání dat méně času;
- cloudové antivirové služby pracují se skutečnými daty získanými od antivirových laboratoří, vývojářů zabezpečení, firemních a soukromých uživatelů; zero-day hrozby jsou blokovány současně s jejich rozpoznáním, bez zpoždění způsobeného potřebou získat přístup k počítačům uživatelů;
- uživatelé, kteří jsou na roamingu nebo nemají přístup na svá hlavní pracoviště, dostávají ochranu před útoky zero-day současně s přístupem na internet;
- zatížení systémových administrátorů je sníženo: nemusí trávit čas instalací antivirového softwaru na počítačích uživatelů a také aktualizací databází signatur.
Proč tradiční antiviry selhávají
Moderní škodlivý kód může:
- Obejít antivirové pasti vytvořením speciálního cílového viru pro společnost
- Než antivirus vytvoří podpis, vyhne se použití polymorfismu, překódování pomocí dynamického DNS a URL
- Vytvoření cíle pro společnost
- Polymorfismus
- Kód nikomu neznámý – žádný podpis
Těžko se bránit
Vysokorychlostní antiviry z roku 2011
Ruské nezávislé informační a analytické centrum Anti-Malware.ru zveřejnilo v květnu 2011 výsledky dalšího srovnávací test 20 nejoblíbenějších antivirů pro výkon a spotřebu systémových prostředků.
Účelem tohoto testu je ukázat, které osobní antiviry mají nejmenší dopad na typické operace uživatele na počítači, méně „zpomalují“ jeho práci a spotřebovávají minimální množství systémových prostředků.
Mezi antivirovými monitory (skenery v reálném čase) prokázala celá skupina produktů velmi vysoká rychlost funguje, mezi nimi: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro a Dr.Web. S těmito antiviry na palubě bylo zpomalení kopírování testovací kolekce méně než 20 % ve srovnání s benchmarkem. Antivirové monitory BitDefender, PC Tools, Outpost, F-Secure, Norton a Emsisoft také vykázaly vysoké výsledky z hlediska výkonu, spadající do rozmezí 30-50 %. Antivirové monitory BitDefender, PC Tools, Outpost, F-Secure, Norton a Emsisoft také vykázaly vysoké výsledky z hlediska výkonu, spadající do rozmezí 30-50 %.
Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost a PC Tools zároveň mohou být v reálných podmínkách výrazně rychlejší díky své optimalizaci po kontrole.
Nejlepší rychlost skenování na vyžádání ukázal antivirus Avira. Trochu za ním byly Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus a Outpost. Pokud jde o rychlost prvního skenování, tyto antiviry jsou jen o něco horší než lídr, zároveň mají všechny ve svém arzenálu výkonné technologie pro optimalizaci opakovaných skenů.
Další důležitou vlastností rychlosti antiviru je jeho dopad na práci aplikací, se kterými uživatel často pracuje. Pět z nich bylo vybráno pro test: internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe AcrobatČtenář a Adobe Photoshop. Nejmenší zpomalení při spouštění těchto kancelářské programy ukázal antiviry Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost a G Data.
Eugene Kaspersky v roce 1992 použil následující klasifikaci antivirů v závislosti na jejich principu fungování (definující funkčnost):
Ø Skenery (zastaralá verze - "polyfágy", "detektory") - určují přítomnost viru pomocí databáze signatur, která uchovává signatury (nebo jejich kontrolní součty) virů. Jejich účinnost je dána relevanci virové databáze a přítomností heuristického analyzátoru.
Ø auditoři (třída blízká IDS) - zapamatovat si stav souborového systému, což umožňuje analyzovat změny v budoucnu.
Ø hlídač (rezidentní monitory nebo filtry ) - sledovat potenciálně nebezpečné operace a vystavit uživateli příslušný požadavek na povolení/zakázaní operace.
Ø Vakcíny (imunizátory ) - změnit naroubovaný soubor tak, aby virus, proti kterému se vakcína vyrábí, již považoval soubor za infikovaný. V moderních podmínkách, kdy se počet možných virů měří ve stovkách tisíc, není tento přístup použitelný.
Moderní antiviry kombinují všechny výše uvedené funkce.
Antiviry lze také rozdělit na:
Produkty pro domácí uživatele:
Vlastně antiviry;
Ke klasickému antiviru přibyly kombinované produkty (například antispam, firewall, anti-rootkit atd.);
Firemní produkty:
Serverové antiviry;
Antiviry na pracovních stanicích ("koncový bod").
Sdílení antivirové programy poskytují dobré výsledky, protože se dobře doplňují:
Data pocházející z externích zdrojů jsou kontrolována detektorový program. Pokud byla tato data zapomenuta zkontrolovat a infikovaný program byl spuštěn, může být hlídacím programem zachycen. Pravda, v obou případech jsou viry známé těmto antivirovým programům spolehlivě detekovány. To není více než 80-90% případů.
- hlídač dokáže detekovat i neznámé viry, pokud se chovají velmi drze (zkuste naformátovat HDD nebo provést změny systémové soubory). Některé viry však mohou takové kontroly obejít.
Pokud nebyl virus detekován detektorem nebo hlídačem, pak výsledky jeho činnosti zjistí program - auditor.
Na počítači by měly být zpravidla neustále spuštěny hlídací programy, detektory by měly být používány ke kontrole dat přicházejících z externích zdrojů (souborů a disket) a jednou denně by měli být spouštěni auditoři pro detekci a analýzu změn na discích. To vše by mělo být spojeno s pravidelným zálohováním dat a používáním preventivních opatření ke snížení pravděpodobnosti virové infekce.
Jakýkoli antivirový program "zpomaluje" počítač, ale je spolehlivým lékem na škodlivé účinky virů.
Falešné antiviry (falešné antiviry).
V roce 2009 různých výrobců antiviry začaly hlásit širokou distribuci nového typu antivirů – falešných antivirů nebo pseudoantivirů (rogueware). Ve skutečnosti tyto programy buď nejsou vůbec antiviry (to znamená, že nejsou schopny bojovat s malwarem), nebo dokonce viry (kradou data kreditních karet atd.).
Nepoctivé antiviry se používají k vymáhání peněz z uživatelů podvodem. Jedním ze způsobů, jak infikovat počítač falešným antivirem, je následující. Uživatel je přesměrován na "infikovanou" stránku, která mu zobrazí varovnou zprávu jako: "Ve vašem počítači byl nalezen virus." Uživatel je poté vyzván ke stažení volný program(falešný antivirus) k odstranění viru. Falešný antivir po instalaci prohledá PC a v počítači prý odhalí spoustu virů. K odstranění malwaru nabízí falešný antivirus ke koupi placenou verzi programu. Šokovaný uživatel zaplatí (částky od 50 do 80 USD) a falešný antivirus vyčistí PC od neexistujících virů.
Antiviry na SIM, flash karty a USB zařízení
Dnes vyráběné mobilní telefony mají širokou škálu rozhraní a možností přenosu dat. Uživatelé by si měli pečlivě prostudovat způsoby ochrany před připojením jakýchkoli malých zařízení.
Pro uživatele mobilních telefonů jsou vhodnější ochranné metody jako hardware, možná antiviry na USB zařízeních nebo na SIM. Technické zhodnocení a přehled toho, jak nainstalovat antivirový program do mobilního telefonu, by měl být považován za proces skenování, který může ovlivnit další legitimní aplikace v tomto telefonu.
Antivirové programy na SIM s antivirem zabudovaným do oblasti paměti s malou kapacitou poskytují ochranu proti malwaru/virům tím, že chrání PIN a informace uživatele telefonu. Antiviry na flash kartách umožňují uživateli vyměňovat si informace a používat tyto produkty s různými hardwarovými zařízeními a také odesílat tato data do jiných zařízení pomocí různých komunikačních kanálů.
Antiviry, mobilní zařízení a inovativní řešení
V budoucnu je možné, že se mobilní telefony nakazí virem. Stále více vývojářů v této oblasti nabízí antivirové programy pro boj s viry a ochranu mobilních telefonů. V mobilní zařízení Existují následující typy antivirové kontroly:
– omezení procesoru;
– limit paměti;
– identifikaci a aktualizaci podpisů těchto mobilních zařízení.
Závěr: Antivirový program (antivirus) - původně program pro detekci a léčbu škodlivých objektů nebo infikovaných souborů a také pro prevenci - zabránění napadení souboru nebo operačního systému Škodlivý kód. V závislosti na principu fungování antivirových programů existuje následující klasifikace antivirů: skenery (zastaralá verze - "polyfágy", "detektory"); auditoři (třída blízká IDS); hlídač (rezidentní monitory nebo filtry); vakcíny (imunizátory).
ZÁVĚR
Pokrok ve výpočetní technice minulé roky přispěl nejen k rozvoji hospodářství, obchodu a komunikací; poskytla efektivní výměnu informací, ale také poskytla pachatelům počítačových trestných činů unikátní sadu nástrojů. Čím intenzivnější je proces informatizace, tím reálnější se stává růst počítačové kriminality a moderní společnost nejen pociťuje ekonomické důsledky počítačové kriminality, ale stává se na elektronizaci stále více závislá. Všechny tyto aspekty zavazují věnovat stále více pozornosti ochraně informací, dalšímu rozvoji legislativní rámec v oblasti informační bezpečnost. Celá řada opatření by měla být redukována na ochranu státu informační zdroje; k úpravě vztahů vznikajících při tvorbě a využívání informačních zdrojů; vytvoření a použití informační technologie; ochrana informací a práv subjektů účastnících se informačních procesů; stejně jako definování základních pojmů používaných v legislativě.
Docent katedry organizace bezpečnosti a konvojů ve vězeňském systému
kandidát technických věd
podplukovník vnitřní služby V.G. Zárubský
malware antivirová infekce
Pro svou úspěšnou práci potřebují viry zkontrolovat, zda je soubor již infikován (stejným virem). Vyhýbají se tak sebedestrukci. K tomu viry používají podpis. Většina běžných virů (včetně makrovirů) používá podpisy znaků. Složitější viry (polymorfní) používají podpisy algoritmů. Bez ohledu na typ virové signatury je antivirové programy používají k detekci „počítačových infekcí“. Poté se antivirový program pokusí detekovaný virus zničit. Tento proces však závisí na složitosti viru a kvalitě antivirového programu. Jak již bylo zmíněno, nejobtížněji se odhalují trojské koně a polymorfní viry. První z nich nepřidá své tělo do programu, ale vloží ho do něj. Na druhou stranu musí antivirové programy strávit poměrně hodně času určením signatury polymorfních virů. Faktem je, že jejich podpisy se mění s každou novou kopií.
Pro detekci, odstranění a ochranu před počítačovými viry existují speciální programy tzv. antivirus. Moderní antivirové programy jsou multifunkční produkty, které kombinují jak preventivní, tak antivirovou léčbu a nástroje pro obnovu dat.
Počet a rozmanitost virů je velká a aby je mohl antivirový program rychle a efektivně detekovat, musí splňovat určité parametry:
1. Stabilita a spolehlivost práce.
2. Rozměry virové databáze programu (počet virů, které program správně detekuje): s ohledem na neustálý výskyt nových virů by databáze měla být pravidelně aktualizována.
3. Schopnost programu detekovat různé typy virů a schopnost pracovat se soubory různé typy(archivy, dokumenty).
4. Přítomnost rezidentního monitoru, který kontroluje všechny nové soubory "za chodu" (tedy automaticky, jak jsou zapisovány na disk).
5. Rychlost programu, dostupnost další funkce jako jsou algoritmy pro detekci virů i neznámých programu (heuristické skenování).
6. Možnost obnovy infikovaných souborů bez jejich vymazání z pevného disku, ale pouze odstranění virů z nich.
7. Procento falešně pozitivních výsledků programu (chybná detekce viru v "čistém" souboru).
8. Multiplatformní (dostupnost verzí programu pro různé operační systémy).
Klasifikace antivirových programů:
1. Detekční programy zajišťují vyhledávání a detekci virů v RAM a na externích médiích a při detekci vydávají odpovídající zprávu. Existují detektory:
Univerzální - používají ve své práci ke kontrole neměnnosti souborů počítáním a porovnáváním se standardem kontrolního součtu;
Specializované - vyhledávání známých virů podle jejich signatury (část s opakujícím se kódem).
2. Doktorské programy (fágy) virem napadené soubory nejen najdou, ale také „léčí“, tzn. odstranit tělo virového programu ze souboru a vrátit soubory do původního stavu. Na začátku své práce hledají fágové viry v RAM, ničí je a teprve poté přistupují k „léčbě“ souborů. Mezi fágy se rozlišují polyfágy, tzn. doktorské programy určené k nalezení a zničení velkého množství virů.
3. Program-auditoři patří mezi nejspolehlivější prostředky ochrany před viry. Auditoři si pamatují počáteční stav programů, adresářů a systémových oblastí disku, když počítač není infikován virem, a pak pravidelně nebo na žádost uživatele porovnávají aktuální stav s původním. Zjištěné změny se zobrazí na obrazovce monitoru.
4. Filtrační programy (hlídači) jsou malé rezidentní programy určené k detekci podezřelých akcí během provozu počítače, které jsou charakteristické pro viry. Takové akce mohou být:
Pokusy o opravu souborů s příponami COM a EXE;
Změna atributů souboru;
Přímý zápis na disk na absolutní adresu;
Zápis do spouštěcích sektorů disku;
5. Očkovací programy (imunizátory) jsou rezidentní programy, které zabraňují infekci souborů. Vakcíny se používají, pokud neexistují žádné lékařské programy, které by tento virus „léčily“. Očkování je možné pouze proti známým virům Bezrukov N. Počítačová virologie: Učebnice [Elektronický zdroj]: http://vx.netlux.org/lib/anb00.html..
Ve skutečnosti je architektura antivirových programů mnohem složitější a závisí na konkrétním vývojáři. Jeden fakt je ale nepopiratelný: všechny technologie, o kterých jsem mluvil, jsou v sobě tak úzce propletené, že někdy není možné pochopit, kdy je jedna spuštěna a druhá začíná fungovat. Tato interakce antivirových technologií umožňuje jejich nejúčinnější využití v boji proti virům. Nezapomínejte ale, že dokonalá ochrana neexistuje a jediný způsob, jak se před takovými problémy varovat, jsou neustálé aktualizace OS, dobře nastavený firewall, často aktualizovaný antivirus a hlavně nespouštět/stahovat podezřelé soubory Internet.
Eugene Kaspersky v roce 1992 použil následující klasifikaci antivirů v závislosti na jejich principu fungování (definující funkčnost):
1. Scannery (zastaralá verze - "polyfágy") - zjišťují přítomnost viru pomocí databáze signatur, která uchovává signatury (nebo jejich kontrolní součty) virů. Jejich účinnost je dána relevancí virové databáze a přítomností heuristického analyzátoru (viz: Heuristické skenování).
2. Auditoři (třída blízká IDS) - zapamatování stavu souborového systému, což umožňuje analyzovat změny v budoucnu.
3. Hlídači (hlídači) - sledují potenciálně nebezpečné operace a vydávají uživateli příslušný požadavek na povolení/zakázání operace.
4. Vakcíny - změňte naroubovaný soubor tak, aby virus, proti kterému je vakcína vyrobena, již považoval soubor za infikovaný. V moderních (2007) podmínkách, kdy se počet možných virů měří ve stovkách tisíc, není tento přístup použitelný.
Moderní antiviry kombinují všechny výše uvedené funkce.
Antiviry lze také rozdělit na:
1. Produkty pro domácí uživatele:
2. Ve skutečnosti antiviry;
3. Ke klasickému antiviru přibyly kombinované produkty (například antispam, firewall, anti-rootkit atd.);
4. Firemní produkty:
5. Serverové antiviry;
6. Antiviry na pracovních stanicích ("koncový bod").
Antiviry na SIM, flash kartách a USB zařízeních
Dnes vyráběné mobilní telefony mají širokou škálu rozhraní a možností přenosu dat. Uživatelé by si měli pečlivě prostudovat způsoby ochrany před připojením jakýchkoli malých zařízení.
Pro uživatele mobilních telefonů jsou vhodnější ochranné metody jako hardware, možná antiviry na USB zařízeních nebo na SIM. Technické hodnocení a přezkoumání toho, jak nainstalovat antivirový program do mobilního telefonu, by mělo být považováno za proces skenování, který může ovlivnit další legitimní aplikace v tomto telefonu.
Antivirové programy na SIM s antivirem zabudovaným do oblasti paměti s malou kapacitou poskytují ochranu proti malwaru/virům tím, že chrání PIN a informace uživatele telefonu. Antiviry na flash kartách umožňují uživateli vyměňovat si informace a používat tyto produkty s různými hardwarovými zařízeními a také odesílat tato data do jiných zařízení pomocí různých komunikačních kanálů.
Antiviry, mobilní zařízení a inovativní řešení
V budoucnu je možné, že se mobilní telefony nakazí virem. Stále více vývojářů v této oblasti nabízí antivirové programy pro boj s viry a ochranu mobilních telefonů. V mobilních zařízeních existují následující typy antivirové kontroly.