ĮVADAS

Gyvename dviejų tūkstantmečių sandūroje, kai žmonija įžengė į naujos mokslo ir technologijų revoliucijos erą.

Dvidešimtojo amžiaus pabaigoje žmonės įvaldė daugelį materijos ir energijos virsmo paslapčių ir galėjo panaudoti šias žinias savo gyvenimo gerinimui. Tačiau be materijos ir energijos žmogaus gyvenime didžiulį vaidmenį atlieka dar vienas komponentas – informacija. Tai labai įvairi informacija, žinutės, naujienos, žinios, įgūdžiai.

Mūsų amžiaus viduryje buvo specialius įrenginius- kompiuteriai orientuoti į informacijos saugojimą ir transformavimą ir įvyko kompiuterių revoliucija.

Šiandien masinis asmeninių kompiuterių naudojimas, deja, buvo susijęs su savaime besidauginančių virusų programų atsiradimu, kurios neleidžia normaliai dirbti kompiuteriu, naikina diskų failų struktūrą ir gadina kompiuteryje saugomą informaciją.

Nepaisant daugelyje šalių priimtų įstatymų, skirtų kovai su kompiuteriniais nusikaltimais ir kuriama speciali programinės įrangos įrankiai apsauga nuo virusų, naujų skaičius programinės įrangos virusai nuolat auga. Tam reikia, kad asmeninio kompiuterio vartotojas išmanytų virusų prigimtį, kaip užkrėsti ir apsisaugoti nuo virusų. Tai buvo akstinas renkantis darbo temą.

Apie tai ir kalbu savo esė. Parodau pagrindinius virusų tipus, apžvelgiu jų veikimo schemas, atsiradimo priežastis ir prasiskverbimo į kompiuterį būdus, taip pat siūlau apsaugos ir prevencijos priemones.

Darbo tikslas – supažindinti vartotoją su kompiuterinės virusologijos pagrindais, išmokyti aptikti virusus ir su jais kovoti. Darbo metodas – spausdintų publikacijų šia tema analizė. Man teko nelengva užduotis – kalbėti apie tai, kas buvo labai mažai ištirta, ir kaip tai atsitiko – būk teisėjas.

1. KOMPIUTERINIAI VIRUSAI IR JŲ SAVYBĖS IR KLASIFIKACIJA

1.1. Savybės kompiuteriniai virusai

Dabar naudojami asmeniniai kompiuteriai, kuriuose vartotojas turi nemokamą prieigą prie visų mašinos išteklių. Tai atvėrė galimybę pavojui, kuris pradėtas vadinti kompiuteriniu virusu.

Kas yra kompiuterinis virusas? Formalus šios sąvokos apibrėžimas dar nėra išrastas, ir kyla rimtų abejonių, ar jį apskritai galima pateikti. Daugybė bandymų pateikti „modernų“ viruso apibrėžimą nebuvo sėkmingi. Norėdami pajusti problemos sudėtingumą, pabandykite, pavyzdžiui, apibrėžti sąvoką „redaktorius“. Jūs arba sugalvosite ką nors labai bendro, arba pradėsite išvardyti visus žinomus redaktorių tipus. Abu vargu ar gali būti laikomi priimtinais. Todėl apsiribosime tam tikrų kompiuterinių virusų savybių, leidžiančių kalbėti apie juos kaip apie tam tikrą specifinę programų klasę, svarstymu.

Visų pirma, virusas yra programa. Vien toks paprastas teiginys gali išsklaidyti daugybę legendų apie nepaprastas kompiuterinių virusų galimybes. Virusas gali apversti vaizdą monitoriuje, bet negali apversti paties monitoriaus. Į legendas apie žudančius virusus, kurie „sunaikina operatorius rodydami mirtiną spalvos 25-asis kadras“ taip pat neverta rimtai. Deja, kai kurie autoritetingi leidiniai karts nuo karto publikuoja „paskutines žinias iš kompiuterių fronto“, kurios, atidžiau panagrinėjus, pasirodo, yra ne visai aiškaus dalyko supratimo rezultatas.

Virusas yra programa, kuri turi galimybę daugintis pati. Šis gebėjimas yra vienintelė priemonė, būdinga visų tipų virusams. Tačiau savaime daugintis gali ne tik virusai. Bet kuri operacinė sistema ir daugelis kitų programų gali sukurti savo kopijas. To paties viruso kopijos ne tik neprivalo visiškai atitikti originalo, bet gali ir visiškai neatitikti!

Virusas negali egzistuoti „visiškai izoliuotas“: šiandien neįmanoma įsivaizduoti viruso, kuris nenaudotų kitų programų kodo, failų struktūros informacijos ar net kitų programų pavadinimų. Priežastis aiški: virusas turi kažkaip užtikrinti kontrolės perdavimą sau.

1.2. Virusų klasifikacija

Šiuo metu žinoma daugiau nei 5000 programinės įrangos virusų, juos galima klasifikuoti pagal šiuos kriterijus:

¨ buveinė

¨ aplinkos užteršimo būdas

¨ poveikis

¨ algoritmo ypatybės

Priklausomai nuo buveinės, virusai gali būti skirstomi į tinklo, failų, įkrovos ir failų įkrovos. Tinklo virusai platinami įvairiais kompiuterių tinklais. Failų virusai daugiausia įvedami į vykdomuosius modulius, tai yra į failus su COM ir EXE plėtiniais. Failų virusai gali būti įterpti į kitų tipų failus, tačiau, kaip taisyklė, įrašyti į tokius failus, jie niekada nekontroliuoja ir todėl praranda galimybę atkurti. Įkrovos virusai yra įterpti į disko įkrovos sektorių (Boot-sector) arba sektoriuje, kuriame yra įkrovos programa sistemos diskas(Master Boot Re-

laidas). Failo įkrovimas virusai užkrečia tiek failus, tiek įkrovos sektoriai diskai.

Pagal užsikrėtimo būdą virusai skirstomi į nuolatinius ir nerezidentus. Rezidento virusas užkrėsdamas (užkrėsdamas) kompiuterį, palieka jį viduje laisvosios kreipties atmintis jos nuolatinė dalis, kuri vėliau perima operacinės sistemos prieigą prie užkrėstų objektų (failų, disko įkrovos sektorių ir t. t.) ir įsiterpia į juos. Nuolatiniai virusai yra atmintyje ir išlieka aktyvūs tol, kol kompiuteris išjungiamas arba paleidžiamas iš naujo. Nerezidentų virusai neužkrėskite kompiuterio atminties ir yra aktyvūs ribotą laiką.

Pagal poveikio laipsnį virusai gali būti suskirstyti į šiuos tipus:

¨ Nepavojingas, kurios netrukdo kompiuterio darbui, bet mažina laisvos RAM ir disko atminties kiekį, tokių virusų veiksmai pasireiškia bet kokiais grafiniais ar garso efektais

¨ pavojingas virusai, galintys sukelti įvairių kompiuterio problemų

¨ labai pavojingas, kurios poveikis gali sukelti programų praradimą, duomenų sunaikinimą, informacijos ištrynimą disko sistemos srityse.

2. PAGRINDINIAI VIRUSŲ TIPAI IR JŲ VEIKIMO SCHEMOS

Tarp virusų įvairovės galima išskirti šias pagrindines grupes:

¨ įkrova

¨ failą

¨ failo paleidimas

Dabar išsamiau apie kiekvieną iš šių grupių.

2.1. Įkrovos virusai

Apsvarstykite labai paprasto įkrovos viruso, kuris užkrečia diskelius, veikimą. Mes sąmoningai apeiname visas daugybę subtilumų, su kuriais neišvengiamai susidurtume griežtai analizuojant jo veikimo algoritmą.

Kas nutinka, kai įjungiate kompiuterį? Pirma, valdymas perduodamas bootstrap programa, kuri saugoma tik skaitymo atmintyje (ROM), t.y. PNZ ROM.

Ši programa išbando aparatinę įrangą ir, jei testai yra sėkmingi, bando rasti diskelį A įrenginyje:

Kiekvienas diskelis yra pažymėtas vadinamajame. sektoriai ir takeliai. Sektoriai jungiami į grupes, bet mums tai nėra būtina.

Tarp sektorių yra keletas paslaugų, kurias operacinė sistema naudoja savo reikmėms (jūsų duomenys negali būti talpinami šiuose sektoriuose). Tarp paslaugų sektorių mus vis dar domina vienas – vadinamasis. įkrovos sektorius(įkrovos sektorius).

„Bootstrap“ sektoriaus parduotuvės diskelio informacija- dangų skaičius, trasų skaičius, sektorių skaičius ir tt Bet dabar mus domina ne ši informacija, o maža bootstrap programa(PNZ), kuris turėtų įkelti pačią operacinę sistemą ir perduoti jai valdymą.

Taigi įprastas įkrovos modelis yra toks:

Dabar apsvarstykite virusą. Įkrovos virusuose išskiriamos dvi dalys – vadinamoji. galva ir tt uodega. Paprastai kalbant, uodega gali būti tuščia.

Tarkime, kad turite tuščią diskelį ir užkrėstą kompiuterį, o tai reiškia kompiuterį su aktyviu nuolatiniu virusu. Kai tik šis virusas nustato, kad diske atsirado tinkama auka – mūsų atveju diskelis, kuris nėra apsaugotas nuo įrašymo ir dar neužkrėstas, jis pradeda užkrėsti. Užkrėsdamas diskelį, virusas atlieka šiuos veiksmus:

Skiria tam tikrą disko sritį ir pažymi ją kaip nepasiekiamą operacinei sistemai, tai galima padaryti įvairiai, paprasčiausiu ir tradiciniu atveju viruso užimti sektoriai pažymimi kaip blogi.

Nukopijuoja jo uodegą ir originalų (sveiką) įkrovos sektorių į pasirinktą disko sritį

Pakeičia bootstrap programą (tikrajame) įkrovos sektoriuje savo galva

Pagal schemą organizuoja valdymo perdavimo grandinę.

Taigi, viruso vadovas dabar pirmasis perima kontrolę, virusas įdiegiamas atmintyje ir perduoda valdymą į pradinį įkrovos sektorių. Grandinėje

PNZ (ROM) - PNZ (diskas) - SISTEMA

pasirodo nauja nuoroda:

PNZ (ROM) - VIRUSAS - PNZ (diskas) - SISTEMA

Moralas aiškus: niekada (netyčia) nepalikite diskelių A diske.

Mes ištyrėme paprasto butovy viruso, kuris gyvena diskelių įkrovos sektoriuose, veikimą. Paprastai virusai gali užkrėsti ne tik diskelių, bet ir standžiųjų diskų įkrovos sektorius. Šiuo atveju, skirtingai nei diskeliai, standžiajame diske yra dviejų tipų įkrovos sektoriai, kuriuose yra įkrovos programos, kurios valdo. Paleidžiant kompiuterį iš standžiojo disko, pirmiausia valdymą perima įkrovos programa MBR (Master Boot Record – Master Boot Record). Jei jūsų standusis diskas yra padalintas į keletą skaidinių, tik vienas iš jų yra pažymėtas kaip įkraunamas (įkrovimas). Įkrovos programa MBR suranda standžiojo disko įkrovos skaidinį ir perduoda valdymą šio skaidinio įkrovos įkrovikliui. Pastarojo kodas yra toks pat kaip įkrovos programos kodas, esantis įprastuose diskeliuose, o atitinkami įkrovos sektoriai skiriasi tik parametrų lentelėse. Taigi, standžiajame diske yra du įkrovos virusų atakos objektai - įkrovos programa MBR ir elementarus atsisiuntimai įkrovos sektoriujeįkrovos diskas.

2.2. Failų virusai

Dabar panagrinėkime, kaip veikia paprastas failų virusas. Skirtingai nuo įkrovos virusų, kurie beveik visada yra nuolatiniai, failų virusai nebūtinai yra nuolatiniai. Panagrinėkime nerezidento failo viruso veikimo schemą. Tarkime, kad turime užkrėstą vykdomąjį failą. Paleidus tokį failą, virusas perima kontrolę, atlieka kai kuriuos veiksmus ir kontrolę perduoda „šeimininkui“ (nors kol kas nežinoma, kas tokioje situacijoje yra šeimininkas).

Kokius veiksmus atlieka virusas? Jis ieško naujo objekto, kurį nori užkrėsti - tinkamo tipo failo, kuris dar nebuvo užkrėstas (tuo atveju, jei virusas yra „padorus“, kitu atveju yra tokių, kurie užkrečia iš karto nieko netikrindami). Užkrėsdamas failą, virusas įveda save į jo kodą, kad galėtų valdyti, kai failas paleidžiamas. Be pagrindinės savo funkcijos – dauginimosi, virusas gali atlikti kažką sudėtingo (tarkim, klausti, žaisti) – tai jau priklauso nuo viruso autoriaus vaizduotės. Jei failo virusas yra nuolatinis, jis įsidiegs į atmintį ir įgis galimybę užkrėsti failus bei rodyti kitus gebėjimus ne tik tada, kai veikia užkrėstas failas. Užkrėsdamas vykdomąjį failą, virusas visada modifikuoja jo kodą – todėl visada galima aptikti vykdomojo failo užkrėtimą. Tačiau pakeitus failo kodą, virusas nebūtinai atlieka kitus pakeitimus:

à ji neprivalo keisti failo ilgio

à nenaudojamos kodo dalys

à nereikia keisti failo pradžios

Galiausiai, failų virusai dažnai apima virusus, kurie „turi kažką bendro su failais“, bet neprivalo įsiskverbti į jų kodą. Panagrinėkime kaip pavyzdį žinomos Dir-II šeimos virusų veikimo schemą. Reikia pripažinti, kad 1991 metais pasirodę šie virusai Rusijoje sukėlė tikrą maro epidemiją. Apsvarstykite modelį, kuris aiškiai parodo pagrindinę viruso idėją. Informacija apie failus saugoma kataloguose. Kiekviename katalogo įraše yra failo pavadinimas, sukūrimo data ir laikas, kai kurie Papildoma informacija, pirmojo klasterio numeris failas ir kt. atsarginiai baitai. Pastarieji paliekami „rezerve“, o pati MS-DOS nenaudojama.

Vykdant vykdomuosius failus, sistema nuskaito pirmą failo grupę iš katalogo įrašo, o tada visas kitas grupes. Dir-II šeimos virusai atlieka tokį failų sistemos „pertvarkymą“: pats virusas įrašomas į kai kuriuos laisvus disko sektorius, kuriuos pažymi kaip blogus. Be to, ji saugo informaciją apie pirmąsias vykdomųjų failų grupes atsarginiais bitais ir vietoj šios informacijos įrašo nuorodas į save.

Taigi, paleidus bet kurį failą, virusas gauna kontrolę (operacinė sistema ją paleidžia pati), apsigyvena atmintyje ir perduoda valdymą iškviestam failui.

2.3. Įkrovos failų virusai

Įkrovos failo viruso modelio nenagrinėsime, nes tokiu atveju nesužinosite jokios naujos informacijos. Tačiau čia yra galimybė trumpai aptarti pastaruoju metu itin „populiarų“ OneHalf įkrovos failų virusą, kuris užkrečia pagrindinį įkrovos sektorių (MBR) ir vykdomuosius failus. Pagrindinis destruktyvus veiksmas yra kietojo disko sektorių šifravimas. Su kiekvienu paleidimu virusas užšifruoja kitą sektorių dalį, o užšifravęs pusę kietasis diskas, džiaugsmingai tai praneša. Pagrindinė problema gydant šį virusą yra ta, kad neužtenka tik pašalinti virusą iš MBR ir failų, reikia iššifruoti juo užšifruotą informaciją. Labiausiai „mirtinas“ veiksmas yra tiesiog perrašyti naują sveiką MBR. Svarbiausia - nepanikuoti. Viską ramiai pasverkite, pasitarkite su ekspertais.

2.4. Polimorfiniai virusai

Dauguma klausimų yra susiję su terminu „polimorfinis virusas“. Šio tipo kompiuteriniai virusai yra patys pavojingiausi. Paaiškinkime, kas tai yra.

Polimorfiniai virusai yra virusai, kurie modifikuoja savo kodą užkrėstose programose taip, kad du to paties viruso egzemplioriai gali nesutapti viename bite.

Tokie virusai ne tik užšifruoja savo kodą naudodami skirtingus šifravimo kelius, bet ir turi šifruotojo ir iššifratoriaus generavimo kodą, kuris išskiria juos nuo įprastų šifravimo virusų, kurie taip pat gali užšifruoti savo kodo dalis, tačiau tuo pačiu turi pastovų kodą. šifruotojo ir iššifruotojo.

Polimorfiniai virusai yra virusai su savaime besikeičiančiais dekoderiais. Tokio šifravimo tikslas yra tas, kad jei turite užkrėstą ir originalų failą, vis tiek negalėsite išanalizuoti jo kodo naudodami įprastą išardymą. Šis kodas yra užšifruotas ir yra beprasmis komandų rinkinys. Iššifravimą vykdo pats virusas. Tuo pačiu metu galimi variantai: jis gali iššifruoti save iš karto arba gali atlikti tokį iššifravimą „keldamas“, vėl gali užšifruoti jau parengtas dalis. Visa tai daroma siekiant apsunkinti viruso kodo analizę.

3. KOMPIUTERINĖS VIROLOGIJOS ISTORIJA IR VIRUSŲ PRIEŽASTYS

Atrodo, kad kompiuterinės virusologijos istorija šiandien yra nuolatinis „lenktynės dėl lyderio“, ir, nepaisant visos šiuolaikinių antivirusinių programų galios, virusai yra lyderiai. Tarp tūkstančių virusų tik kelios dešimtys yra originalių patobulinimų, kuriuose naudojamos tikrai iš esmės naujos idėjos. Visi kiti yra „temos variacijos“. Tačiau kiekviena originali plėtra verčia antivirusinių programų kūrėjus prisitaikyti prie naujų sąlygų, pasivyti virusų technologijas. Dėl pastarojo galima ginčytis. Pavyzdžiui, 1989 metais amerikiečiui studentui pavyko sukurti virusą, kuris išjungė apie 6000 JAV Gynybos departamento kompiuterių. Arba garsiojo Dir-II viruso epidemija, kilusi 1991 m. Virusas panaudojo tikrai originalią, iš esmės naują technologiją ir iš pradžių sugebėjo plačiai išplisti dėl tradicinio netobulumo antivirusinės priemonės.

Arba kompiuterinių virusų protrūkis JK: Christopheris Pine'as sugebėjo sukurti Pathogen ir Queeq virusus, taip pat Smeg virusą. Būtent pastarasis buvo pavojingiausias, jį buvo galima pritaikyti pirmiems dviem virusams ir dėl to po kiekvieno programos paleidimo jie keitė konfigūraciją. Todėl jų buvo neįmanoma sunaikinti. Norėdami platinti virusus, Pine nukopijavo Kompiuteriniai žaidimai ir programas, užkrėtė jas ir išsiuntė atgal į tinklą. Vartotojai atsisiųsdavo užkrėstas programas į savo kompiuterius ir užkrėstus diskus. Padėtį apsunkino tai, kad „Pine“ pavyko įnešti virusus į su jais kovojančią programą. Jį paleidę vartotojai, užuot sunaikinę virusus, gavo dar vieną. Dėl to daugelio įmonių bylos buvo sunaikintos, nuostoliai siekė milijonus svarų sterlingų.

Amerikiečių programuotojas Morrisas yra plačiai žinomas. Jis žinomas kaip viruso, kuris 1988 m. lapkritį užkrėtė apie 7000 prie interneto prijungtų asmeninių kompiuterių, kūrėjas.

Kompiuterinių virusų atsiradimo ir plitimo priežastys, viena vertus, slypi žmogaus asmenybės psichologijoje ir jos šešėlinėse pusėse (pavydas, kerštas, nepripažintų kūrėjų tuštybė, nesugebėjimas konstruktyviai pritaikyti savo sugebėjimų), kita vertus, kita vertus, dėl aparatinės įrangos trūkumo ir atsakomųjų veiksmų iš operacinės.asmeninių kompiuterių sistemų.

4. VIRUSŲ PASVEIKIMO Į KOMPIUTERĮ BŪDAI IR VIRUSŲ PROGRAMŲ PLATINIMO MECHANIZMAS

Pagrindiniai virusų patekimo į kompiuterį būdai yra keičiamieji diskai (floppy ir lazeriniai), taip pat kompiuterių tinklai. Kietasis diskas gali būti užkrėstas virusais, kai programa įkeliama iš diskelio, kuriame yra virusas. Toks užkrėtimas taip pat gali būti atsitiktinis, pavyzdžiui, jei diskelis nebuvo pašalintas iš įrenginio A ir kompiuteris buvo paleistas iš naujo, o diskelis gali būti ne sisteminis. Daug lengviau užkrėsti diskelį. Virusas gali patekti į jį net tada, kai diskelis tiesiog įdedamas į užkrėsto kompiuterio diskų įrenginį ir, pavyzdžiui, nuskaitomas jo turinys.

Virusas, kaip taisyklė, į darbo programą įvedamas taip, kad jį paleidus pirmiausia jai perkeliamas valdymas ir tik įvykdžius visas jo komandas vėl grįžtama į darbo programą. Gavęs prieigą prie kontrolės, virusas pirmiausia persirašo į kitą veikiančią programą ir ją užkrečia. Paleidus programą, kurioje yra virusas, atsiranda galimybė užkrėsti kitus failus. Dažniausiai virusu yra užkrėstas disko įkrovos sektorius ir vykdomieji failai su plėtiniais EXE, COM, SYS, BAT. Tekstiniai failai užkrėsti itin retai.

Užkrėtęs programą virusas gali atlikti kažkokį sabotažą, ne per rimtą, kad nepatrauktų dėmesio. Ir galiausiai, nepamirškite grąžinti programos, iš kurios ji buvo paleista, valdymo. Kiekvienas užkrėstos programos vykdymas perkelia virusą į kitą. Taigi viskas užsikrečia. programinė įranga.

Norėdami parodyti infekcijos procesą kompiuterio programa kaip virusą, prasminga disko saugyklą lyginti su senamadišku archyvu su aplankais juostoje. Aplankuose yra programos, o viruso įvedimo operacijų seka šiuo atveju atrodys taip. (Žr. 1 priedą)

5. VIRUSŲ ŽENKLAI

Kai kompiuteris yra užkrėstas virusu, svarbu jį aptikti. Norėdami tai padaryti, turėtumėte žinoti apie pagrindinius virusų pasireiškimo požymius. Tai apima:

¨ darbo nutraukimas arba netinkamas anksčiau sėkmingai veikusių programų veikimas

¨ lėtas kompiuterio veikimas

¨ nesugebėjimas paleisti operacinės sistemos

¨ failų ir katalogų dingimas arba jų turinio iškraipymas

¨ pakeisti failų modifikavimo datą ir laiką

¨ failo dydžio keitimas

¨ netikėtas didelis failų skaičiaus padidėjimas diske

¨ žymiai sumažėjo laisvos RAM dydis

¨ netikėtų pranešimų ar vaizdų rodymas ekrane

¨ nenumatytų dalykų pateikimas garso signalus

¨ dažni užšalimai ir kompiuterio gedimai

Pažymėtina, kad minėtus reiškinius nebūtinai sukelia viruso buvimas, bet gali atsirasti dėl kitų priežasčių. Todėl visada sunku teisingai diagnozuoti kompiuterio būklę.

6. VIRUSŲ APTIKRINIMAS IR APSAUGOS IR PREVENCIJOS PRIEMONĖS

6.1. Kaip aptikti virusą ? Tradicinis požiūris

Taigi, tam tikras virusų kūrėjas sukuria virusą ir paleidžia jį į „gyvenimą“. Kurį laiką jis gali vaikščioti laisvai, bet anksčiau ar vėliau „lafa“ baigsis. Kažkas įtars, kad kažkas negerai. Virusai dažniausiai randami paprasti vartotojai kurie pastebi tam tikras kompiuterio elgesio anomalijas. Daugeliu atvejų jie patys negali susidoroti su infekcija, tačiau to iš jų nereikia.

Tik būtina, kad virusas kuo greičiau patektų į specialistų rankas. Profesionalai jį ištirs, sužinos „ką jis veikia“, „kaip veikia“, „kada daro“ ir tt Tokio darbo metu visa reikalinga informacija apie šis virusas, ypač paryškinamas viruso parašas – baitų seka, kuri neabejotinai jį apibūdina. Norint sukurti parašą, dažniausiai paimamos svarbiausios ir būdingiausios viruso kodo dalys. Kartu aiškėja ir viruso veikimo mechanizmai, pavyzdžiui, įkrovos viruso atveju svarbu žinoti, kur jis slepia savo uodegą, kur yra pradinis įkrovos sektorius, o failas vienas, kaip failas yra užkrėstas. Gauta informacija leidžia mums sužinoti:

Kaip aptikti virusą, tam nurodomi parašų paieškos potencialiuose viruso atakos objektuose metodai - failai ir (arba) įkrovos sektoriai

kaip neutralizuoti virusą, esant galimybei, kuriami viruso kodo pašalinimo iš paveiktų objektų algoritmai

6.2. Virusų aptikimo ir apsaugos programos

Kompiuteriniams virusams aptikti, pašalinti ir apsaugoti nuo jų buvo sukurtos kelių tipų specialios programos, leidžiančios aptikti ir sunaikinti virusus. Tokios programos vadinamos antivirusinis . Yra šių tipų antivirusinės programos:

programos-detektoriai

programos – gydytojai ar fagai

programos auditorius

filtravimo programas

vakcinų programas ar imunizatorius

Programos-detektoriai atlikti tam tikram virusui būdingo parašo paiešką operatyviojoje atmintyje ir failuose ir, jei aptiktas, paskelbti atitinkamą pranešimą. Tokių antivirusinių programų trūkumas yra tas, kad jos gali rasti tik tokius virusus, kuriuos žino tokių programų kūrėjai.

Gydytojo programos arba fagai, taip pat vakcinų programos ne tik surasti virusais užkrėstus failus, bet ir juos „išgydyti“, t.y. pašalinkite viruso programos turinį iš failo, grąžindami failus į pradinė būsena. Savo darbo pradžioje fagai ieško virusų RAM atmintyje, juos sunaikina ir tik tada pereina prie failų „gydymo“. Tarp fagų išskiriami polifagai, t.y. gydytojų programos, skirtos rasti ir sunaikinti daugybę virusų. Garsiausios iš jų yra: Aidstest, Scan, Norton AntiVirus, Daktaras Web.

Atsižvelgiant į tai, kad nuolat atsiranda naujų virusų, aptikimo programos ir gydytojų programos greitai pasensta, todėl juos reikia reguliariai atnaujinti.

Auditoriaus programos yra viena iš patikimiausių apsaugos nuo virusų priemonių. Auditoriai įsimena pradinę disko programų, katalogų ir sistemos sričių būseną, kai kompiuteris neužkrėstas virusu, o vėliau periodiškai arba vartotojo prašymu lygina esamą būseną su pradine. Aptikti pakeitimai rodomi monitoriaus ekrane. Paprastai būsenos lyginamos iškart po operacinės sistemos įkėlimo. Lyginant tikrinamas failo ilgis, ciklinis valdymo kodas (failo kontrolinė suma), modifikavimo data ir laikas bei kiti parametrai. Auditoriaus programos turi gana pažangius algoritmus, aptinka slaptus virusus ir netgi gali išvalyti tikrinamos programos versijos pakeitimus nuo viruso padarytų pakeitimų. Tarp audito programų yra ir Rusijoje plačiai naudojama „Adinf“ programa.

Filtravimo programos arba "sargas" yra mažos nuolatinės programos, skirtos aptikti įtartiną kompiuterio veiklą, būdingą virusams. Tokie veiksmai gali būti:

Bandoma ištaisyti failus su COM, EXE plėtiniais

keisti failo atributus

Tiesioginis rašymas į diską absoliučiu adresu

Rašykite į disko įkrovos sektorius

Bet kuriai programai pabandžius atlikti nurodytus veiksmus, „sargas“ siunčia žinutę vartotojui ir siūlo uždrausti arba leisti atitinkamą veiksmą. Filtravimo programos yra labai naudingos, nes jos gali aptikti virusą ankstyviausiu jo egzistavimo etapu prieš dauginimąsi. Tačiau jie „neišgydo“ failų ir diskų. Norėdami sunaikinti virusus, turite naudoti kitas programas, pavyzdžiui, fagus. Prie stebėjimo programų trūkumų galima priskirti jų „erzinimą“ (pavyzdžiui, jos nuolat įspėja apie bet kokį bandymą nukopijuoti vykdomąjį failą), taip pat galimi konfliktai su kita programine įranga. Filtravimo programos pavyzdys yra programa Vsafe, kuri yra MS DOS paslaugų paketo dalis.

Skiepai arba imunizatoriai yra nuolatinės programos, kurios apsaugo nuo failų užkrėtimo. Vakcinos naudojamos, jei nėra gydytojų programų, kurios „gydo“ šį virusą. Skiepijimas galimas tik nuo žinomų virusų. Vakcina modifikuoja programą ar diską taip, kad tai nedarytų įtakos jų darbui, o virusas juos suvoks kaip užkrėstus, todėl neįsišaknys. Vakcinų programos šiuo metu naudojamos ribotai.

Laiku aptikti virusais užkrėsti failai ir diskai, pilnas aptiktų virusų sunaikinimas kiekviename kompiuteryje padeda išvengti viruso epidemijos plitimo į kitus kompiuterius.

6.3. Pagrindinės apsaugos nuo virusų priemonės

Kad jūsų kompiuteris nebūtų užkrėstas virusais ir užtikrintų saugi saugykla informaciją apie diską, reikia laikytis šių taisyklių:

¨ aprūpinkite savo kompiuterį naujausiomis antivirusinėmis programomis, tokiomis kaip Aidstest, Doctor Web, ir nuolat atnaujinkite jų versijas

¨ Prieš skaitydami iš diskelių informaciją, įrašytą kituose kompiuteriuose, visada patikrinkite, ar šiuose diskeliuose nėra virusų, paleisdami savo kompiuterio antivirusines programas.

¨ perkeldami archyvuotus failus į kompiuterį, patikrinkite juos iš karto po to, kai išpakuosite juos standžiajame diske, tikrinimo sritį apribodami tik naujai įrašytais failais.

¨ periodiškai tikrinkite, ar nėra virusų kietieji diskai kompiuteryje paleidžiant antivirusines programas, kad patikrintų failus, atmintį ir diskų sistemos sritis iš apsaugoto diskelio, įkėlus operacinę sistemą iš apsaugoto sistemos diskelio

¨ Visada apsaugokite savo diskelius, kai dirbate su kitais kompiuteriais, jei jie nebus įrašyti į informaciją

¨ Būtinai pasidarykite vertingos informacijos archyvines kopijas į diskelius

¨ nepalikite diskelių A disko kišenėje, kai įjungiate arba perkraunate operacinę sistemą, kad išvengtumėte kompiuterio užkrėtimo įkrovos virusais

¨ naudoti antivirusines programas visų vykdomųjų failų, gaunamų iš kompiuterių tinklų, įvesties kontrolei

¨ siekiant užtikrinti didesnį saugumą, Aidstest ir Doctor Web naudojimas turi būti derinamas su kasdieniu Adinf disko auditoriaus naudojimu.

IŠVADA

Taigi, galime paminėti daugybę faktų, rodančių, kad grėsmė informacijos ištekliui kasdien didėja, todėl atsakingi asmenys bankuose, įmonėse ir įmonėse visame pasaulyje kyla į paniką. O ši grėsmė kyla iš kompiuterinių virusų, kurie iškraipo ar sunaikina gyvybiškai svarbią, vertingą informaciją, o tai gali atnešti ne tik finansinių nuostolių, bet ir žmonių aukų.

Kompiuterinis virusas - specialiai parašyta programa, kuri gali spontaniškai prisijungti prie kitų programų, kurti savo kopijas ir įterpti jas į failus, kompiuterių sistemos sritis ir kompiuterių tinklai siekiant sutrikdyti programų veikimą, sugadinti failus ir katalogus, sukurti visokius trukdžius kompiuterio darbui.

Šiuo metu žinoma daugiau nei 5000 programinių virusų, kurių skaičius nuolat auga. Pasitaiko atvejų, kai buvo sukurtos pamokos, padedančios rašyti virusus.

Pagrindiniai virusų tipai: boot, file, file-boot. Pavojingiausias virusų tipas yra polimorfinis.

Iš kompiuterinės virusologijos istorijos matyti, kad bet koks originalus kompiuterių kūrimas verčia antivirusinių programų kūrėjus prisitaikyti prie naujų technologijų, nuolat tobulinti antivirusines programas.

Virusų atsiradimo ir plitimo priežastys, viena vertus, slypi žmogaus psichologijoje, kita vertus, operacinės sistemos apsaugos stoka.

Pagrindiniai virusų įsiskverbimo būdai yra keičiami diskai ir kompiuterių tinklai. Kad taip neatsitiktų, imkitės atsargumo priemonių. Taip pat buvo sukurtos kelių tipų specialios programos, vadinamos antivirusinėmis programomis, skirtomis kompiuterių virusams aptikti, pašalinti ir apsaugoti nuo jų. Jei vis tiek radote virusą savo kompiuteryje, pagal tradicinį metodą geriau pasikviesti profesionalą, kad jis galėtų tai išsiaiškinti.

Tačiau kai kurios virusų savybės glumina net ekspertus. Dar visai neseniai buvo sunku įsivaizduoti, kad virusas gali išgyventi šaltą perkrovimą arba plisti per dokumentų failus. Tokiomis sąlygomis neįmanoma nesureikšminti bent jau pradinio vartotojų antivirusinio išsilavinimo. Nepaisant problemos rimtumo, joks virusas negali padaryti tiek žalos, kiek išbalęs vartotojas drebančiomis rankomis!

Taigi, jūsų kompiuterių sveikata, jūsų duomenų saugumas – jūsų rankose!

Bibliografinis sąrašas

1. Informatika: vadovėlis / red. Prof. N.V. Makarova. - M.: Finansai ir statistika, 1997 m.

2. Paslapčių ir pojūčių enciklopedija / Parengta. tekstas Yu.N. Petrovas. - Minskas: literatūra, 1996 m.

3. Bezrukovas N.N. Kompiuteriniai virusai. - M.: Nauka, 1991 m.

4. Mostovoy D.Yu. Šiuolaikinės technologijos kova su virusais // PC World. - Nr.8. – 1993 m.

Antivirusinė apsauga yra labiausiai paplitusi priemonė IT infrastruktūros informacijos saugumui užtikrinti įmonių sektoriuje. Tačiau tik 74% Rusijos įmonių naudoja antivirusinius sprendimus apsaugai, parodė „Kaspersky Lab“ kartu su analitine bendrove „B2B International“ (2013 m. rudenį) atliktas tyrimas.

Ataskaitoje taip pat sakoma, kad tarp kibernetinių grėsmių, su kuriomis susiduria įmonės, sprogimas paprastos antivirusinės, Rusijos verslas vis dažniau naudoja sudėtingas apsaugos priemones. Daugiausia dėl šios priežasties duomenų šifravimo įrankių naudojimas išaugo 7%. nuimama laikmena(24 proc.). Be to, įmonės vis labiau nori atskirti išimamųjų įrenginių saugumo politiką. Taip pat padidėjo prieigos prie skirtingų IT infrastruktūros dalių lygio diferenciacija (49 proc.). Tuo metu smulkus ir vidutinis verslas daugiau dėmesio skiria išimamų įrenginių valdymui (35 proc.) ir programų valdymui (31 proc.).

Tyrėjai taip pat nustatė, kad nepaisant nuolatinių naujų programinės įrangos pažeidžiamumų, Rusijos įmonės vis tiek nekreipia reikiamo dėmesio į reguliarius programinės įrangos atnaujinimus. Be to, pataisančių organizacijų skaičius nuo praėjusių metų sumažėjo iki vos 59%.

Šiuolaikinės antivirusinės programos gali efektyviai aptikti kenkėjiškus objektus programų failuose ir dokumentuose. Kai kuriais atvejais antivirusinė programa gali pašalinti kenkėjiško objekto turinį iš užkrėsto failo, atkurdama patį failą. Daugeliu atvejų antivirusinė programa gali pašalinti kenkėjiškos programos objektą ne tik iš programos failo, bet ir iš biuro dokumentų failo, nepažeisdama jo vientisumo. Antivirusinių programų naudojimas nereikalauja aukštos kvalifikacijos ir yra prieinamas beveik kiekvienam kompiuterio vartotojui.

Dauguma antivirusinių programų derina apsaugą realiuoju laiku (virusų stebėjimas) ir apsaugą pagal pareikalavimą (virusų skaitytuvą).

Antivirusinis įvertinimas

2019 m.: Du trečdaliai „Android“ skirtų antivirusinių programų buvo nenaudingos

2019 m. kovo mėn. Austrijos laboratorija „AV-Comparatives“, kurios specializacija yra antivirusinės programinės įrangos testavimas, paskelbė tyrimo rezultatus, kurie parodė daugelio šių programų, skirtų „Android“, nenaudingumą.

Tik 23 antivirusinės programos, esančios oficialiame „Google Play“ parduotuvės kataloge, 100% atvejų tiksliai atpažįsta kenkėjiškas programas. Likusi programinės įrangos dalis arba nereaguoja į mobiliąsias grėsmes, arba naudoja visiškai saugias joms skirtas programas.

Ekspertai ištyrė 250 antivirusinių programų ir pranešė, kad tik 80% jų gali aptikti daugiau nei 30% kenkėjiškų programų. Taigi 170 paraiškų neišlaikė testo. Testus išlaikę produktai daugiausia buvo didelių gamintojų sprendimai, įskaitant Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro ir Trustwave.

Vykdydami eksperimentą, tyrėjai įdiegė kiekvieną antivirusinę programą atskirame įrenginyje (be emuliatoriaus) ir automatizavo įrenginius, kad paleistų naršyklę, atsisiųstų ir įdiegtų kenkėjiškas programas. Kiekvienas įrenginys buvo išbandytas nuo 2000 labiausiai paplitusių Android virusų 2018 m.

„AV-Comparatives“ duomenimis, dauguma antivirusiniai sprendimai android yra klastotės. Dešimtys programų turi beveik identišką sąsają, o jų kūrėjams akivaizdžiai labiau rūpi reklamų rodymas, o ne veikiančio virusų skaitytuvo rašymas.

Kai kurios antivirusinės programos „mato“ grėsmę bet kurioje programoje, kuri nėra įtraukta į jų „baltąjį sąrašą“. Dėl šios priežasties jie keliais labai anekdotiniais atvejais kėlė pavojaus signalą dėl savo pačių failų, nes kūrėjai pamiršo juos paminėti „baltajame sąraše“.

2017 m.: „Microsoft Security Essentials“ pripažinta viena blogiausių antivirusinių programų

2017 metų spalį Vokietijos antivirusinė laboratorija „AV-Test“ paskelbė išsamių antivirusinių tyrimų rezultatus. Remiantis tyrimu, patentuota „Microsoft“ programinė įranga, skirta apsaugoti nuo kenkėjiška veikla, beveik prasčiausiai iš visų susidoroja su savo pareigomis.

Remiantis 2017 m. liepos–rugpjūčio mėnesiais atliktų testų rezultatais, „AV-Test“ ekspertai „Kaspersky Internet Security“ paskelbė geriausia „Windows 7“ antivirusine programa, kuri gavo 18 balų pagal apsaugą, našumą ir naudojimo patogumą.

Į tris geriausius pateko „Trend Micro“ programos interneto apsauga ir „Bitdefender Internet Security“, surinkusios po 17,5 taško. Kitų į tyrimą įtrauktų antivirusinių kompanijų produktų poziciją galite rasti toliau pateiktose iliustracijose:

Daugelis skaitytuvų taip pat naudoja euristinius nuskaitymo algoritmus, t.y. komandų sekos tikrinamame objekte analizė, tam tikros statistikos rinkimas ir sprendimų priėmimas dėl kiekvieno tikrinamo objekto.

Skaitytuvus taip pat galima suskirstyti į dvi kategorijas – universalius ir specializuotus. Universalūs skaitytuvai skirti ieškoti ir neutralizuoti visų tipų virusus, nepriklausomai nuo operacinės sistemos, kurioje skaitytuvas skirtas veikti. Specializuoti skaitytuvai skirti neutralizuoti ribotą skaičių virusų arba tik vieną jų klasę, pavyzdžiui, makrovirusus.

Skaitytuvai taip pat skirstomi į nuolatinius (monitorius), kurie skenuoja skraidydami, ir nerezidentus, kurie tikrina sistemą tik paprašius. Paprastai nuolatiniai skaitytuvai užtikrina patikimesnę sistemos apsaugą, nes jie iš karto reaguoja į viruso atsiradimą, o nerezidentinis skaitytuvas virusą gali atpažinti tik kito paleidimo metu.

CRC skaitytuvai

CRC skaitytuvų veikimo principas pagrįstas diske esančių failų / sistemos sektorių CRC sumų (kontrolinių sumų) apskaičiavimu. Tada šios CRC sumos saugomos antivirusinėje duomenų bazėje, taip pat kai kuri kita informacija: failų ilgiai, paskutinio pakeitimo datos ir kt. Kitą kartą paleidžiant CRC skaitytuvus, jie patikrina duomenų bazėje esančius duomenis su faktinėmis apskaičiuotomis vertėmis. Jei duomenų bazėje įrašyta failo informacija nesutampa su realiomis reikšmėmis, tada CRC skaitytuvai signalizuoja, kad failas buvo pakeistas arba užkrėstas virusu.

CRC skaitytuvai nepajėgia pagauti viruso jo atsiradimo sistemoje momentu, tačiau tai daro tik po kurio laiko, virusui išplitus po visą kompiuterį. CRC skaitytuvai negali aptikti viruso naujuose failuose (el. pašte, diskeliuose, failuose, atkurtuose iš atsarginės kopijos arba išpakuojant failus iš archyvo), nes jų duomenų bazėse nėra informacijos apie šiuos failus. Be to, periodiškai atsiranda virusų, kurie naudojasi šia CRC skaitytuvų silpnybe, užkrečia tik naujai sukurtus failus ir taip jiems lieka nematomi.

Blokatoriai

Antivirusiniai blokatoriai yra nuolatinės programos, kurios perima virusams pavojingas situacijas ir praneša apie tai vartotojui. Virusams pavojingi iškvietimai apima iškvietimus atidaryti rašymą į vykdomuosius failus, įrašymą į diskų įkrovos sektorius arba standžiojo disko MBR, programų bandymus likti nuolatiniams ir pan., tai yra iškvietimai, būdingi virusams reprodukcijos laikas.

Blokatorių pranašumai apima jų gebėjimą aptikti ir sustabdyti virusą ankstyvame jo dauginimosi etape. Trūkumai apima būdų, kaip apeiti blokatorių apsaugą, buvimą ir daugybę klaidingų teigiamų rezultatų.

Imunizatoriai

Imunizatoriai skirstomi į du tipus: imunizatorius, kurie praneša apie infekciją, ir imunizatorius, kurie blokuoja infekciją. Pirmieji dažniausiai rašomi iki failų pabaigos (pagal failų viruso principą) ir kiekvieną kartą paleidus failą tikrinama, ar nėra pakeitimų. Tokių imunizatorių trūkumas yra tik vienas, tačiau jis mirtinas: visiškas nesugebėjimas pranešti apie užsikrėtimą slaptu virusu. Todėl tokie imunizatoriai, kaip ir blokatoriai, šiuo metu praktiškai nenaudojami.

Antrasis imunizacijos tipas apsaugo sistemą nuo tam tikro tipo viruso atakos. Diskuose esantys failai modifikuojami taip, kad virusas juos perima jau užkrėstus. Norint apsisaugoti nuo nuolatinio viruso, į kompiuterio atmintį įvedama programa, imituojanti viruso kopiją. Paleidus, virusas užklysta ir mano, kad sistema jau užkrėsta.

Šis imunizacijos tipas negali būti universalus, nes neįmanoma imunizuoti failų nuo visų žinomų virusų.

Antivirusinių vaistų klasifikavimas pagal laiko kintamumą

Anot Valerijaus Konyavskio, antivirusinius vaistus galima suskirstyti į dvi dalis didelės grupės- analizuoti duomenis ir analizuoti procesus.

Duomenų analizė

Duomenų analizė apima auditorius ir polifagus. Auditoriai analizuoja kompiuterinių virusų ir kitų kenkėjiškų programų veiklos pasekmes. Pasekmės rodomos pasikeitus duomenims, kurie neturėtų keistis. Būtent duomenų pasikeitimo faktas yra kenkėjiškų programų aktyvumo požymis auditoriaus požiūriu. Kitaip tariant, auditoriai kontroliuoja duomenų vientisumą ir, pažeidę vientisumą, priima sprendimą dėl kenkėjiškų programų buvimo kompiuterio aplinkoje.

Polifagai veikia skirtingai. Remdamiesi duomenų analize, jie nustato kenkėjiško kodo fragmentus (pavyzdžiui, pagal jo parašą) ir pagal tai daro išvadą apie kenkėjiškų programų buvimą. Virusais užkrėstų duomenų ištrynimas arba dezinfekavimas padeda išvengti neigiamų kenkėjiškų programų vykdymo pasekmių. Taigi, remiantis analize statikoje, išvengiama dinamikoje kylančių pasekmių.

Tiek auditorių, tiek polifagų darbo schema beveik ta pati – palyginti duomenis (ar jų kontrolinę sumą) su viena ar keliomis etaloninėmis imtimis. Duomenys lyginami su duomenimis. Taigi, norint rasti virusą savo kompiuteryje, reikia, kad jis jau veiktų, kad atsirastų jo veiklos pasekmės. Šiuo metodu galima rasti tik žinomus virusus, kurių kodo fragmentai arba parašai buvo aprašyti anksčiau. Mažai tikėtina, kad tokia apsauga gali būti vadinama patikima.

Proceso analizė

Proceso analize pagrįstos antivirusinės priemonės veikia kiek kitaip. Euristiniai analizatoriai, kaip aprašyti aukščiau, analizuoja duomenis (diske, kanale, atmintyje ir kt.). Esminis skirtumas yra tas, kad analizė atliekama darant prielaidą, kad analizuojamas kodas yra ne duomenys, o komandos (kompiuteriuose su von Neumann architektūra duomenys ir komandos yra neatskiriami, todėl reikia pateikti vieną ar kitą prielaidą analizės metu).

Euristinis analizatorius parenka operacijų seką, kiekvienai iš jų priskiria tam tikrą pavojaus įvertinimą ir pagal pavojų visumą nusprendžia, ar ši operacijų seka yra kenksmingo kodo dalis. Pats kodas nevykdomas.

Kitas antivirusinių įrankių tipas, pagrįstas proceso analize, yra elgesio blokatoriai. Šiuo atveju įtartinas kodas vykdomas žingsnis po žingsnio, kol kodo inicijuotų veiksmų rinkinys įvertinamas kaip pavojingas (arba saugus) elgesys. Šiuo atveju kodas yra iš dalies vykdomas, nes kenkėjiško kodo užbaigimą galima aptikti paprastesniais duomenų analizės metodais.

Virusų aptikimo technologijos

Antivirusinėse technologijose naudojamas technologijas galima suskirstyti į dvi grupes:

  • Parašo analizės technologijos
  • Tikimybinės analizės technologijos

Parašo analizės technologijos

Parašo analizė yra virusų aptikimo metodas, kuris tikrina, ar failuose nėra virusų parašų. Parašo analizė yra labiausiai žinomas virusų aptikimo metodas ir naudojamas beveik visose šiuolaikinėse antivirusinėse programose. Norint atlikti nuskaitymą, antivirusinei programai reikia virusų parašų rinkinio, kuris yra saugomas antivirusinių duomenų bazėje.

Kadangi parašų analizė apima failų tikrinimą, ar nėra virusų parašų, antivirusinė duomenų bazė turi būti periodiškai atnaujinama, kad antivirusinė programa būtų atnaujinta. Pats parašo analizės principas apibrėžia ir jo funkcionalumo ribas – galimybę aptikti tik žinomus virusus – parašo skaitytuvas yra bejėgis prieš naujus virusus.

Kita vertus, viruso parašų buvimas rodo gydymo galimybę užkrėsti failai aptikta naudojant parašo analizę. Tačiau gydymas yra priimtinas ne visiems virusams – Trojos arklys ir dauguma kirminų dėl jų nepagydomi dizaino elementai, nes jie yra tvirti moduliai, skirti padaryti žalą.

Kompetentingas viruso parašo įdiegimas leidžia 100% tikrumu aptikti žinomus virusus.

Tikimybinės analizės technologijos

Tikimybinės analizės technologijos savo ruožtu skirstomos į tris kategorijas:

  • Euristinė analizė
  • Elgesio analizė
  • Kontrolinės sumos analizė

Euristinė analizė

Euristinė analizė – tai tikimybiniais algoritmais pagrįsta technologija, kurios rezultatas – įtartinų objektų identifikavimas. Proceso eigoje euristinė analizė tikrinama failo struktūra, jos atitiktis virusų šablonams. Populiariausia euristinė technika – patikrinti failo turinį, ar nėra jau žinomų virusų parašų ir jų derinių modifikacijų. Tai padeda aptikti anksčiau žinomų virusų hibridus ir naujas versijas be papildomo antivirusinės duomenų bazės atnaujinimo.

Euristinė analizė naudojama nežinomiems virusams aptikti ir dėl to neapima gydymo. Ši technologija negali 100% nustatyti priešais esančio viruso ar ne, ir, kaip ir bet kuris tikimybinis algoritmas, ji nusideda su klaidingais teigiamais rezultatais.

Elgesio analizė

Elgesio analizė – tai technologija, kai sprendimas dėl tikrinamo objekto pobūdžio priimamas remiantis jo atliekamų operacijų analize. Elgesio analizė praktikoje taikoma labai siaurai, nes daugumą virusams būdingų veiksmų galima atlikti įprastomis programomis. Scenarijų ir makrokomandų elgsenos analizatoriai yra žinomiausi, nes atitinkami virusai beveik visada atlieka daugybę panašių veiksmų.

Į BIOS įterptas saugos funkcijas taip pat galima priskirti elgesio analizatoriams. Kai bandoma pakeisti kompiuterio MBR, analizatorius blokuoja veiksmą ir parodo atitinkamą pranešimą vartotojui.

Be to, elgsenos analizatoriai gali sekti bandymus tiesiogiai pasiekti failus, atlikti pakeitimus įkrovos įrašas diskelių formatavimas kietieji diskai ir tt

Elgesio analizatoriai savo darbui nenaudoja papildomų objektų, tokių kaip virusų duomenų bazės, todėl negali atskirti žinomų ir nežinomų virusų – visos įtartinos programos a priori laikomos nežinomais virusais. Panašiai ir priemonių, diegiančių elgesio analizės technologijas, veikimo ypatumai nereiškia gydymo.

Kontrolinės sumos analizė

Kontrolinės sumos analizė yra būdas sekti kompiuterinės sistemos objektų pokyčius. Remiantis pakeitimų pobūdžio analize – vienalaikiškumas, masinis pobūdis, identiški failų ilgio pokyčiai – galima daryti išvadą, kad sistema yra užkrėsta. Kontrolinių sumų analizatoriai (dar vadinami pokyčių auditoriais), kaip ir elgesio analizatoriai, savo darbe nenaudoja papildomų objektų ir priima verdiktą dėl viruso buvimo sistemoje tik ekspertinio vertinimo metodu. Panašios technologijos naudojamos ir prieigos skaitytuvuose – pirmo patikrinimo metu iš failo paimama kontrolinė suma ir įdedama į talpyklą, prieš kitą to paties failo patikrą vėl imama kontrolinė suma, palyginama, o jei nėra pakeitimų, failas laikomas neužkrėstu.

Antivirusiniai kompleksai

Antivirusinis kompleksas - antivirusinių programų, naudojančių tą patį antivirusinį variklį ar variklius, rinkinys, skirtas išspręsti praktines antivirusinės apsaugos užtikrinimo problemas. kompiuterių sistemos. Antivirusinis kompleksas taip pat apima antivirusinių duomenų bazių atnaujinimo priemones.

Be to, į antivirusinį kompleksą gali būti papildomai įtraukti elgesio analizatoriai ir keitimo auditoriai, kurie nenaudoja antivirusinio variklio.

Yra šių tipų antivirusiniai kompleksai:

  • Antivirusinis kompleksas darbo vietų apsaugai
  • Antivirusinis kompleksas failų serveriams apsaugoti
  • Antivirusinis kompleksas pašto sistemų apsaugai
  • Antivirusinis kompleksas šliuzų apsaugai.

Debesis prieš tradicinę darbalaukio antivirusinę programą: kurią turėtumėte pasirinkti?

(Pagal šaltinį Webroot.com)

Šiuolaikinė antivirusinių priemonių rinka visų pirma yra tradiciniai stalinių kompiuterių sprendimai, kurių apsaugos mechanizmai yra sukurti parašais pagrįstų metodų pagrindu. Alternatyvus būdas antivirusinė apsauga – euristinės analizės naudojimas.

Problemos su tradicine antivirusine programine įranga

Pastaraisiais metais tradicinės antivirusinės technologijos dėl daugelio veiksnių tapo vis mažiau veiksmingos ir greitai paseno. Virusų grėsmių, atpažįstamų pagal jų parašus, skaičius jau yra toks didelis, kad laiku užtikrinti 100% parašų duomenų bazių atnaujinimą vartotojų kompiuteriuose dažnai yra nereali užduotis. Įsilaužėliai ir kibernetiniai nusikaltėliai vis dažniau naudoja botnetus ir kitas technologijas, kad paspartintų nulinės dienos virusų grėsmių plitimą. Be to, tikslinių atakų metu atitinkamų virusų parašai nesukuriami. Galiausiai taikomos naujos antivirusinės aptikimo technologijos: kenkėjiškų programų šifravimas, polimorfinių virusų kūrimas serverio pusėje, preliminarus viruso atakos kokybės patikrinimas.

Tradicinė antivirusinė apsauga dažniausiai kuriama „storojo kliento“ architektūroje. Tai reiškia, kad kliento kompiuteryje įdiegtas tomas. programavimo kodas. Jis tikrina gaunamus duomenis ir aptinka virusų grėsmes.

Šis metodas turi keletą trūkumų. Pirma, norint nuskaityti, ar nėra kenkėjiškų programų ir atitinkančių parašų, reikalinga didelė skaičiavimo apkrova, kuri „atimama“ iš vartotojo. Dėl to sumažėja kompiuterio našumas, o antivirusinės programos veikimas kartais trukdo lygiagrečiai vykdyti taikomas užduotis. Kartais vartotojo sistemos apkrova yra tokia pastebima, kad vartotojai išjungia antivirusines programas, taip pašalindami kliūtis potencialiai virusų atakai.

Antra, kiekvieną kartą atnaujinant vartotojo įrenginį reikia perduoti tūkstančius naujų parašų. Perduotų duomenų kiekis paprastai yra 5 MB per dieną vienam įrenginiui. Duomenų perdavimas sulėtina tinklą, nukreipia papildomus sistemos resursus, reikalauja įtraukimo sistemos administratoriai kontroliuoti eismą.

Trečia, vartotojai, kurie yra tarptinkliniu ryšiu arba toli nuo savo fiksuotos darbo vietos, yra pažeidžiami nulinės dienos atakų. Norėdami gauti atnaujintą parašų dalį, jie turi prisijungti prie VPN tinklo, kuris jiems nepasiekiamas nuotoliniu būdu.

Antivirusinė apsauga nuo debesies

Perėjus prie antivirusinės apsaugos nuo debesies, sprendimo architektūra gerokai pasikeičia. Vartotojo kompiuteryje įdiegtas „lengvas“ klientas, kurio pagrindinė funkcija yra ieškoti naujų failų, apskaičiuoti maišos reikšmes ir siųsti duomenis. debesies serveris. Debesyje atliekamas plataus masto palyginimas didelėje surinktų parašų duomenų bazėje. Ši duomenų bazė nuolat ir laiku atnaujinama antivirusinių kompanijų perduodamais duomenimis. Klientas gauna ataskaitą su audito rezultatais.

Taigi antivirusinės apsaugos debesų architektūra turi visa linija privalumai:

  • skaičiavimų apimtis vartotojo kompiuteryje yra nereikšminga lyginant su storu klientu, todėl vartotojo produktyvumas nemažėja;
  • nėra jokio katastrofiško antivirusinio srauto poveikio pralaidumas tinklai: turi būti siunčiama kompaktiška duomenų dalis, kurioje yra tik kelios dešimtys maišos reikšmių, vidutinis dienos srautas neviršija 120 KB;
  • debesies saugykloje yra didžiuliai parašų masyvai, daug didesni nei saugomi vartotojų kompiuteriuose;
  • debesyje naudojami parašų palyginimo algoritmai yra žymiai išmanesni nei vietinės stoties lygmenyje naudojami supaprastinti modeliai, o dėl didesnio našumo duomenų palyginimas užtrunka trumpiau;
  • debesyje pagrįstos antivirusinės paslaugos veikia su tikrais duomenimis, gautais iš antivirusinių laboratorijų, saugos kūrėjų, įmonių ir privačių vartotojų; nulinės dienos grėsmės blokuojamos kartu su jų atpažinimu, nedelsiant dėl ​​poreikio gauti prieigą prie vartotojų kompiuterių;
  • vartotojai, kurie naudojasi tarptinkliniu ryšiu arba neturi prieigos prie savo pagrindinių darbo vietų, gauna apsaugą nuo nulinės dienos atakų tuo pačiu metu, kai prisijungia prie interneto;
  • sumažėja sistemos administratorių apkrova: jiems nereikia gaišti laiko diegiant antivirusinę programinę įrangą vartotojų kompiuteriuose, taip pat atnaujinant parašų duomenų bazes.

Kodėl tradicinės antivirusinės programos nepavyksta

Šiuolaikinis kenkėjiškas kodas gali:

  • Apeikite antivirusines spąstus sukurdami specialų tikslinį virusą įmonei
  • Prieš sukurdama parašą, antivirusinė programa vengs naudodama polimorfizmą, perkodavimą naudodama dinaminį DNS ir URL
  • Tikslo kūrimas įmonei
  • Polimorfizmas
  • Kodas niekam nežinomas – parašo nėra

Sunku gintis

Didelės spartos antivirusinė programa 2011 m

Rusijos nepriklausomas informacijos ir analitinis centras Anti-Malware.ru 2011 m. gegužę paskelbė kito tyrimo rezultatus. lyginamasis testas 20 populiariausių antivirusinių programų, skirtų našumui ir sistemos išteklių sunaudojimui.

Šio testo tikslas – parodyti, kurios asmeninės antivirusinės priemonės turi mažiausiai įtakos tipinėms vartotojo operacijoms kompiuteryje, mažiau lėtina jo darbą ir sunaudoja minimalų sistemos resursų kiekį.

Tarp antivirusinių monitorių (realaus laiko skaitytuvų) visa produktų grupė parodė labai gerą didelis greitis veikia, tarp jų: ​​Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro ir Dr.Web. Naudojant šias antivirusines programas, bandymų kolekcijos kopijavimo sulėtėjimas buvo mažesnis nei 20%, palyginti su etalonu. Antivirusiniai monitoriai „BitDefender“, „PC Tools“, „Outpost“, „F-Secure“, „Norton“ ir „Emsisoft“ taip pat parodė aukštus našumo rezultatus, patenkančius į 30–50%. Antivirusiniai monitoriai „BitDefender“, „PC Tools“, „Outpost“, „F-Secure“, „Norton“ ir „Emsisoft“ taip pat parodė aukštus našumo rezultatus, patenkančius į 30–50%.

Tuo pačiu metu „Avira“, AVG, „BitDefender“, „F-Secure“, „G Data“, „Kaspersky Anti-Virus“, „Norton“, „Outpost“ ir „PC Tools“ gali būti žymiai greitesni realiomis sąlygomis dėl optimizavimo po patikros.

„Avira“ antivirusinė programa parodė geriausią nuskaitymo pagal pareikalavimą greitį. Šiek tiek atsiliko nuo jo „Kaspersky Anti-Virus“, „F-Secure“, „Norton“, „G Data“, „BitDefender“, „Kaspersky Anti-Virus“ ir „Outpost“. Kalbant apie pirmojo nuskaitymo greitį, šios antivirusinės programos yra tik šiek tiek prastesnės už lyderį, tuo pačiu metu jų visų arsenale yra galingos kartotinių nuskaitymų optimizavimo technologijos.

Kita svarbi antivirusinės programos greičio savybė yra jos poveikis programų, su kuriomis vartotojas dažnai dirba, darbui. Testui buvo atrinkti penki iš jų: Internet Explorer, Microsoft Office Word, Microsoft Outlook , Adobe Acrobat Skaitytojas ir Adobe Photoshop. Mažiausias šių paleidimo sulėtėjimas biuro programos parodė antivirusus Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost ir G Data.

Eugenijus Kasperskis 1992 m. naudojo tokią antivirusinių programų klasifikaciją, priklausomai nuo jų veikimo principo (nusakomas funkcionalumas):

Ø Skaitytuvai (pasenusi versija – „polifagai“, „detektoriai“) – nustatyti viruso buvimą pagal parašų duomenų bazę, kurioje saugomi virusų parašai (arba jų kontrolinės sumos). Jų efektyvumą lemia virusų duomenų bazės aktualumas ir euristinio analizatoriaus buvimas.

Ø auditoriai (klasė, artima IDS) - prisiminkite failų sistemos būseną, kuri leidžia analizuoti pokyčius ateityje.

Ø budėtojas (rezidentų monitoriai arba filtrai ) - sekti potencialiai pavojingas operacijas, pateikiant vartotojui atitinkamą užklausą leisti/uždrausti operaciją.

Ø Skiepai (imunizatoriai ) – pakeiskite įskiepytą failą taip, kad virusas, nuo kurio skiepijama, failą jau laikytų užkrėstu. Šiuolaikinėmis sąlygomis, kai galimų virusų skaičius matuojamas šimtais tūkstančių, šis metodas netaikomas.

Šiuolaikinės antivirusinės programos sujungia visas aukščiau išvardytas funkcijas.

Antivirusines programas taip pat galima suskirstyti į:

Produktai namų vartotojams:

Tiesą sakant, antivirusinės programos;

Kombinuoti produktai (pavyzdžiui, į klasikinę antivirusinę buvo įtraukta anti-spam, ugniasienė, anti-rootkit ir kt.);

Įmonės produktai:

Serverio antivirusai;

Antivirusinės programos darbo stotyse („galinis taškas“).

Dalijimasis Antivirusinės programos duoda gerų rezultatų, nes puikiai viena kitą papildo:

Tikrinami duomenys, gaunami iš išorinių šaltinių detektoriaus programa. Jei šie duomenys buvo pamiršti patikrinti ir buvo paleista užkrėsta programa, ją gali sugauti stebėjimo programa. Tiesa, abiem atvejais šioms antivirusinėms programoms žinomi virusai yra patikimai aptinkami. Tai yra ne daugiau kaip 80–90% atvejų.

- budėtojas gali aptikti net nežinomus virusus, jei jie elgiasi labai įžūliai (pabandykite suformatuoti HDD arba atlikti pakeitimus sistemos failai). Tačiau kai kurie virusai gali apeiti tokią kontrolę.

Jei viruso neaptiko detektorius ar budėtojas, tada jo veiklos rezultatus aptiks programa – auditorius.

Paprastai kompiuteryje turi veikti nuolatinės stebėjimo programos, detektoriai turėtų būti naudojami duomenims, gaunamiems iš išorinių šaltinių (failų ir diskelių) tikrinti, o auditoriai turėtų būti paleisti kartą per dieną, kad aptiktų ir analizuotų pokyčius diskuose. Visa tai turėtų būti derinama su reguliariu duomenų atsarginių kopijų kūrimu ir prevencinių priemonių, mažinančių viruso užsikrėtimo tikimybę, naudojimu.

Bet kokia antivirusinė programa „sulėtina“ kompiuterį, tačiau yra patikima priemonė nuo žalingo virusų poveikio.


Klaidingi antivirusai (klaidingi antivirusai).

2009 metais įvairių gamintojų antivirusai pradėjo pranešti apie platų naujo tipo antivirusų – netikrų antivirusų arba pseudoantivirusų (rogueware) – platinimą. Tiesą sakant, šios programos yra arba visai ne antivirusinės (tai yra, jos nepajėgios kovoti su kenkėjiškomis programomis), arba net virusai (vagia kredito kortelės informaciją ir pan.).

Nesąžiningos antivirusinės priemonės naudojamos apgaulės būdu išvilioti iš vartotojų pinigus. Vienas iš būdų užkrėsti kompiuterį netikra antivirusine programa yra toks. Vartotojas nukreipiamas į „užkrėstą“ svetainę, kurioje pateikiamas įspėjamasis pranešimas, pavyzdžiui: „Jūsų kompiuteryje rastas virusas“. Tada vartotojas raginamas atsisiųsti nemokama programa(klaidinga antivirusinė programa), kad pašalintumėte virusą. Po įdiegimo netikra antivirusinė programa nuskaito kompiuterį ir tariamai aptinka kompiuteryje daug virusų. Norėdami pašalinti kenkėjiškas programas, netikra antivirusinė siūlo įsigyti mokamą programos versiją. Ištiktas vartotojas sumoka (suma nuo 50 USD iki 80 USD), o netikra antivirusinė programa išvalo kompiuterį nuo neegzistuojančių virusų.

Antivirusinės programos SIM, „flash“ kortelėse ir USB įrenginiai

Šiandien gaminami mobilieji telefonai turi daugybę sąsajų ir duomenų perdavimo galimybių. Prieš prijungdami bet kokius mažus įrenginius, vartotojai turėtų atidžiai išstudijuoti apsaugos metodus.

Apsaugos metodai, tokie kaip aparatinė įranga, galbūt antivirusinės USB įrenginiuose ar SIM kortelėse, labiau tinka mobiliųjų telefonų naudotojams. Techninis įvertinimas ir apžvalga, kaip įdiegti antivirusinę programą mobiliajame telefone, turėtų būti laikoma nuskaitymo procesu, kuris gali turėti įtakos kitoms teisėtoms šio telefono programoms.

Antivirusinės programos SIM kortelėje su antivirusine programa, įmontuota mažos talpos atminties srityje, užtikrina apsaugą nuo kenkėjiškų programų/virusų, apsaugodamos PIN kodą ir telefono vartotojo informaciją. „Flash“ kortelėse esantys antivirusai leidžia vartotojui keistis informacija ir naudoti šiuos produktus su įvairiais aparatūros įrenginiais, taip pat įvairiais ryšio kanalais siųsti šiuos duomenis į kitus įrenginius.

Antivirusinės programos, mobilieji įrenginiai ir inovatyvūs sprendimai

Ateityje gali būti, kad mobilieji telefonai bus užkrėsti virusu. Vis daugiau šios srities kūrėjų siūlo antivirusines programas kovai su virusais ir mobiliųjų telefonų apsaugai. AT mobiliuosius įrenginius Yra šie virusų kontrolės tipai:

– procesoriaus apribojimai;

– atminties limitas;

– šių mobiliųjų įrenginių parašų identifikavimas ir atnaujinimas.

Išvada: Antivirusinė programa (antivirusinė) - iš pradžių programa, skirta aptikti ir apdoroti kenkėjiškus objektus ar užkrėstus failus, taip pat prevencijai - užkirsti kelią failo ar operacinės sistemos užkrėtimui kenkėjiškas kodas. Priklausomai nuo antivirusinių programų veikimo principo, yra tokia antivirusų klasifikacija: skaitytuvai (pasenusi versija – „polifagai“, „detektoriai“); auditoriai (klasė, artima IDS); budėtojas (rezidentų monitoriai arba filtrai); vakcinos (imunizatoriai).

IŠVADA

Kompiuterinių technologijų pažanga pastaraisiais metais ne tik prisidėjo prie ekonomikos, prekybos ir ryšių plėtros; suteikė veiksmingą keitimąsi informacija, bet taip pat suteikė unikalų priemonių rinkinį kompiuterinių nusikaltimų vykdytojams. Kuo intensyvesnis kompiuterizacijos procesas, tuo realesnis tampa kompiuterinių nusikaltimų augimas, o šiuolaikinė visuomenė ne tik jaučia ekonomines kompiuterinių nusikaltimų pasekmes, bet ir tampa vis labiau priklausoma nuo kompiuterizacijos. Visi šie aspektai įpareigoja vis daugiau dėmesio skirti informacijos apsaugai, tolesnei plėtrai teisinė bazė srityje informacijos saugumas. Visas priemonių spektras turėtų būti sumažintas iki valstybės apsaugos informacijos šaltiniai; į santykių, kylančių formuojant ir naudojant informacinius išteklius, reguliavimą; kūrimas ir naudojimas informacines technologijas; informacijos ir informacijos procesuose dalyvaujančių subjektų teisių apsauga; taip pat apibrėžiant pagrindines teisės aktuose vartojamas sąvokas.

Apsaugos ir konvojaus organizavimo bausmių vykdymo sistemoje katedros docentas

technikos mokslų kandidatas

vidaus tarnybos pulkininkas leitenantas V.G. Zarubskis

kenkėjiškų programų antivirusinė infekcija

Kad virusai veiktų sėkmingai, jie turi patikrinti, ar failas jau neužkrėstas (tuo pačiu virusu). Taigi jie vengia savęs naikinimo. Norėdami tai padaryti, virusai naudoja parašą. Dažniausiai pasitaikantys virusai (įskaitant makrovirusus) naudoja simbolių parašus. Sudėtingesni virusai (polimorfiniai) naudoja algoritmų parašus. Nepriklausomai nuo viruso parašo tipo, antivirusinės programos juos naudoja aptikdamos „kompiuterines infekcijas“. Po to antivirusinė programa bando sunaikinti aptiktą virusą. Tačiau šis procesas priklauso nuo viruso sudėtingumo ir antivirusinės programos kokybės. Kaip jau minėta, Trojos arklius ir polimorfinius virusus aptikti sunkiausia. Pirmieji iš jų savo kūno neprideda prie programos, o įdeda į jos vidų. Kita vertus, antivirusinės programos turi praleisti gana daug laiko, kad nustatytų polimorfinių virusų parašą. Faktas yra tas, kad jų parašai keičiasi su kiekviena nauja kopija.

Norint aptikti, pašalinti ir apsaugoti nuo kompiuterinių virusų, yra specialios programos vadinama antivirusine. Šiuolaikinės antivirusinės programos – tai daugiafunkciniai produktai, kuriuose derinamos ir prevencinės, ir virusų gydymo bei duomenų atkūrimo priemonės.

Virusų skaičius ir įvairovė yra dideli, o norint juos greitai ir efektyviai aptikti, antivirusinė programa turi atitikti tam tikrus parametrus:

1. Darbo stabilumas ir patikimumas.

2. Programos virusų duomenų bazės matmenys (programos teisingai aptinkamų virusų skaičius): atsižvelgiant į nuolatinį naujų virusų atsiradimą, duomenų bazė turi būti reguliariai atnaujinama.

3. Programos galimybė aptikti įvairaus tipo virusus, bei galimybė dirbti su failais įvairių tipų(archyvai, dokumentai).

4. Rezidento monitoriaus buvimas, kuris tikrina visus naujus failus „skraidydamas“ (tai yra automatiškai, kai jie įrašomi į diską).

5. Programos greitis, prieinamumas papildomos funkcijos pavyzdžiui, programai net nežinomų virusų aptikimo algoritmai (euristinis nuskaitymas).

6. Galimybė atkurti užkrėstus failus neištrinant jų iš standžiojo disko, o tik pašalinant iš jų virusus.

7. Programos klaidingų teigiamų rezultatų procentas (klaidingas viruso aptikimas „švariame“ faile).

8. Cross-platform (programų versijų prieinamumas skirtingoms operacinėms sistemoms).

Antivirusinių programų klasifikacija:

1. Detektoriaus programos teikia virusų paiešką ir aptikimą RAM ir išorinėse laikmenose, o aptikusios pateikia atitinkamą pranešimą. Yra detektoriai:

Universalus - naudokite savo darbe, kad patikrintų failų nekintamumą skaičiuojant ir lyginant su kontrolinės sumos standartu;

Specializuotas – ieškokite žinomų virusų pagal jų parašą (pasikartojančio kodo skiltis).

2. Gydytojo programos (fagai) ne tik suranda virusais užkrėstus failus, bet ir „gydo“, t.y. pašalinkite viruso programos turinį iš failo, grąžindami failus į pradinę būseną. Savo darbo pradžioje fagai ieško virusų RAM atmintyje, juos sunaikina ir tik tada pereina prie failų „gydymo“. Tarp fagų išskiriami polifagai, t.y. gydytojų programos, skirtos rasti ir sunaikinti daugybę virusų.

3. Programos auditoriai yra viena iš patikimiausių apsaugos nuo virusų priemonių. Auditoriai įsimena pradinę disko programų, katalogų ir sistemos sričių būseną, kai kompiuteris neužkrėstas virusu, o vėliau periodiškai arba vartotojo prašymu lygina esamą būseną su pradine. Aptikti pakeitimai rodomi monitoriaus ekrane.

4. Filtravimo programos (watchmen) – tai nedidelės rezidentinės programos, skirtos kompiuterio veikimo metu aptikti įtartinus virusams būdingus veiksmus. Tokie veiksmai gali būti:

Bandymai taisyti failus su COM ir EXE plėtiniais;

Keisti failo atributus;

Tiesioginis rašymas į diską absoliučiu adresu;

Rašymas į disko įkrovos sektorius;

5. Vakcinos programos (imunizatoriai) yra nuolatinės programos, kurios neleidžia užkrėsti failų. Vakcinos naudojamos, jei nėra gydytojų programų, kurios „gydo“ šį virusą. Pasiskiepyti galima tik nuo žinomų virusų Bezrukov N. Kompiuterinė virusologija: Vadovėlis [Elektroninis išteklius]: http://vx.netlux.org/lib/anb00.html..

Tiesą sakant, antivirusinių programų architektūra yra daug sudėtingesnė ir priklauso nuo konkretaus kūrėjo. Tačiau vienas faktas nepaneigiamas: visos technologijos, apie kurias kalbėjau, yra taip glaudžiai tarpusavyje susijusios, kad kartais neįmanoma suprasti, kada paleidžiama viena, o pradeda veikti kita. Tokia antivirusinių technologijų sąveika leidžia jas efektyviausiai panaudoti kovojant su virusais. Tačiau nepamirškite, kad tobulos apsaugos nėra, o vienintelis būdas įspėti save nuo tokių problemų yra nuolatiniai OS atnaujinimai, gerai sukonfigūruota ugniasienė, dažnai atnaujinama antivirusinė programa ir – svarbiausia – nepaleisti/neatsisiųsti įtartinų failų iš Internetas.

Eugenijus Kasperskis 1992 m. naudojo tokią antivirusinių programų klasifikaciją, priklausomai nuo jų veikimo principo (nusakomas funkcionalumas):

1. Skaitytuvai (pasenusi versija – „polifagai“) – viruso buvimą nustato pagal parašų duomenų bazę, kurioje saugomi virusų parašai (arba jų kontrolinės sumos). Jų efektyvumą lemia virusų duomenų bazės aktualumas ir euristinio analizatoriaus buvimas (žr.: Euristinis nuskaitymas).

2. Auditoriai (klasė, artima IDS) – atsiminkite failų sistemos būseną, kuri leidžia analizuoti pokyčius ateityje.

3. Budėtojai (monitoriai) – sekti potencialiai pavojingas operacijas, išduodant atitinkamą prašymą vartotojui leisti/uždrausti operaciją.

4. Vakcinos – pakeiskite įskiepytą failą taip, kad virusas, nuo kurio buvo pagaminta vakcina, failą jau laikytų užkrėstu. Šiuolaikinėmis (2007 m.) sąlygomis, kai galimų virusų skaičius matuojamas šimtais tūkstančių, šis metodas netaikomas.

Šiuolaikinės antivirusinės programos sujungia visas aukščiau išvardytas funkcijas.

Antivirusines programas taip pat galima suskirstyti į:

1. Produktai namų vartotojams:

2. Iš tikrųjų antivirusai;

3. Kombinuoti produktai (pavyzdžiui, prie klasikinės antivirusinės buvo pridėta anti-spam, ugniasienė, anti-rootkit ir kt.);

4. Įmonės produktai:

5. Serverių antivirusai;

6. Antivirusinės programos darbo stotyse („galinis taškas“).

Antivirusinės programos SIM, „flash“ kortelėse ir USB įrenginiuose

Šiandien gaminami mobilieji telefonai turi daugybę sąsajų ir duomenų perdavimo galimybių. Prieš prijungdami bet kokius mažus įrenginius, vartotojai turėtų atidžiai išstudijuoti apsaugos metodus.

Apsaugos metodai, tokie kaip aparatinė įranga, galbūt antivirusinės USB įrenginiuose ar SIM kortelėse, labiau tinka mobiliųjų telefonų naudotojams. Techninis įvertinimas ir peržiūra, kaip įdiegti antivirusinę programą mobiliajame telefone, turėtų būti laikoma nuskaitymo procesu, kuris gali turėti įtakos kitoms teisėtoms šio telefono programoms.

Antivirusinės programos SIM kortelėje su antivirusine programa, integruota į mažos talpos atminties sritį, užtikrina apsaugą nuo kenkėjiškų programų/virusų, apsaugodamos PIN kodą ir telefono vartotojo informaciją. „Flash“ kortelėse esantys antivirusai leidžia vartotojui keistis informacija ir naudoti šiuos produktus su įvairiais aparatūros įrenginiais, taip pat įvairiais ryšio kanalais siųsti šiuos duomenis į kitus įrenginius.

Antivirusinės programos, mobilieji įrenginiai ir inovatyvūs sprendimai

Ateityje gali būti, kad mobilieji telefonai bus užkrėsti virusu. Vis daugiau šios srities kūrėjų siūlo antivirusines programas kovai su virusais ir mobiliųjų telefonų apsaugai. Mobiliuosiuose įrenginiuose yra šie virusų kontrolės tipai.