GİRİİŞ

İnsanlığın yeni bir bilimsel ve teknolojik devrim çağına girdiği iki bin yılın başında yaşıyoruz.

Yirminci yüzyılın sonuna gelindiğinde, insanlar madde ve enerjinin dönüşümünün birçok sırrına hakim olmuş ve bu bilgiyi hayatlarını iyileştirmek için kullanabilmişlerdir. Ancak madde ve enerjiye ek olarak, başka bir bileşen insan yaşamında büyük bir rol oynar - bilgi. Bu çok çeşitli bilgi, mesaj, haber, bilgi, beceridir.

Yüzyılımızın ortalarında vardı özel cihazlar- bilgisayarlar bilginin depolanması ve dönüştürülmesine odaklandı ve bir bilgisayar devrimi yaşandı.

Günümüzde kişisel bilgisayarların toplu kullanımı, ne yazık ki, bilgisayarın normal çalışmasını engelleyen, disklerin dosya yapısını bozan ve bir bilgisayarda depolanan bilgilere zarar veren kendi kendini yeniden üreten virüs programlarının ortaya çıkmasıyla ilişkilendirilmiştir.

Bilgisayar suçlarıyla mücadele için birçok ülkede kabul edilen yasalara ve özel yazılım araçları virüslere karşı koruma, yeni sayısı yazılım virüsleri sürekli büyüyor. Bu, kişisel bilgisayar kullanıcısının virüslerin doğası, virüslere nasıl bulaşacağı ve virüslere karşı nasıl korunacağı hakkında bilgi sahibi olmasını gerektirir. Bu, çalışmamın temasını seçmek için teşvik ediciydi.

Yazımda bahsettiğim şey bu. Ana virüs türlerini gösteriyorum, işleyiş şemalarını, görünümlerinin nedenlerini ve bilgisayara girme yollarını göz önünde bulunduruyorum ve ayrıca koruma ve önleme için önlemler öneriyorum.

Çalışmanın amacı, kullanıcıyı bilgisayar virolojisinin temelleri ile tanıştırmak, virüsleri nasıl tespit edeceğini ve onlarla nasıl savaşacağını öğretmektir. Çalışma yöntemi, bu konudaki basılı yayınların analizidir. Zor bir görevle karşı karşıya kaldım - çok az çalışılan şey ve bunun nasıl olduğu hakkında konuşmak - yargıç sizsiniz.

1. BİLGİSAYAR VİRÜSLERİ VE ÖZELLİKLERİ VE SINIFLANDIRMA

1.1. Özellikleri bilgisayar virüsleri

Artık, kullanıcının makinenin tüm kaynaklarına ücretsiz erişimi olduğu kişisel bilgisayarlar kullanılıyor. Bu, bir bilgisayar virüsü olarak bilinen tehlikenin olasılığını açtı.

Bir bilgisayar virüsü nedir? Bu kavramın resmi bir tanımı henüz icat edilmedi ve bunun verilip veremeyeceği konusunda ciddi şüpheler var. Virüsün "modern" bir tanımını vermek için yapılan çok sayıda girişim başarılı olmadı. Sorunun karmaşıklığını hissetmek için, örneğin "editör" kavramını tanımlamaya çalışın. Ya çok genel bir şey bulursunuz ya da bilinen tüm editör türlerini listelemeye başlarsınız. Her ikisi de pek kabul edilebilir sayılmaz. Bu nedenle, bilgisayar virüslerinin, onlardan belirli bir program sınıfı olarak bahsetmemize izin veren bazı özelliklerini dikkate almakla yetineceğiz.

Her şeyden önce, bir virüs bir programdır. Bu kadar basit bir ifade tek başına bilgisayar virüslerinin olağanüstü yetenekleri hakkındaki birçok efsaneyi ortadan kaldırabilir. Virüs monitörünüzdeki görüntüyü çevirebilir, ancak monitörün kendisini çeviremez. "Ölümcül bir görüntü sergileyerek operatörleri yok eden öldürücü virüsler hakkındaki efsanelere renkler 25. kare” de ciddiye alınmamalıdır. Ne yazık ki, bazı yetkili yayınlar zaman zaman "bilgisayar cephesinden en son haberleri" yayınlıyor, daha yakından incelendiğinde konunun tam olarak net bir şekilde anlaşılmadığı ortaya çıkıyor.

Virüs, kendini yeniden üretme yeteneğine sahip bir programdır. Bu yetenek, tüm virüs türlerinde bulunan tek araçtır. Ancak sadece virüsler kendi kendini kopyalama yeteneğine sahip değildir. Herhangi bir işletim sistemi ve diğer birçok program kendi kopyalarını oluşturabilir. Aynı virüsün kopyaları sadece orijinaliyle tamamen eşleşmek zorunda değil, aynı zamanda hiç eşleşmeyebilir!

Bir virüs "tam izolasyonda" var olamaz: bugün başka programların kodunu, dosya yapısı bilgilerini ve hatta sadece diğer programların adlarını kullanmayan bir virüs düşünülemez. Nedeni açık: Virüs bir şekilde kontrolün kendisine geçmesini sağlamalıdır.

1.2. Virüs sınıflandırması

Şu anda 5.000'den fazla yazılım virüsü bilinmektedir, bunlar aşağıdaki kriterlere göre sınıflandırılabilir:

doğal ortam

¨ çevre kirliliğinin yolu

darbe

¨ algoritmanın özellikleri

Habitatına bağlı olarak, virüsler ağ, dosya, önyükleme ve dosya önyüklemesi olarak ayrılabilir. ağ virüsleriçeşitli bilgisayar ağları üzerinden dağıtılır. Dosya virüsleri esas olarak yürütülebilir modüllere, yani COM ve EXE uzantılı dosyalara eklenir. Dosya virüsleri diğer dosya türlerine gömülebilir, ancak kural olarak bu tür dosyalara yazıldığında hiçbir zaman kontrol sahibi olmazlar ve bu nedenle çoğaltma yeteneklerini kaybederler. Önyükleme virüsleri diskin önyükleme sektörüne (Önyükleme sektörü) veya önyükleme programını içeren sektöre gömülüdür sistem diski(Ana Önyükleme Yeniden

kordon). Dosya önyüklemesi virüsler hem dosyalara hem de önyükleme sektörleri diskler.

Enfeksiyon yöntemine göre, virüsler yerleşik ve yerleşik olmayan olarak ayrılır. Yerleşik virüs bir bilgisayara bulaştığında (bulaştığında), onu rasgele erişim belleği yerleşik kısmı, daha sonra işletim sisteminin virüslü nesnelere (dosyalar, disk önyükleme sektörleri, vb.) erişimini durdurur ve kendilerini bunlara enjekte eder. Yerleşik virüsler bellekte bulunur ve bilgisayar kapatılana veya yeniden başlatılana kadar etkin kalır. Yerleşik olmayan virüsler bilgisayar belleğine bulaşmaz ve sınırlı bir süre için etkindir.

Etki derecesine göre, virüsler aşağıdaki türlere ayrılabilir:

¨ tehlikesiz, bilgisayarın çalışmasına müdahale etmeyen, ancak boş RAM ve disk belleği miktarını azaltan, bu tür virüslerin eylemleri herhangi bir grafik veya ses efektinde kendini gösterir.

¨ tehlikeli Bilgisayarınızda çeşitli sorunlara neden olabilecek virüsler

¨ çok tehlikeli, etkisi programların kaybına, verilerin yok edilmesine, diskin sistem alanlarındaki bilgilerin silinmesine neden olabilir.

2. ANA VİRÜS TÜRLERİ VE ÇALIŞMA ŞEMALARI

Virüs çeşitleri arasında aşağıdaki ana gruplar ayırt edilebilir:

bot

dosya

¨ dosya önyüklemesi

Şimdi bu grupların her biri hakkında daha ayrıntılı olarak.

2.1. Önyükleme virüsleri

Disketlere bulaşan çok basit bir önyükleme virüsünün çalışmasını düşünün. Algoritmanın işleyişi için titiz bir analizde kaçınılmaz olarak karşılaşılacak olan tüm sayısız incelikleri kasıtlı olarak atlıyoruz.

Bilgisayarınızı açtığınızda ne olur? İlk olarak, kontrol aktarılır önyükleme programı, yani salt okunur bellekte (ROM) depolanır. PNZ ROM'u.

Bu program donanımı test eder ve testler başarılı olursa A sürücüsündeki disketi bulmaya çalışır:

Her disket üzerinde sözde işaretlenir. sektörler ve izler. Sektörler kümeler halinde birleştirilir, ancak bu bizim için gerekli değildir.

Sektörler arasında işletim sisteminin kendi ihtiyaçları için kullandığı birkaç hizmet vardır (bu sektörlere verileriniz yerleştirilemez). Hizmet sektörleri arasında hala ilgileniyoruz - sözde. önyükleme sektörü(önyükleme sektörü).

Önyükleme sektörü mağazaları disket bilgisi- yüzey sayısı, iz sayısı, sektör sayısı vb. Ama şimdi bu bilgi ile ilgilenmiyoruz, ancak küçük önyükleme programı(PNZ), işletim sisteminin kendisini yüklemesi ve kontrolü ona aktarması gerekir.

Yani normal önyükleme deseni aşağıdaki gibidir:

Şimdi virüsü düşünün. Önyükleme virüslerinde iki kısım ayırt edilir - sözde. kafa vb. kuyruk. Genel olarak konuşursak, kuyruk boş olabilir.

Boş bir disketiniz ve virüslü bir bilgisayarınız olduğunu varsayalım; bununla, etkin bir yerleşik virüs içeren bir bilgisayarı kastediyoruz. Bu virüs sürücüde uygun bir kurbanın ortaya çıktığını tespit eder etmez - bizim durumumuzda, yazmaya karşı korumalı olmayan ve henüz virüs bulaşmamış bir disket, bulaşmaya devam eder. Bir diskete bulaşırken virüs aşağıdaki eylemleri gerçekleştirir:

Diskin belirli bir alanını tahsis eder ve işletim sistemine erişilemez olarak işaretler, bu farklı şekillerde yapılabilir, en basit ve geleneksel durumda, virüs tarafından işgal edilen sektörler kötü (kötü) olarak işaretlenir.

Kuyruğunu ve orijinal (sağlıklı) önyükleme sektörünü diskin seçilen alanına kopyalar

(Gerçek) önyükleme sektöründeki önyükleme programını kafasıyla değiştirir

Kontrol transfer zincirini şemaya göre düzenler.

Böylece virüsün başı artık kontrolü ilk ele geçiren kişi oluyor, virüs belleğe yükleniyor ve kontrolü orijinal önyükleme sektörüne aktarıyor. bir zincirde

PNZ (ROM) - PNZ (disk) - SİSTEM

yeni bir bağlantı görünür:

PNZ (ROM) - VİRÜS - PNZ (disk) - SİSTEM

Ahlaki açıktır: asla (yanlışlıkla) disketleri A sürücüsünde bırakmayın.

Disketlerin önyükleme sektörlerinde yaşayan basit bir butovy virüsünün çalışmasını inceledik. Kural olarak, virüsler yalnızca disketlerin önyükleme sektörlerine değil, aynı zamanda sabit sürücülerin önyükleme sektörlerine de bulaşabilir. Bu durumda, disketlerden farklı olarak, bir sabit sürücü, denetimi alan önyükleme programlarını içeren iki tür önyükleme kesimine sahiptir. Bir bilgisayarı sabit sürücüden başlatırken, önce MBR'deki (Ana Önyükleme Kaydı - Ana Önyükleme Kaydı) önyükleme programı kontrolü alır. Sabit sürücünüz birkaç bölüme ayrılmışsa, bunlardan yalnızca biri önyüklenebilir (önyüklenebilir) olarak işaretlenir. MBR'deki önyükleme programı, sabit sürücünün önyükleme bölümünü bulur ve denetimi bu bölümün önyükleyicisine aktarır. İkincisinin kodu, normal disketlerde bulunan önyükleme programının koduyla aynıdır ve karşılık gelen önyükleme sektörleri yalnızca parametre tablolarında farklılık gösterir. Böylece, sabit sürücüde iki önyükleme virüsü saldırısı nesnesi vardır - önyükleme programı MBR ve temel önyükleme sektöründeki indirmelerönyükleme diski.

2.2. Dosya virüsleri

Şimdi basit bir dosya virüsünün nasıl çalıştığını ele alalım. Neredeyse her zaman yerleşik olan önyükleme virüslerinin aksine, dosya virüsleri mutlaka yerleşik değildir. Yerleşik olmayan bir dosya virüsünün çalışma şemasını ele alalım. Virüslü bir yürütülebilir dosyamız olduğunu varsayalım. Böyle bir dosya başlatıldığında, virüs kontrolü ele alır, bazı eylemler gerçekleştirir ve kontrolü "usta"ya aktarır (yine de böyle bir durumda master'ın kim olduğu hala bilinmemektedir).

Virüs hangi eylemleri gerçekleştirir? Bulaşacak yeni bir nesne arar - henüz virüs bulaşmamış uygun türde bir dosya (virüsün “uygun” olması durumunda, aksi takdirde hiçbir şeyi kontrol etmeden hemen bulaşanlar vardır). Bir dosyaya bulaşarak, dosya çalıştırıldığında kontrolü ele geçirmek için virüs kendisini koduna enjekte eder. Ana işlevine ek olarak - üreme, virüs karmaşık bir şey yapabilir (örneğin, sor, oyna) - bu zaten virüsün yazarının hayal gücüne bağlıdır. Bir dosya virüsü yerleşikse, kendisini belleğe yükleyecek ve yalnızca virüslü dosya çalışırken değil, dosyalara bulaşma ve diğer yetenekleri gösterme yeteneği kazanacaktır. Yürütülebilir bir dosyaya bulaşan bir virüs her zaman kodunu değiştirir - bu nedenle yürütülebilir bir dosyanın enfeksiyonu her zaman algılanabilir. Ancak dosya kodunu değiştirerek virüs mutlaka başka değişiklikler yapmaz:

à dosyanın uzunluğunu değiştirmek zorunda değildir

à kullanılmayan kod bölümleri

à dosyanın başlangıcını değiştirmek için gerekli değildir

Son olarak, dosya virüsleri genellikle "dosyalarla ilgisi olan" ancak kodlarına izinsiz girmesi gerekmeyen virüsleri içerir. Örnek olarak bilinen Dir-II ailesinden virüslerin işleyiş şemasını ele alalım. 1991'de ortaya çıkan bu virüslerin Rusya'da gerçek bir veba salgınına neden olduğu kabul edilmelidir. Bir virüsün temel fikrini açıkça gösteren bir model düşünün. Dosyalar hakkındaki bilgiler dizinlerde saklanır. Her dizin girişi bir dosya adı, oluşturma tarihi ve saati içerir, bazıları Ek Bilgiler, ilk kümenin numarası dosya, vb. yedek bayt. İkincisi "yedekte" bırakılır ve MS-DOS'un kendisi kullanılmaz.

Yürütülebilir dosyaları çalıştırırken, sistem dosyanın ilk kümesini dizin girişinden ve ardından diğer tüm kümelerden okur. Dir-II ailesinin virüsleri, dosya sisteminin aşağıdaki "yeniden düzenlenmesini" üretir: virüsün kendisi, kötü olarak işaretlediği bazı boş disk sektörlerine yazılır. Ayrıca, çalıştırılabilir dosyaların ilk kümeleri hakkındaki bilgileri yedek bitlerde saklar ve bu bilgilerin yerine kendisine referanslar yazar.

Böylece, herhangi bir dosya başlatıldığında, virüs kontrolü alır (işletim sistemi onu başlatır), bellekte kalır ve kontrolü çağrılan dosyaya aktarır.

2.3. Önyükleme dosyası virüsleri

Önyükleme dosyası virüs modelini dikkate almayacağız çünkü bu durumda yeni bir bilgi öğrenmeyeceksiniz. Ancak burada, ana önyükleme sektörüne (MBR) ve yürütülebilir dosyalara bulaşan son derece "popüler" OneHalf önyükleme dosyası virüsünü kısaca tartışmak için bir fırsat var. Ana yıkıcı eylem, sabit disk sektörlerinin şifrelenmesidir. Her başlatmada, virüs sektörlerin bir sonraki bölümünü şifreler ve yarısını şifreledikten sonra sabit disk, bunu memnuniyetle duyurur. Bu virüsün tedavisindeki temel sorun, sadece virüsü MBR ve dosyalardan kaldırmanın yeterli olmaması, onun tarafından şifrelenen bilgilerin şifresinin çözülmesi gerektiğidir. En "ölümcül" eylem, yeni bir sağlıklı MBR'yi basitçe yeniden yazmaktır. Ana şey - panik yapmayın. Her şeyi sakince tartın, uzmanlara danışın.

2.4. polimorfik virüsler

Soruların çoğu "polimorfik virüs" terimi ile ilgilidir. Bu tür bilgisayar virüsü açık ara en tehlikeli olanıdır. Ne olduğunu açıklayalım.

Polimorfik virüsler, virüslü programlardaki kodlarını, aynı virüsün iki örneği bir bitte eşleşmeyecek şekilde değiştiren virüslerdir.

Bu tür virüsler yalnızca kodlarını farklı şifreleme yolları kullanarak şifrelemekle kalmaz, aynı zamanda onları kodlarının bölümlerini de şifreleyebilen, aynı zamanda sabit bir koda sahip olan sıradan şifreleme virüslerinden ayıran şifreleyici ve şifre çözücünün üretim kodunu da içerir. şifreleyici ve şifre çözücü.

Polimorfik virüsler, kendi kendini değiştiren kod çözücülere sahip virüslerdir. Bu tür şifrelemenin amacı, virüslü ve orijinal bir dosyanız varsa, geleneksel sökme yöntemini kullanarak kodunu yine de analiz edememenizdir. Bu kod şifrelidir ve anlamsız bir komutlar dizisidir. Şifre çözme, çalışma zamanında virüsün kendisi tarafından gerçekleştirilir. Aynı zamanda, seçenekler de mümkündür: kendisinin şifresini bir kerede çözebilir veya "hareket halindeyken" böyle bir şifre çözme işlemini gerçekleştirebilir, önceden hazırlanmış bölümleri tekrar şifreleyebilir. Bütün bunlar, virüs kodunun analizini zorlaştırmak adına yapılıyor.

3. BİLGİSAYAR VİROLOJİSİ TARİHÇESİ VE VİRÜSLERİN NEDENLERİ

Bugün bilgisayar virolojisinin tarihi, sürekli bir "lider için yarış" gibi görünüyor ve modern anti-virüs programlarının tüm gücüne rağmen, lider olan virüslerdir. Binlerce virüs arasından yalnızca birkaç düzine, gerçekten temelde yeni fikirleri kullanan orijinal gelişmelerdir. Diğerleri "bir temanın varyasyonları" dır. Ancak her orijinal gelişme, antivirüs yaratıcılarını yeni koşullara uyum sağlamaya, virüs teknolojisini yakalamaya zorlar. İkincisi tartışılabilir. Örneğin, 1989'da Amerikalı bir öğrenci, yaklaşık 6.000 ABD Savunma Bakanlığı bilgisayarını devre dışı bırakan bir virüs oluşturmayı başardı. Ya da 1991'de patlak veren ünlü Dir-II virüsünün salgını. Virüs gerçekten orijinal, temelde yeni bir teknoloji kullandı ve ilk başta geleneksel teknolojinin kusurlu olması nedeniyle geniş çapta yayılmayı başardı. anti-virüs araçları.

Veya İngiltere'de bilgisayar virüslerinin patlak vermesi: Christopher Pine, Smeg virüsünün yanı sıra Pathogen ve Queeq virüslerini yaratmayı başardı. En tehlikeli olan ikincisiydi, ilk iki virüse uygulanabiliyordu ve bu nedenle programın her çalışmasından sonra yapılandırmayı değiştirdiler. Bu nedenle, onları yok etmek imkansızdı. Virüsleri yaymak için, Pine kopyalandı bilgisayar oyunları ve programlar, onlara bulaştı ve ardından onları ağa geri gönderdi. Kullanıcılar virüslü programları bilgisayarlarına ve virüslü disklere indirdi. Durum, Pine'ın virüsleri onlarla savaşan programa sokmayı başarmasıyla daha da kötüleşti. Çalıştırarak, kullanıcılar virüsleri yok etmek yerine başka bir virüs aldı. Sonuç olarak, birçok şirketin dosyaları imha edildi, kayıplar milyonlarca liraya ulaştı.

Amerikalı programcı Morris yaygın olarak bilinir. Kasım 1988'de internete bağlı yaklaşık 7.000 kişisel bilgisayara bulaşan virüsün yaratıcısı olarak biliniyor.

Bilgisayar virüslerinin ortaya çıkmasının ve yayılmasının nedenleri, bir yandan insan kişiliğinin psikolojisinde ve gölge yanlarında (kıskançlık, intikam, tanınmayan yaratıcıların kibri, yeteneklerini yapıcı bir şekilde uygulayamama) gizlidir. diğer yandan, donanım koruması ve ameliyathaneden gelen karşı tepki eksikliği nedeniyle, kişisel bilgisayar sistemleri.

4. VİRÜSLERİN BİLGİSAYARA GEÇİŞ YOLLARI VE VİRÜS PROGRAMLARININ DAĞITIM MEKANİZMASI

Virüslerin bir bilgisayara girmesinin ana yolları, bilgisayar ağlarının yanı sıra çıkarılabilir disklerdir (disket ve lazer). Sabit diske virüs bulaşması, virüs içeren bir disketten bir program yüklendiğinde meydana gelebilir. Böyle bir bulaşma, örneğin, disket A sürücüsünden çıkarılmamışsa ve bilgisayar yeniden başlatılmışsa, disket bir sistem olmasa da kazara olabilir. Bir diskete virüs bulaştırmak çok daha kolaydır. Disket, virüslü bir bilgisayarın disk sürücüsüne basitçe yerleştirilse ve örneğin içindekiler tablosu okunsa bile, bir virüs ona bulaşabilir.

Virüs, kural olarak, çalışma programına, başlatıldığında, kontrol ilk önce kendisine aktarılacak ve ancak tüm komutlarının yürütülmesinden sonra tekrar çalışma programına dönecek şekilde sokulur. Kontrole erişim elde eden virüs, her şeyden önce kendini başka bir çalışan programa yeniden yazar ve ona bulaşır. Virüs içeren bir programı çalıştırdıktan sonra, diğer dosyalara bulaşmak mümkün hale gelir. Çoğu zaman, diskin önyükleme kesimine ve EXE, COM, SYS, BAT uzantılı yürütülebilir dosyalara virüs bulaşır. Metin dosyalarına çok nadiren virüs bulaşır.

Programa bulaştıktan sonra virüs, dikkat çekmemek için çok ciddi olmayan bir tür sabotaj gerçekleştirebilir. Ve son olarak, kontrolü başlatıldığı programa geri döndürmeyi unutmayın. Virüs bulaşmış bir programın her yürütülmesi, virüsü bir sonrakine aktarır. Böylece her şey enfekte olur. yazılım.

Enfeksiyon sürecini göstermek için bilgisayar programı Bir virüs olarak, disk depolamayı, kasette klasörler bulunan eski moda bir arşive benzetmek mantıklıdır. Klasörler programları içerir ve bu durumda bir virüsün girmesi için işlem sırası şöyle görünecektir.(Bakınız Ek 1)

5. VİRÜS BELİRTİLERİ

Bir bilgisayara virüs bulaştığında, onu tespit etmek önemlidir. Bunu yapmak için, virüslerin tezahürünün ana belirtilerini bilmelisiniz. Bunlar aşağıdakileri içerir:

¨ işin sona ermesi veya daha önce başarıyla çalışan programların yanlış çalışması

¨ yavaş bilgisayar performansı

¨ işletim sistemini başlatamama

¨ dosya ve dizinlerin kaybolması veya içeriklerinin bozulması

¨ dosyaların değiştirilme tarihini ve saatini değiştirin

¨ dosya yeniden boyutlandırma

¨ diskteki dosya sayısında beklenmedik büyük artış

¨ boş RAM boyutunda önemli bir azalma

¨ beklenmedik mesajların veya görüntülerin ekranda görüntülenmesi

¨ öngörülemeyen teslim ses sinyalleri

¨ sık donmalar ve bilgisayar çökmeleri

Yukarıdaki fenomenlerin mutlaka virüsün varlığından kaynaklanmadığı, ancak başka nedenlere bağlı olabileceği belirtilmelidir. Bu nedenle, bilgisayarın durumunu doğru bir şekilde teşhis etmek her zaman zordur.

6. VİRÜS TESPİTİ VE KORUMA VE ÖNLEME TEDBİRLERİ

6.1. Bir virüs nasıl tespit edilir ? Geleneksel yaklaşım

Böylece, belirli bir virüs yazarı bir virüs yaratır ve onu "hayata" fırlatır. Bir süre özgürce yürüyebilir ama er ya da geç “lafa” sona erecektir. Birisi bir şeylerin yanlış olduğundan şüphelenecek. Virüsler genellikle bulunur sıradan kullanıcılar Bilgisayarın davranışında belirli anormallikleri fark eden. Çoğu durumda, enfeksiyonla kendi başlarına baş edemezler, ancak bu onlardan gerekli değildir.

Sadece virüsün bir an önce uzmanların eline geçmesi gerekiyor. Profesyoneller onu inceleyecek, “ne yaptığını”, “nasıl yaptığını”, “ne zaman yaptığını” vb. Öğrenecekler. Bu tür bir çalışma sürecinde, hakkında gerekli tüm bilgiler. bu virüs, özellikle, virüsün imzası vurgulanır - onu kesinlikle karakterize eden bir bayt dizisi. Bir imza oluşturmak için genellikle virüs kodunun en önemli ve karakteristik kısımları alınır. Aynı zamanda, örneğin, bir önyükleme virüsü durumunda, virüsün nasıl çalıştığına dair mekanizmalar netleşir, kuyruğunu nerede sakladığını, orijinal önyükleme sektörünün nerede olduğunu ve örneğin bir önyükleme virüsü söz konusu olduğunda, önemlidir. bir dosya bir, dosyanın nasıl bulaştığı. Elde edilen bilgiler şunları bulmamızı sağlar:

Bir virüs nasıl tespit edilir, bunun için bir virüs saldırısının olası nesnelerinde imza arama yöntemleri - dosyalar ve / veya önyükleme sektörleri belirtilir

virüsün nasıl etkisiz hale getirileceği, mümkünse, etkilenen nesnelerden virüs kodunun kaldırılması için algoritmalar geliştirilmektedir

6.2. Virüs algılama ve koruma programları

Bilgisayar virüslerini tespit etmek, kaldırmak ve bunlara karşı korunmak için, virüsleri tespit etmenize ve yok etmenize izin veren çeşitli özel programlar geliştirilmiştir. Bu tür programlara denir antiviral . Aşağıdaki virüsten koruma programı türleri vardır:

programlar-dedektörler

programlar-doktorlar veya fajlar

program denetçileri

filtre programları

aşı programları veya bağışıklayıcılar

Programlar-dedektörler RAM'de ve dosyalarda belirli bir virüsün imza özelliğini arayın ve tespit edilirse uygun bir mesaj yayınlayın. Bu tür anti-virüs programlarının dezavantajı, yalnızca bu tür programların geliştiricileri tarafından bilinen virüsleri bulabilmeleridir.

Doktor Programları veya fajlar, birlikte aşı programları sadece virüs bulaşmış dosyaları bulmakla kalmaz, aynı zamanda onları "tedavi eder", yani. virüs programının gövdesini dosyadan kaldırın, dosyaları ilk durum. Fajlar, çalışmalarının başında RAM'de virüs arar, onları yok eder ve ancak bundan sonra dosyaların “tedavisine” devam eder. Fajlar arasında polifajlar ayırt edilir, yani. çok sayıda virüsü bulmak ve yok etmek için tasarlanmış doktor programları. Bunların en ünlüsü: Aidstest, Scan, Norton virüs koruyucu, doktor ağı.

Sürekli olarak yeni virüslerin ortaya çıktığı göz önüne alındığında, tespit programları ve doktor programları hızla eskimekte ve düzenli güncellemeler gerekmektedir.

Denetçi programları virüslere karşı en güvenilir koruma araçları arasındadır. Denetçiler, bilgisayara virüs bulaşmadığında diskin programlarının, dizinlerinin ve sistem alanlarının ilk durumunu hatırlar ve daha sonra periyodik olarak veya kullanıcının isteği üzerine mevcut durumu orijinal olanla karşılaştırır. Algılanan değişiklikler monitör ekranında görüntülenir. Kural olarak, işletim sistemi yüklendikten hemen sonra durumlar karşılaştırılır. Karşılaştırılırken dosya uzunluğu, döngüsel kontrol kodu (dosya sağlama toplamı), değişiklik tarihi ve saati ve diğer parametreler kontrol edilir. Denetçi programları oldukça gelişmiş algoritmalara sahiptir, gizli virüsleri algılar ve hatta kontrol edilen programın sürümündeki değişiklikleri virüs tarafından yapılan değişikliklerden temizleyebilir. Denetçi programları arasında Rusya'da yaygın olarak kullanılan Adinf programı bulunmaktadır.

Filtre programları veya "bekçi" virüslerin özelliği olan şüpheli bilgisayar etkinliklerini algılamak için tasarlanmış küçük yerleşik programlardır. Bu tür eylemler şunlar olabilir:

COM, EXE uzantılı dosyaları düzeltme girişimleri

dosya özniteliklerini değiştirme

Mutlak adreste diske doğrudan yazma

Disk önyükleme sektörlerine yaz

Herhangi bir program belirtilen eylemleri gerçekleştirmeye çalıştığında, "bekçi" kullanıcıya bir mesaj gönderir ve ilgili eylemi yasaklamayı veya izin vermeyi teklif eder. Filtre programları, bir virüsü üremeden önce varlığının en erken aşamasında tespit edebildikleri için çok kullanışlıdır. Ancak, dosyaları ve diskleri "iyileştirmezler". Virüsleri yok etmek için fajlar gibi diğer programları kullanmanız gerekir. Watchdog programlarının dezavantajları arasında "rahatsızlık" (örneğin, yürütülebilir bir dosyayı kopyalamaya yönelik herhangi bir girişim hakkında sürekli bir uyarı yayınlarlar) ve diğer yazılımlarla olası çakışmalar bulunur. Filtre programına bir örnek, MS DOS yardımcı program paketinin bir parçası olan Vsafe programıdır.

Aşılar veya bağışıklayıcılar dosya bulaşmasını önleyen yerleşik programlardır. Bu virüsü "tedavi eden" bir doktor programı yoksa aşılar kullanılır. Aşılama sadece bilinen virüslere karşı mümkündür. Aşı, programı veya diski, çalışmalarını etkilemeyecek şekilde değiştirir ve virüs onları enfekte olarak algılar ve bu nedenle kök salmaz. Aşı programları şu anda sınırlı kullanımdadır.

Virüs bulaşmış dosyaların ve disklerin zamanında tespiti, her bilgisayarda tespit edilen virüslerin tamamen yok edilmesi, virüs salgınının diğer bilgisayarlara yayılmasını önlemeye yardımcı olur.

6.3. Virüslerden korunmak için temel önlemler

Bilgisayarınıza virüs bulaşmasını önlemek ve güvenli depolama disklerdeki bilgiler için aşağıdaki kurallara uyulmalıdır:

¨ Bilgisayarınızı Aidstest, Doctor Web gibi güncel anti-virüs programları ile donatın ve sürümlerini sürekli güncelleyin

¨ Disketlerden diğer bilgisayarlarda saklanan bilgileri okumadan önce mutlaka bilgisayarınızda anti-virüs programları çalıştırarak bu disketleri virüslere karşı kontrol edin.

¨ arşivlenmiş dosyaları bilgisayarınıza aktarırken, onları sabit diskinizde açtıktan hemen sonra kontrol edin, kontrol alanını yalnızca yeni kaydedilen dosyalarla sınırlandırın

¨ periyodik olarak virüs kontrolü yapın sabit sürücüler işletim sistemini yazmaya karşı korumalı bir sistem disketinden yükledikten sonra, yazmaya karşı korumalı bir disketten disklerin dosyalarını, belleği ve sistem alanlarını test etmek için virüsten koruma programları çalıştırarak bilgisayar

¨ Disketlerinizi diğer bilgisayarlarda çalışırken her zaman bilgilere yazmayacaklarsa yazın koruyun

¨ sizin için değerli bilgilerin disketlerinde arşiv kopyaları oluşturduğunuzdan emin olun.

¨ bilgisayara önyükleme virüsleri bulaşmasını önlemek için işletim sistemini açarken veya yeniden başlatırken A sürücüsünün cebinde disket bırakmayın

¨ bilgisayar ağlarından alınan tüm yürütülebilir dosyaların giriş kontrolü için anti-virüs programları kullanın

¨ Daha fazla güvenlik sağlamak için, Aidstest ve Doctor Web kullanımı, Adinf disk denetçisinin günlük kullanımıyla birleştirilmelidir.

ÇÖZÜM

Dolayısıyla bilgi kaynağına yönelik tehdidin her geçen gün arttığını ve dünyanın her yerindeki bankalarda, işletmelerde ve şirketlerde sorumluları paniğe soktuğuna dair pek çok gerçeği aktarabiliriz. Ve bu tehdit, hayati, değerli bilgileri bozan veya yok eden ve yalnızca finansal kayıplara değil, aynı zamanda insan kayıplarına da yol açabilen bilgisayar virüslerinden gelir.

Bilgisayar virüsü - diğer programlara kendiliğinden eklenebilen, kendisinin kopyalarını oluşturabilen ve bunları dosyalara, bilgisayar sistemi alanlarına ve diğer programlara yerleştirebilen özel olarak yazılmış bir program. bilgisayar ağları programların çalışmasını bozmak, dosya ve dizinlere zarar vermek, bilgisayarın çalışmasına her türlü müdahaleyi oluşturmak.

Şu anda, sayısı sürekli artan 5.000'den fazla yazılım virüsü bilinmektedir. Virüs yazmaya yardımcı olmak için öğreticilerin oluşturulduğu durumlar vardır.

Ana virüs türleri: önyükleme, dosya, dosya önyüklemesi. En tehlikeli virüs türü polimorfiktir.

Bilgisayar virolojisinin tarihinden, herhangi bir orijinal bilgisayar geliştirmesinin, antivirüs yaratıcılarını yeni teknolojilere uyum sağlamaya, sürekli olarak virüsten koruma programlarını geliştirmeye zorladığı açıktır.

Virüslerin ortaya çıkma ve yayılma nedenleri, bir yandan insan psikolojisinde, diğer yandan işletim sistemindeki koruma eksikliği ile gizlidir.

Virüslerin nüfuz etmesinin ana yolları, çıkarılabilir sürücüler ve bilgisayar ağlarıdır. Bunun olmasını önlemek için önlem alın. Ayrıca, bilgisayar virüslerini tespit etmek, kaldırmak ve bunlara karşı koruma sağlamak için anti-virüs programları adı verilen çeşitli özel programlar geliştirilmiştir. Bilgisayarınızda hala bir virüs bulursanız, geleneksel yaklaşıma göre, daha fazla anlayabilmesi için bir profesyonel aramak daha iyidir.

Ancak virüslerin bazı özellikleri uzmanları bile şaşırtıyor. Yakın zamana kadar, bir virüsün soğuk bir yeniden başlatmadan sağ çıkabileceğini veya belge dosyaları aracılığıyla yayılabileceğini hayal etmek zordu. Bu şartlar altında kullanıcıların en azından başlangıç ​​antivirüs eğitimlerine önem vermemek mümkün değil. Sorunun ciddiyetine rağmen hiçbir virüs, elleri titreyen beyazlamış bir kullanıcı kadar zarar veremez!

Yani, bilgisayarlarınızın sağlığı, verilerinizin güvenliği - sizin elinizde!

bibliyografik liste

1. Bilişim: Ders Kitabı / ed. Prof. N.V. Makarova. - M.: Finans ve istatistik, 1997.

2. Sırlar ve duyumlar ansiklopedisi / Hazırlandı. Yu.N. Petrov. - Minsk: Edebiyat, 1996.

3. Bezrukov N.N. Bilgisayar virüsleri. - M.: Nauka, 1991.

4. Mostovoy D.Yu. Modern teknolojiler virüslere karşı mücadele // PC World. - Hayır. - 1993.

Anti-virüs koruması, kurumsal sektörde BT altyapısının bilgi güvenliğini sağlamak için en yaygın önlemdir. Bununla birlikte, Kaspersky Lab tarafından analitik şirket B2B International ile birlikte yürütülen bir araştırma, Rus şirketlerinin yalnızca %74'ünün koruma için anti-virüs çözümleri kullandığını gösterdi (sonbahar 2013).

Raporda ayrıca, şirketlerin karşı karşıya olduğu siber tehditlerin patlamasının ortasında basit antivirüsler, Rus işi giderek karmaşık koruma araçlarını kullanıyor. Büyük ölçüde bu nedenle veri şifreleme araçlarının kullanımı %7 oranında arttı. çıkarılabilir medya(%24). Ayrıca şirketler, çıkarılabilir cihazlar için güvenlik politikaları belirleme konusunda daha istekli hale geldi. BT altyapısının farklı bölümlerine erişim seviyesinin farklılaşması da arttı (%49). Aynı zamanda küçük ve orta ölçekli işletmeler, çıkarılabilir cihazların kontrolüne (%35) ve uygulama kontrolüne (%31) daha fazla önem veriyor.

Araştırmacılar ayrıca, yazılımdaki sürekli yeni güvenlik açıklarının keşfedilmesine rağmen, Rus şirketleri yine de düzenli yazılım güncellemelerine gereken özeni göstermeyin. Dahası, yama yapan kuruluşların sayısı geçen yıla göre sadece %59'a düştü.

Modern anti-virüs programları, program dosyaları ve belgelerdeki kötü amaçlı nesneleri etkili bir şekilde algılayabilir. Bazı durumlarda antivirüs, kötü amaçlı bir nesnenin gövdesini virüslü bir dosyadan kaldırarak dosyayı geri yükleyebilir. Çoğu durumda, bir virüsten koruma, kötü amaçlı bir program nesnesini yalnızca bir program dosyasından değil, aynı zamanda bütünlüğünü ihlal etmeden bir ofis belge dosyasından da kaldırabilir. Anti-virüs programlarının kullanımı yüksek nitelikler gerektirmez ve hemen hemen her bilgisayar kullanıcısı tarafından kullanılabilir.

Çoğu anti-virüs programı, gerçek zamanlı korumayı (virüs monitörü) ve isteğe bağlı korumayı (virüs tarayıcısı) birleştirir.

Antivirüs derecesi

2019: Android için antivirüslerin üçte ikisi işe yaramazdı

Mart 2019'da, virüsten koruma yazılımlarını test etme konusunda uzmanlaşmış Avusturyalı bir laboratuvar olan AV-Comparatives, Android için bu tür programların çoğunun yararsızlığını gösteren bir çalışmanın sonuçlarını yayınladı.

Google Play Store'un resmi kataloğunda bulunan yalnızca 23 antivirüs, vakaların %100'ünde kötü amaçlı yazılımları doğru şekilde tanır. Yazılımın geri kalanı ya mobil tehditlere yanıt vermiyor ya da onlar için kesinlikle güvenli uygulamalar kullanıyor.

Uzmanlar 250 antivirüs üzerinde çalıştı ve bunların yalnızca %80'inin kötü amaçlı yazılımların %30'dan fazlasını algılayabildiğini bildirdi. Böylece 170 uygulama testi geçemedi. Testleri geçen ürünler çoğunlukla Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro ve Trustwave gibi büyük üreticilerin çözümleriydi.

Deneyin bir parçası olarak, araştırmacılar her bir anti-virüs uygulamasını ayrı bir cihaza (emülatör olmadan) kurdular ve cihazları otomatik hale getirerek bir tarayıcı başlattılar, indirip kötü amaçlı yazılım kurdular. Her cihaz 2018'de en yaygın 2.000 Android virüsüne karşı test edildi.

AV-Comparatives'e göre, çoğu antivirüs çözümleri android için sahte. Düzinelerce uygulama hemen hemen aynı arayüze sahiptir ve yaratıcıları, çalışan bir virüs tarayıcısı yazmaktan çok reklam göstermekle ilgilenmektedir.

Bazı antivirüsler, "beyaz listelerine" dahil olmayan herhangi bir uygulamada bir tehdit "görür". Bu nedenle, çok sayıda anekdot vakasında, geliştiriciler "beyaz listede" bahsetmeyi unuttukları için kendi dosyaları nedeniyle alarmı yükselttiler.

2017: Microsoft Security Essentials, en kötü antivirüslerden biri olarak kabul edildi

Ekim 2017'de Alman antivirüs laboratuvarı AV-Test, kapsamlı antivirüs testinin sonuçlarını yayınladı. Çalışmaya göre, koruma sağlamak için tasarlanmış tescilli Microsoft yazılımı kötü niyetli etkinlik, neredeyse hepsinin en kötüsü görevleriyle başa çıkıyor.

AV-Test uzmanları, Temmuz-Ağustos 2017'de yapılan testlerin sonuçlarına göre, Kaspersky Internet Security'yi Windows 7 için en iyi antivirüs olarak nitelendirdi ve koruma düzeyi, performans ve kullanım kolaylığı açısından 18 puan aldı.

İlk üç Trend Micro programlarını içeriyordu internet güvenliği ve her biri 17,5 puan kazanan Bitdefender Internet Security. Çalışmaya dahil olan diğer antivirüs şirketlerinin ürünlerinin konumu aşağıdaki resimlerde bulunabilir:

Birçok tarayıcı aynı zamanda buluşsal tarama algoritmaları kullanır, yani. kontrol edilen nesnedeki komut dizisinin analizi, bazı istatistiklerin toplanması ve kontrol edilen her nesne için karar verme.

Tarayıcılar ayrıca iki kategoriye ayrılabilir - evrensel ve özel. Evrensel tarayıcılar, tarayıcının çalışmak üzere tasarlandığı işletim sisteminden bağımsız olarak her türlü virüsü aramak ve etkisiz hale getirmek için tasarlanmıştır. Özel tarayıcılar, sınırlı sayıda virüsü veya makro virüsler gibi yalnızca bir sınıfını etkisiz hale getirmek için tasarlanmıştır.

Tarayıcılar ayrıca anında tarama yapan yerleşik (monitörler) ve sistemi yalnızca istek üzerine kontrol eden yerleşik olmayanlar olarak ikiye ayrılır. Kural olarak, yerleşik tarayıcılar, bir virüsün görünümüne anında tepki verdikleri için daha güvenilir sistem koruması sağlarken, yerleşik olmayan bir tarayıcı bir virüsü yalnızca bir sonraki başlatma sırasında tanımlayabilir.

CRC tarayıcılar

CRC tarayıcılarının çalışma prensibi, diskte bulunan dosyalar / sistem sektörleri için CRC toplamlarının (sağlama toplamlarının) hesaplanmasına dayanır. Bu CRC toplamları daha sonra virüsten koruma veritabanında ve diğer bazı bilgilerde saklanır: dosya uzunlukları, son değişiklik tarihleri ​​vb. CRC tarayıcıları bir sonraki çalıştırılışında, veri tabanında bulunan verileri gerçek sayılan değerlerle kontrol ederler. Veritabanına kaydedilen dosya bilgileri gerçek değerlerle eşleşmiyorsa, CRC tarayıcıları dosyanın değiştirildiğini veya bir virüs bulaştığını bildirir.

CRC tarayıcıları, sistemde göründüğü anda bir virüs yakalayamaz, ancak bunu ancak bir süre sonra, virüs bilgisayara yayıldıktan sonra yapar. CRC tarayıcıları yeni dosyalarda (e-postada, disketlerde, bir yedekten geri yüklenen dosyalarda veya bir arşivden dosyaları açarken) bir virüs tespit edemezler çünkü veritabanlarında bu dosyalar hakkında bilgi yoktur. Ayrıca, CRC tarayıcılarının bu zayıflığını kullanan virüsler periyodik olarak ortaya çıkar, yalnızca yeni oluşturulan dosyalara bulaşır ve bu nedenle onlar için görünmez kalır.

Engelleyiciler

Anti-virüs engelleyiciler, virüs açısından tehlikeli durumları engelleyen ve kullanıcıyı bu konuda bilgilendiren yerleşik programlardır. Virüs açısından tehlikeli çağrılar arasında yürütülebilir dosyalara yazmak, disklerin önyükleme sektörlerine veya bir sabit sürücünün MBR'sine yazmak için açma çağrıları, programların yerleşik kalma girişimleri vb. üreme zamanı.

Engelleyicilerin avantajları, virüsü üremesinin en erken aşamasında tespit etme ve durdurma yeteneklerini içerir. Dezavantajlar, engelleyicilerin korumasını atlamanın yollarının varlığını ve çok sayıda yanlış pozitifliği içerir.

bağışıklayıcılar

Bağışıklayıcılar iki türe ayrılır: enfeksiyon bildiren bağışıklayıcılar ve enfeksiyonu engelleyen bağışıklayıcılar. Birincisi genellikle dosyaların sonuna yazılır (dosya virüsü ilkesine göre) ve dosya her başlatıldığında değişiklik olup olmadığı kontrol edilir. Bu tür bağışıklayıcıların dezavantajı yalnızca bir tanesidir, ancak öldürücüdür: gizli bir virüsle enfeksiyonun bildirilmemesi. Bu nedenle, bu tür bağışıklayıcılar ve ayrıca blokerler şu anda pratik olarak kullanılmamaktadır.

İkinci tip bağışıklama, sistemi belirli bir virüs türünün saldırısına karşı korur. Disklerdeki dosyalar, virüs onları zaten virüslü olanlar için alacak şekilde değiştirilir. Yerleşik bir virüse karşı korunmak için, bilgisayarın belleğine virüsün bir kopyasını taklit eden bir program girilir. Başlatıldığında, virüs ona rastlar ve sisteme zaten bulaşmış olduğuna inanır.

Dosyaları bilinen tüm virüslere karşı bağışıklık kazandırmak imkansız olduğundan, bu tür bağışıklama evrensel olamaz.

Antivirüslerin zaman değişkenliğine göre sınıflandırılması

Valery Konyavsky'ye göre antiviral ajanlar ikiye ayrılabilir: büyük gruplar- verileri analiz etme ve süreçleri analiz etme.

Veri analizi

Veri analizi denetçileri ve polifajları içerir. Denetçiler, bilgisayar virüslerinin ve diğer kötü amaçlı programların faaliyetlerinin sonuçlarını analiz eder. Sonuçlar, değişmemesi gereken verilerin değiştirilmesinde gösterilir. Denetçinin bakış açısından kötü amaçlı programların faaliyetinin bir işareti olan veri değişikliği gerçeğidir. Başka bir deyişle, denetçiler verilerin bütünlüğünü kontrol eder ve bütünlüğün ihlali durumunda bilgisayar ortamında kötü amaçlı yazılım olup olmadığına karar verir.

Polifajlar farklı davranır. Veri analizine dayanarak, kötü amaçlı kod parçalarını (örneğin imzasıyla) tanımlarlar ve bu temelde kötü amaçlı programların varlığı hakkında bir sonuca varırlar. Virüs bulaşmış verilerin silinmesi veya dezenfekte edilmesi, kötü amaçlı yazılım yürütmesinin olumsuz sonuçlarını önlemeye yardımcı olur. Böylece statikte analiz bazında dinamiklerde ortaya çıkan sonuçların önüne geçilmiş olur.

Hem denetçilerin hem de polifajların çalışma şeması neredeyse aynıdır - verileri (veya sağlama toplamlarını) bir veya daha fazla referans örneğiyle karşılaştırmak. Veriler, verilerle karşılaştırılır. Bu nedenle, bilgisayarınızda bir virüs bulmak için, etkinliğinin sonuçlarının ortaya çıkması için daha önce çalışmış olması gerekir. Bu yöntem, yalnızca kod parçalarının veya imzalarının daha önce açıklandığı bilinen virüsleri bulabilir. Böyle bir korumanın güvenilir olarak adlandırılması olası değildir.

Süreç analizi

Süreç analizine dayalı anti-virüs araçları biraz farklı çalışır. Sezgisel çözümleyiciler, yukarıda açıklananlar gibi verileri analiz eder (diskte, kanalda, bellekte vb.). Temel fark, analizin, analiz edilen kodun veri değil komutlar olduğu varsayımı üzerine yapılmasıdır (von Neumann mimarisine sahip bilgisayarlarda, veriler ve komutlar ayırt edilemez ve bu nedenle şu veya bu varsayımın ileri sürülmesi gerekir). Analiz sırasında.)

Sezgisel çözümleyici bir dizi işlem seçer, her birine belirli bir tehlike derecesi atar ve tehlikenin toplamına bağlı olarak bu işlem dizisinin kötü amaçlı bir kodun parçası olup olmadığına karar verir. Kodun kendisi yürütülmez.

Süreç analizine dayalı başka bir virüsten koruma aracı türü, davranışsal engelleyicilerdir. Bu durumda, şüpheli kod, kod tarafından başlatılan eylemler dizisi tehlikeli (veya güvenli) davranış olarak değerlendirilinceye kadar adım adım yürütülür. Bu durumda, kötü amaçlı kodun tamamlandığı daha basit veri analizi yöntemleriyle tespit edilebildiğinden, kod kısmen yürütülür.

Virüs algılama teknolojileri

Antivirüslerde kullanılan teknolojiler iki gruba ayrılabilir:

  • İmza analiz teknolojileri
  • Olasılıksal Analiz Teknolojileri

İmza analiz teknolojileri

İmza analizi, dosyalarda virüs imzalarının olup olmadığını kontrol eden bir virüs algılama yöntemidir. İmza analizi, virüsleri tespit etmenin en iyi bilinen yöntemidir ve neredeyse tüm modern antivirüslerde kullanılır. Bir tarama gerçekleştirmek için, virüsten koruma yazılımının, virüsten koruma veritabanında depolanan bir dizi virüs imzasına ihtiyacı vardır.

İmza analizi, dosyaların virüs imzaları için kontrol edilmesini içerdiğinden, virüsten koruma yazılımını güncel tutmak için virüsten koruma veritabanının periyodik olarak güncellenmesi gerekir. İmza analizi ilkesi aynı zamanda işlevselliğinin sınırlarını da tanımlar - yalnızca bilinen virüsleri algılama yeteneği - bir imza tarayıcı yeni virüslere karşı güçsüzdür.

Öte yandan, virüs imzalarının varlığı, tedavi olasılığını düşündürmektedir. virüslü dosyalar imza analizi kullanılarak tespit edildi. Bununla birlikte, tedavi tüm virüsler için kabul edilemez - Truva atları ve çoğu solucan, yapıları nedeniyle tedavi edilemez. Tasarım özellikleri, çünkü zarar vermek için tasarlanmış sağlam modüller.

Bir virüs imzasının yetkin bir şekilde uygulanması, bilinen virüslerin %100 kesinlik ile tespit edilmesini mümkün kılar.

Olasılıksal Analiz Teknolojileri

Olasılıksal analiz teknolojileri sırayla üç kategoriye ayrılır:

  • sezgisel analiz
  • davranış analizi
  • Sağlama Analizi

sezgisel analiz

Sezgisel analiz, sonucu şüpheli nesnelerin tanımlanması olan olasılıksal algoritmalara dayanan bir teknolojidir. Süreç içerisinde buluşsal analiz dosyanın yapısı kontrol edilir, virüs şablonlarına uygunluğu. En popüler buluşsal teknik, bir dosyanın içeriğini zaten bilinen virüs imzalarında ve bunların kombinasyonlarında değişiklik olup olmadığını kontrol etmektir. Bu, daha önce bilinen virüslerin hibritlerinin ve yeni sürümlerinin, virüsten koruma veritabanının ek güncellenmesine gerek kalmadan tespit edilmesine yardımcı olur.

Sezgisel analiz, bilinmeyen virüsleri tespit etmek için kullanılır ve sonuç olarak tedaviyi içermez. Bu teknoloji önündeki virüsü %100 belirleyemiyor ve her olasılık algoritması gibi yanlış pozitiflerle günah işliyor.

davranış analizi

Davranış analizi, kontrol edilen nesnenin doğası hakkında, gerçekleştirdiği işlemlerin analizi temelinde karar verildiği bir teknolojidir. Virüslere özgü eylemlerin çoğu sıradan uygulamalar tarafından gerçekleştirilebildiğinden, davranışsal analizin çok dar bir pratik uygulaması vardır. Komut dosyalarının ve makroların davranış çözümleyicileri en ünlüsüdür, çünkü karşılık gelen virüsler neredeyse her zaman bir dizi benzer eylem gerçekleştirir.

BIOS'ta yerleşik olan güvenlik özellikleri, davranışsal analizciler olarak da sınıflandırılabilir. Bilgisayarın MBR'sinde değişiklik yapılmaya çalışıldığında, çözümleyici eylemi engeller ve kullanıcıya karşılık gelen bir bildirim görüntüler.

Ek olarak, davranışsal analizciler dosyalara doğrudan erişme girişimlerini izleyebilir, dosyalar üzerinde değişiklik yapabilir. önyükleme kaydı disket biçimlendirme sabit sürücüler vb.

Davranış çözümleyicileri, çalışmaları için virüs veritabanları gibi ek nesneler kullanmazlar ve sonuç olarak, bilinen ve bilinmeyen virüsleri ayırt edemezler - tüm şüpheli programlar, önceden bilinmeyen virüsler olarak kabul edilir. Benzer şekilde, davranışsal analiz teknolojilerini uygulayan araçların çalışma özellikleri de tedavi anlamına gelmez.

Sağlama Analizi

Sağlama toplamı analizi, bir bilgisayar sisteminin nesnelerindeki değişiklikleri takip etmenin bir yoludur. Değişikliklerin doğasının analizine dayanarak - eşzamanlılık, kütle karakteri, dosya uzunluklarındaki aynı değişiklikler - sistemin virüslü olduğu sonucuna varılabilir. Sağlama toplamı analizörleri (değişim denetçileri olarak da adlandırılır), davranış analizörleri gibi, çalışmalarında ek nesneler kullanmazlar ve yalnızca uzman değerlendirmesi yöntemiyle sistemde bir virüsün varlığına dair bir karar verirler. Erişim tarayıcılarında benzer teknolojiler kullanılır - ilk kontrol sırasında dosyadan bir sağlama toplamı alınır ve önbelleğe yerleştirilir, aynı dosyanın bir sonraki kontrolünden önce sağlama toplamı tekrar alınır, karşılaştırılır ve herhangi bir değişiklik olmazsa, dosyanın etkilenmemiş olduğu kabul edilir.

Antivirüs kompleksleri

Anti-virüs kompleksi - aynı anti-virüs motorunu veya motorlarını kullanan, anti-virüs güvenliğini sağlamada pratik sorunları çözmek için tasarlanmış bir dizi anti-virüs bilgisayar sistemleri. Anti-virüs kompleksi ayrıca anti-virüs veritabanlarını güncellemek için araçlar içerir.

Ek olarak, anti-virüs kompleksi ayrıca davranışsal analizörleri ve anti-virüs motorunu kullanmayan denetçileri değiştirebilir.

Aşağıdaki anti-virüs kompleksleri türleri vardır:

  • İş istasyonlarının korunması için antivirüs kompleksi
  • Dosya sunucularını korumak için anti-virüs kompleksi
  • Posta sistemlerinin korunması için anti-virüs kompleksi
  • Ağ geçitlerinin korunması için antivirüs kompleksi.

Bulut ve Geleneksel Masaüstü Antivirüsü: Hangisini Seçmelisiniz?

(Webroot.com kaynağına göre)

Modern anti-virüs araçları pazarı, öncelikle, imza tabanlı yöntemler temelinde oluşturulan koruma mekanizmaları olan masaüstü sistemleri için geleneksel çözümlerdir. Alternatif yol anti-virüs koruması - buluşsal analiz kullanımı.

Geleneksel virüsten koruma yazılımıyla ilgili sorunlar

Son yıllarda, geleneksel anti-virüs teknolojileri, bir dizi faktörden dolayı giderek daha az etkili hale geldi ve hızla eski haline geldi. İmzalarla tanımlanan virüs tehditlerinin sayısı zaten o kadar yüksek ki, kullanıcı bilgisayarlarındaki imza veritabanlarının zamanında %100 güncellenmesini sağlamak çoğu zaman gerçekçi olmayan bir görevdir. Bilgisayar korsanları ve siber suçlular, sıfır gün virüs tehditlerinin yayılmasını hızlandırmak için botnet'leri ve diğer teknolojileri giderek daha fazla kullanıyor. Ayrıca, hedeflenen saldırılar sırasında ilgili virüslerin imzaları oluşturulmaz. Son olarak, yeni anti-virüs algılama teknolojileri kullanılır: kötü amaçlı yazılım şifrelemesi, polimorfik virüslerin sunucu tarafında oluşturulması, bir virüs saldırısının kalitesinin ön testi.

Geleneksel anti-virüs koruması çoğunlukla "kalın istemci" mimarisinde oluşturulur. Bu, istemcinin bilgisayarında bir birimin yüklü olduğu anlamına gelir. programlama kodu. Gelen verileri kontrol eder ve virüs tehditlerinin varlığını tespit eder.

Bu yaklaşımın bir takım dezavantajları vardır. İlk olarak, kötü amaçlı yazılım ve eşleşen imzaların taranması, kullanıcıdan "alınan" önemli bir hesaplama yükü gerektirir. Sonuç olarak, bilgisayarın verimliliği azalır ve antivirüsün çalışması bazen uygulanan görevlerin paralel olarak yürütülmesine müdahale eder. Bazen kullanıcının sistemindeki yük o kadar belirgindir ki, kullanıcılar virüsten koruma programlarını kapatır ve böylece olası bir virüs saldırısının önündeki engeli kaldırır.

İkincisi, kullanıcının makinesindeki her güncelleme binlerce yeni imzanın transferini gerektirir. Aktarılan veri miktarı genellikle makine başına günde 5 MB civarındadır. Veri aktarımı ağı yavaşlatır, ek sistem kaynaklarını yönlendirir, sistem yöneticileri trafiği kontrol etmek için.

Üçüncüsü, dolaşımda olan veya sabit iş yerlerinden uzakta olan kullanıcılar sıfır gün saldırılarına karşı savunmasızdır. İmzaların güncel bir bölümünü almak için, uzaktan erişilemeyen bir VPN ağına bağlanmaları gerekir.

Buluttan antivirüs koruması

Buluttan anti-virüs korumasına geçildiğinde, çözümün mimarisi önemli ölçüde değişir. Kullanıcının bilgisayarına, ana işlevi yeni dosyalar aramak, karma değerleri hesaplamak ve veri göndermek olan "hafif" bir istemci kurulur. bulut sunucusu. Bulutta, toplanan imzaların büyük bir veritabanında tam ölçekli bir karşılaştırma gerçekleştirilir. Bu veritabanı, anti-virüs şirketleri tarafından iletilen verilerle sürekli ve zamanında güncellenir. Müşteri, denetimin sonuçlarını içeren bir rapor alır.

Böylece, anti-virüs korumasının bulut mimarisi, bütün çizgi avantajlar:

  • kullanıcının bilgisayarındaki hesaplamaların hacmi, kalın bir istemciye kıyasla ihmal edilebilir, bu nedenle kullanıcının üretkenliği azalmaz;
  • üzerinde anti-virüs trafiğinin yıkıcı bir etkisi yoktur. verim ağlar: sadece birkaç düzine hash değeri içeren kompakt bir veri bölümü gönderilecek, ortalama günlük trafik 120 KB'yi geçmiyor;
  • bulut depolama, kullanıcı bilgisayarlarında depolananlardan çok daha büyük, çok sayıda imza içerir;
  • Bulutta kullanılan imza karşılaştırma algoritmaları, yerel istasyon düzeyinde kullanılan basitleştirilmiş modellerden önemli ölçüde daha akıllıdır ve daha yüksek performans nedeniyle veri karşılaştırması daha az zaman alır;
  • bulut tabanlı antivirüs hizmetleri, antivirüs laboratuvarlarından, güvenlik geliştiricilerinden, kurumsal ve özel kullanıcılardan alınan gerçek verilerle çalışır; sıfır gün tehditleri, kullanıcı bilgisayarlarına erişim ihtiyacından kaynaklanan gecikme olmaksızın, tanınmalarıyla aynı anda engellenir;
  • dolaşımda olan veya ana iş yerlerine erişimi olmayan kullanıcılar, İnternet'e erişimle aynı anda sıfır gün saldırılarına karşı koruma alırlar;
  • sistem yöneticilerinin üzerindeki yük azalır: Kullanıcıların bilgisayarlarına virüsten koruma yazılımı yüklemek ve imza veritabanlarını güncellemek için zaman harcamak zorunda kalmazlar.

Geleneksel antivirüsler neden başarısız oluyor?

Modern kötü amaçlı kod şunları yapabilir:

  • Şirket için özel bir hedef virüs oluşturarak antivirüs tuzaklarını atlayın
  • Antivirüs bir imza oluşturmadan önce, dinamik DNS ve URL kullanarak kod dönüştürme, polimorfizm kullanmaktan kaçınacaktır.
  • Şirket için hedef oluşturma
  • polimorfizm
  • Kimse tarafından bilinmeyen kod - imza yok

Savunması zor

2011'in yüksek hızlı antivirüsleri

Rus bağımsız bilgi ve analitik merkezi Anti-Malware.ru, Mayıs 2011'de başka bir araştırmanın sonuçlarını yayınladı. karşılaştırmalı test Performans ve sistem kaynağı tüketimi için en popüler 20 antivirüs.

Bu testin amacı, hangi kişisel antivirüslerin kullanıcının bilgisayardaki tipik işlemleri üzerinde en az etkiye sahip olduğunu, çalışmasını daha az "yavaşlattığını" ve minimum miktarda sistem kaynağı tükettiğini göstermektir.

Anti-virüs monitörleri (gerçek zamanlı tarayıcılar) arasında, bütün bir ürün grubu çok yüksek hız aralarında çalışır: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro ve Dr.Web. Gemide bu antivirüsler varken, test koleksiyonunun kopyalanmasındaki yavaşlama, kıyaslama kıyasla %20'den daha azdı. BitDefender, PC Tools, Outpost, F-Secure, Norton ve Emsisoft antivirüs monitörleri de %30-50 aralığında performans açısından yüksek sonuçlar gösterdi. BitDefender, PC Tools, Outpost, F-Secure, Norton ve Emsisoft antivirüs monitörleri de %30-50 aralığında performans açısından yüksek sonuçlar gösterdi.

Aynı zamanda Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost ve PC Tools, kontrol sonrası optimizasyonları sayesinde gerçek koşullarda önemli ölçüde daha hızlı olabilir.

Avira antivirüs, isteğe bağlı taramanın en iyi hızını gösterdi. Biraz arkasında Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus ve Outpost vardı. İlk taramanın hızı açısından, bu antivirüsler liderden sadece biraz daha düşüktür, aynı zamanda hepsinin cephanelerinde tekrarlanan taramaları optimize etmek için güçlü teknolojiler vardır.

Virüsten koruma yazılımının hızının bir diğer önemli özelliği, kullanıcının sıklıkla birlikte çalıştığı uygulamaların çalışması üzerindeki etkisidir. Test için bunlardan beşi seçildi: Internet Explorer, Microsoft Office Word, Microsoft Outlook , Adobe Acrobat okuyucu ve Adobe Photoshop. Bunların lansmanındaki en küçük yavaşlama ofis programları Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost ve G Data antivirüslerini gösterdi.

1992'de Eugene Kaspersky, çalışma ilkelerine bağlı olarak (işlevselliği tanımlayan) aşağıdaki antivirüs sınıflandırmasını kullandı:

Ø tarayıcılar (eski sürüm - "polifajlar", "dedektörler") - virüslerin imzalarını (veya sağlama toplamlarını) depolayan imza veritabanı ile bir virüsün varlığını belirler. Etkililikleri, virüs veri tabanının uygunluğu ve bir buluşsal çözümleyicinin varlığı ile belirlenir.

Ø denetçiler (IDS'ye yakın bir sınıf) - gelecekte değişiklikleri analiz etmeyi mümkün kılan dosya sisteminin durumunu hatırlayın.

Ø bekçi (yerleşik monitörler veya filtreler ) - kullanıcıya işleme izin vermek/yasaklamak için uygun talebi göndererek, potansiyel olarak tehlikeli işlemleri takip edin.

Ø Aşılar (bağışıklayıcılar ) - aşılanmış dosyayı, aşının yapıldığı virüsün zaten dosyanın bulaştığını düşüneceği şekilde değiştirin. Modern koşullarda, olası virüslerin sayısı yüzbinlerle ölçüldüğünde, bu yaklaşım geçerli değildir.

Modern antivirüsler yukarıdaki işlevlerin tümünü birleştirir.

Antivirüsler ayrıca şu şekilde ayrılabilir:

Ev kullanıcıları için ürünler:

Aslında antivirüsler;

Kombine ürünler (örneğin, anti-spam, güvenlik duvarı, anti-rootkit vb. Klasik anti-virüse eklenmiştir);

Kurumsal Ürünler:

Sunucu antivirüsleri;

İş istasyonlarındaki antivirüsler ("uç nokta").

Paylaşım antivirüs programları birbirlerini iyi tamamladıkları için iyi sonuçlar verir:

Dış kaynaklardan gelen veriler kontrol edilir dedektör programı. Bu veriler kontrol edilmeyi unuttuysa ve virüslü program başlatıldıysa, bekçi programı tarafından yakalanabilir. Doğru, her iki durumda da, bu virüsten koruma programları tarafından bilinen virüsler güvenilir bir şekilde algılanır. Bu, vakaların% 80-90'ından fazla değildir.

- bekçiçok yüzsüz davranırlarsa bilinmeyen virüsleri bile algılayabilir (biçimlendirmeyi deneyin) HDD veya değişiklik yapmak sistem dosyaları). Ancak bazı virüsler bu tür kontrolleri atlayabilir.

Virüs bir dedektör veya bekçi tarafından tespit edilmediyse, etkinliğinin sonuçları tarafından tespit edilecektir. program - denetçi.

Kural olarak bilgisayarda watchdog programları sürekli çalışmalı, harici kaynaklardan (dosyalar ve disketler) gelen verileri kontrol etmek için dedektörler kullanılmalı ve disklerdeki değişiklikleri tespit etmek ve analiz etmek için denetçiler günde bir kez çalıştırılmalıdır. Tüm bunlar, virüs bulaşma olasılığını azaltmak için düzenli veri yedeklemeleri ve önleyici tedbirlerin kullanılmasıyla birleştirilmelidir.

Herhangi bir anti-virüs programı bilgisayarı "yavaşlatır", ancak virüslerin zararlı etkileri için güvenilir bir çözümdür.


Yanlış antivirüsler (yanlış antivirüsler).

2009 yılında çeşitli üreticiler antivirüsler, yeni bir antivirüs türünün geniş dağıtımı hakkında rapor vermeye başladı - sahte antivirüsler veya sahte antivirüsler (rogueware). Aslında, bu programlar ya hiç antivirüs değildir (yani kötü amaçlı yazılımlarla savaşamazlar) veya hatta virüsler (kredi kartı verilerini çalarlar vb.).

Hileli antivirüsler, aldatma yoluyla kullanıcılardan para koparmak için kullanılır. Bir PC'ye sahte bir antivirüs bulaştırmanın bir yolu aşağıdaki gibidir. Kullanıcı, kendisine "Bilgisayarınızda bir virüs bulundu" gibi bir uyarı mesajı veren "virüslü" bir siteye götürülür. Daha sonra kullanıcıdan indirmesi istenir ücretsiz program(yanlış antivirüs) virüsü kaldırmak için. Kurulumdan sonra, sahte antivirüs bilgisayarı tarar ve güya bilgisayarda çok sayıda virüs tespit eder. Kötü amaçlı yazılımları kaldırmak için sahte bir antivirüs, programın ücretli bir sürümünü satın almayı teklif eder. Şok olan kullanıcı ödeme yapar (50$ ile 80$ arası) ve sahte bir antivirüs bilgisayarı var olmayan virüslerden temizler.

SIM'deki antivirüsler, flash kartlar ve USB cihazları

Günümüzde üretilen cep telefonları çok çeşitli arayüzlere ve veri aktarım yeteneklerine sahiptir. Kullanıcılar, herhangi bir küçük cihazı bağlamadan önce koruma yöntemlerini dikkatlice incelemelidir.

Donanım, belki de USB cihazlarındaki veya SIM üzerindeki antivirüsler gibi koruma yöntemleri cep telefonu kullanıcıları için daha uygundur. Teknik değerlendirme ve bir cep telefonuna bir virüsten koruma programının nasıl kurulacağına dair genel bir bakış, bu telefondaki diğer yasal uygulamaları etkileyebilecek bir tarama işlemi olarak düşünülmelidir.

Küçük kapasiteli bellek alanına yerleşik anti-virüs içeren SIM'deki anti-virüs programları, telefon kullanıcısının PIN'ini ve bilgilerini koruyarak kötü amaçlı yazılımlara/virüslere karşı koruma sağlar. Flash kartlar üzerindeki anti-virüsler, kullanıcının bilgi alışverişi yapmasına ve bu ürünleri çeşitli donanım cihazlarıyla kullanmasına ve ayrıca bu verileri çeşitli iletişim kanalları kullanarak diğer cihazlara göndermesine olanak tanır.

Antivirüsler, mobil cihazlar ve yenilikçi çözümler

Gelecekte, cep telefonlarına virüs bulaşması olasıdır. Bu alanda giderek daha fazla geliştirici, virüslerle savaşmak ve cep telefonlarını korumak için anti-virüs programları sunuyor. AT mobil cihazlar Aşağıdaki virüs kontrolü türleri vardır:

– işlemci sınırlamaları;

– hafıza limiti;

– bu mobil cihazların imzalarının belirlenmesi ve güncellenmesi.

Çözüm: Antivirüs programı (antivirüs) - başlangıçta kötü amaçlı nesneleri veya virüslü dosyaları tespit etmek ve tedavi etmek ve ayrıca önleme - bir dosyaya veya işletim sistemine bulaşmayı önlemek için bir program zararlı kod. Anti-virüs programlarının çalışma prensibine bağlı olarak, aşağıdaki anti-virüs sınıflandırması vardır: tarayıcılar (eski sürüm - "polifajlar", "dedektörler"); denetçiler (IDS'ye yakın bir sınıf); bekçi (yerleşik monitörler veya filtreler); aşılar (bağışıklık kazandırıcılar).

ÇÖZÜM

Bilgisayar teknolojisindeki gelişmeler son yıllar sadece ekonominin, ticaretin ve iletişimin gelişmesine katkıda bulunmakla kalmamış; etkili bir bilgi alışverişi sağladı, aynı zamanda bilgisayar suçlarının faillerine benzersiz bir araç takımı sağladı. Bilgisayarlaşma süreci ne kadar yoğun olursa, bilgisayar suçlarının büyümesi o kadar gerçek olur ve modern toplum sadece bilgisayar suçlarının ekonomik sonuçlarını hissetmekle kalmaz, aynı zamanda bilgisayarlaşmaya giderek daha fazla bağımlı hale gelir. Tüm bu yönler, bilginin korunmasına, daha fazla gelişmeye giderek daha fazla dikkat etmeyi zorunlu kılmaktadır. Yasama çerçevesi alanında bilgi Güvenliği. Tüm önlemler, devletin korunmasına indirgenmelidir. bilgi kaynakları; bilgi kaynaklarının oluşumu ve kullanımından kaynaklanan ilişkilerin düzenlenmesine; oluşturma ve kullanma Bilişim Teknolojileri; bilgi süreçlerine katılan kişilerin bilgilerinin ve haklarının korunması; Mevzuatta kullanılan temel kavramları tanımlamanın yanı sıra.

Ceza İnfaz Sisteminde Güvenlik Teşkilatı ve Konvoy Daire Başkanı Doç.

teknik bilimler adayı

iç hizmetin yarbay V.G. Zarubsky

kötü amaçlı yazılım antivirüs enfeksiyonu

Başarılı çalışmaları için virüslerin dosyaya zaten virüs bulaşmış olup olmadığını (aynı virüs tarafından) kontrol etmesi gerekir. Böylece kendilerini yok etmekten kaçınırlar. Bunu yapmak için virüsler bir imza kullanır. En yaygın virüsler (makro virüsleri dahil) karakter imzalarını kullanır. Daha karmaşık virüsler (polimorfik) algoritma imzalarını kullanır. Virüs imzasının türü ne olursa olsun, anti-virüs programları bunları "bilgisayar enfeksiyonlarını" tespit etmek için kullanır. Bundan sonra, antivirüs programı tespit edilen virüsü yok etmeye çalışır. Ancak bu süreç, virüsün karmaşıklığına ve virüsten koruma programının kalitesine bağlıdır. Daha önce de belirtildiği gibi, Truva atları ve polimorfik virüsler, tespit edilmesi en zor olanlardır. Bunlardan ilki programa vücudunu eklemiyor, onun içine gömüyor. Öte yandan, anti-virüs programları polimorfik virüslerin imzasını belirlemek için oldukça fazla zaman harcamalıdır. Gerçek şu ki, imzaları her yeni kopyada değişiyor.

Bilgisayar virüslerini algılamak, kaldırmak ve bunlara karşı korumak için, özel programlar antivirüs denir. Modern anti-virüs programları, hem önleyici hem de virüs tedavisi ile veri kurtarma araçlarını birleştiren çok işlevli ürünlerdir.

Virüslerin sayısı ve çeşitliliği çok fazladır ve onları hızlı ve verimli bir şekilde tespit etmek için bir virüsten koruma programının belirli parametreleri karşılaması gerekir:

1. İşin istikrarı ve güvenilirliği.

2. Programın virüs veri tabanının boyutları (program tarafından doğru olarak tespit edilen virüslerin sayısı): Yeni virüslerin sürekli ortaya çıkması dikkate alınarak veri tabanı düzenli olarak güncellenmelidir.

3. Programın çeşitli virüs türlerini tespit etme yeteneği ve dosyalarla çalışma yeteneği çeşitli tipler(arşivler, belgeler).

4. Tüm yeni dosyaları "anında" kontrol eden yerleşik bir monitörün varlığı (yani, diske yazılırken otomatik olarak).

5. Programın hızı, kullanılabilirliği Ek özelliklerörneğin program tarafından bilinmeyen virüsleri tespit etmek için algoritmalar (sezgisel tarama).

6. Etkilenen dosyaları sabit diskten silmeden geri yükleme, ancak yalnızca virüsleri onlardan kaldırma imkanı.

7. Programın yanlış pozitiflerinin yüzdesi ("temiz" bir dosyada bir virüsün hatalı tespiti).

8. Çapraz platform (farklı işletim sistemleri için program sürümlerinin kullanılabilirliği).

Antivirüs programlarının sınıflandırılması:

1. Algılayıcı programları, RAM'deki ve harici ortamdaki virüslerin aranmasını ve algılanmasını sağlar ve algılandığında ilgili bir mesaj verir. Dedektörler var:

Evrensel - çalışmalarında, bir sağlama toplamı standardı ile sayarak ve karşılaştırarak dosyaların değişmezliğini kontrol etmek için kullanın;

Uzmanlaşmış - bilinen virüsleri imzalarına göre arayın (yinelenen kod bölümü).

2. Doktor programları (fajlar) yalnızca virüs bulaşmış dosyaları bulmakla kalmaz, aynı zamanda onları “iyileştirir”, yani. dosyaları orijinal durumlarına döndürerek virüs programının gövdesini dosyadan kaldırın. Fajlar, çalışmalarının başında RAM'de virüs arar, onları yok eder ve ancak bundan sonra dosyaların “tedavisine” devam eder. Fajlar arasında polifajlar ayırt edilir, yani. çok sayıda virüsü bulmak ve yok etmek için tasarlanmış doktor programları.

3. Program denetçileri, virüslere karşı en güvenilir koruma araçları arasındadır. Denetçiler, bilgisayara virüs bulaşmadığında diskin programlarının, dizinlerinin ve sistem alanlarının ilk durumunu hatırlar ve daha sonra periyodik olarak veya kullanıcının isteği üzerine mevcut durumu orijinal olanla karşılaştırır. Algılanan değişiklikler monitör ekranında görüntülenir.

4. Filtre programları (bekçi), bilgisayar çalışması sırasında virüslerin özelliği olan şüpheli eylemleri algılamak için tasarlanmış küçük yerleşik programlardır. Bu tür eylemler şunlar olabilir:

COM ve EXE uzantılı dosyaları düzeltmeye çalışır;

Dosya özniteliklerini değiştirme;

Mutlak adreste diske doğrudan yazma;

Disk önyükleme sektörlerine yazma;

5. Aşı programları (bağışıklayıcılar) dosya bulaşmasını önleyen yerleşik programlardır. Bu virüsü "tedavi eden" bir doktor programı yoksa aşılar kullanılır. Aşılama sadece bilinen virüslere karşı mümkündür Bezrukov N. Bilgisayar virolojisi: Ders Kitabı [Elektronik kaynak]: http://vx.netlux.org/lib/anb00.html..

Aslında, virüsten koruma programlarının mimarisi çok daha karmaşıktır ve belirli geliştiriciye bağlıdır. Ancak bir gerçek yadsınamaz: Bahsettiğim tüm teknolojiler birbiriyle o kadar iç içedir ki, birinin ne zaman başlatıldığını ve diğerinin ne zaman çalışmaya başladığını anlamak bazen imkansızdır. Anti-virüs teknolojilerinin bu etkileşimi, virüslere karşı mücadelede en etkin şekilde kullanılmalarını sağlar. Ancak, mükemmel bir korumanın olmadığını ve kendinizi bu tür sorunlara karşı uyarmanın tek yolunun sürekli işletim sistemi güncellemeleri, iyi yapılandırılmış bir güvenlik duvarı, sık güncellenen antivirüs ve - en önemlisi - şüpheli dosyaları çalıştırmamak / indirmemek olduğunu unutmayın. İnternet.

1992'de Eugene Kaspersky, çalışma ilkelerine bağlı olarak (işlevselliği tanımlayan) aşağıdaki antivirüs sınıflandırmasını kullandı:

1. Tarayıcılar (eski bir sürüm - "polifajlar") - virüslerin imzalarını (veya sağlama toplamlarını) depolayan imza veritabanı ile bir virüsün varlığını belirler. Etkililikleri, virüs veri tabanının uygunluğu ve bir buluşsal çözümleyicinin varlığı ile belirlenir (bkz: Buluşsal tarama).

2. Denetçiler (IDS'ye yakın bir sınıf) - gelecekte değişiklikleri analiz etmeyi mümkün kılan dosya sisteminin durumunu hatırlayın.

3. Bekçiler (izleyiciler) - kullanıcıya işleme izin vermesi/yasaklaması için uygun talepte bulunarak, potansiyel olarak tehlikeli işlemleri takip edin.

4. Aşılar - aşılanmış dosyayı, aşının yapıldığı virüsün zaten dosyanın bulaştığını düşüneceği şekilde değiştirin. Modern (2007) koşullarda, olası virüslerin sayısı yüzbinlerle ölçüldüğünde, bu yaklaşım geçerli değildir.

Modern antivirüsler yukarıdaki işlevlerin tümünü birleştirir.

Antivirüsler ayrıca şu şekilde ayrılabilir:

1. Ev kullanıcıları için ürünler:

2. Aslında antivirüsler;

3. Kombine ürünler (örneğin, anti-spam, güvenlik duvarı, anti-rootkit, vb. klasik anti-virüse eklenmiştir);

4. Kurumsal ürünler:

5. Sunucu antivirüsleri;

6. İş istasyonlarındaki antivirüsler ("uç nokta").

SIM, flash kartlar ve USB cihazlarındaki antivirüsler

Günümüzde üretilen cep telefonları çok çeşitli arayüzlere ve veri aktarım yeteneklerine sahiptir. Kullanıcılar, herhangi bir küçük cihazı bağlamadan önce koruma yöntemlerini dikkatlice incelemelidir.

Donanım, belki de USB cihazlarındaki veya SIM üzerindeki antivirüsler gibi koruma yöntemleri cep telefonu kullanıcıları için daha uygundur. Bir cep telefonuna bir virüsten koruma programının nasıl kurulacağına ilişkin teknik bir değerlendirme ve inceleme, o telefondaki diğer yasal uygulamaları etkileyebilecek bir tarama işlemi olarak düşünülmelidir.

Küçük kapasiteli bellek alanına yerleşik anti-virüs içeren SIM'deki anti-virüs programları, telefon kullanıcısının PIN'ini ve bilgilerini koruyarak kötü amaçlı yazılımlara/virüslere karşı koruma sağlar. Flash kartlar üzerindeki anti-virüsler, kullanıcının bilgi alışverişi yapmasına ve bu ürünleri çeşitli donanım cihazlarıyla kullanmasına ve ayrıca bu verileri çeşitli iletişim kanalları kullanarak diğer cihazlara göndermesine olanak tanır.

Antivirüsler, mobil cihazlar ve yenilikçi çözümler

Gelecekte, cep telefonlarına virüs bulaşması olasıdır. Bu alanda giderek daha fazla geliştirici, virüslerle savaşmak ve cep telefonlarını korumak için anti-virüs programları sunuyor. Mobil cihazlarda aşağıdaki virüs kontrol türleri vardır.