itthon Audio Videó A vírusirtó programok osztályozása és funkciói. Vírusvédelem A vírusok és víruskereső programok vírusvédelmi osztályozása

A vírusirtó programok osztályozása és funkciói. Vírusvédelem A vírusok és víruskereső programok vírusvédelmi osztályozása

BEVEZETÉS

A két évezred fordulóján élünk, amikor az emberiség egy új tudományos és technológiai forradalom korszakába lépett.

A huszadik század végére az emberek elsajátították az anyag és az energia átalakulásának számos titkát, és ezt a tudást életük javítására használhatták fel. De az anyag és az energia mellett egy másik összetevő is óriási szerepet játszik az emberi életben - az információ. Ez sokféle információ, üzenet, hír, tudás, készségek.

Századunk közepén voltak speciális eszközök- a számítógépek az információ tárolására és átalakítására összpontosítottak, és számítógépes forradalom következett be.

Manapság a személyi számítógépek tömeges használata sajnos az önreprodukáló vírusprogramok megjelenésével járt, amelyek megakadályozzák a számítógép normál működését, tönkreteszik a lemezek fájlszerkezetét és károsítják a számítógépben tárolt információkat.

Annak ellenére, hogy a számos országban elfogadott törvények a számítógépes bűnözés elleni küzdelem és a speciális szoftver eszközök vírusok elleni védelem, az újak száma szoftvervírusok folyamatosan növekszik. Ez megköveteli, hogy a személyi számítógép felhasználója ismerje a vírusok természetét, a vírusok megfertőzésének és védekezésének módját. Ez ösztönözte munkám témáját.

Erről beszélek az esszémben. Bemutatom a vírusok fő típusait, átgondolom működési sémáikat, megjelenésük okait és a számítógépbe való behatolás módjait, valamint javaslatokat teszek a védekezésre és a megelőzésre.

A munka célja megismertetni a felhasználót a számítógépes virológia alapjaival, megtanítani a vírusok felismerésére és az ellenük való küzdelemre. A munka módszere a témában megjelent nyomtatott publikációk elemzése. Nehéz feladat előtt álltam – beszélni arról, amit nagyon kevesen tanulmányoztak, és hogyan történt – te legyél a bíró.

1. SZÁMÍTÓGÉPES VÍRUSOK ÉS TULAJDONSÁGAIK ÉS OSZTÁLYOZÁS

1.1. Tulajdonságok számítógépes vírusok

Most személyi számítógépeket használnak, amelyekben a felhasználó szabadon hozzáférhet a gép összes erőforrásához. Ez nyitotta meg a lehetőséget a számítógépvírusként ismertté vált veszély előtt.

Mi az a számítógépes vírus? Ennek a fogalomnak a formális meghatározását még nem találták ki, és komoly kétségek merülnek fel afelől, hogy egyáltalán megadható. Számos kísérlet a vírus "modern" meghatározására nem járt sikerrel. A probléma összetettségének átérezéséhez próbálja meg például meghatározni a „szerkesztő” fogalmát. Vagy valami nagyon általános dolgot fog kitalálni, vagy elkezdi felsorolni az összes ismert szerkesztőtípust. Mindkettő aligha tekinthető elfogadhatónak. Ezért a számítógépes vírusok néhány olyan tulajdonságának figyelembevételére szorítkozunk, amelyek lehetővé teszik, hogy a programok bizonyos osztályaként beszéljünk róluk.

Először is a vírus egy program. Egy ilyen egyszerű kijelentés önmagában is eloszlathat számos legendát a számítógépes vírusok rendkívüli képességeiről. A vírus megfordíthatja a képet a monitoron, de magát a monitort nem. A gyilkos vírusokról szóló legendákhoz, amelyek „megsemmisítik a kezelőket azáltal, hogy halálos vírust jelenítenek meg színek 25. keret” szintén nem kell komolyan venni. Sajnos néhány tekintélyes kiadvány időről időre közli "a számítógépes front legfrissebb híreit", amelyek közelebbről megvizsgálva kiderül, hogy a téma nem egészen világos megértésének eredménye.

A vírus olyan program, amely képes önmagát reprodukálni. Ez a képesség az egyetlen eszköz minden típusú vírusban. De nem csak a vírusok képesek önreplikációra. Bármely operációs rendszer és sok más program képes saját másolatot készíteni. Ugyanazon vírus másolatainak nemcsak nem kell teljesen megegyezniük az eredetivel, de előfordulhat, hogy egyáltalán nem egyeznek meg vele!

Egy vírus nem létezhet "teljes elszigeteltségben": ma már nem lehet elképzelni olyan vírust, amely ne használja más programok kódját, fájlszerkezeti információit, vagy akár csak más programok nevét. Az ok egyértelmű: a vírusnak valamilyen módon biztosítania kell az irányítás átadását önmagának.

1.2. A vírusok osztályozása

Jelenleg több mint 5000 szoftvervírus ismert, ezek a következő szempontok szerint osztályozhatók:

¨ élőhely

¨ a környezetszennyezés módja

¨ hatás

¨ az algoritmus jellemzői

Az élőhelytől függően a vírusok hálózati, fájlrendszerű, rendszerindító és fájlrendszerindításra oszthatók. Hálózati vírusok különféle számítógépes hálózatokon elosztva. A fájlvírusok főként végrehajtható modulokba, azaz COM és EXE kiterjesztésű fájlokba kerülnek. Fájlvírusok beágyazhatók más típusú fájlokba, de általában ilyen fájlba írva soha nem kapják meg az irányítást, és ezért elveszítik a reprodukálási képességüket. Boot vírusok be vannak ágyazva a lemez indító szektorába (Boot-sector) vagy a rendszerindító programot tartalmazó szektorba rendszerlemez(Master Boot Re-

zsinór). Fájl-indítás vírusok megfertőzik mind a fájlokat, mind a rendszerindító szektorok lemezek.

A fertőzés módja szerint a vírusokat rezidensekre és nem rezidensekre osztják. Rezidens vírus számítógép megfertőzésekor (fertőzésekor) benne hagyja véletlen hozzáférésű memória annak rezidens része, amely aztán elfogja az operációs rendszer hozzáférését a fertőzött objektumokhoz (fájlok, lemezindító szektorok stb.), és beléjük szúrja magát. A helyi vírusok a memóriában maradnak, és a számítógép kikapcsolásáig vagy újraindításáig aktívak maradnak. Nem rezidens vírusok ne fertőzzék meg a számítógép memóriáját, és korlátozott ideig aktívak.

A hatás mértéke szerint a vírusok a következő típusokra oszthatók:

¨ nem veszélyes, amelyek nem zavarják a számítógép működését, de csökkentik a szabad RAM és a lemezmemória mennyiségét, az ilyen vírusok tevékenysége bármilyen grafikai vagy hanghatásban megnyilvánul

¨ veszélyes vírusok, amelyek különféle problémákat okozhatnak a számítógépen

¨ nagyon veszélyes, melynek hatása programok elvesztéséhez, adatok megsemmisüléséhez, információk törléséhez vezethet a lemez rendszerterületein.

2. A VÍRUSOK FŐ TÍPUSAI ÉS MŰKÖDÉSI RÉSZEI

A vírusok sokfélesége között a következő fő csoportokat lehet megkülönböztetni:

¨ csizma

¨ fájl

¨ file-boot

Most részletesebben az egyes csoportokról.

2.1. Boot vírusok

Fontolja meg egy nagyon egyszerű rendszerindító vírus működését, amely megfertőzi a hajlékonylemezeket. Szándékosan megkerüljük mindazokat a finomságokat, amelyek elkerülhetetlenül szembesülnének az algoritmus működésének szigorú elemzésével.

Mi történik, ha bekapcsolja a számítógépet? Először az irányítás átadásra kerül bootstrap program, amely csak olvasható memóriában (ROM) van tárolva, azaz. PNZ ROM.

Ez a program teszteli a hardvert, és ha a tesztek sikeresek, megpróbálja megtalálni az A meghajtóban lévő hajlékonylemezt:

Minden floppy lemezen meg van jelölve az ún. szektorok és pályák. A szektorok klaszterekbe tömörülnek, de ez számunkra nem elengedhetetlen.

A szektorok között több olyan szolgáltatás is található, amelyet az operációs rendszer saját igényeire használ (az Ön adatait ezekbe a szektorokba nem lehet elhelyezni). A szolgáltató szektorok közül továbbra is érdekel bennünket egy - az ún. bootstrap szektor(boot szektor).

A bootstrap szektor tárolja hajlékonylemez információ- a felületek száma, a pályák száma, a szektorok száma stb. De most nem ez az információ érdekel, hanem egy kicsi bootstrap program(PNZ), amelynek magát az operációs rendszert kell betöltenie, és át kell adnia a vezérlést.

Tehát a normál bootstrap minta a következő:

Most nézzük a vírust. A rendszerindító vírusokban két részt különböztetnek meg - az ún. fej stb. farok. A farok általában üres lehet.

Tegyük fel, hogy van egy üres hajlékonylemeze és egy fertőzött számítógépe, ami alatt egy olyan számítógépet értünk, amelyben aktív rezidens vírus található. Amint a vírus észleli, hogy megfelelő áldozat jelent meg a meghajtóban - esetünkben egy nem írásvédett és még nem fertőzött hajlékonylemez, akkor tovább fertőz. Hajlékonylemez megfertőzésekor a vírus a következő műveleteket hajtja végre:

Lefoglal egy bizonyos területet a lemezről, és elérhetetlennek jelöli az operációs rendszer számára, ez többféleképpen is megtehető, a legegyszerűbb és hagyományos esetben a vírus által elfoglalt szektorok rossznak (rossznak) vannak jelölve.

A farkát és az eredeti (egészséges) rendszerindító szektort a lemez kiválasztott területére másolja

A (valódi) rendszerindító szektorban lévő bootstrap programot a fejével helyettesíti

Megszervezi az irányítás átadási láncát a séma szerint.

Így most először a vírus feje veszi át az irányítást, a vírus a memóriába kerül, és átadja az irányítást az eredeti rendszerindító szektornak. Egy láncban

PNZ (ROM) - PNZ (lemez) - RENDSZER

megjelenik egy új link:

PNZ (ROM) - VÍRUS - PNZ (lemez) - RENDSZER

Az erkölcs világos: soha (véletlenül) ne hagyjon hajlékonylemezt az A meghajtóban.

Megvizsgáltuk egy egyszerű butovy vírus működését, amely a hajlékonylemezek rendszerindító szektoraiban él. A vírusok általában nem csak a hajlékonylemezek rendszerindító szektorait, hanem a merevlemezek rendszerindító szektorait is megfertőzhetik. Ugyanakkor, a hajlékonylemezektől eltérően, a merevlemezen kétféle rendszerindító szektor található, amelyek az irányítást átvevő rendszerindító programokat tartalmazzák. A számítógép merevlemezről történő indításakor először az MBR (Master Boot Record – Master Boot Record) rendszerindító programja veszi át az irányítást. Ha a merevlemez több partícióra van osztva, akkor ezek közül csak az egyik van megjelölve rendszerindítóként (boot). Az MBR-ben található bootstrap program megkeresi a merevlemez rendszerindító partícióját, és átadja a vezérlést a partíció rendszerbetöltőjének. Ez utóbbi kódja megegyezik a közönséges hajlékonylemezeken található rendszerindító program kódjával, és csak a paramétertáblázatokban térnek el a megfelelő rendszerindító szektorok. Így a rendszerindító vírusok két tárgya támad a merevlemezen - bootstrap program be MBRés alapvető letöltések a rendszerindító szektorban indítólemez.

2.2. Fájlvírusok

Most nézzük meg, hogyan működik egy egyszerű fájlvírus. A rendszerindító vírusokkal ellentétben, amelyek szinte mindig rezidensek, a fájlvírusok nem feltétlenül rezidensek. Tekintsük egy nem-rezidens fájlvírus működési sémáját. Tegyük fel, hogy van egy fertőzött végrehajtható fájlunk. Egy ilyen fájl elindításakor a vírus átveszi az irányítást, végrehajt bizonyos műveleteket, és átadja az irányítást a "mesternek" (bár még mindig nem tudni, hogy ki a mester egy ilyen helyzetben).

Milyen műveleteket hajt végre a vírus? Új objektumot keres a megfertőzéshez - egy megfelelő típusú fájlt, amely még nem fertőzött (amennyiben a vírus „tisztességes”, különben vannak olyanok, amelyek azonnal megfertőznek anélkül, hogy bármit is ellenőriznének). Egy fájl megfertőzésével a vírus befecskendezi magát annak kódjába, hogy átvegye az irányítást a fájl futtatásakor. A fő funkciója - szaporodás - mellett a vírus végezhet valami bonyolultat (mondjuk, kérdez, játszhat) - ez már a vírus szerzőjének képzeletétől függ. Ha egy fájlvírus tartózkodik, az telepíti magát a memóriába, és képes megfertőzni a fájlokat és megjeleníteni más képességeket, nem csak a fertőzött fájl futása közben. Egy futtatható fájl megfertőzésével a vírus mindig módosítja a kódját – így a futtatható fájl fertőzése mindig észlelhető. De a fájl kódjának megváltoztatásával a vírus nem feltétlenül hajt végre más módosításokat:

à nem köteles megváltoztatni a fájl hosszát

à a kód nem használt részei

à nem szükséges a fájl elejét módosítani

Végül a fájlvírusok gyakran tartalmaznak olyan vírusokat, amelyeknek "köze van a fájlokhoz", de nem kell behatolniuk a kódjukba. Példaként tekintsük az ismert Dir-II családba tartozó vírusok működési sémáját. El kell ismerni, hogy ezek a vírusok 1991-ben jelentek meg, és valódi pestisjárványt okoztak Oroszországban. Vegyünk egy olyan modellt, amely egyértelműen bemutatja a vírus alapgondolatát. A fájlokkal kapcsolatos információk könyvtárakban tárolódnak. Minden könyvtárbejegyzés tartalmaz egy fájlnevet, a létrehozás dátumát és idejét, néhányat További információ, az első klaszter száma fájl stb. tartalék bájtok. Ez utóbbiak "tartalékban" maradnak, és magát az MS-DOS-t nem használják.

Futtatható fájlok futtatásakor a rendszer beolvassa a fájl első fürtjét a könyvtárbejegyzésből, majd az összes többi fürtöt. A Dir-II családba tartozó vírusok a fájlrendszer következő "átszervezését" hajtják végre: maga a vírus néhány szabad lemezszektorba íródik, amit rossznak jelöl meg. Ezen túlmenően tartalék bitekben tárolja a végrehajtható fájlok első fürtjeiről szóló információkat, és ezen információk helyére hivatkozásokat ír önmagára.

Így bármely fájl elindításakor a vírus megkapja az irányítást (az operációs rendszer maga indítja el), a memóriában tartózkodik, és átadja az irányítást a hívott fájlnak.

2.3. Boot-fájl vírusok

Nem vesszük figyelembe a rendszerindító fájl vírus modelljét, mert ebben az esetben nem fog új információt megtudni. De itt a lehetőség, hogy röviden megvitassuk az utóbbi időben rendkívül "népszerű" OneHalf rendszerindító fájl vírust, amely megfertőzi a fő rendszerindító szektort (MBR) és a végrehajtható fájlokat. A fő pusztító művelet a merevlemez-szektorok titkosítása. A vírus minden egyes indításkor titkosítja a szektorok következő részét, majd a titkosítás után a felét merevlemez, ezt örömmel jelenti be. A vírus kezelésének fő problémája, hogy nem elég csak eltávolítani a vírust az MBR-ből és a fájlokból, hanem vissza kell fejteni az általa titkosított információkat. A leghalálosabb művelet az, ha egyszerűen átírunk egy új egészséges MBR-t. A legfontosabb dolog - ne essen pánikba. Mérjen meg mindent nyugodtan, konzultáljon szakértőkkel.

2.4. Polimorf vírusok

A legtöbb kérdés a „polimorf vírus” kifejezéssel kapcsolatos. Ez a fajta számítógépes vírus messze a legveszélyesebb. Magyarázzuk el, mi az.

A polimorf vírusok olyan vírusok, amelyek úgy módosítják a kódjukat a fertőzött programokban, hogy előfordulhat, hogy ugyanazon vírus két példánya nem egyezik egy bitben.

Az ilyen vírusok nemcsak a kódjukat titkosítják különböző titkosítási utakon, hanem tartalmazzák a titkosító és a visszafejtő generálási kódját is, ami megkülönbözteti őket a hagyományos titkosító vírusoktól, amelyek kódjuk egy részét is titkosítják, ugyanakkor állandó kóddal rendelkeznek. a titkosító és a visszafejtő.

A polimorf vírusok önmódosító dekóderrel rendelkező vírusok. Az ilyen titkosítás célja, hogy ha fertőzött és eredeti fájlja van, akkor sem tudja elemezni a kódját a hagyományos szétszereléssel. Ez a kód titkosított, és értelmetlen parancskészlet. A visszafejtést maga a vírus végzi futás közben. Ugyanakkor lehetségesek a lehetőségek: egyszerre dekódolhatja magát, vagy "menet közben" hajthat végre egy ilyen visszafejtést, újra titkosíthatja a már kidolgozott részeket. Mindezt azért teszik, hogy megnehezítsék a víruskód elemzését.

3. A SZÁMÍTÓGÉPES VIROLOGIA TÖRTÉNETE ÉS A VÍRUSOK OKAI

A számítógépes virológia története napjainkban folyamatos „versenyfutásnak tűnik a vezetőért”, és a modern vírusirtó programok teljes ereje ellenére a vírusok az élen. A több ezer vírus között csak néhány tucat van olyan eredeti fejlesztés, amely valóban alapvetően új ötleteket alkalmaz. Az összes többi "variáció egy témára". De minden eredeti fejlesztés arra kényszeríti az antivírusok készítőit, hogy alkalmazkodjanak az új körülményekhez, utolérjék a vírustechnológiát. Ez utóbbival lehet vitatkozni. Például 1989-ben egy amerikai diáknak sikerült létrehoznia egy vírust, amely mintegy 6000 amerikai védelmi minisztériumi számítógépet letiltott. Vagy a híres Dir-II vírus járványa, amely 1991-ben tört ki. A vírus valóban eredeti, alapvetően új technológiát alkalmazott, és eleinte a hagyományos tökéletlensége miatt sikerült széles körben elterjednie vírusirtó eszközök.

Vagy a számítógépes vírusok kitörése az Egyesült Királyságban: Christopher Pine-nek sikerült létrehoznia a Pathogen és Queeq vírusokat, valamint a Smeg vírust. Ez utóbbi volt a legveszélyesebb, ezt az első két vírusra lehetett alkalmazni, és emiatt minden egyes programfutás után konfigurációt változtattak. Ezért lehetetlen volt elpusztítani őket. A vírusok terjesztésére a Pine másolt számítógépes játékokés programokat, megfertőzte őket, majd visszaküldte a hálózatra. A felhasználók fertőzött programokat töltöttek le számítógépükre és fertőzött lemezeikre. A helyzetet súlyosbította, hogy a Pine-nek sikerült vírusokat bevinnie az ellenük küzdő programba. A futtatásával a felhasználók a vírusok elpusztítása helyett egy másikat kaptak. Ennek következtében sok cég aktája megsemmisült, a veszteségek több millió fontra rúgtak.

Morris amerikai programozó széles körben ismert. Őt annak a vírusnak a létrehozójaként ismerik, amely 1988 novemberében mintegy 7000 internetre csatlakozó személyi számítógépet fertőzött meg.

A számítógépes vírusok megjelenésének és terjedésének okai egyrészt az emberi személyiség pszichológiájában és árnyoldalaiban (irigység, bosszú, az el nem ismert alkotók hiúsága, képességeik konstruktív alkalmazásának képtelensége) rejtőznek. másrészt a műtőből érkező hardveres védelem és ellenhatás hiánya miatt.személyi számítógépes rendszerek.

4. A VÍRUSOK SZÁMÍTÓGÉPBE TÖLTÉSÉNEK MÓDJAI ÉS A VÍRUSPROGRAMOK TERJESZTÉSÉNEK MECHANIZMUSAI

A vírusok számítógépbe való bejutásának fő módjai a cserélhető lemezek (floppy és lézer), valamint a számítógépes hálózatok. A merevlemez vírusos fertőzése akkor fordulhat elő, ha egy programot egy vírust tartalmazó hajlékonylemezről töltenek be. Az ilyen fertőzés véletlenül is előfordulhat, például ha a hajlékonylemezt nem távolították el az A meghajtóból, és újraindították a számítógépet, miközben előfordulhat, hogy a floppy nem rendszerlemez. Sokkal könnyebb megfertőzni egy hajlékonylemezt. Vírus akkor is rákerülhet, ha a hajlékonylemezt egyszerűen behelyezik egy fertőzött számítógép meghajtójába, és például elolvassák a tartalomjegyzékét.

A vírust általában úgy vezetik be a munkaprogramba, hogy elindításakor a vezérlés először átkerül rá, és csak az összes parancs végrehajtása után tér vissza a munkaprogramba. Az irányításhoz való hozzáférést követően a vírus mindenekelőtt átírja magát egy másik működő programba, és megfertőzi azt. Egy vírust tartalmazó program futtatása után lehetővé válik más fájlok megfertőzése. Leggyakrabban a lemez indító szektora és az EXE, COM, SYS, BAT kiterjesztésű futtatható fájlok fertőzöttek meg a vírussal. A szöveges fájlok rendkívül ritkán fertőződnek meg.

A program megfertőzése után a vírus valamilyen szabotázst hajthat végre, nem túl komoly, hogy ne vonja magára a figyelmet. És végül ne felejtse el visszaadni az irányítást ahhoz a programhoz, amelyből elindult. Egy fertőzött program minden egyes végrehajtása átviszi a vírust a következőre. Tehát minden megfertőződik. szoftver.

A fertőzési folyamat szemléltetésére számítógépes program vírusként érdemes a lemeztárolást egy régimódi archívumhoz hasonlítani, szalagos mappákkal. A mappák programokat tartalmaznak, és ebben az esetben a vírus bejuttatására szolgáló műveletek sorrendje a következőképpen néz ki. (Lásd: 1. melléklet)

5. VÍRUSOK JELEI

Ha egy számítógépet vírus fertőzött meg, fontos, hogy észlelje azt. Ehhez ismernie kell a vírusok megnyilvánulásának fő jeleit. Ezek a következők:

¨ a munka megszűnése vagy a korábban sikeresen működő programok hibás működése

¨ lassú számítógép teljesítmény

¨ nem tudja elindítani az operációs rendszert

¨ fájlok és könyvtárak eltűnése vagy tartalmuk eltorzulása

¨ módosítsa a fájlok módosításának dátumát és időpontját

¨ fájl átméretezése

¨ a lemezen lévő fájlok számának váratlan nagy növekedése

¨ a szabad RAM méretének jelentős csökkenése

¨ váratlan üzenetek vagy képek megjelenítése a képernyőn

¨ előre nem látható ügyek benyújtása hangjelzések

¨ gyakori lefagyások és számítógép-összeomlások

Megjegyzendő, hogy a fenti jelenségeket nem feltétlenül a vírus jelenléte okozza, hanem más okok is okozhatják. Ezért mindig nehéz helyesen diagnosztizálni a számítógép állapotát.

6. VÍRUSFELISMERÉS ÉS VÉDELMI ÉS MEGELŐZÉSI INTÉZKEDÉSEK

6.1. Hogyan lehet felismerni egy vírust ? Hagyományos megközelítés

Tehát egy bizonyos vírusíró létrehoz egy vírust, és elindítja az „életbe”. Egy ideig szabadon járhat, de előbb-utóbb a „lafa” véget ér. Valaki gyanítani fogja, hogy valami nincs rendben. Általában vírusokat találnak hétköznapi felhasználók akik észrevesznek bizonyos anomáliákat a számítógép viselkedésében. A legtöbb esetben nem képesek önállóan megbirkózni a fertőzéssel, de ez nem kötelező tőlük.

Csak az szükséges, hogy a vírus mielőbb a szakemberek kezébe kerüljön. Szakemberek tanulmányozzák, megtudják, „mit csinál”, „hogyan csinálja”, „mikor csinálja” stb. Az ilyen munka során minden szükséges információ megtalálható ez a vírus, különösen a vírus aláírása van kiemelve - egy bájtsorozat, amely egészen határozottan jellemzi. Az aláírás felépítéséhez általában a víruskód legfontosabb és legjellemzőbb részeit veszik fel. Ugyanakkor világossá válnak a vírus működési mechanizmusai, például egy boot vírus esetén fontos tudni, hogy hol rejti a farkát, hol található az eredeti rendszerindító szektor, illetve egy fájl, hogyan fertőződött meg a fájl. A megszerzett információk lehetővé teszik számunkra, hogy megtudjuk:

Hogyan lehet felismerni egy vírust, ehhez a vírustámadás lehetséges objektumaiban az aláírások keresésének módszerei - a fájlok és/vagy a rendszerindító szektorok megadva

hogyan lehet semlegesíteni a vírust, lehetőség szerint algoritmusokat fejlesztenek ki az érintett objektumok víruskódjának eltávolítására

6.2. Vírusfelderítő és -védelmi programok

A számítógépes vírusok észlelésére, eltávolítására és az ellenük való védekezésre többféle speciális programot fejlesztettek ki, amelyek lehetővé teszik a vírusok észlelését és megsemmisítését. Az ilyen programokat ún vírusellenes . A következő típusú víruskereső programok léteznek:

programok-detektorok

programok-orvosok vagy fágok

program auditorai

szűrőprogramok

oltóprogramok vagy immunizálók

Programok-detektorok keressen egy adott vírusra jellemző aláírást a RAM-ban és a fájlokban, és ha észlel, megfelelő üzenetet ad ki. Az ilyen vírusirtó programok hátránya, hogy csak olyan vírusokat találhatnak, amelyeket az ilyen programok fejlesztői ismernek.

Orvosi programok vagy fágok, szintén oltási programok nem csak megtalálni a vírussal fertőzött fájlokat, hanem „kezelni” is, pl. távolítsa el a vírusprogram törzsét a fájlból, és adja vissza a fájlokat ide a kezdeti állapot. Munkájuk elején a fágok vírusokat keresnek a RAM-ban, megsemmisítik azokat, és csak ezután kezdik a fájlok „kezelését”. A fágok között megkülönböztetünk polifágokat, azaz. orvosi programok, amelyeket nagyszámú vírus megtalálására és megsemmisítésére terveztek. Ezek közül a leghíresebbek: Aidstest, Scan, Norton AntiVirus, Doktor Web.

Tekintettel arra, hogy folyamatosan jelennek meg az új vírusok, az észlelő és orvosi programok gyorsan elavulnak, és rendszeres frissítésre van szükség.

Könyvvizsgálói programok a vírusok elleni védekezés legmegbízhatóbb eszközei közé tartoznak. Az auditorok emlékeznek a programok, könyvtárak és a lemez rendszerterületeinek kezdeti állapotára, amikor a számítógép nem fertőzött vírussal, majd időszakonként vagy a felhasználó kérésére összehasonlítják az aktuális állapotot az eredeti állapottal. Az észlelt változások megjelennek a monitor képernyőjén. Általános szabály, hogy az állapotokat közvetlenül az operációs rendszer betöltése után hasonlítják össze. Összehasonlításkor a fájl hosszát, a ciklikus vezérlőkódot (fájl ellenőrző összegét), a módosítás dátumát és időpontját, valamint egyéb paramétereket ellenőrzik. Az ellenőrző programok meglehetősen fejlett algoritmusokkal rendelkeznek, észlelik a lopakodó vírusokat, és még az ellenőrzött programverzió módosításait is meg tudják tisztítani a vírus által végrehajtott módosításoktól. A programok-auditorok közé tartozik az Oroszországban széles körben használt Adinf program.

Szűrő programok vagy "őr" kis rezidens programok, amelyek a vírusokra jellemző gyanús számítógépes tevékenységek észlelésére szolgálnak. Ilyen műveletek lehetnek:

Megpróbálja kijavítani a fájlokat COM, EXE kiterjesztéssel

fájlattribútumok megváltoztatása

Közvetlen írás a lemezre abszolút címen

Írás a lemez indító szektoraiba

Amikor bármely program megpróbálja végrehajtani a megadott műveleteket, a "figyelő" üzenetet küld a felhasználónak, és felajánlja, hogy tiltja vagy engedélyezi a megfelelő műveletet. A szűrőprogramok nagyon hasznosak, mivel képesek a vírust a létezés legkorábbi szakaszában észlelni, még a szaporodás előtt. Azonban nem "gyógyítják" a fájlokat és a lemezeket. A vírusok elpusztításához más programokat, például fágokat kell használnia. A watchdog programok hátrányai közé tartozik a "bosszantóság" (például folyamatosan figyelmeztetnek minden végrehajtható fájl másolására tett kísérletre), valamint az esetleges konfliktusok más szoftverekkel. Szűrőprogramra példa a Vsafe program, amely az MS DOS segédprogramcsomag része.

Védőoltások vagy immunizálók rezidens programok, amelyek megakadályozzák a fájlfertőzést. Vakcinákat alkalmaznak, ha nincsenek orvosi programok, amelyek "kezelik" ezt a vírust. A védőoltás csak ismert vírusok ellen lehetséges. A vakcina úgy módosítja a programot vagy a lemezt, hogy az ne befolyásolja a munkájukat, és a vírus fertőzöttnek fogja fel őket, ezért nem tud gyökeret verni. Az oltóprogramok jelenleg korlátozottan használhatók.

A vírussal fertőzött fájlok és lemezek időben történő felismerése, az észlelt vírusok teljes megsemmisítése minden számítógépen segít elkerülni a vírusjárvány átterjedését más számítógépekre.

6.3. A vírusok elleni védekezés alapvető intézkedései

A számítógép vírusokkal való megfertőződésének megelőzése és biztosítása érdekében biztonságos tárolás A lemezeken található információkkal kapcsolatban a következő szabályokat kell betartani:

¨ szerelje fel számítógépét olyan naprakész vírusirtó programokkal, mint az Aidstest, a Doctor Web, és folyamatosan frissítse azok verzióit

¨ Mielőtt más számítógépeken tárolt információkat olvasna le hajlékonylemezről, mindig ellenőrizze ezeket a hajlékonylemezeket víruskereső programokkal a számítógépén.

¨ amikor archivált fájlokat visz át a számítógépre, azonnal ellenőrizze azokat, miután kicsomagolta őket a merevlemezről, és az ellenőrzési területet csak az újonnan rögzített fájlokra korlátozza.

¨ Rendszeresen ellenőrizze a vírusokat merevlemezek számítógépen víruskereső programok futtatásával, hogy teszteljék a fájlokat, a memóriát és a lemezek rendszerterületeit egy írásvédett hajlékonylemezről az operációs rendszer írásvédett rendszerlemezről való betöltése után

¨ Mindig védje meg a hajlékonylemezeit, ha más számítógépeken dolgozik, ha azok nem lesznek információba írva

¨ Ügyeljen arra, hogy az értékes információkról készítsen archív másolatokat lemezekre

¨ az operációs rendszer bekapcsolásakor vagy újraindításakor ne hagyjon hajlékonylemezeket az A meghajtó zsebében, hogy megelőzze a számítógép rendszerindító vírusokkal való megfertőzését.

¨ használjon vírusirtó programokat a számítógépes hálózatokról kapott összes végrehajtható fájl bemeneti vezérlésére

¨ a nagyobb biztonság érdekében az Aidstest és a Doctor Web használatát kombinálni kell az Adinf lemezauditor napi használatával

KÖVETKEZTETÉS

Sok tényt idézhetünk tehát, amelyek arra utalnak, hogy az információforrást fenyegető veszély napról napra növekszik, pánikba sodorva a bankok, vállalkozások és cégek felelőseit szerte a világon. Ezt a fenyegetést pedig a létfontosságú, értékes információkat eltorzító vagy megsemmisítő számítógépes vírusok jelentik, amelyek nemcsak anyagi veszteségekhez, hanem emberáldozatokhoz is vezethetnek.

Számítógépes vírus - egy speciálisan írt program, amely spontán módon csatlakozhat más programokhoz, másolatokat készíthet magáról, és beágyazhatja azokat fájlokba, számítógépes rendszerterületekbe és számítógépes hálózatok a programok működésének megzavarása, fájlok és könyvtárak sérülése érdekében mindenféle interferenciát okoz a számítógép működésében.

Jelenleg több mint 5000 szoftvervírus ismert, amelyek száma folyamatosan növekszik. Vannak esetek, amikor oktatóanyagokat készítettek a vírusok írásának elősegítésére.

A vírusok fő típusai: boot, file, file-boot. A vírusok legveszélyesebb típusa a polimorf.

A számítógépes virológia történetéből egyértelműen kiderül, hogy minden eredeti számítógépes fejlesztés az új technológiákhoz való alkalmazkodásra, a vírusirtó programok folyamatos fejlesztésére kényszeríti az antivírusok készítőit.

A vírusok megjelenésének és terjedésének okai egyrészt az emberi pszichológiában, másrészt az operációs rendszer védelem hiányában rejtőznek.

A vírusok behatolásának fő módja a cserélhető meghajtók és a számítógépes hálózatok. Ennek elkerülése érdekében tegyen óvintézkedéseket. Ezenkívül számos speciális programot, úgynevezett víruskeresőt fejlesztettek ki a számítógépes vírusok észlelésére, eltávolítására és az ellenük való védekezésre. Ha mégis vírust talál a számítógépén, akkor a hagyományos megközelítés szerint jobb, ha szakembert hív, hogy ő tudja tovább találni.

De a vírusok bizonyos tulajdonságai még a szakértőket is megzavarják. Egészen a közelmúltig nehéz volt elképzelni, hogy egy vírus túlélje a hideg újraindítást vagy terjedjen a dokumentumfájlokon keresztül. Ilyen körülmények között lehetetlen nem tulajdonítani jelentőséget a felhasználók legalább kezdeti vírusvédelmi oktatásának. A probléma súlyossága ellenére egyetlen vírus sem képes annyi kárt okozni, mint egy kifehéredett, remegő kezű felhasználó!

Így, számítógépeinek egészsége, adatainak biztonsága - az Ön kezében!

Bibliográfiai lista

1. Informatika: Tankönyv / szerk. Prof. N.V. Makarova. - M.: Pénzügy és statisztika, 1997.

2. Titkok és szenzációk enciklopédiája / Készült. szöveg: Yu.N. Petrov. - Minszk: Irodalom, 1996.

3. Bezrukov N.N. Számítógépes vírusok. - M.: Nauka, 1991.

4. Mostovoy D.Yu. Modern technológiák harc a vírusok ellen // PC World. - 8. sz. - 1993.

A vírusvédelem a legáltalánosabb intézkedés az informatikai infrastruktúra információbiztonságának biztosítására a vállalati szektorban. A Kaspersky Lab és a B2B International elemző céggel közösen végzett tanulmánya szerint azonban az orosz cégek mindössze 74%-a használ víruskereső megoldásokat a védelemhez (2013 őszén).

A jelentés azt is mondja, hogy a kiberfenyegetések robbanása közepette, amelyek ellen a vállalatok egyszerű antivírusok, az orosz üzletág egyre inkább összetett védelmi eszközöket használ. Nagyrészt emiatt 7%-kal nőtt az adattitkosítási eszközök használata. cserélhető adathordozó(24%). Ezen túlmenően a vállalatok egyre hajlandóbbak elhatárolni a cserélhető eszközökre vonatkozó biztonsági szabályzatokat. Az informatikai infrastruktúra különböző részeihez való hozzáférés szintjének differenciáltsága is nőtt (49%). A kis- és középvállalkozások ugyanakkor nagyobb figyelmet fordítanak a cserélhető eszközök vezérlésére (35%) és az alkalmazásvezérlésre (31%).

A kutatók azt is megállapították, hogy annak ellenére, hogy folyamatosan fedezik fel a szoftverek új sebezhetőségeit, orosz cégek még mindig nem fordít kellő figyelmet a rendszeres szoftverfrissítésekre. Ráadásul a foltozó szervezetek száma a tavalyi évhez képest mindössze 59%-ra csökkent.

A modern vírusirtó programok hatékonyan képesek felismerni a rosszindulatú objektumokat a programfájlokban és dokumentumokban. Egyes esetekben a víruskereső képes eltávolítani a rosszindulatú objektum törzsét a fertőzött fájlból, és visszaállítja magát a fájlt. A legtöbb esetben egy vírusirtó képes eltávolítani egy rosszindulatú programobjektumot nem csak egy programfájlból, hanem egy irodai dokumentumfájlból is anélkül, hogy megsértené annak integritását. A vírusirtó programok használata nem igényel magas képzettséget, és szinte minden számítógép-felhasználó számára elérhető.

A legtöbb víruskereső program egyesíti a valós idejű védelmet (vírusfigyelő) és az igény szerinti védelmet (víruskereső).

Antivírus minősítés

2019: Az Android vírusirtóinak kétharmada használhatatlan volt

2019 márciusában az AV-Comparatives, egy vírusirtó szoftverek tesztelésére szakosodott osztrák laboratórium közzétette egy tanulmány eredményeit, amely kimutatta, hogy a legtöbb ilyen program haszontalan Androidra.

Csak a Google Play Áruház hivatalos katalógusában található 23 vírusirtó ismeri fel pontosan a rosszindulatú programokat az esetek 100%-ában. A szoftver többi része vagy nem reagál a mobil fenyegetésekre, vagy teljesen biztonságos alkalmazásokat vesz igénybe.

A szakértők 250 vírusirtót tanulmányoztak, és arról számoltak be, hogy ezeknek csak 80%-a képes észlelni a rosszindulatú programok több mint 30%-át. Így 170 pályázat bukott meg a teszten. A teszteken átesett termékek főként nagy gyártók megoldásai voltak, köztük az Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro és Trustwave.

A kísérlet részeként a kutatók minden vírusirtó alkalmazást külön-külön eszközre telepítettek (emulátor nélkül), és automatizálták az eszközöket, hogy elindítsanak egy böngészőt, letöltsék, majd telepítsék a rosszindulatú programokat. 2018-ban minden eszközt 2000 legelterjedtebb Android-vírus ellen teszteltek.

Az AV-Comparatives szerint a legtöbb antivírus megoldások androidra hamisítványok. Alkalmazások tucatjai szinte azonos felülettel rendelkeznek, és készítőiket egyértelműen jobban érdekli a hirdetések megjelenítése, mint egy működő víruskereső megírása.

Egyes vírusirtó „lát” fenyegetést minden olyan alkalmazásban, amely nem szerepel a „fehérlistájukon”. Emiatt számos nagyon anekdotikus esetben saját fájljaik miatt riasztották fel, mivel a fejlesztők elfelejtették feltüntetni őket a "fehér listán".

2017: A Microsoft Security Essentials az egyik legrosszabb vírusirtó

2017 októberében a német AV-Test víruskereső laboratórium nyilvánosságra hozta az átfogó antivírusteszt eredményeit. A tanulmány szerint a Microsoft védett szoftvere, amelyet úgy terveztek, hogy megvédje rosszindulatú tevékenység, szinte a legrosszabbul megbirkózni kötelességeikkel.

A 2017. július-augusztusban végzett tesztek eredményei szerint az AV-Test szakértői a Kaspersky Internet Security-t választották a legjobb Windows 7 vírusirtónak, amely 18 pontot kapott a védelem szintjének, a teljesítménynek és a könnyű használhatóságnak az értékelése során.

Az első háromba a Trend Micro programok kerültek internet biztonságés a Bitdefender Internet Security, amelyek egyenként 17,5 pontot szereztek. A vizsgálatba bevont más vírusirtó cégek termékeinek helyzete az alábbi ábrákon található:

Sok szkenner is használ heurisztikus szkennelési algoritmusokat, pl. a parancsok sorrendjének elemzése az ellenőrzött objektumban, statisztikai adatok gyűjtése és döntéshozatal minden egyes ellenőrzött objektum esetében.

A szkennerek két kategóriába is oszthatók - univerzális és speciális. Az univerzális szkennerek minden típusú vírus felkutatására és semlegesítésére szolgálnak, függetlenül attól, hogy a szkenner milyen operációs rendszerben működik. A speciális szkennerek korlátozott számú vírust vagy csak egy osztályt, például a makrovírusokat semlegesítsék.

A szkennerek is fel vannak osztva rezidensekre (monitorokra), amelyek menet közben szkennelnek, és nem rezidensekre, amelyek csak kérésre ellenőrzik a rendszert. A rezidens szkennerek általában megbízhatóbb rendszervédelmet nyújtanak, mivel azonnal reagálnak a vírus megjelenésére, míg a nem rezidens szkenner csak a következő indításkor képes azonosítani a vírust.

CRC szkennerek

A CRC szkennerek működési elve a lemezen lévő fájlok / rendszerszektorok CRC összegeinek (ellenőrző összegeinek) kiszámításán alapul. Ezeket a CRC-összegeket ezután a víruskereső adatbázis tárolja, valamint néhány egyéb információt is: fájlok hossza, utolsó módosításuk dátuma stb. A CRC szkennerek következő futtatásakor a tényleges számlált értékekkel ellenőrzik az adatbázisban lévő adatokat. Ha az adatbázisban rögzített fájlinformációk nem egyeznek a valós értékekkel, akkor a CRC szkennerek jelzik, hogy a fájl módosult vagy vírussal fertőződött meg.

A CRC szkennerek nem képesek elkapni a vírust a rendszerben való megjelenés pillanatában, hanem csak egy idő után, miután a vírus az egész számítógépen elterjedt. A CRC szkennerek nem tudnak vírust észlelni az új fájlokban (e-mailben, hajlékonylemezeken, biztonsági mentésből visszaállított fájlokban vagy archívumból történő kicsomagoláskor), mert adatbázisaik nem rendelkeznek információkkal ezekről a fájlokról. Sőt, időnként megjelennek olyan vírusok, amelyek kihasználják a CRC-szkennerek ezen gyengeségét, csak az újonnan létrehozott fájlokat fertőzik meg, és így láthatatlanok maradnak számukra.

Blokkolók

Az antivírus blokkolók olyan rezidens programok, amelyek elfogják a vírusveszélyes helyzeteket, és értesítik erről a felhasználót. A vírusveszélyes hívások közé tartoznak a megnyitási hívások futtatható fájlok írására, a lemezek rendszerindító szektoraiba vagy a merevlemez MBR-jébe való írás, a programok rezidens maradási kísérlete stb., azaz a vírusokra jellemző hívások szaporodási idő.

A blokkolók előnyei közé tartozik, hogy képesek felismerni és megállítani a vírust a szaporodás legkorábbi szakaszában. A hátrányok közé tartozik a blokkolók védelmének megkerülésének módjai és a hamis pozitív eredmények nagy száma.

Védőoltók

Az oltóanyagokat két típusra osztják: fertőzést jelentő immunizálókra és fertőzést blokkolókra. Az elsőket általában a fájlok végére írják (a fájlvírus elve szerint), és minden alkalommal, amikor a fájl elindul, ellenőrzi, hogy nem változott-e. Az ilyen immunizáló szerek hátránya csak egy, de halálos: az abszolút képtelenség jelenteni a lopakodó vírussal való fertőzést. Ezért az ilyen immunizáló szereket, valamint a blokkolókat jelenleg gyakorlatilag nem használják.

A második típusú immunizálás megvédi a rendszert egy bizonyos típusú vírus támadásától. A lemezeken lévő fájlokat úgy módosítják, hogy a vírus átveszi azokat a már fertőzöttekért. A helyi vírusok elleni védelem érdekében a vírus másolatát utánzó program kerül a számítógép memóriájába. Amikor elindítják, a vírus belebotlik, és azt hiszi, hogy a rendszer már fertőzött.

Ez a fajta immunizálás nem lehet univerzális, mivel lehetetlen az összes ismert vírus ellen immunizálni a fájlokat.

Az antivírusok osztályozása az időbeli változékonyság alapján

Valerij Konjavszkij szerint a vírusellenes szerek két részre oszthatók nagy csoportok- adatok elemzése és folyamatok elemzése.

Adatelemzés

Az adatelemzés auditorokat és polifágokat foglal magában. Az auditorok elemzik a számítógépes vírusok és más rosszindulatú programok tevékenységének következményeit. A következmények az adatok változásában mutatkoznak meg, amelyek nem változhatnak. Az adatváltozás ténye a rosszindulatú programok tevékenységének jele a könyvvizsgáló szemszögéből. Vagyis az auditorok ellenőrzik az adatok sértetlenségét, és az integritás megsértése esetén döntést hoznak arról, hogy a számítógépes környezetben található-e rosszindulatú program.

A polifágok eltérően működnek. Az adatok elemzése alapján azonosítják a rosszindulatú kód töredékeit (például aláírása alapján), és ennek alapján következtetést vonnak le a rosszindulatú programok jelenlétéről. A vírussal fertőzött adatok törlése vagy fertőtlenítése segít megelőzni a rosszindulatú programok végrehajtásának negatív következményeit. Így a statikus elemzés alapján a dinamikában fellépő következmények kivédhetők.

Mind az auditorok, mind a polifágok munkasémája majdnem ugyanaz - az adatok (vagy ellenőrző összegük) összehasonlítása egy vagy több referenciamintával. Az adatokat összehasonlítják az adatokkal. Így ahhoz, hogy vírust találjon a számítógépén, annak már működnie kell, hogy megjelenjenek a tevékenységének következményei. Ezzel a módszerrel csak olyan ismert vírusokat találhat, amelyek kódrészleteit vagy aláírásait korábban leírták. Nem valószínű, hogy az ilyen védelmet megbízhatónak lehet nevezni.

Folyamatelemzés

A folyamatelemzésen alapuló víruskereső eszközök némileg eltérően működnek. A fent leírtakhoz hasonlóan a heurisztikus elemzők elemzik az adatokat (lemezen, csatornán, memóriában stb.). Az alapvető különbség az, hogy az elemzés abból a feltételezésből indul ki, hogy az elemzett kód nem adat, hanem parancs (a Neumann architektúrájú számítógépekben az adatok és a parancsok nem különböztethetők meg egymástól, ezért egy vagy másik feltételezést kell feltenni az elemzés során.)

A heurisztikus elemző kiválaszt egy műveletsort, mindegyikhez egy bizonyos veszélybesorolást rendel, és a veszély összessége alapján eldönti, hogy ez a műveletsor egy rosszindulatú kód része-e. Maga a kód nem kerül végrehajtásra.

A folyamatelemzésen alapuló vírusirtó eszközök másik típusa a viselkedésblokkolók. Ebben az esetben a gyanús kód lépésről lépésre kerül végrehajtásra, amíg a kód által kezdeményezett műveletek halmazát veszélyes (vagy biztonságos) viselkedésként értékelik. Ebben az esetben a kód részben végrehajtásra kerül, mivel a rosszindulatú kód befejezése egyszerűbb adatelemzési módszerekkel észlelhető.

Vírusfelderítési technológiák

A vírusirtókban használt technológiák két csoportra oszthatók:

Aláíráselemző technológiák
Valószínűségi elemzési technológiák

Aláíráselemző technológiák

Az aláíráselemzés egy vírusészlelési módszer, amely ellenőrzi a vírusszignatúrák jelenlétét a fájlokban. Az aláírás-elemzés a vírusok kimutatásának legismertebb módszere, és szinte minden modern antivírusban alkalmazzák. Az ellenőrzés végrehajtásához a víruskeresőnek szüksége van egy vírusszignatúrára, amelyet a víruskereső adatbázis tárol.

Tekintettel arra, hogy az aláíráselemzés magában foglalja a fájlok vírusszignatúra-ellenőrzését, a víruskereső adatbázist rendszeresen frissíteni kell, hogy a vírusirtó naprakész legyen. Maga az aláírás-elemzés elve meghatározza a funkcionalitás határait is – csak az ismert vírusok észlelésének képessége –, az aláírás-ellenőrző tehetetlen az új vírusokkal szemben.

Másrészt a vírusszignatúrák jelenléte a kezelés lehetőségére utal fertőzött fájlok aláírás-elemzés segítségével észlelték. A kezelés azonban nem minden vírus esetében elfogadható – a trójaiak és a legtöbb féreg nem kezelhető ezek miatt tervezési jellemzők, mert ezek szilárd modulok, amelyek kárt okoznak.

A vírusszignatúra kompetens megvalósítása lehetővé teszi az ismert vírusok 100%-os biztonsággal történő kimutatását.

Valószínűségi elemzési technológiák

A valószínűségi elemzési technológiákat viszont három kategóriába sorolják:

Heurisztikus elemzés
Viselkedéselemzés
Ellenőrzőösszeg-elemzés

Heurisztikus elemzés

A heurisztikus elemzés valószínűségi algoritmusokon alapuló technológia, melynek eredménye a gyanús objektumok azonosítása. A folyamat heurisztikus elemzés ellenőrzik a fájl szerkezetét, a vírussablonoknak való megfelelését. A legnépszerűbb heurisztikus technika a fájl tartalmának ellenőrzése a már ismert vírusszignatúrák és azok kombinációinak módosítása szempontjából. Ez segít felismerni a korábban ismert vírusok hibridjeit és új verzióit a víruskereső adatbázis további frissítése nélkül.

A heurisztikus elemzést az ismeretlen vírusok kimutatására használják, és ennek eredményeként nem jár kezeléssel. Ez a technológia nem képes 100%-osan meghatározni az előtte lévő vírust vagy sem, és mint minden valószínűségi algoritmus, téves pozitív eredményekkel vétkezik.

Viselkedéselemzés

A viselkedéselemzés olyan technológia, amelyben az ellenőrzött objektum természetéről az általa végrehajtott műveletek elemzése alapján döntenek. A viselkedéselemzésnek nagyon szűk gyakorlati alkalmazása van, mivel a vírusokra jellemző műveletek többsége hétköznapi alkalmazásokkal is végrehajtható. A szkriptek és makrók viselkedéselemzői a leghíresebbek, mivel a megfelelő vírusok szinte mindig számos hasonló műveletet hajtanak végre.

A BIOS-ba ágyazott biztonsági funkciók viselkedéselemzők közé is sorolhatók. Amikor megpróbálják módosítani a számítógép MBR-jét, az analizátor blokkolja a műveletet, és megfelelő értesítést jelenít meg a felhasználónak.

Ezen túlmenően a viselkedéselemzők nyomon követhetik a fájlokhoz való közvetlen hozzáférési kísérleteket, illetve a módosításokat boot rekord hajlékonylemez formázás merevlemezek stb.

A viselkedéselemzők nem használnak további objektumokat, például vírusadatbázisokat a munkájukhoz, és ennek eredményeként nem tudnak különbséget tenni az ismert és az ismeretlen vírusok között – minden gyanús program eleve ismeretlen vírusnak minősül. Hasonlóképpen, a viselkedéselemzési technológiákat megvalósító eszközök működésének jellemzői nem jelentenek kezelést.

Ellenőrzőösszeg-elemzés

Az ellenőrzőösszeg-elemzés egy módszer a számítógépes rendszer objektumaiban bekövetkezett változások nyomon követésére. A változások természetének elemzése alapján - egyidejűség, tömegjelleg, azonos állományhossz-változások - megállapítható, hogy a rendszer fertőzött. Az ellenőrzőösszeg-elemzők (más néven változás-ellenőrzők), akárcsak a viselkedéselemzők, nem használnak további objektumokat munkájuk során, és kizárólag szakértői értékelés módszerével adnak ítéletet a vírus rendszerben való jelenlétéről. Hasonló technológiákat használnak a hozzáférési szkennerekben - az első ellenőrzés során ellenőrző összeget vesznek ki a fájlból, és a gyorsítótárba helyezik, ugyanazon fájl következő ellenőrzése előtt az ellenőrző összeget újra veszik, összehasonlítják, és ha nincs változás, a fájl nem fertőzöttnek minősül.

Antivírus komplexek

Vírusvédelmi komplexum - vírusirtó készlet, amely ugyanazt a víruskereső motort vagy motorokat használja, és a vírusvédelmi biztonság gyakorlati problémáinak megoldására szolgál. számítógépes rendszerek. A víruskereső komplexum a víruskereső adatbázisok frissítésére szolgáló eszközöket is tartalmaz.

Ezenkívül a víruskereső komplexum tartalmazhat viselkedéselemzőket és változásellenőröket, amelyek nem használják a víruskereső motort.

A következő típusú vírusellenes komplexek léteznek:

Víruskereső komplexum munkaállomások védelmére
Víruskereső komplexum a fájlszerverek védelmére
Víruskereső komplexum a levelezőrendszerek védelmére
Víruskereső komplexum az átjárók védelmére.

Felhő vs hagyományos asztali víruskereső: melyiket válassza?

(A Webroot.com forrás szerint)

A vírusirtó eszközök modern piacát elsősorban az asztali rendszerek hagyományos megoldásai jelentik, amelyekben a védelmi mechanizmusok aláírás alapú módszerekre épülnek. Alternatív mód vírusvédelem – heurisztikus elemzés alkalmazása.

Problémák a hagyományos víruskereső szoftverekkel

Az elmúlt években a hagyományos vírusirtó technológiák egyre kevésbé hatékonyak, és számos tényező miatt gyorsan elavultak. Az aláírások által azonosított vírusfenyegetések száma már most is olyan magas, hogy gyakran irreális feladat a felhasználói számítógépeken található aláírási adatbázisok 100%-os időben történő frissítése. A hackerek és a kiberbűnözők egyre gyakrabban használnak botneteket és más technológiákat a nulladik napi vírusfenyegetések terjedésének felgyorsítására. Ezenkívül a megfelelő vírusok aláírásai nem jönnek létre a célzott támadások során. Végül új víruskereső technológiákat alkalmaznak: malware-titkosítás, polimorf vírusok szerveroldali létrehozása, vírustámadás minőségének előzetes tesztelése.

A hagyományos vírusvédelem leggyakrabban a "vastag kliens" architektúrába épül fel. Ez azt jelenti, hogy egy kötet telepítve van az ügyfél számítógépére. programozási kód. Ellenőrzi a bejövő adatokat, és észleli a vírusfenyegetések jelenlétét.

Ennek a megközelítésnek számos hátránya van. Először is, a rosszindulatú programok keresése és az egyező aláírások jelentős számítási terhelést igényel, amelyet „elvesznek” a felhasználótól. Ennek eredményeként csökken a számítógép termelékenysége, és a vírusirtó működése esetenként megzavarja az alkalmazott feladatok párhuzamos végrehajtását. Néha a felhasználó rendszerének terhelése annyira észrevehető, hogy a felhasználók kikapcsolják a víruskereső programokat, ezzel eltávolítva a potenciális vírustámadások akadályát.

Másodszor, minden frissítés a felhasználó gépén több ezer új aláírás átvitelét igényli. Az átvitt adatmennyiség gépenként általában napi 5 MB nagyságrendű. Az adatátvitel lelassítja a hálózat működését, további rendszererőforrásokat von el, bevonását igényli rendszergazdák irányítani a forgalmat.

Harmadszor, a barangoló vagy állandó munkahelyüktől távol tartózkodó felhasználók ki vannak téve a nulladik napi támadásoknak. Az aláírások frissített részének fogadásához csatlakozniuk kell egy VPN-hálózathoz, amely távolról nem érhető el.

Vírusvédelem a felhőből

Amikor a felhőből vírusvédelemre váltunk, a megoldás architektúrája jelentősen megváltozik. Egy "könnyű" kliens van telepítve a felhasználó számítógépére, amelynek fő funkciója az új fájlok keresése, a hash értékek kiszámítása és az adatok küldése. felhő szerver. A felhőben teljes körű összehasonlítást hajtanak végre az összegyűjtött aláírások nagy adatbázisán. Ez az adatbázis folyamatosan és időben frissül a vírusirtó cégek által továbbított adatokkal. Az ügyfél jelentést kap az ellenőrzés eredményéről.

Így a felhő architektúra anti-vírus védelem egész sor előnyei:

a felhasználó számítógépén a számítások mennyisége elhanyagolható egy vastag klienshez képest, ezért a felhasználó termelékenysége nem csökken;
a víruskereső forgalomnak nincs katasztrofális hatása áteresztőképesség hálózatok: egy kompakt adatrészt kell elküldeni, amely mindössze néhány tucat hash értéket tartalmaz, az átlagos napi forgalom nem haladja meg a 120 KB-ot;
a felhőalapú tárolás hatalmas aláírástömböket tartalmaz, amelyek sokkal nagyobbak, mint a felhasználói számítógépeken tároltak;
a felhőben használt aláírás-összehasonlító algoritmusok lényegesen intelligensebbek, mint a helyi állomások szintjén használt egyszerűsített modellek, és a nagyobb teljesítmény miatt az adatok összehasonlítása kevesebb időt vesz igénybe;
a felhőalapú víruskereső szolgáltatások a vírusirtó laboratóriumoktól, biztonsági fejlesztőktől, vállalati és magánfelhasználóktól kapott valós adatokkal dolgoznak; a nulladik napi fenyegetéseket felismerésükkel egyidejűleg blokkolják, késedelem nélkül a felhasználói számítógépekhez való hozzáférés szükségessége miatt;
a barangolást folytató vagy fő munkahelyükhöz nem férő felhasználók védelmet kapnak a nulladik napi támadások ellen az internet elérésével egy időben;
csökken a rendszergazdák terhelése: nem kell időt tölteniük a vírusirtó szoftverek telepítésével a felhasználók számítógépére, valamint az aláírási adatbázisok frissítésére.

Miért nem sikerül a hagyományos vírusirtó?

A modern rosszindulatú kód:

Kerülje meg a víruskereső csapdákat egy speciális célvírus létrehozásával a vállalat számára
Mielőtt a víruskereső aláírást hozna létre, kikerüli a polimorfizmust, a dinamikus DNS és URL használatával történő átkódolást

Célalkotás a cég számára
Polimorfizmus
Senki által ismeretlen kód – aláírás nélkül

Nehéz védekezni

2011-es nagy sebességű vírusirtó

Az Anti-Malware.ru orosz független információs és elemző központ 2011 májusában tette közzé egy másik kutatás eredményeit. összehasonlító teszt A 20 legnépszerűbb vírusirtó teljesítmény és rendszererőforrás-felhasználás szempontjából.

Ennek a tesztnek az a célja, hogy megmutassa, mely személyes víruskeresők vannak a legkevésbé hatással a felhasználó tipikus műveleteire a számítógépen, kevésbé „lassítják” a munkáját és fogyasztják a minimális rendszererőforrást.

A vírusirtó monitorok (valós idejű szkennerek) között a termékek egész csoportja bizonyította nagyon Magassebesség működik, köztük: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro és Dr.Web. Ezekkel az antivírusokkal a fedélzeten a tesztgyűjtemény másolásának lassulása kevesebb, mint 20% volt a referenciaértékhez képest. A BitDefender, a PC Tools, az Outpost, az F-Secure, a Norton és az Emsisoft víruskereső monitorok is magas teljesítményt mutattak, 30-50% közé esve. A BitDefender, a PC Tools, az Outpost, az F-Secure, a Norton és az Emsisoft víruskereső monitorok is magas teljesítményt mutattak, 30-50% közé esve.

Ugyanakkor az Avira, az AVG, a BitDefender, az F-Secure, a G Data, a Kaspersky Anti-Virus, a Norton, az Outpost és a PC Tools valós körülmények között lényegesen gyorsabbak lehetnek az utólagos ellenőrzés optimalizálása miatt.

Az Avira víruskereső mutatta a legjobb sebességet az igény szerinti vizsgálatnál. Kicsit mögötte a Kaspersky Anti-Virus, az F-Secure, a Norton, a G Data, a BitDefender, a Kaspersky Anti-Virus és az Outpost volt. Az első vizsgálat sebességét tekintve ezek az antivírusok csak kismértékben maradnak el a vezetőnél, ugyanakkor mindegyikük arzenáljában hatékony technológiák találhatók az ismételt vizsgálatok optimalizálására.

A víruskereső sebességének másik fontos jellemzője az, hogy hatással van az olyan alkalmazások munkájára, amelyekkel a felhasználó gyakran dolgozik. Közülük ötöt választottak ki a tesztre: internet böngésző, Microsoft Office Word, Microsoft Outlook , Adobe Acrobat Olvasó és Adobe Photoshop. Ezek indulásában a legkisebb lassulás irodai programok az Eset, a Microsoft, az Avast, a VBA32, a Comodo, a Norton, a Trend Micro, az Outpost és a G Data antivírusokat mutatta be.

Eugene Kaspersky 1992-ben a következő osztályozást használta az antivírusok működési elvétől (a funkcionalitás meghatározásától függően):

Ø Szkennerek (elavult verzió - "polifágok", "detektorok") - meghatározza a vírus jelenlétét a vírusok aláírásait (vagy ellenőrző összegeit) tároló aláírás-adatbázis segítségével. Hatékonyságukat a vírusadatbázis relevanciája és a heurisztikus elemző jelenléte határozza meg.

Ø könyvvizsgálók (IDS-hez közeli osztály) - emlékezzen a fájlrendszer állapotára, amely lehetővé teszi a jövőbeni változások elemzését.

Ø őr (rezidens monitorok vagy szűrők ) - nyomon követheti a potenciálisan veszélyes műveleteket, megfelelő kérést küldve a felhasználónak a művelet engedélyezésére/tiltására.

Ø Védőoltások (immunizálók ) - módosítsa az átoltott fájlt oly módon, hogy a vírus, amely ellen az oltást készítik, már fertőzöttnek tekintse a fájlt. Modern körülmények között, amikor a lehetséges vírusok számát több százezerben mérik, ez a megközelítés nem alkalmazható.

A modern antivírusok a fenti funkciók mindegyikét egyesítik.

A víruskeresők a következőkre is oszthatók:

Termékek otthoni felhasználóknak:

Valójában antivírusok;

Kombinált termékek (például a klasszikus vírusirtóhoz hozzáadták az anti-spam-et, a tűzfalat, az anti-rootkit-et stb.);

Vállalati termékek:

Szerver antivírusok;

Vírusirtó a munkaállomásokon ("végpont").

Megosztás A víruskereső programok jó eredményeket adnak, mivel jól kiegészítik egymást:

A külső forrásból származó adatok ellenőrzése megtörténik detektor program. Ha ezeket az adatokat elfelejtették ellenőrizni, és elindult a fertőzött program, azt elkaphatja a watchdog program. Igaz, mindkét esetben megbízhatóan észlelik az ezen antivírus programok által ismert vírusokat. Ez nem több, mint az esetek 80-90%-a.

- őr még az ismeretlen vírusokat is képes észlelni, ha nagyon szemtelenül viselkednek (próbáld meg formázni HDD vagy módosítsa rendszerfájlokat). Egyes vírusok azonban megkerülhetik ezeket az ellenőrzéseket.

Ha a vírust nem észlelte detektor vagy őr, akkor tevékenységének eredményét a program - auditor.

Általános szabály, hogy a számítógépen folyamatosan futnak watchdog programok, detektorokkal kell ellenőrizni a külső forrásból (fájlok és hajlékonylemezek) származó adatokat, és naponta egyszer kell futtatni az auditorokat a lemezeken lévő változások észlelésére és elemzésére. Mindezt rendszeres adatmentéssel és megelőző intézkedésekkel kell kombinálni a vírusfertőzés valószínűségének csökkentésére.

Bármilyen vírusirtó program „lelassítja” a számítógépet, de megbízható orvosság a vírusok káros hatásai ellen.

Hamis antivírusok (hamis antivírusok).

2009-ben különböző gyártók Az antivírusok beszámoltak egy új típusú vírusirtó – hamis antivírusok vagy pszeudovíruskeresők (rogueware) – széles körű elterjedéséről. Valójában ezek a programok vagy egyáltalán nem antivírusok (vagyis nem képesek a rosszindulatú programok ellen), vagy akár vírusok (hitelkártyaadatokat lopnak stb.).

A szélhámos vírusirtókkal pénzt csalnak ki a felhasználóktól. A számítógép hamis víruskeresővel való megfertőzésének egyik módja a következő. A felhasználó egy "fertőzött" webhelyre kerül, amely figyelmeztető üzenetet ad neki, például: "Vírus található a számítógépén." A felhasználó ezután felkéri a letöltést ingyenes program(hamis víruskereső) a vírus eltávolításához. A telepítés után a hamis víruskereső átvizsgálja a számítógépet, és állítólag sok vírust észlel a számítógépen. A rosszindulatú programok eltávolításához egy hamis vírusirtó felajánlja a program fizetős verziójának megvásárlását. A sokkolt felhasználó fizet (50 és 80 dollár között), és egy hamis vírusirtó megtisztítja a számítógépet a nem létező vírusoktól.

Víruskeresők SIM-en, flash kártyákon és USB-eszközök

A ma gyártott mobiltelefonok interfészek és adatátviteli lehetőségek széles skálájával rendelkeznek. A felhasználóknak gondosan tanulmányozniuk kell a védelmi módszereket, mielőtt bármilyen kis eszközt csatlakoztatnának.

A védelmi módszerek, például a hardver, esetleg az USB-eszközökön vagy a SIM-kártyán lévő vírusirtó, jobban megfelelnek a mobiltelefon-használók számára. Műszaki értékelésés egy víruskereső program mobiltelefonra történő telepítésének áttekintése olyan vizsgálati folyamatnak tekintendő, amely hatással lehet a telefonon lévő egyéb legitim alkalmazásokra.

A kis kapacitású memóriaterületbe beépített vírusirtó SIM-kártyán lévő vírusirtó programok kártevő/vírus elleni védelmet nyújtanak a telefon felhasználói PIN kódjának és információinak védelmével. A flash kártyákon lévő vírusirtó lehetővé teszi a felhasználó számára, hogy információkat cseréljen, és ezeket a termékeket különféle hardvereszközökkel használja, valamint különféle kommunikációs csatornákon keresztül továbbítsa ezeket az adatokat más eszközöknek.

Antivírusok, mobileszközök és innovatív megoldások

A jövőben elképzelhető, hogy a mobiltelefonokat vírussal fertőzik meg. Egyre több fejlesztő kínál vírusirtó programokat ezen a területen a vírusok elleni küzdelemre és a mobiltelefonok védelmére. NÁL NÉL mobil eszközök A következő típusú vírusellenőrzések léteznek:

– processzorkorlátozások;

– memóriakorlát;

– ezen mobil eszközök aláírásának azonosítása és frissítése.

Következtetés: Víruskereső program (víruskereső) - eredetileg rosszindulatú objektumok vagy fertőzött fájlok észlelésére és kezelésére szolgáló program, valamint megelőzésre - egy fájl vagy operációs rendszer fertőzésének megakadályozására rosszindulatú kód. A víruskereső programok működési elvétől függően a víruskeresők következő osztályozása létezik: szkennerek (elavult verzió - "polifágok", "detektorok"); auditorok (az IDS-hez közel álló osztály); őr (rezidens monitorok vagy szűrők); vakcinák (immunizálók).

KÖVETKEZTETÉS

A számítástechnika fejlődése utóbbi évek nemcsak a gazdaság, a kereskedelem és a kommunikáció fejlődéséhez járult hozzá; hatékony információcserét, de egyedülálló eszköztárat is biztosított a számítógépes bűncselekmények elkövetőinek. Minél intenzívebb a számítógépesítés folyamata, annál valóságosabbá válik a számítógépes bûnözés növekedése, és a modern társadalom nemcsak átérzi a számítógépes bûnözés gazdasági következményeit, hanem egyre inkább függ a számítógépesítéstõl. Mindezek a szempontok arra köteleznek, hogy egyre nagyobb figyelmet fordítsunk az információvédelemre, a továbbfejlesztésre jogszabályi keret valaminek a területén információ biztonság. Az intézkedések teljes körét az állam védelmére kell redukálni információs források; az információforrások kialakításából és felhasználásából adódó kapcsolatok szabályozására; létrehozása és használata információs technológiák; az információs folyamatokban részt vevő alanyok információinak és jogainak védelme; valamint a jogszabályban használt alapfogalmak meghatározása.

A Büntetés-végrehajtási Rendszer Biztonsági és Konvojszervezési Tanszékének docense

a műszaki tudományok kandidátusa

belszolgálati alezredes V.G. Zarubszkij

malware antivírus fertőzés

Sikeres munkájukhoz a vírusoknak ellenőrizniük kell, hogy a fájl fertőzött-e már (ugyanaz a vírus). Így elkerülik az önpusztítást. Ehhez a vírusok aláírást használnak. A legtöbb leggyakoribb vírus (beleértve a makrovírusokat is) karakteraláírásokat használ. A bonyolultabb (polimorf) vírusok algoritmus aláírásokat használnak. A vírusszignatúra típusától függetlenül a víruskereső programok ezeket használják a „számítógép-fertőzések” észlelésére. Ezt követően a víruskereső program megpróbálja megsemmisíteni az észlelt vírust. Ez a folyamat azonban a vírus összetettségétől és a víruskereső program minőségétől függ. Mint már említettük, a trójai falovakat és a polimorf vírusokat a legnehezebb észlelni. Az elsők nem adják hozzá testüket a programhoz, hanem beágyazzák abba. Másrészt a víruskereső programoknak meglehetősen sok időt kell tölteniük a polimorf vírusok aláírásának meghatározásával. Az a tény, hogy aláírásuk minden új példánynál megváltozik.

A számítógépes vírusok észlelésére, eltávolítására és az ellenük való védekezésre léteznek speciális programok vírusirtónak hívják. A modern vírusirtó programok olyan többfunkciós termékek, amelyek kombinálják a megelőző és a víruskezelést, valamint az adat-helyreállítási eszközöket.

A vírusok száma és sokfélesége nagy, gyors és hatékony felismerésükhöz pedig egy víruskereső programnak meg kell felelnie bizonyos paramétereknek:

1. A munka stabilitása és megbízhatósága.

2. A program vírusadatbázisának méretei (a program által helyesen észlelt vírusok száma): az új vírusok állandó megjelenését figyelembe véve az adatbázist rendszeresen frissíteni kell.

3. A program képessége különféle típusú vírusok észlelésére, valamint a fájlokkal való munkavégzés képessége különféle típusok(levéltárak, dokumentumok).

4. Egy rezidens monitor jelenléte, amely minden új fájlt "menet közben" (vagyis automatikusan, ahogy a lemezre írnak) ellenőrzi.

5. A program sebessége, elérhetősége további jellemzők mint például a program számára még ismeretlen vírusok észlelésére szolgáló algoritmusok (heurisztikus vizsgálat).

6. Lehetőség a fertőzött fájlok visszaállítására a merevlemezről való törlés nélkül, de csak a vírusok eltávolítása róluk.

7. A program hamis pozitív eredményének százalékos aránya (vírus hibás észlelése "tiszta" fájlban).

8. Cross-platform (programverziók elérhetősége különböző operációs rendszerekhez).

A víruskereső programok osztályozása:

1. Az érzékelőprogramok a RAM-ban és külső adathordozón keresik és észlelik a vírusokat, és észlelésükkor megfelelő üzenetet adnak ki. Vannak detektorok:

Univerzális - munkájuk során a fájlok változatlanságának ellenőrzésére számlálással és egy ellenőrzőösszeg-szabvánnyal való összehasonlítással ellenőrzik;

Specialized - ismert vírusok keresése aláírásuk alapján (ismétlődő kódrész).

2. Az orvos programok (phage) nem csak megtalálják a vírussal fertőzött fájlokat, hanem „meg is gyógyítják” azokat, pl. távolítsa el a vírusprogram törzsét a fájlból, visszaállítva a fájlokat eredeti állapotukba. Munkájuk elején a fágok vírusokat keresnek a RAM-ban, megsemmisítik azokat, és csak ezután kezdik a fájlok „kezelését”. A fágok között megkülönböztetünk polifágokat, azaz. orvosi programok, amelyeket nagyszámú vírus megtalálására és megsemmisítésére terveztek.

3. A programauditorok a vírusok elleni védekezés legmegbízhatóbb eszközei. Az auditorok emlékeznek a programok, könyvtárak és a lemez rendszerterületeinek kezdeti állapotára, amikor a számítógép nem fertőzött vírussal, majd időszakonként vagy a felhasználó kérésére összehasonlítják az aktuális állapotot az eredeti állapottal. Az észlelt változások megjelennek a monitor képernyőjén.

4. A szűrőprogramok (watchmen) kis rezidens programok, amelyek a számítógép működése során a vírusokra jellemző gyanús műveletek észlelésére szolgálnak. Ilyen műveletek lehetnek:

Megkísérli a COM és EXE kiterjesztésű fájlok javítását;

Fájl attribútumok módosítása;

Közvetlen írás a lemezre abszolút címen;

Írás lemez indító szektoraiba;

5. Az oltóprogramok (immunizátorok) olyan állandó programok, amelyek megakadályozzák a fájlfertőzést. Vakcinákat alkalmaznak, ha nincsenek orvosi programok, amelyek "kezelik" ezt a vírust. A védőoltás csak ismert vírusok ellen lehetséges Bezrukov N. Számítógépes virológia: Tankönyv [Elektronikus forrás]: http://vx.netlux.org/lib/anb00.html..

Valójában a víruskereső programok architektúrája sokkal összetettebb, és az adott fejlesztőtől függ. Egy tény azonban tagadhatatlan: az összes technológia, amelyről beszéltem, olyan szorosan összefonódik egymással, hogy néha lehetetlen megérteni, mikor indul el az egyik, és mikor kezd működni egy másik. A vírusellenes technológiák ezen interakciója lehetővé teszi, hogy a leghatékonyabban használják fel őket a vírusok elleni küzdelemben. De ne felejtsük el, hogy nincs tökéletes védelem, és az egyetlen módja annak, hogy figyelmeztesse magát az ilyen problémákra, az állandó operációs rendszer frissítések, a jól konfigurált tűzfal, a gyakran frissített vírusirtó, és - ami a legfontosabb - ne futtasson / töltsön le gyanús fájlokat a Internet.

Eugene Kaspersky 1992-ben a következő osztályozást használta az antivírusok működési elvétől (a funkcionalitás meghatározásától függően):

1. Szkennerek (elavult verzió - "polifágok") - a vírusok aláírásait (vagy ellenőrző összegeit) tároló aláírás-adatbázis alapján határozzák meg a vírus jelenlétét. Hatékonyságukat a vírusadatbázis relevanciája és a heurisztikus elemző jelenléte határozza meg (lásd: Heurisztikus szkennelés).

2. Auditorok (az IDS-hez közeli osztály) - emlékezzen a fájlrendszer állapotára, amely lehetővé teszi a jövőbeni változások elemzését.

3. Őrzők (monitorok) - nyomon követik a potenciálisan veszélyes műveleteket, megfelelő kérést küldenek a felhasználónak a művelet engedélyezésére/tiltására.

4. Oltóanyagok - módosítsa az átoltott fájlt úgy, hogy a vírus, amely ellen az oltást készítik, már fertőzöttnek tekintse a fájlt. Modern (2007) körülmények között, amikor a lehetséges vírusok számát több százezerben mérik, ez a megközelítés nem alkalmazható.

A modern antivírusok a fenti funkciók mindegyikét egyesítik.

A víruskeresők a következőkre is oszthatók:

1. Termékek otthoni felhasználóknak:

2. Valójában antivírusok;

3. Kombinált termékek (például a klasszikus vírusirtóhoz hozzáadták az anti-spam-et, a tűzfalat, az anti-rootkit-et stb.);

4. Vállalati termékek:

5. Szerver antivírusok;

6. Vírusirtó a munkaállomásokon ("végpont").

Víruskeresők SIM-en, flash kártyákon és USB-eszközökön

A védelmi módszerek, például a hardver, esetleg az USB-eszközökön vagy a SIM-kártyán lévő vírusirtó, jobban megfelelnek a mobiltelefon-használók számára. A víruskereső program mobiltelefonra történő telepítésének műszaki értékelését és áttekintését olyan vizsgálati folyamatnak kell tekinteni, amely hatással lehet az adott telefonon lévő egyéb legitim alkalmazásokra.